Может ли вредоносный веб-сайт получить доступ к содержимому файлов на компьютере?

27

Это может быть параноиком, но если я зайду на вредоносный веб-сайт, могут ли они сказать, что находится внутри PDF на моем рабочем столе или что находится внутри моих изображений на моем жестком диске?

У меня есть Chromebook и машина с Windows.

Джон Доу
источник
Должно ли это быть указано для конкретного браузера? Я полагаю, что не все браузеры одинаково безопасны в этом отношении? IE Flash был огромной уязвимостью для таких вещей, не так ли? Если это не относится к браузеру, возможно, его следует ограничить определенной версией данной спецификации HTML или чем-то еще.
TankorSmash
1
С учетом Призрака - возможно.
user253751
13
это может быть более подходящим для информационной безопасности
phuclv
1
Это возможно, но это настолько незначительно, что это не то, о чем вы должны беспокоиться. Вы должны быть обеспокоены тем, какая другая информация хранится в вашем веб-браузере, к которой веб-сайт может получить доступ. Куки могут хранить очень уязвимую личную информацию о вас, которую могут получить такие сайты.
mathreadler
1
Если вы хотите быть параноиком, запустите ваш браузер на виртуальной машине barebones linux
Richie Frame

Ответы:

33

Если вы явно не предоставите веб-сайту, который является безопасным (HTTPS) или небезопасным (HTTP), доступ к элементу в вашей системе, этот веб-сайт не будет иметь доступа к этому элементу в вашей системе.

Это может быть параноиком, но если я захожу на веб-сайт, который не может быть на 100% безопасным, могут ли они сказать, что находится в PDF на рабочем столе моего жесткого диска или что находится внутри моих изображений на моем жестком диске?

В общем, если вы явно не предоставите им доступ к вашему жесткому диску или документам на жестком диске, то нет, небезопасный веб-сайт не сможет получить доступ к чему-либо.

Это сказало (и подчеркивает это, чтобы прояснить это) , действительно есть некоторые невероятно редкие - и эзотерические - "нулевые дни" подвиги, которые могут представлять интерес в некоторых крайних случаях . Но в целом вы, как конечный пользователь, должны приложить все усилия, чтобы позволить веб-сайту получить доступ к документам в вашей системе. Пока ваша ОС исправлена ​​и браузеры обновлены, вы в безопасности. И даже в тех случаях, когда вы не исправлены и не обновлены (и еще раз подчеркнули это, чтобы прояснить ситуацию), риск все равно невероятно низок .

Единственная проблема с веб-сайтом, который «может быть не на 100% безопасен» (как было указано в первоначальном вопросе, и я предполагаю, что HTTPS по сравнению с обычным HTTP) заключается в том, что при передаче данных туда и обратно HTTPS шифруется, а HTTP не шифруется.

Тогда риск заключается в том, что если вы вводите что-то на сайт через форму и т. Д., Если сайт представляет собой обычный HTTP, то передаваемые вами данные - это просто текст, который любой, у кого есть анализатор пакетов, может прочитать. Но в лучшем случае это небольшой шанс.

Например, если вы находитесь в известной общедоступной сети Wi-Fi, возможно, кто-то находится в этой сети с вами и, возможно, захватывает пакеты и, таким образом, может обнаружить, что вы печатаете.

В целом, если вы находитесь в защищенной сети дома или в другом месте, а ваш браузер и операционная система исправлены, вы «в безопасности».

«Небезопасный» веб-сайт действительно представляет собой проблему, только если вы отправляете ему данные или загружаете с указанного веб-сайта элемент, который будет запускать код в вашей системе.

JakeGould
источник
56

По замыслу браузеры не допускают этого, но всегда есть вероятность ошибки, которую можно использовать для получения более высокого уровня доступа к вашей системе. Эти ошибки довольно редки и всегда очень быстро исправляются, поэтому это, в основном, проблема, если ваша ОС или браузер устарели. Оба из этих автообновлений теперь, так что просто не отключайте автообновления, и вы можете быть уверены в довольно хорошем уровне защиты от вредоносных веб-сайтов.

Qwertie
источник
8
Стоит отметить, что такой нулевой день стоит сотням тысяч нужным людям, поэтому есть вероятность, что если вы действительно не заинтересованы, он не будет использован против вас.
Адональсиум
1
@Adonalsium - Вам нужна кредитная карта, чтобы быть интересной для всех ... правильных ... людей.
Пол
5
@Paul Если бы кто-то купил шестизначный нулевой день, чтобы украсть кредитные карты, это было бы немного грустно. Вам придется украсть тысячи, прежде чем вы сможете приблизиться к возвращению денег, и это если вы активируете каждый красный флаг и сожжете его за одну атаку. Напротив, сто тысяч украсть государственные или корпоративные секреты ... это гораздо более вероятно.
Фонд Моника иск
1
@ Adonalsium для нулевого дня, да, но эксплойты на старых версиях - бесплатное общедоступное знание. И все еще есть немало людей, использующих старые версии IE или silverlight.
Qwertie
3
@Paul Конечно, это легко: они были украдены с помощью эксплойтов, которые не будут стоить сотни тысяч долларов на покупку, и имеют гораздо более высокий гарантированный доход, чем недостаток браузера для кражи кредитной карты. Такие вещи, как социальная инженерия и взломанные базы данных интернет-магазина, также могут поставить под угрозу кредитную карту. Если вы любезно прочитаете мой фактический комментарий, я никогда не говорил, что кража кредитной карты не происходит - как вы ее читали - но что мощный нулевой день браузера не будет сожжен на кредитной карте какого-то рандо.
Фонд Моника судебный процесс
43

Удаленный компьютер не может получить доступ к чему-либо на вашем компьютере без помощи программного обеспечения на вашем компьютере.

Если вы используете свой компьютер для посещения ненадежного веб-сайта, вы используете программное обеспечение браузера на своем компьютере для инициирования веб-запросов (протокол HTTP или HTTPS) для получения данных с удаленного компьютера. В этой простой модели удаленный компьютер не имеет абсолютно никакого доступа к вашему компьютеру, но ... браузеры имеют некоторые функции, которые усложняют эту картину.

Современные браузеры имеют функцию, которая позволяет загружать файлы с вашего компьютера. Веб-сайт может включать в себя форму, которая использует эту функцию. Эта функция не дает веб-сайту представление о вашем компьютере. Когда ваш браузер обрабатывает такую ​​форму, он предоставляет вам элемент управления выбором файла; ваш браузер может видеть файлы на вашем компьютере, и когда вы делаете выбор, ваш браузер отправляет содержимое этого файла и только этот файл в удаленную систему. То, как работает эта функция, заставляет некоторых людей верить, что веб-сайт может видеть файлы на вашем компьютере, когда это на самом деле невозможно.

Все современные браузеры имеют встроенные движки JavaScript. Веб-сайт может содержать код JavaScript, который должен выполняться вашим браузером. Когда браузер получает JavaScript на странице, он обычно запускает его автоматически. JavaScript обычно используется для улучшения взаимодействия с пользователем; у него есть определенные возможности и некоторые ограничения. Движок JavaScript не может «видеть» на вашем компьютере - не может видеть ваши файлы или то, что происходит в других программах, но он может направлять браузер загружать другие файлы с того же сайта - изображения, страницы и т. Д. JavaScript может заставить браузер по крайней мере пытаться загрузить и запустить программу, которая может иметь больший доступ к вашей системе или контроль над ней. Хотя сам JavaScript ограничен в том, что он может делать на вашем компьютере,

TL; DR: ненадежный веб-сайт не может сам по себе заглянуть в ваш компьютер. Но сайт может попытаться обмануть вас в загрузке и запуске вредоносного программного обеспечения. Такое программное обеспечение может потенциально сделать что-нибудь на вашем компьютере. Ваш браузер не должен автоматически загружать такое программное обеспечение; по крайней мере, это должно потребовать вашего явного согласия. Вредоносный веб-сайт может, однако, попытаться обмануть вас, чтобы дать такое согласие.

Zenilogix
источник
1
Спасибо за ответ. это было информативно
Джон Доу
12
+1 Это должен быть принятый ответ. Если сайт не заслуживает доверия, нет разницы между HTTP и HTTPS. Важны именно JavaScript и механизмы безопасности браузера.
rexkogitans
3
Взаимодействующий софт: сами окна.
говорит
@val - если честно, я бы расширил это на все операционные системы. Если вы проведете время, вы найдете дыры.
Пол
12

В теории нет, на практике: да, это, безусловно, возможно.

Это причина, по которой опытные пользователи имеют расширения браузера, которые постоянно отключают скрипты, за исключением явно включенных в белый список веб-сайтов, которые требуют их, и которые мешают многим другим атакам, таким как подделка межсайтовых запросов и еще много чего.

Эксплойты, которые позволяют удаленное выполнение кода или доступ к локальным файлам, публикуются почти каждый месяц. Два недавних примера одного известного браузера - 1 и 2 . Примерами другого известного браузера являются 3 и 4 .

(Выше приведены случайные уязвимости, которые я выбрал без очевидной причины, и, между прочим, все они исправлены с использованием новейших версий, насколько мне известно.)

Атаки через браузер могут не только позволить веб-сайту получить доступ к файлам, но и в принципе могут позволить веб-сайту полностью захватить ваш компьютер, в худшем случае. Проблема не ограничивается браузерами, посмотрите недавний пример уязвимости в видеозвонке WhatsApp. Около года назад была обнаружена уязвимость в широко распространенной серии маршрутизаторов DSL, которая позволила бы вредоносному веб-сайту захватить ваш маршрутизатор даже при наличии пароля, если только вы посещали веб-сайт со своего компьютера.

Уровень глупости, необходимый для успеха атаки, варьируется. Для некоторых атак конечный пользователь должен быть очень, очень глупым. Для некоторых атак пользователь должен быть не совсем осведомлен в течение доли секунды. И некоторые атаки будут работать, даже если пользователь не сделает ничего глупого, если будут соблюдены определенные условия.

Damon
источник
3

Как правило, веб-сайт не может получить доступ к файлам на вашем жестком диске или их метаинформации. Тем не менее, вы должны знать пару вещей:

  • в вашем браузере могут быть недостатки безопасности, которые позволяют злоумышленникам взломать ваш браузер или даже вашу систему
  • В зависимости от вашего браузера, вредоносные сайты могут многое узнать о вас и компьютере, который вы используете. Для небольшого обзора посмотрите здесь: http://webkay.robinlinus.com/
  • лучший способ сохранить ваши файлы в безопасности, это держать их подальше от Интернета. Храните свои файлы на внешнем диске и обращайтесь к ним только через автономные компьютеры. Это может быть неудобно, но безопасно
Никита Малышкин
источник