Czy złośliwa witryna może uzyskać dostęp do zawartości plików na komputerze?

27

Może to być paranoiczne, ale jeśli przejdę na złośliwą stronę internetową, czy mogą powiedzieć, co znajduje się w pliku PDF na pulpicie lub co znajduje się w moich obrazach na dysku twardym?

Mam Chromebooka i komputer z systemem Windows.

nieznany z nazwiska
źródło
Czy należy to określić w konkretnej przeglądarce? Wyobrażam sobie, że nie wszystkie przeglądarki są pod tym względem równie bezpieczne? IE Flash był ogromną podatnością na takie rzeczy, prawda? Jeśli nie jest to specyficzne dla przeglądarki, być może powinno być ograniczone do określonej wersji danej specyfikacji HTML lub cokolwiek innego.
TankorSmash
1
Biorąc pod uwagę Spectre - prawdopodobnie.
user253751
13
może to być bardziej odpowiednie dla bezpieczeństwa informacji
phuclv
1
Jest to możliwe, ale jest tak niewielkie, że nie powinieneś się tym martwić. Powinieneś martwić się o to, jakie inne informacje przechowywane w przeglądarce internetowej mogą być dostępne. Pliki cookie mogą przechowywać bardzo wrażliwe dane osobowe na Twój temat, które takie witryny mogą wykryć.
mathreadler
1
Jeśli chcesz być wyjątkowo paranoikiem, uruchom przeglądarkę na wirtualnej maszynie linuksowej bez systemu
Richie Frame

Odpowiedzi:

33

Chyba że wyraźnie przyznasz stronie internetowej - która jest bezpieczna (HTTPS) lub niepewna (HTTP) - dostęp do elementu w twoim systemie, ta strona nie będzie miała dostępu do tego elementu w twoim systemie.

Może to być paranoiczne, ale jeśli przejdę na stronę, która może nie być w 100% bezpieczna, czy mogą powiedzieć, co znajduje się w pliku PDF na pulpicie mojego dysku twardego lub co jest w moich obrazach na dysku twardym?

Ogólnie rzecz biorąc, chyba że wyraźnie dasz im dostęp do dysku twardego - lub dokumentów na dysku twardym - to nie, niepewna witryna internetowa nie będzie mogła uzyskać dostępu do niczego.

To powiedziawszy (i podkreślając to, aby było jasne), istnieją rzeczywiście niewiarygodnie rzadkie - i ezoteryczne - exploity „zero-day”, które mogą budzić obawy w niektórych skrajnych przypadkach . Ale ogólnie rzecz biorąc, jako użytkownik końcowy musisz zrobić wszystko, aby strona internetowa uzyskała dostęp do dokumentów w systemie. Dopóki Twój system operacyjny jest załatany, a przeglądarki są aktualne, jesteś bezpieczny. Nawet w przypadkach, gdy nie jesteś załatany i uaktualniony (i ponownie podkreślając to, aby było jasne) ryzyko jest nadal niezwykle niskie .

Jedyny problem związany z witryną, która „może nie być w 100% bezpieczna” (jak stwierdzono w pierwotnym pytaniu i zakładam HTTPS kontra zwykły HTTP), polega na tym, że podczas przesyłania danych tam iz powrotem HTTPS jest szyfrowany, a HTTP nie jest szyfrowany.

Ryzyko polega zatem na tym, że jeśli wpiszesz coś w witrynie za pomocą formularza, i jeśli witryna jest zwykłym HTTP, przesyłane dane to czysty tekst, który każdy z snifferem pakietów może przeczytać. Ale w najlepszym razie jest to niewielka szansa.

Podobnie jak w znanej publicznej sieci Wi-Fi, być może ktoś jest w tej sieci z tobą i potencjalnie przechwytuje pakiety, a tym samym może wykryć to, co piszesz.

Ogólnie, jeśli jesteś w bezpiecznej sieci w domu lub w innym miejscu - a Twoja przeglądarka i system operacyjny są załatane - jesteś „bezpieczny”.

„Niepewna” strona internetowa jest naprawdę problemem tylko wtedy, gdy wyślesz do niej dane lub pobierzesz element z tej strony, który będzie uruchamiał kod w twoim systemie.

JakeGould
źródło
56

Z założenia przeglądarki nie pozwalają na to, ale zawsze istnieje możliwość wystąpienia błędu, który można wykorzystać w celu uzyskania wyższego poziomu dostępu do systemu. Te błędy są dość rzadkie i zawsze naprawiane bardzo szybko, więc jest to głównie problem, jeśli twój system operacyjny lub przeglądarka jest nieaktualna. Obie te automatyczne aktualizacje teraz, więc po prostu nie wyłączaj automatycznych aktualizacji i możesz być pewien dość dobrego poziomu ochrony przed złośliwymi stronami internetowymi.

Qwertie
źródło
8
Warto zauważyć, że taki zerowy dzień jest warty setki tysięcy dla odpowiednich ludzi, więc są szanse, chyba że jesteś naprawdę interesujący, nie zostanie on wykorzystany przeciwko tobie.
Adonalsium
1
@Adonalsium - Potrzebujesz karty kredytowej, aby być interesującym dla wszystkich ... właściwych ... ludzi.
Paul
5
@Paul Gdyby ktoś kupił sześciocyfrowe zero-dni, aby ukraść karty kredytowe, byłoby to trochę smutne. Będziesz musiał ukraść tysiące, zanim będziesz mógł zbliżyć się do odzyskania pieniędzy, a to jeśli uruchomisz każdą czerwoną flagę i spalisz ją podczas jednego ataku. W przeciwieństwie do tego, sto tysięcy, aby ukraść tajemnice państwowe lub korporacyjne ... to o wiele bardziej prawdopodobne.
Pozew Fund Moniki z
1
@Adonalsium na zero dni tak, ale exploity na starych wersjach to darmowa wiedza publiczna. I wciąż jest całkiem sporo osób korzystających ze starych wersji IE lub Silverlight.
Qwertie,
3
@Paul Pewnie, to proste: zostały skradzione za pomocą exploitów, których zakup nie kosztowałby setek tysięcy dolarów , i miały znacznie wyższy gwarantowany zwrot niż wada przeglądarki w przypadku kradzieży karty kredytowej. Na przykład inżynieria społeczna i zhakowane bazy danych sklepów internetowych mogą narazić kartę kredytową. Jeśli uprzejmie zapoznasz się z moim faktycznym komentarzem, nigdy nie powiedziałem, że kradzież karty kredytowej nie ma miejsca - tak to czytasz - ale że potężna przeglądarka zero-day nie zostanie spalona na karcie kredytowej jakiegoś rando.
Pozew funduszu Moniki
43

Komputer zdalny nie może uzyskać dostępu do niczego na komputerze bez pomocy oprogramowania współpracującego z komputerem.

W przypadku korzystania z komputera w celu odwiedzenia niezaufanej witryny internetowej używasz oprogramowania przeglądarki na komputerze, aby inicjować żądania sieciowe (protokół HTTP lub HTTPS) w celu odbierania danych z komputera zdalnego. W tym prostym modelu komputer zdalny absolutnie nie ma dostępu do twojego komputera, ale ... przeglądarki mają pewne funkcje, które komplikują ten obraz.

Nowoczesne przeglądarki mają funkcję umożliwiającą przesyłanie plików z komputera. Witryna może zawierać formularz korzystający z tej funkcji. Ta funkcja nie daje stronie internetowej widoku na twój komputer. Kiedy twoja przeglądarka przetwarza taki formularz, przedstawia ci kontrolę wyboru plików; Twoja przeglądarka widzi pliki na twoim komputerze, a kiedy dokonujesz wyboru, przeglądarka wysyła zawartość tego pliku i tylko ten plik do systemu zdalnego. Sposób, w jaki działa ta funkcja, powoduje, że niektórzy uważają, że witryna może wyświetlać pliki na Twoim komputerze, gdy nie jest to możliwe.

Wszystkie nowoczesne przeglądarki mają wbudowane silniki JavaScript. Witryna może zawierać kod JavaScript, który ma zostać wykonany przez przeglądarkę. Gdy przeglądarka odbiera JavaScript na stronie, zwykle wykonuje go automatycznie. JavaScript jest zwykle używany w celu zwiększenia komfortu użytkowania; ma pewne możliwości i pewne ograniczenia. Mechanizm JavaScript nie „widzi” twojego komputera - nie widzi twoich plików ani tego, co może się dziać w innych programach, ale może skierować przeglądarkę do ładowania innych plików z tej samej witryny - obrazów, stron itp. JavaScript może spowodować, że przeglądarka przynajmniej spróbuje pobrać i uruchomić program, który może mieć większy dostęp do twojego systemu lub kontrolę nad nim. Chociaż sam JavaScript jest ograniczony w tym, co potrafi na twoim komputerze,

TL; DR: Niezaufana witryna internetowa sama w sobie nie może przejrzeć twojego komputera. Jednak witryna może próbować nakłonić użytkownika do pobrania i uruchomienia złośliwego oprogramowania. Takie oprogramowanie może potencjalnie zrobić wszystko na twoim komputerze. Twoja przeglądarka nie powinna automatycznie pobierać takiego oprogramowania; przynajmniej powinno to wymagać Twojej wyraźnej akceptacji. Złośliwa witryna internetowa może jednak próbować nakłonić użytkownika do wyrażenia takiej zgody.

Zenilogix
źródło
1
Dziękuję za odpowiedź. to było pouczające
John Doe
12
+1 To powinna być zaakceptowana odpowiedź. Jeśli witryna nie jest godna zaufania, nie ma różnicy między HTTP a HTTPS. Istotny jest JavaScript i mechanizmy bezpieczeństwa przeglądarki.
rexkogitans
3
Współpraca soft: same okna.
val mówi Przywróć Monikę
@val - chciałbym rozszerzyć to na wszystkie systemy operacyjne, żeby być uczciwym. Jeśli spędzasz czas, znajdziesz dziury.
Paul
12

Teoretycznie nie, w praktyce: Tak, to z pewnością możliwe.

To jest powód, dla którego savy użytkownicy mają rozszerzenia przeglądarki, które wyłączają skrypty przez cały czas, z wyjątkiem stron internetowych, które ich wymagają, i które udaremniają wiele innych ataków, takich jak fałszowanie żądań między witrynami i tym podobne.

Exploity, które umożliwiają zdalne wykonanie kodu lub dostęp do plików lokalnych, są publikowane prawie co miesiąc. Dwa ostatnie przykłady jednej znanej przeglądarki to 1 i 2 . Przykłady innej znanej przeglądarki to 3 i 4 .

(Powyższe to losowe luki, które wybrałem bez wyraźnego powodu, a także, w międzyczasie, wszystkie zostały naprawione w najnowszych wersjach).

Ataki na przeglądarkę mogą nie tylko pozwolić stronie internetowej na dostęp do plików, ale w zasadzie mogą pozwolić stronie w ogóle przejąć twój komputer, w najgorszym przypadku. Problem nie ogranicza się do przeglądarek, zobacz wrażliwość na połączenia wideo WhatsApp w najnowszym przykładzie. Około roku temu w konkretnej szeroko rozpowszechnionej serii routerów DSL pojawił się exploit, który pozwoliłby złośliwej witrynie na przejęcie routera nawet w obecności hasła, gdybyś tylko odwiedził witrynę z komputera.

Poziom głupoty niezbędny do powodzenia ataku jest różny. W przypadku niektórych ataków użytkownik końcowy musi być naprawdę głupi. W przypadku niektórych ataków użytkownik musi być nieco nieświadomy przez ułamek sekundy. A niektóre ataki będą działać, nawet jeśli użytkownik nie zrobi nic głupiego, o ile zostaną spełnione określone warunki.

Damon
źródło
3

Zasadniczo witryna nie ma dostępu do plików na dysku twardym ani do ich meta informacji. Niemniej jednak powinieneś zdawać sobie sprawę z kilku rzeczy:

  • w przeglądarce mogą występować luki w zabezpieczeniach, które pozwalają atakującym przejąć przeglądarkę, a nawet system
  • w zależności od przeglądarki złośliwe strony internetowe mogą dowiedzieć się dużo o tobie i komputerze, którego używasz. Aby uzyskać krótki przegląd, zobacz tutaj: http://webkay.robinlinus.com/
  • najlepszym sposobem zabezpieczenia plików jest trzymanie ich z dala od Internetu. Przechowuj swoje pliki na zewnętrznym dysku i uzyskuj do nich dostęp tylko przez komputery offline. Może to być niewygodne, ale bezpieczne
Nikita Malyschkin
źródło