Может ли вредоносный веб-сайт получить доступ к содержимому файлов на компьютере?

12828
john doe

Это может быть параноиком, но если я захожу на вредоносный веб-сайт, могут ли они сказать, что находится внутри PDF на моем рабочем столе или что находится внутри моих изображений на моем жестком диске?

У меня есть Chromebook и машина с Windows.

27
Должно ли это быть указано для конкретного браузера? Я предполагаю, что не все браузеры одинаково безопасны в этом отношении? IE Flash был огромной уязвимостью для таких вещей, не так ли? Если это не специфично для браузера, возможно, его следует ограничить определенной версией данной спецификации HTML или чем-то еще. TankorSmash 5 лет назад 0
С учетом Призрака - возможно. user20574 5 лет назад 1
это может быть более подходящим на [security.se] phuclv 5 лет назад 12
@ user20574 Я ни в коем случае не эксперт, но я возился с Призраком, и кажется, что это будет ... в лучшем случае хитроумно. Конечно, не _impossible_, но вы должны были бы быть специально нацелены на отдельную файловую систему, на отдельном компьютере, с одним конкретным браузером, и даже тогда это не обязательно будет работать, потому что есть все виды вещей, которые могут испортить кеш в вызовы API в диалоге открытия файла. Nic Hartley 5 лет назад 0
Чтобы попытаться решить этот вопрос, можно @johndoe уточнить, что они имеют в виду, если кто-то - несмотря на наличие последних исправленных ОС и браузеров - посещает вредоносный сайт, рискуя своей системой. В конце концов, комментарии к моему ответу и контекст других ответов показывают, что этот вопрос можно интерпретировать как вопрос «никогда не используй веб-браузеры», потому что * все * в вычислениях (и в жизни) имеет риски. Но в целом нельзя быть полностью параноиком. Если этот вопрос будет слишком открытым, толкование смысла будет сильно зависеть от параноидальной стороны. JakeGould 5 лет назад 0
Это возможно, но это настолько незначительно, что это не то, о чем вы должны беспокоиться. Вы должны быть обеспокоены тем, какая другая информация хранится в вашем веб-браузере, к которой веб-сайт может получить доступ. ** Cookies ** могут хранить очень уязвимую личную информацию о вас, которую могут получить такие сайты. mathreadler 5 лет назад 1
Если вы хотите быть параноиком, запустите ваш браузер на виртуальной машине barebones linux Richie Frame 5 лет назад 1

5 ответов на вопрос

56
Qwertie

По замыслу браузеры не допускают этого, но всегда есть вероятность ошибки, которую можно использовать для получения более высокого уровня доступа к вашей системе. Эти ошибки довольно редки и всегда очень быстро исправляются, так что это в основном проблема, если ваша ОС или браузер устарели. Оба из этих автообновлений теперь, так что просто не отключайте автообновления, и вы можете быть уверены в довольно хорошем уровне защиты от вредоносных веб-сайтов.

Стоит отметить, что такой нулевой день стоит сотням тысяч нужным людям, поэтому есть вероятность, что если вы действительно не заинтересованы, он не будет использован против вас. Adonalsium 5 лет назад 8
@Adonalsium - Вам нужна кредитная карта, чтобы быть интересной всем ... * право * ... людям. Paul 5 лет назад 1
Да! Также используйте современный, хорошо настроенный маршрутизатор - вы, вероятно, уже используете маршрутизатор - чтобы удаленный сайт не мог попытаться взломать ваш компьютер, просто зная ваш общедоступный IP-адрес. Mathieu K. 5 лет назад 0
И держите ваши плагины обновленными; Я не обращал внимания на то, как это работает в эти дни. Mathieu K. 5 лет назад 0
@ Пол, я имею в виду, как ... национальные государства. Им не нужна ваша кредитная карта, им нужен доступ к вашим контроллерам электрических распределительных сетей или что-то еще. Adonalsium 5 лет назад 0
@Paul Если бы кто-то купил шестизначный нулевой день, чтобы украсть кредитные карты, это было бы немного грустно. Вам нужно было украсть _тысячи_, прежде чем вы даже приблизитесь к тому, чтобы вернуть свои деньги, и это если вы активируете каждый красный флаг и сожжете его за одну атаку. Напротив, сто тысяч украсть государственные или корпоративные секреты ... это гораздо более вероятно. Nic Hartley 5 лет назад 5
@ Adonalsium за нулевой день, да, но эксплойты на старых версиях - бесплатное общедоступное знание. И все еще есть немало людей, использующих старые версии IE или silverlight. Qwertie 5 лет назад 1
@NicHartley - Не могли бы вы объяснить это миллионам людей, у которых украли данные их карт? ... Я один из них, и не по своей вине. Paul 5 лет назад 0
@Adonalsium - Qwertie абсолютно прав. Вы должны прочитать страницы WikiLeaks для начала. Paul 5 лет назад 0
Ответ на вопрос о поддержании систем в актуальном состоянии ... мой первоначальный комментарий был обновлением компьютеров IRT. Adonalsium 5 лет назад 0
@Paul Конечно, это легко: они были украдены с помощью эксплойтов, которые не стоили бы _ сотни тысяч долларов_, и имели гораздо более высокий гарантированный доход, чем недостаток браузера при краже кредитных карт. Такие вещи, как социальная инженерия и взломанные базы данных интернет-магазина, также могут поставить под угрозу кредитную карту. Если вы любезно прочитаете мой фактический комментарий, я никогда не говорил, что кража кредитной карты не происходит - как вы ее читали - но что мощный нулевой день браузера не будет сожжен на кредитной карте какого-то рандо. Nic Hartley 5 лет назад 3
43
Zenilogix

Удаленный компьютер не может получить доступ к чему-либо на вашем компьютере без помощи программного обеспечения на вашем компьютере.

Если вы используете свой компьютер для посещения ненадежного веб-сайта, вы используете программное обеспечение браузера на своем компьютере для инициирования веб-запросов (протокол HTTP или HTTPS) для получения данных с удаленного компьютера. В этой простой модели удаленный компьютер не имеет абсолютно никакого доступа к вашему компьютеру, но ... браузеры имеют некоторые функции, которые усложняют эту картину.

Современные браузеры имеют функцию, которая позволяет загружать файлы с вашего компьютера. Веб-сайт может включать форму, которая использует эту функцию. Эта функция не дает веб-сайту представление о вашем компьютере. Когда ваш браузер обрабатывает такую ​​форму, он предоставляет вам элемент управления выбором файла; Ваш браузер может видеть файлы на вашем компьютере, и когда вы делаете выбор, ваш браузер отправляет содержимое этого файла и только этот файл в удаленную систему. То, как работает эта функция, заставляет некоторых людей верить, что веб-сайт может видеть файлы на вашем компьютере, хотя на самом деле это не так.

Все современные браузеры имеют встроенные движки JavaScript. Веб-сайт может содержать код JavaScript, который должен выполняться вашим браузером. Когда браузер получает JavaScript на странице, он обычно выполняет его автоматически. JavaScript обычно используется для улучшения взаимодействия с пользователем; у него есть определенные возможности и некоторые ограничения. Движок JavaScript не может «видеть» в вашем компьютере - не может видеть ваши файлы или то, что происходит в других программах, но он может направлять браузер загружать другие файлы с того же сайта - изображения, страницы и т. Д. JavaScript может заставить браузер по крайней мере пытаться загрузить и запустить программу, которая может иметь больший доступ к вашей системе или контроль над ней. Хотя сам JavaScript ограничен в том, что он может делать на вашем компьютере,

TL; DR: ненадежный веб-сайт не может сам по себе заглянуть в ваш компьютер. Но сайт может попытаться обмануть вас в загрузке и запуске вредоносного программного обеспечения. Такое программное обеспечение может потенциально сделать что-нибудь на вашем компьютере. Ваш браузер не должен автоматически загружать такое программное обеспечение; по крайней мере, это должно потребовать вашего явного согласия. Вредоносный веб-сайт может, однако, попытаться обмануть вас, чтобы дать такое согласие.

Спасибо за ответ. это было информативно john doe 5 лет назад 1
+1 Это должен быть принятый ответ. Если сайт не заслуживает доверия, нет разницы между HTTP и HTTPS. Важны именно JavaScript и механизмы безопасности браузера. rexkogitans 5 лет назад 12
Взаимодействующий софт: сами окна. val 5 лет назад 3
@val - если честно, я бы расширил это на все операционные системы. Если вы проведете время, вы найдете дыры. Paul 5 лет назад 0
33
JakeGould

Если вы явно не предоставите веб-сайту, который является безопасным (HTTPS) или небезопасным (HTTP), доступ к элементу в вашей системе, этот веб-сайт не будет иметь доступа к этому элементу в вашей системе.

Это может быть параноиком, но если я захожу на веб-сайт, который не может быть на 100% безопасным, могут ли они сказать, что находится в PDF на рабочем столе моего жесткого диска или что находится внутри моих изображений на моем жестком диске?

В общем, если вы явно не предоставите им доступ к вашему жесткому диску или документам на жестком диске, то нет, небезопасный веб-сайт не сможет получить доступ к чему-либо.

Это сказало (и подчеркивает это, чтобы прояснить это) , действительно есть некоторые невероятно редкие - и эзотерические - "нулевые дни" подвиги, которые могут представлять интерес в некоторых крайних случаях . Но в целом вы, как конечный пользователь, должны приложить все усилия, чтобы позволить веб-сайту получить доступ к документам в вашей системе. Пока ваша ОС исправлена ​​и браузеры обновлены, вы в безопасности. И даже в тех случаях, когда вы не исправлены и не обновлены (и еще раз подчеркиваете это, чтобы прояснить ситуацию), риск по-прежнему невероятно низок .

Единственная проблема с веб-сайтом, который «может быть не на 100% защищен» (как было указано в первоначальном вопросе, и я предполагаю, что HTTPS по сравнению с обычным HTTP) заключается в том, что при передаче данных туда и обратно HTTPS шифруется, а HTTP не шифруется.

Тогда риск заключается в том, что если вы вводите что-то на сайт через форму и т. Д., Если сайт представляет собой простой HTTP, то передаваемые вами данные представляют собой просто текст, который любой, у кого есть анализатор пакетов, может прочитать. Но в лучшем случае это небольшой шанс.

Например, если вы находитесь в известной общедоступной сети Wi-Fi, возможно, кто-то находится в этой сети с вами и, возможно, захватывает пакеты и, таким образом, может обнаружить, что вы печатаете.

В целом, если вы находитесь в защищенной сети дома или в другом месте, а ваш браузер и операционная система исправлены, вы «в безопасности».

«Небезопасный» веб-сайт на самом деле является проблемой, только если вы отправляете ему данные или загружаете с указанного веб-сайта элемент, который будет запускать код в вашей системе.

12
Damon

В теории нет, на практике: да, это, безусловно, возможно.

Это причина, по которой опытные пользователи имеют расширения браузера, которые постоянно отключают скрипты, за исключением явно включенных в белый список веб-сайтов, которые требуют их и которые мешают многим другим атакам, таким как подделка межсайтовых запросов и еще много чего.

Эксплойты, которые разрешают удаленное выполнение кода или доступ к локальным файлам, публикуются почти каждый месяц. Два недавних примера одного известного браузера - 1 и 2 . Примеры для другого известного браузера: 3 и 4 .

(Выше приведены случайные уязвимости, которые я выбрал без очевидной причины, и, между прочим, они все исправлены с использованием новейших версий, насколько мне известно.)

Атаки с помощью браузера могут не только позволить веб-сайту получить доступ к файлам, но и в принципе могут позволить веб-сайту полностью захватить ваш компьютер, в худшем случае. Эта проблема не ограничивается браузерами, см. Недавний пример с уязвимостью видеозвонка в WhatsApp. Около года назад была обнаружена уязвимость в широко распространенной серии маршрутизаторов DSL, которая позволила бы вредоносному веб-сайту захватить ваш маршрутизатор даже при наличии пароля, если только вы посещали веб-сайт со своего компьютера.

Уровень глупости, необходимый для успеха атаки, варьируется. Для некоторых атак конечный пользователь должен быть очень, очень глупым. Для некоторых атак пользователь должен быть не в курсе лишь доли секунды. И некоторые атаки будут работать, даже если пользователь не сделает ничего глупого, если будут соблюдены определенные условия.

3
Nikita Malyschkin

Как правило, веб-сайт не может получить доступ к файлам на вашем жестком диске или их метаинформации. Тем не менее, вы должны знать пару вещей:

  • в вашем браузере могут быть недостатки безопасности, которые позволяют злоумышленникам захватить ваш браузер или даже вашу систему
  • В зависимости от вашего браузера вредоносные веб-сайты могут многое узнать о вас и вашем компьютере. Для небольшого обзора посмотрите здесь: http://webkay.robinlinus.com/
  • лучший способ сохранить ваши файлы в безопасности, это держать их подальше от Интернета. Храните свои файлы на внешнем диске и обращайтесь к ним только через автономные компьютеры. Это может быть неудобно, но безопасно

Похожие вопросы