Một trang web độc hại có thể truy cập nội dung của các tập tin trên máy tính không?


27

Điều này có thể là hoang tưởng, nhưng nếu tôi truy cập một trang web độc hại, họ có thể cho biết những gì bên trong một tệp PDF trên máy tính để bàn của tôi hoặc những gì bên trong hình ảnh của tôi trên ổ cứng của tôi không?

Tôi có Chromebook và máy Windows.


Điều này có nên được chỉ định cho một trình duyệt cụ thể? Tôi có thể tưởng tượng không phải tất cả các trình duyệt đều an toàn như nhau về mặt này? IE Flash là một lỗ hổng lớn cho những thứ như thế này, phải không? Nếu nó không dành riêng cho trình duyệt, có lẽ nó nên được giới hạn ở một phiên bản nhất định của một thông số HTML cụ thể hoặc bất cứ thứ gì.
TankorSmash

1
Có tính đến Spectre - có thể.
dùng253751

13
điều này có thể phù hợp hơn với Bảo mật thông tin
phuclv

1
Đó là một khả năng, nhưng nó rất nhỏ đến nỗi đây không phải là điều bạn nên quan tâm. Bạn nên quan tâm đến những thông tin khác được lưu trữ trong trình duyệt web của bạn mà trang web có thể truy cập. Cookies có thể lưu trữ thông tin cá nhân rất dễ bị tổn thương về bạn mà các trang web đó có thể câu được.
đọc toán

1
Nếu bạn muốn thêm hoang tưởng, hãy chạy trình duyệt của bạn bên trong một máy ảo linux barebones
Richie Frame

Câu trả lời:


33

Trừ khi bạn cấp một cách rõ ràng một trang web có bảo mật (HTTPS) hoặc không an toàn (HTTP) cho một mục trên hệ thống của bạn, trang web đó sẽ không có quyền truy cập vào mục đó trên hệ thống của bạn.

Điều này có thể là hoang tưởng, nhưng nếu tôi truy cập một trang web có thể không an toàn 100%, họ có thể cho biết những gì bên trong PDF của máy tính để bàn cứng của tôi hoặc những gì bên trong hình ảnh của tôi trên ổ cứng của tôi không?

Nói chung, trừ khi bạn cung cấp cho họ quyền truy cập vào ổ cứng của bạn hoặc tài liệu trên ổ cứng của bạn thì không, một trang web không an toàn sẽ không thể truy cập bất cứ thứ gì.

Điều đó nói rằng (và nhấn mạnh điều này để làm cho nó rõ ràng) thực sự có một số khai thác cực kỳ hiếm và bí mật của dòng Điên có thể là mối quan tâm trong một số trường hợp cạnh . Nhưng nói chung, bạn là một người dùng cuối, bạn cần phải đi ra ngoài để cho phép một trang web có quyền truy cập vào các tài liệu trên hệ thống của bạn. Miễn là HĐH của bạn được vá và các trình duyệt được cập nhật, bạn an toàn. Và ngay cả trong trường hợp bạn không được vá và nâng cấp (và một lần nữa nhấn mạnh điều này để làm cho nó rõ ràng) thì rủi ro vẫn cực kỳ thấp .

Mối quan tâm duy nhất với một trang web mà Lọ có thể không an toàn 100% (như câu hỏi ban đầu đã nêu và tôi giả sử HTTPS so với HTTP đơn giản) là khi bạn truyền dữ liệu qua lại HTTPS được mã hóa và HTTP không được mã hóa.

Rủi ro sau đó là nếu bạn nhập nội dung nào đó vào trang web thông qua một biểu mẫu và như vậy, nếu trang web là HTTP đơn giản thì dữ liệu bạn đang truyền chỉ là văn bản rõ ràng mà bất kỳ ai có trình thám thính gói đều có khả năng đọc. Nhưng đó là một cơ hội mỏng ở tốt nhất.

Giống như nếu bạn đang sử dụng mạng Wi-Fi công cộng đã biết thì có thể ai đó đang ở trong mạng đó với bạn và có khả năng bắt gói tin và do đó có thể phát hiện ra bạn đang gõ gì.

Nói chung, nếu bạn đang sử dụng mạng an toàn tại nhà hoặc ở nơi khác, thì trình duyệt và hệ điều hành của bạn đã được vá lỗi, bạn đang ở chế độ an toàn.

Một trang web không an toàn của Wap chỉ thực sự là một mối quan tâm nếu bạn gửi dữ liệu cho họ hoặc bạn tải xuống một mục từ trang web đã nói sẽ chạy mã trên hệ thống của bạn.


56

Bởi các trình duyệt thiết kế không cho phép điều này nhưng luôn có khả năng một lỗi có thể bị khai thác để đạt được mức truy cập cao hơn vào hệ thống của bạn. Các lỗi này khá hiếm và luôn được sửa rất nhanh nên đây chủ yếu là sự cố nếu hệ điều hành hoặc trình duyệt của bạn đã hết hạn. Hiện tại cả hai bản cập nhật tự động này vì vậy chỉ cần không tắt cập nhật tự động và bạn có thể chắc chắn về mức độ bảo vệ khá tốt đối với các trang web độc hại.


8
Đáng lưu ý rằng một ngày không như vậy đáng giá hàng trăm ngàn cho đúng người, vì vậy rất có thể trừ khi bạn thực sự thú vị, nó sẽ không được sử dụng để chống lại bạn.
Adonalsium

1
@Adonalsium - Bạn chỉ cần một thẻ tín dụng để trở nên thú vị với tất cả ... đúng ... mọi người.
Paul

5
@Paul Nếu ai đó mua số không sáu ngày để ăn cắp một số thẻ tín dụng, điều đó sẽ hơi buồn. Bạn sẽ phải đánh cắp hàng ngàn trước khi bạn có thể lấy lại tiền của mình và nếu bạn kích hoạt mỗi lá cờ đỏ và đốt nó trong một cuộc tấn công. Ngược lại, một trăm ngàn để đánh cắp bí mật nhà nước hoặc công ty ... điều đó rất có thể.
Vụ kiện của Quỹ Monica

1
@Adonalsium cho một ngày không có nhưng khai thác trên các phiên bản cũ là kiến ​​thức công cộng miễn phí. Và vẫn còn một số ít người chạy các phiên bản IE hoặc silverlight cũ.
Qwertie

3
@Paul Chắc chắn, thật dễ dàng: Chúng đã bị đánh cắp thông qua các khai thác sẽ không tốn hàng trăm ngàn đô la để mua và có lợi nhuận được đảm bảo cao hơn nhiều so với lỗ hổng trình duyệt cho hành vi trộm cắp thẻ tín dụng. Những thứ như kỹ thuật xã hội và cơ sở dữ liệu webstore bị hack cũng có thể làm tổn hại thẻ tín dụng. Nếu bạn vui lòng đọc bình luận thực tế của tôi, tôi không bao giờ nói rằng hành vi trộm cắp thẻ tín dụng không xảy ra - đó là cách bạn đọc nó - nhưng một trình duyệt mạnh mẽ không có ngày nào sẽ không bị cháy trên thẻ tín dụng của rando.
Vụ kiện của Quỹ Monica

43

Một máy tính từ xa không thể truy cập bất cứ thứ gì trên máy tính của bạn mà không có sự trợ giúp của phần mềm hợp tác trên máy tính của bạn.

Trong trường hợp bạn sử dụng máy tính để truy cập trang web không đáng tin cậy, bạn đang sử dụng phần mềm trình duyệt trên máy tính của mình để bắt đầu các yêu cầu web (giao thức HTTP hoặc HTTPS) để nhận dữ liệu từ máy tính từ xa. Trong mô hình đơn giản này, máy tính từ xa hoàn toàn không có quyền truy cập vào máy tính của bạn, nhưng ... trình duyệt có một số tính năng làm phức tạp bức tranh này.

Các trình duyệt hiện đại có một tính năng cho phép bạn tải lên các tệp từ máy tính của mình. Một trang web có thể bao gồm một hình thức sử dụng tính năng này. Tính năng này không cung cấp cho trang web một cái nhìn vào máy tính của bạn. Khi trình duyệt của bạn xử lý một biểu mẫu như vậy, nó sẽ hiển thị cho bạn một điều khiển chọn tệp; trình duyệt của bạn có thể thấy các tệp trên máy tính của bạn và khi bạn thực hiện lựa chọn, trình duyệt của bạn sẽ gửi nội dung của tệp đó và chỉ tệp đó đến hệ thống từ xa. Cách thức hoạt động của tính năng này khiến một số người tin rằng trang web có thể xem các tệp trên máy tính của bạn khi thực sự không thể.

Tất cả các trình duyệt hiện đại đều có công cụ JavaScript được tích hợp trong đó. Trang web có thể bao gồm mã JavaScript được trình duyệt của bạn thực thi. Khi trình duyệt nhận JavaScript trong một trang, nó thường sẽ tự động thực thi. JavaScript thường được sử dụng để nâng cao trải nghiệm người dùng; nó có những khả năng nhất định và một số hạn chế. Công cụ JavaScript không thể "nhìn thấy" vào máy tính của bạn - không thể thấy các tệp của bạn hoặc những gì có thể xảy ra trong các chương trình khác, nhưng nó có thể hướng trình duyệt tải các tệp khác từ cùng một trang - hình ảnh, trang, v.v. . JavaScript có thể khiến trình duyệt ít nhất cố tải xuống và thực thi chương trình có thể có quyền truy cập hoặc kiểm soát nhiều hơn đối với hệ thống của bạn. Mặc dù JavaScript bị giới hạn trong những gì nó có thể làm trên máy tính của bạn,

TL; DR: Một trang web không tin cậy có thể tự nhìn vào máy tính của bạn. Nhưng, một trang web có thể cố gắng lừa bạn tải xuống và thực thi phần mềm độc hại. Phần mềm như vậy có khả năng có thể làm bất cứ điều gì trên máy tính của bạn. Trình duyệt của bạn không nên tự động tải xuống phần mềm đó; ít nhất, nó cần phải có sự chấp nhận rõ ràng của bạn. Tuy nhiên, một trang web độc hại có thể cố gắng lừa bạn đưa ra sự chấp nhận như vậy.


1
Cảm ơn bạn đã trả lời. đây là thông tin
john doe

12
+1 Đây phải là câu trả lời được chấp nhận. Nếu trang web không đáng tin cậy, không có sự khác biệt giữa HTTP và HTTPS. Đó là JavaScript và các cơ chế bảo mật của trình duyệt mới là vấn đề.
rexkogitans

3
Hợp tác mềm: cửa sổ chính nó.
val nói Phục hồi lại

@val - Tôi sẽ mở rộng điều đó sang tất cả các hệ điều hành, để công bằng. Nếu bạn dành thời gian, bạn sẽ tìm thấy những lỗ hổng.
Paul

12

Trong lý thuyết không, trong thực tế: Có, điều đó chắc chắn là có thể.

Đây là lý do tại sao người dùng thông thái có tiện ích mở rộng trình duyệt vô hiệu hóa tập lệnh mọi lúc trừ các trang web được liệt kê rõ ràng yêu cầu chúng và ngăn chặn nhiều cuộc tấn công khác như giả mạo yêu cầu chéo trang và không có gì.

Khai thác cho phép thực thi mã từ xa hoặc cho phép truy cập các tệp cục bộ được xuất bản gần như mỗi tháng. Hai ví dụ gần đây cho một trình duyệt nổi tiếng là 12 . Ví dụ cho một trình duyệt nổi tiếng khác là 34 .

(Trên đây là những lỗ hổng ngẫu nhiên mà tôi chọn không có lý do rõ ràng, trong khi đó tất cả chúng đều được sửa với các phiên bản mới nhất, theo hiểu biết của tôi.)

Các cuộc tấn công trình duyệt không chỉ cho phép một trang web truy cập các tệp, về nguyên tắc, chúng có thể cho phép trang web chiếm quyền điều khiển máy tính của bạn, trong trường hợp xấu nhất. Vấn đề không giới hạn ở các trình duyệt, xem lỗ hổng cuộc gọi video WhatsApp để biết ví dụ gần đây. Có một khai thác trong một loạt các bộ định tuyến DSL được triển khai rộng rãi cách đây một năm hoặc lâu hơn, điều này sẽ cho phép một trang web độc hại chiếm lấy bộ định tuyến của bạn ngay cả khi có mật khẩu, nếu bạn chỉ truy cập trang web từ máy tính của mình.

Mức độ ngu ngốc cần thiết để một cuộc tấn công thành công khác nhau. Đối với một số cuộc tấn công, người dùng cuối phải thực sự, thực sự ngu ngốc. Đối với một số cuộc tấn công, người dùng phải chỉ phần nào không biết trong một giây. Và một số cuộc tấn công sẽ hoạt động ngay cả khi người dùng không làm điều gì ngu ngốc miễn là một số điều kiện cụ thể được đáp ứng.


3

Nói chung, một trang web không thể truy cập các tệp trên ổ cứng của bạn hoặc thông tin meta của chúng. Tuy nhiên, bạn nên biết một vài điều:

  • có thể có lỗi bảo mật trong trình duyệt của bạn, cho phép kẻ tấn công chiếm quyền điều khiển trình duyệt hoặc thậm chí hệ thống của bạn
  • tùy thuộc vào trình duyệt của bạn, các trang web độc hại có thể tìm hiểu khá nhiều về bạn và máy tính bạn đang sử dụng. Để biết tổng quan nhỏ, hãy xem tại đây: http://webkay.robinlinus.com/
  • cách tốt nhất để giữ an toàn cho các tập tin của bạn, là để chúng cách xa internet. Lưu trữ tệp của bạn trên một ổ đĩa ngoài và chỉ truy cập chúng thông qua các máy tính ngoại tuyến. Điều này có thể bất tiện nhưng an toàn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.