Một trang web độc hại có thể truy cập nội dung của các tập tin trên máy tính không?

Điều này có thể là hoang tưởng, nhưng nếu tôi truy cập một trang web độc hại, họ có thể cho biết những gì bên trong một tệp PDF trên máy tính để bàn của tôi hoặc những gì bên trong hình ảnh của tôi trên ổ cứng của tôi không?

Tôi có Chromebook và máy Windows.

Trừ khi bạn cấp một cách rõ ràng một trang web có bảo mật (HTTPS) hoặc không an toàn (HTTP) cho một mục trên hệ thống của bạn, trang web đó sẽ không có quyền truy cập vào mục đó trên hệ thống của bạn.

Điều này có thể là hoang tưởng, nhưng nếu tôi truy cập một trang web có thể không an toàn 100%, họ có thể cho biết những gì bên trong PDF của máy tính để bàn cứng của tôi hoặc những gì bên trong hình ảnh của tôi trên ổ cứng của tôi không?

Nói chung, trừ khi bạn cung cấp cho họ quyền truy cập vào ổ cứng của bạn hoặc tài liệu trên ổ cứng của bạn thì không, một trang web không an toàn sẽ không thể truy cập bất cứ thứ gì.

Điều đó nói rằng (và nhấn mạnh điều này để làm cho nó rõ ràng) thực sự có một số khai thác cực kỳ hiếm và bí mật của dòng Điên có thể là mối quan tâm trong một số trường hợp cạnh . Nhưng nói chung, bạn là một người dùng cuối, bạn cần phải đi ra ngoài để cho phép một trang web có quyền truy cập vào các tài liệu trên hệ thống của bạn. Miễn là HĐH của bạn được vá và các trình duyệt được cập nhật, bạn an toàn. Và ngay cả trong trường hợp bạn không được vá và nâng cấp (và một lần nữa nhấn mạnh điều này để làm cho nó rõ ràng) thì rủi ro vẫn cực kỳ thấp .

Mối quan tâm duy nhất với một trang web mà Lọ có thể không an toàn 100% (như câu hỏi ban đầu đã nêu và tôi giả sử HTTPS so với HTTP đơn giản) là khi bạn truyền dữ liệu qua lại HTTPS được mã hóa và HTTP không được mã hóa.

Rủi ro sau đó là nếu bạn nhập nội dung nào đó vào trang web thông qua một biểu mẫu và như vậy, nếu trang web là HTTP đơn giản thì dữ liệu bạn đang truyền chỉ là văn bản rõ ràng mà bất kỳ ai có trình thám thính gói đều có khả năng đọc. Nhưng đó là một cơ hội mỏng ở tốt nhất.

Giống như nếu bạn đang sử dụng mạng Wi-Fi công cộng đã biết thì có thể ai đó đang ở trong mạng đó với bạn và có khả năng bắt gói tin và do đó có thể phát hiện ra bạn đang gõ gì.

Nói chung, nếu bạn đang sử dụng mạng an toàn tại nhà hoặc ở nơi khác, thì trình duyệt và hệ điều hành của bạn đã được vá lỗi, bạn đang ở chế độ an toàn.

Một trang web không an toàn của Wap chỉ thực sự là một mối quan tâm nếu bạn gửi dữ liệu cho họ hoặc bạn tải xuống một mục từ trang web đã nói sẽ chạy mã trên hệ thống của bạn.

Bởi các trình duyệt thiết kế không cho phép điều này nhưng luôn có khả năng một lỗi có thể bị khai thác để đạt được mức truy cập cao hơn vào hệ thống của bạn. Các lỗi này khá hiếm và luôn được sửa rất nhanh nên đây chủ yếu là sự cố nếu hệ điều hành hoặc trình duyệt của bạn đã hết hạn. Hiện tại cả hai bản cập nhật tự động này vì vậy chỉ cần không tắt cập nhật tự động và bạn có thể chắc chắn về mức độ bảo vệ khá tốt đối với các trang web độc hại.

Một máy tính từ xa không thể truy cập bất cứ thứ gì trên máy tính của bạn mà không có sự trợ giúp của phần mềm hợp tác trên máy tính của bạn.

Trong trường hợp bạn sử dụng máy tính để truy cập trang web không đáng tin cậy, bạn đang sử dụng phần mềm trình duyệt trên máy tính của mình để bắt đầu các yêu cầu web (giao thức HTTP hoặc HTTPS) để nhận dữ liệu từ máy tính từ xa. Trong mô hình đơn giản này, máy tính từ xa hoàn toàn không có quyền truy cập vào máy tính của bạn, nhưng ... trình duyệt có một số tính năng làm phức tạp bức tranh này.

Các trình duyệt hiện đại có một tính năng cho phép bạn tải lên các tệp từ máy tính của mình. Một trang web có thể bao gồm một hình thức sử dụng tính năng này. Tính năng này không cung cấp cho trang web một cái nhìn vào máy tính của bạn. Khi trình duyệt của bạn xử lý một biểu mẫu như vậy, nó sẽ hiển thị cho bạn một điều khiển chọn tệp; trình duyệt của bạn có thể thấy các tệp trên máy tính của bạn và khi bạn thực hiện lựa chọn, trình duyệt của bạn sẽ gửi nội dung của tệp đó và chỉ tệp đó đến hệ thống từ xa. Cách thức hoạt động của tính năng này khiến một số người tin rằng trang web có thể xem các tệp trên máy tính của bạn khi thực sự không thể.

Tất cả các trình duyệt hiện đại đều có công cụ JavaScript được tích hợp trong đó. Trang web có thể bao gồm mã JavaScript được trình duyệt của bạn thực thi. Khi trình duyệt nhận JavaScript trong một trang, nó thường sẽ tự động thực thi. JavaScript thường được sử dụng để nâng cao trải nghiệm người dùng; nó có những khả năng nhất định và một số hạn chế. Công cụ JavaScript không thể "nhìn thấy" vào máy tính của bạn - không thể thấy các tệp của bạn hoặc những gì có thể xảy ra trong các chương trình khác, nhưng nó có thể hướng trình duyệt tải các tệp khác từ cùng một trang - hình ảnh, trang, v.v. . JavaScript có thể khiến trình duyệt ít nhất cố tải xuống và thực thi chương trình có thể có quyền truy cập hoặc kiểm soát nhiều hơn đối với hệ thống của bạn. Mặc dù JavaScript bị giới hạn trong những gì nó có thể làm trên máy tính của bạn,

TL; DR: Một trang web không tin cậy có thể tự nhìn vào máy tính của bạn. Nhưng, một trang web có thể cố gắng lừa bạn tải xuống và thực thi phần mềm độc hại. Phần mềm như vậy có khả năng có thể làm bất cứ điều gì trên máy tính của bạn. Trình duyệt của bạn không nên tự động tải xuống phần mềm đó; ít nhất, nó cần phải có sự chấp nhận rõ ràng của bạn. Tuy nhiên, một trang web độc hại có thể cố gắng lừa bạn đưa ra sự chấp nhận như vậy.

Trong lý thuyết không, trong thực tế: Có, điều đó chắc chắn là có thể.

Đây là lý do tại sao người dùng thông thái có tiện ích mở rộng trình duyệt vô hiệu hóa tập lệnh mọi lúc trừ các trang web được liệt kê rõ ràng yêu cầu chúng và ngăn chặn nhiều cuộc tấn công khác như giả mạo yêu cầu chéo trang và không có gì.

Khai thác cho phép thực thi mã từ xa hoặc cho phép truy cập các tệp cục bộ được xuất bản gần như mỗi tháng. Hai ví dụ gần đây cho một trình duyệt nổi tiếng là 1 và 2 . Ví dụ cho một trình duyệt nổi tiếng khác là 3 và 4 .

(Trên đây là những lỗ hổng ngẫu nhiên mà tôi chọn không có lý do rõ ràng, trong khi đó tất cả chúng đều được sửa với các phiên bản mới nhất, theo hiểu biết của tôi.)

Các cuộc tấn công trình duyệt không chỉ cho phép một trang web truy cập các tệp, về nguyên tắc, chúng có thể cho phép trang web chiếm quyền điều khiển máy tính của bạn, trong trường hợp xấu nhất. Vấn đề không giới hạn ở các trình duyệt, xem lỗ hổng cuộc gọi video WhatsApp để biết ví dụ gần đây. Có một khai thác trong một loạt các bộ định tuyến DSL được triển khai rộng rãi cách đây một năm hoặc lâu hơn, điều này sẽ cho phép một trang web độc hại chiếm lấy bộ định tuyến của bạn ngay cả khi có mật khẩu, nếu bạn chỉ truy cập trang web từ máy tính của mình.

Mức độ ngu ngốc cần thiết để một cuộc tấn công thành công khác nhau. Đối với một số cuộc tấn công, người dùng cuối phải thực sự, thực sự ngu ngốc. Đối với một số cuộc tấn công, người dùng phải chỉ phần nào không biết trong một giây. Và một số cuộc tấn công sẽ hoạt động ngay cả khi người dùng không làm điều gì ngu ngốc miễn là một số điều kiện cụ thể được đáp ứng.

Nói chung, một trang web không thể truy cập các tệp trên ổ cứng của bạn hoặc thông tin meta của chúng. Tuy nhiên, bạn nên biết một vài điều:

• có thể có lỗi bảo mật trong trình duyệt của bạn, cho phép kẻ tấn công chiếm quyền điều khiển trình duyệt hoặc thậm chí hệ thống của bạn
• tùy thuộc vào trình duyệt của bạn, các trang web độc hại có thể tìm hiểu khá nhiều về bạn và máy tính bạn đang sử dụng. Để biết tổng quan nhỏ, hãy xem tại đây: http://webkay.robinlinus.com/
• cách tốt nhất để giữ an toàn cho các tập tin của bạn, là để chúng cách xa internet. Lưu trữ tệp của bạn trên một ổ đĩa ngoài và chỉ truy cập chúng thông qua các máy tính ngoại tuyến. Điều này có thể bất tiện nhưng an toàn