Может ли вредоносный веб-сайт получить доступ к содержимому файлов на компьютере?

Это может быть параноиком, но если я зайду на вредоносный веб-сайт, могут ли они сказать, что находится внутри PDF на моем рабочем столе или что находится внутри моих изображений на моем жестком диске?

У меня есть Chromebook и машина с Windows.

Если вы явно не предоставите веб-сайту, который является безопасным (HTTPS) или небезопасным (HTTP), доступ к элементу в вашей системе, этот веб-сайт не будет иметь доступа к этому элементу в вашей системе.

Это может быть параноиком, но если я захожу на веб-сайт, который не может быть на 100% безопасным, могут ли они сказать, что находится в PDF на рабочем столе моего жесткого диска или что находится внутри моих изображений на моем жестком диске?

В общем, если вы явно не предоставите им доступ к вашему жесткому диску или документам на жестком диске, то нет, небезопасный веб-сайт не сможет получить доступ к чему-либо.

Это сказало (и подчеркивает это, чтобы прояснить это) , действительно есть некоторые невероятно редкие - и эзотерические - "нулевые дни" подвиги, которые могут представлять интерес в некоторых крайних случаях . Но в целом вы, как конечный пользователь, должны приложить все усилия, чтобы позволить веб-сайту получить доступ к документам в вашей системе. Пока ваша ОС исправлена ​​и браузеры обновлены, вы в безопасности. И даже в тех случаях, когда вы не исправлены и не обновлены (и еще раз подчеркнули это, чтобы прояснить ситуацию), риск все равно невероятно низок .

Единственная проблема с веб-сайтом, который «может быть не на 100% безопасен» (как было указано в первоначальном вопросе, и я предполагаю, что HTTPS по сравнению с обычным HTTP) заключается в том, что при передаче данных туда и обратно HTTPS шифруется, а HTTP не шифруется.

Тогда риск заключается в том, что если вы вводите что-то на сайт через форму и т. Д., Если сайт представляет собой обычный HTTP, то передаваемые вами данные - это просто текст, который любой, у кого есть анализатор пакетов, может прочитать. Но в лучшем случае это небольшой шанс.

Например, если вы находитесь в известной общедоступной сети Wi-Fi, возможно, кто-то находится в этой сети с вами и, возможно, захватывает пакеты и, таким образом, может обнаружить, что вы печатаете.

В целом, если вы находитесь в защищенной сети дома или в другом месте, а ваш браузер и операционная система исправлены, вы «в безопасности».

«Небезопасный» веб-сайт действительно представляет собой проблему, только если вы отправляете ему данные или загружаете с указанного веб-сайта элемент, который будет запускать код в вашей системе.

По замыслу браузеры не допускают этого, но всегда есть вероятность ошибки, которую можно использовать для получения более высокого уровня доступа к вашей системе. Эти ошибки довольно редки и всегда очень быстро исправляются, поэтому это, в основном, проблема, если ваша ОС или браузер устарели. Оба из этих автообновлений теперь, так что просто не отключайте автообновления, и вы можете быть уверены в довольно хорошем уровне защиты от вредоносных веб-сайтов.

Удаленный компьютер не может получить доступ к чему-либо на вашем компьютере без помощи программного обеспечения на вашем компьютере.

Если вы используете свой компьютер для посещения ненадежного веб-сайта, вы используете программное обеспечение браузера на своем компьютере для инициирования веб-запросов (протокол HTTP или HTTPS) для получения данных с удаленного компьютера. В этой простой модели удаленный компьютер не имеет абсолютно никакого доступа к вашему компьютеру, но ... браузеры имеют некоторые функции, которые усложняют эту картину.

Современные браузеры имеют функцию, которая позволяет загружать файлы с вашего компьютера. Веб-сайт может включать в себя форму, которая использует эту функцию. Эта функция не дает веб-сайту представление о вашем компьютере. Когда ваш браузер обрабатывает такую ​​форму, он предоставляет вам элемент управления выбором файла; ваш браузер может видеть файлы на вашем компьютере, и когда вы делаете выбор, ваш браузер отправляет содержимое этого файла и только этот файл в удаленную систему. То, как работает эта функция, заставляет некоторых людей верить, что веб-сайт может видеть файлы на вашем компьютере, когда это на самом деле невозможно.

Все современные браузеры имеют встроенные движки JavaScript. Веб-сайт может содержать код JavaScript, который должен выполняться вашим браузером. Когда браузер получает JavaScript на странице, он обычно запускает его автоматически. JavaScript обычно используется для улучшения взаимодействия с пользователем; у него есть определенные возможности и некоторые ограничения. Движок JavaScript не может «видеть» на вашем компьютере - не может видеть ваши файлы или то, что происходит в других программах, но он может направлять браузер загружать другие файлы с того же сайта - изображения, страницы и т. Д. JavaScript может заставить браузер по крайней мере пытаться загрузить и запустить программу, которая может иметь больший доступ к вашей системе или контроль над ней. Хотя сам JavaScript ограничен в том, что он может делать на вашем компьютере,

TL; DR: ненадежный веб-сайт не может сам по себе заглянуть в ваш компьютер. Но сайт может попытаться обмануть вас в загрузке и запуске вредоносного программного обеспечения. Такое программное обеспечение может потенциально сделать что-нибудь на вашем компьютере. Ваш браузер не должен автоматически загружать такое программное обеспечение; по крайней мере, это должно потребовать вашего явного согласия. Вредоносный веб-сайт может, однако, попытаться обмануть вас, чтобы дать такое согласие.

В теории нет, на практике: да, это, безусловно, возможно.

Это причина, по которой опытные пользователи имеют расширения браузера, которые постоянно отключают скрипты, за исключением явно включенных в белый список веб-сайтов, которые требуют их, и которые мешают многим другим атакам, таким как подделка межсайтовых запросов и еще много чего.

Эксплойты, которые позволяют удаленное выполнение кода или доступ к локальным файлам, публикуются почти каждый месяц. Два недавних примера одного известного браузера - 1 и 2 . Примерами другого известного браузера являются 3 и 4 .

(Выше приведены случайные уязвимости, которые я выбрал без очевидной причины, и, между прочим, все они исправлены с использованием новейших версий, насколько мне известно.)

Атаки через браузер могут не только позволить веб-сайту получить доступ к файлам, но и в принципе могут позволить веб-сайту полностью захватить ваш компьютер, в худшем случае. Проблема не ограничивается браузерами, посмотрите недавний пример уязвимости в видеозвонке WhatsApp. Около года назад была обнаружена уязвимость в широко распространенной серии маршрутизаторов DSL, которая позволила бы вредоносному веб-сайту захватить ваш маршрутизатор даже при наличии пароля, если только вы посещали веб-сайт со своего компьютера.

Уровень глупости, необходимый для успеха атаки, варьируется. Для некоторых атак конечный пользователь должен быть очень, очень глупым. Для некоторых атак пользователь должен быть не совсем осведомлен в течение доли секунды. И некоторые атаки будут работать, даже если пользователь не сделает ничего глупого, если будут соблюдены определенные условия.

Как правило, веб-сайт не может получить доступ к файлам на вашем жестком диске или их метаинформации. Тем не менее, вы должны знать пару вещей:

• в вашем браузере могут быть недостатки безопасности, которые позволяют злоумышленникам взломать ваш браузер или даже вашу систему
• В зависимости от вашего браузера, вредоносные сайты могут многое узнать о вас и компьютере, который вы используете. Для небольшого обзора посмотрите здесь: http://webkay.robinlinus.com/
• лучший способ сохранить ваши файлы в безопасности, это держать их подальше от Интернета. Храните свои файлы на внешнем диске и обращайтесь к ним только через автономные компьютеры. Это может быть неудобно, но безопасно