Чи може шкідливий веб-сайт отримати доступ до вмісту файлів на комп'ютері?

Це може бути параноїком, але якщо я переходжу на шкідливий веб-сайт, чи можуть вони розповісти, що знаходиться в PDF-файлі на моєму робочому столі або що є в моїх зображеннях на жорсткому диску?

У мене є Chromebook та машина Windows.

Якщо ви чітко не надаєте веб-сайт - захищений (HTTPS) або незахищений (HTTP) - доступ до елемента вашої системи, що веб-сайт не матиме доступу до цього елемента у вашій системі.

Це може бути параноїком, але якщо я перейду на веб-сайт, який не може бути на 100% захищений, чи можуть вони розповісти, що знаходиться в PDF-файлі робочого столу мого жорсткого диска або що знаходиться в моїх зображеннях на жорсткому диску?

Загалом, якщо ви прямо не надасте їм доступ до вашого жорсткого диска - або документів на жорсткому диску - тоді ні, незахищений веб-сайт не зможе отримати доступ до нічого.

Це сказало (і наголосивши на цьому, щоб це було зрозуміло) , справді є неймовірно рідкісні та езотеричні - "нульові" подвиги, які можуть викликати занепокоєння в деяких крайніх випадках . Але в цілому вам - як кінцевому користувачеві - потрібно вийти зі свого шляху, щоб дозволити веб-сайту отримати доступ до документів у вашій системі. Поки ваша ОС не зафіксована, і браузери оновлені, ви в безпеці. І навіть у тих випадках, коли вас не зафіксували і не модернізували (і знову наголошуючи на цьому, щоб зрозуміти), ризик все ще неймовірно низький .

Єдине питання веб-сайту, яке "може бути не на 100% захищеним" (як зазначено в оригінальному запитанні, і я припускаю, що HTTPS проти звичайного HTTP) полягає в тому, що при передачі даних туди і назад HTTPS шифрується, а HTTP не шифрується.

Тоді ризик полягає в тому, що якщо ви вводите щось на сайті через форму та таке, якщо сайт звичайний HTTP, то дані, які ви передаєте, - це просто чіткий текст, який може прочитати кожен, хто має сніфтер для пакетів . Але це в кращому випадку шанси.

Наприклад, якщо ви знаходитесь у відомій загальнодоступній мережі Wi-Fi, можливо, хтось із вами в цій мережі і потенційно захоплює пакети, і таким чином може виявити, що ви вводите.

Як правило, якщо ви перебуваєте в захищеній мережі вдома або в іншому місці, а ваш веб-переглядач та ОС є виправленими, ви "в безпеці".

"Небезпечний" веб-сайт справді викликає занепокоєння, якщо ви надсилаєте їм дані або завантажуєте елемент із зазначеного веб-сайту, який буде запускати код у вашій системі.

За дизайном браузери цього не дозволяють, але завжди є можливість помилки, яку можна використати для отримання більш високого рівня доступу до вашої системи. Ці помилки досить рідкісні та завжди виправляються дуже швидко, тому це головним чином проблема, якщо ваша ОС чи браузер застаріли. Обидва ці автоматичні оновлення зараз, тому просто не відключайте автоматичне оновлення, і ви можете бути впевнені у досить хорошому рівні захисту від шкідливих веб-сайтів.

Віддалений комп'ютер не може отримати доступ до нічого на вашому комп'ютері без допомоги програмного забезпечення, що працює на вашому комп'ютері.

Якщо ви використовуєте комп’ютер для відвідування ненадійного веб-сайту, ви використовуєте програмне забезпечення браузера на своєму комп’ютері для ініціювання веб-запитів (протокол HTTP або HTTPS) для отримання даних з віддаленого комп'ютера. У цій простій моделі віддалений комп'ютер абсолютно не має доступу до вашого комп'ютера, але ... браузери мають деякі функції, які ускладнюють цю картину.

Сучасні браузери мають функцію, яка дозволяє завантажувати файли зі свого комп’ютера. Веб-сайт може містити форму, яка використовує цю функцію. Ця функція не дає веб-сайту переглядати ваш комп'ютер. Коли ваш браузер обробляє таку форму, він подає вам контроль вибору файлів; Ваш браузер може бачити файли на вашому комп’ютері, і коли ви зробите вибір, ваш браузер надсилає вміст цього файлу та лише цей файл у віддалену систему. Те, як ця функція працює, змушує деяких людей вважати, що веб-сайт може бачити файли на вашому комп’ютері, коли він насправді не може.

У всіх сучасних браузерах вбудовані JavaScript-механізми. Веб-сайт може містити код JavaScript, який повинен бути виконаний вашим браузером. Коли браузер отримує JavaScript на сторінці, він зазвичай виконує його автоматично. JavaScript зазвичай використовується для покращення користувальницької роботи; він має певні можливості та деякі обмеження. Двигун JavaScript не може "бачити" ваш комп'ютер - не може бачити ваші файли або те, що відбувається в інших програмах, але він може спрямовувати браузер завантажувати інші файли з того самого сайту - зображення, сторінки тощо. . JavaScript може змусити браузер хоча б спробувати завантажити та виконати програму, яка може мати більший доступ до вашої системи або контролювати її. Хоча сам JavaScript обмежений тим, що він може робити на вашому комп’ютері,

TL; DR: Ненадійний веб-сайт сам по собі не може побачити ваш комп'ютер. Але сайт може спробувати заманювати вас на завантаження та виконання шкідливого програмного забезпечення. Таке програмне забезпечення потенційно може робити що-небудь на вашому комп’ютері. Ваш браузер не повинен автоматично завантажувати таке програмне забезпечення; принаймні, це вимагає вашого явного прийняття. Зловмисний веб-сайт, однак, може спробувати підманути вас на таке прийняття.

Теоретично ні, на практиці: Так, це, безумовно, можливо.

Це причина, чому обтяжливі користувачі мають розширення для браузерів, які вимикають сценарій у будь-який час, за винятком явних білих веб-сайтів, які вимагають їх, і які перешкоджають багатьом іншим атакам, таким як підробка веб-сайтів та ін.

Експлуатації, які дозволяють віддалене виконання коду або дозволяють отримати доступ до локальних файлів, публікуються майже щомісяця. Два останні приклади для одного відомого браузера - це 1 і 2 . Прикладами іншого відомого браузера є 3 та 4 .

(Наведене вище - випадкові уразливості, які я вибрав без очевидних причин. Також, між тим, вони все виправлені за допомогою новітніх версій, наскільки мені відомо.)

Атаки веб-переглядачів можуть не лише дозволяти веб-сайту отримати доступ до файлів, але в принципі вони можуть дозволити веб-сайту взагалі заволодіти вашим комп'ютером, в гіршому випадку. Проблема не обмежується веб-переглядачами, див. Уразливість відеодзвінків WhatsApp для останнього прикладу. Рік року назад або близько того був широко використаний у широко розгорнутій серії маршрутизаторів DSL, що дозволило б зловмисному веб-сайту перейняти ваш маршрутизатор навіть за наявності пароля, якщо ви лише відвідали веб-сайт зі свого комп’ютера.

Рівень дурості, необхідний для успішної атаки, змінюється. Для деяких атак кінцевий користувач повинен бути справді, дуже дурним. Для деяких атак користувач повинен бути частково невідомим на частку секунди. І деякі атаки працюватимуть навіть тоді, коли користувач взагалі не зробить нічого дурного, доки будуть виконані певні умови.

Загалом веб-сайт не може отримати доступ до файлів на вашому жорсткому диску або їх метаданих. Тим не менш, ти повинен знати про кілька речей:

• у вашому веб-переглядачі можуть виникнути недоліки, які дозволяють зловмисникам захопити ваш браузер або навіть вашу систему
• Залежно від вашого веб-переглядача, шкідливі веб-сайти можуть дізнатися багато про вас та комп'ютер, який ви використовуєте. Для невеликого огляду дивіться тут: http://webkay.robinlinus.com/
• найкращий спосіб захистити свої файли - це тримати їх подалі від Інтернету. Зберігайте свої файли на зовнішньому диску та отримуйте доступ до них лише через офлайн-комп’ютери. Це може бути незручно, але безпечно