Może to być paranoiczne, ale jeśli przejdę na złośliwą stronę internetową, czy mogą powiedzieć, co znajduje się w pliku PDF na pulpicie lub co znajduje się w moich obrazach na dysku twardym?
Mam Chromebooka i komputer z systemem Windows.
Może to być paranoiczne, ale jeśli przejdę na złośliwą stronę internetową, czy mogą powiedzieć, co znajduje się w pliku PDF na pulpicie lub co znajduje się w moich obrazach na dysku twardym?
Mam Chromebooka i komputer z systemem Windows.
Odpowiedzi:
Może to być paranoiczne, ale jeśli przejdę na stronę, która może nie być w 100% bezpieczna, czy mogą powiedzieć, co znajduje się w pliku PDF na pulpicie mojego dysku twardego lub co jest w moich obrazach na dysku twardym?
Ogólnie rzecz biorąc, chyba że wyraźnie dasz im dostęp do dysku twardego - lub dokumentów na dysku twardym - to nie, niepewna witryna internetowa nie będzie mogła uzyskać dostępu do niczego.
To powiedziawszy (i podkreślając to, aby było jasne), istnieją rzeczywiście niewiarygodnie rzadkie - i ezoteryczne - exploity „zero-day”, które mogą budzić obawy w niektórych skrajnych przypadkach . Ale ogólnie rzecz biorąc, jako użytkownik końcowy musisz zrobić wszystko, aby strona internetowa uzyskała dostęp do dokumentów w systemie. Dopóki Twój system operacyjny jest załatany, a przeglądarki są aktualne, jesteś bezpieczny. Nawet w przypadkach, gdy nie jesteś załatany i uaktualniony (i ponownie podkreślając to, aby było jasne) ryzyko jest nadal niezwykle niskie .
Jedyny problem związany z witryną, która „może nie być w 100% bezpieczna” (jak stwierdzono w pierwotnym pytaniu i zakładam HTTPS kontra zwykły HTTP), polega na tym, że podczas przesyłania danych tam iz powrotem HTTPS jest szyfrowany, a HTTP nie jest szyfrowany.
Ryzyko polega zatem na tym, że jeśli wpiszesz coś w witrynie za pomocą formularza, i jeśli witryna jest zwykłym HTTP, przesyłane dane to czysty tekst, który każdy z snifferem pakietów może przeczytać. Ale w najlepszym razie jest to niewielka szansa.
Podobnie jak w znanej publicznej sieci Wi-Fi, być może ktoś jest w tej sieci z tobą i potencjalnie przechwytuje pakiety, a tym samym może wykryć to, co piszesz.
„Niepewna” strona internetowa jest naprawdę problemem tylko wtedy, gdy wyślesz do niej dane lub pobierzesz element z tej strony, który będzie uruchamiał kod w twoim systemie.
Z założenia przeglądarki nie pozwalają na to, ale zawsze istnieje możliwość wystąpienia błędu, który można wykorzystać w celu uzyskania wyższego poziomu dostępu do systemu. Te błędy są dość rzadkie i zawsze naprawiane bardzo szybko, więc jest to głównie problem, jeśli twój system operacyjny lub przeglądarka jest nieaktualna. Obie te automatyczne aktualizacje teraz, więc po prostu nie wyłączaj automatycznych aktualizacji i możesz być pewien dość dobrego poziomu ochrony przed złośliwymi stronami internetowymi.
W przypadku korzystania z komputera w celu odwiedzenia niezaufanej witryny internetowej używasz oprogramowania przeglądarki na komputerze, aby inicjować żądania sieciowe (protokół HTTP lub HTTPS) w celu odbierania danych z komputera zdalnego. W tym prostym modelu komputer zdalny absolutnie nie ma dostępu do twojego komputera, ale ... przeglądarki mają pewne funkcje, które komplikują ten obraz.
Nowoczesne przeglądarki mają funkcję umożliwiającą przesyłanie plików z komputera. Witryna może zawierać formularz korzystający z tej funkcji. Ta funkcja nie daje stronie internetowej widoku na twój komputer. Kiedy twoja przeglądarka przetwarza taki formularz, przedstawia ci kontrolę wyboru plików; Twoja przeglądarka widzi pliki na twoim komputerze, a kiedy dokonujesz wyboru, przeglądarka wysyła zawartość tego pliku i tylko ten plik do systemu zdalnego. Sposób, w jaki działa ta funkcja, powoduje, że niektórzy uważają, że witryna może wyświetlać pliki na Twoim komputerze, gdy nie jest to możliwe.
Wszystkie nowoczesne przeglądarki mają wbudowane silniki JavaScript. Witryna może zawierać kod JavaScript, który ma zostać wykonany przez przeglądarkę. Gdy przeglądarka odbiera JavaScript na stronie, zwykle wykonuje go automatycznie. JavaScript jest zwykle używany w celu zwiększenia komfortu użytkowania; ma pewne możliwości i pewne ograniczenia. Mechanizm JavaScript nie „widzi” twojego komputera - nie widzi twoich plików ani tego, co może się dziać w innych programach, ale może skierować przeglądarkę do ładowania innych plików z tej samej witryny - obrazów, stron itp. JavaScript może spowodować, że przeglądarka przynajmniej spróbuje pobrać i uruchomić program, który może mieć większy dostęp do twojego systemu lub kontrolę nad nim. Chociaż sam JavaScript jest ograniczony w tym, co potrafi na twoim komputerze,
TL; DR: Niezaufana witryna internetowa sama w sobie nie może przejrzeć twojego komputera. Jednak witryna może próbować nakłonić użytkownika do pobrania i uruchomienia złośliwego oprogramowania. Takie oprogramowanie może potencjalnie zrobić wszystko na twoim komputerze. Twoja przeglądarka nie powinna automatycznie pobierać takiego oprogramowania; przynajmniej powinno to wymagać Twojej wyraźnej akceptacji. Złośliwa witryna internetowa może jednak próbować nakłonić użytkownika do wyrażenia takiej zgody.
To jest powód, dla którego savy użytkownicy mają rozszerzenia przeglądarki, które wyłączają skrypty przez cały czas, z wyjątkiem stron internetowych, które ich wymagają, i które udaremniają wiele innych ataków, takich jak fałszowanie żądań między witrynami i tym podobne.
Exploity, które umożliwiają zdalne wykonanie kodu lub dostęp do plików lokalnych, są publikowane prawie co miesiąc. Dwa ostatnie przykłady jednej znanej przeglądarki to 1 i 2 . Przykłady innej znanej przeglądarki to 3 i 4 .
(Powyższe to losowe luki, które wybrałem bez wyraźnego powodu, a także, w międzyczasie, wszystkie zostały naprawione w najnowszych wersjach).
Ataki na przeglądarkę mogą nie tylko pozwolić stronie internetowej na dostęp do plików, ale w zasadzie mogą pozwolić stronie w ogóle przejąć twój komputer, w najgorszym przypadku. Problem nie ogranicza się do przeglądarek, zobacz wrażliwość na połączenia wideo WhatsApp w najnowszym przykładzie. Około roku temu w konkretnej szeroko rozpowszechnionej serii routerów DSL pojawił się exploit, który pozwoliłby złośliwej witrynie na przejęcie routera nawet w obecności hasła, gdybyś tylko odwiedził witrynę z komputera.
Poziom głupoty niezbędny do powodzenia ataku jest różny. W przypadku niektórych ataków użytkownik końcowy musi być naprawdę głupi. W przypadku niektórych ataków użytkownik musi być nieco nieświadomy przez ułamek sekundy. A niektóre ataki będą działać, nawet jeśli użytkownik nie zrobi nic głupiego, o ile zostaną spełnione określone warunki.
Zasadniczo witryna nie ma dostępu do plików na dysku twardym ani do ich meta informacji. Niemniej jednak powinieneś zdawać sobie sprawę z kilku rzeczy: