นี่อาจเป็นสิ่งที่หวาดระแวง แต่ถ้าฉันไปที่เว็บไซต์ที่เป็นอันตรายพวกเขาสามารถบอกสิ่งที่อยู่ในรูปแบบ PDF บนเดสก์ท็อปของฉันหรือสิ่งที่อยู่ภายในภาพของฉันบนฮาร์ดไดรฟ์ของฉัน
ฉันมี Chromebook และเครื่อง Windows
นี่อาจเป็นสิ่งที่หวาดระแวง แต่ถ้าฉันไปที่เว็บไซต์ที่เป็นอันตรายพวกเขาสามารถบอกสิ่งที่อยู่ในรูปแบบ PDF บนเดสก์ท็อปของฉันหรือสิ่งที่อยู่ภายในภาพของฉันบนฮาร์ดไดรฟ์ของฉัน
ฉันมี Chromebook และเครื่อง Windows
คำตอบ:
นี่อาจเป็นสิ่งที่หวาดระแวง แต่ถ้าฉันไปที่เว็บไซต์ที่อาจไม่ปลอดภัย 100% พวกเขาสามารถบอกได้ว่าสิ่งที่อยู่ในรูปแบบ PDF บนเดสก์ท็อปของฮาร์ดไดรฟ์หรือสิ่งที่อยู่ภายในภาพของฉันบนฮาร์ดไดรฟ์
โดยทั่วไปแล้วหากคุณไม่อนุญาตให้พวกเขาเข้าถึงฮาร์ดไดรฟ์ของคุณหรือเอกสารในฮาร์ดไดรฟ์ของคุณ - ไม่ใช่ไม่เว็บไซต์ที่ไม่ปลอดภัยจะไม่สามารถเข้าถึงสิ่งใด ๆ ได้
ที่กล่าวว่า (และเน้นการนี้จะทำให้มันชัดเจน) มีแน่นอนบางอย่างไม่น่าเชื่อที่หายากและ esoteric-“zero-day” หาประโยชน์ที่อาจจะมีความกังวลในกรณีขอบบาง แต่โดยทั่วไปคุณ - ในฐานะผู้ใช้ปลายทาง - ต้องออกนอกเส้นทางของคุณเพื่อให้เว็บไซต์สามารถเข้าถึงเอกสารในระบบของคุณได้ ตราบใดที่ระบบปฏิบัติการของคุณได้รับการติดตั้งและเบราว์เซอร์เป็นรุ่นล่าสุดคุณจะปลอดภัย และแม้กระทั่งในกรณีที่คุณไม่ได้ patched และปรับ (และอีกครั้งเน้นการนี้จะทำให้มันชัดเจน) ความเสี่ยงยังคงต่ำอย่างไม่น่าเชื่อ
ข้อกังวลเดียวกับเว็บไซต์ที่“ อาจไม่ปลอดภัย 100%” (ตามคำถามเดิมที่ระบุไว้และฉันสมมติว่า HTTPS กับ HTTP ธรรมดา) คือเมื่อคุณส่งข้อมูลไปมา HTTPS จะถูกเข้ารหัสและ HTTP จะไม่ถูกเข้ารหัส
ความเสี่ยงคือถ้าคุณพิมพ์บางสิ่งบางอย่างลงในเว็บไซต์ผ่านทางแบบฟอร์มและหากไซต์นั้นเป็น HTTP ธรรมดาข้อมูลที่คุณส่งเป็นเพียงข้อความที่ชัดเจนว่าทุกคนที่มีแพ็คเก็ตดมกลิ่นมีศักยภาพในการอ่าน แต่นั่นเป็นโอกาสที่ดีที่สุด
เช่นถ้าคุณอยู่ในเครือข่าย Wi-Fi สาธารณะที่รู้จักกันแล้วอาจมีบางคนอยู่ในเครือข่ายนั้นกับคุณและอาจจับแพ็คเก็ตและอาจตรวจจับสิ่งที่คุณกำลังพิมพ์
เว็บไซต์“ ไม่ปลอดภัย” นั้นเป็นเรื่องที่น่ากังวลอย่างยิ่งหากคุณส่งข้อมูลไปยังพวกเขาหรือคุณดาวน์โหลดรายการจากเว็บไซต์ดังกล่าวที่จะเรียกใช้โค้ดในระบบของคุณ
โดยการออกแบบเบราว์เซอร์ไม่อนุญาตสิ่งนี้ แต่ก็มีความเป็นไปได้ของข้อผิดพลาดที่สามารถใช้ประโยชน์เพื่อให้เข้าถึงระบบของคุณได้ในระดับที่สูงขึ้น ข้อบกพร่องเหล่านี้ค่อนข้างหายากและแก้ไขอย่างรวดเร็วเสมอดังนั้นนี่เป็นปัญหาหลักหากระบบปฏิบัติการหรือเบราว์เซอร์ของคุณล้าสมัย การอัปเดตอัตโนมัติทั้งสองนี้ในตอนนี้ดังนั้นอย่าเพิ่งปิดการใช้งานการอัปเดตอัตโนมัติและคุณสามารถมั่นใจได้ในระดับที่ค่อนข้างดีในการป้องกันเว็บไซต์ที่เป็นอันตราย
ในกรณีที่คุณใช้คอมพิวเตอร์เพื่อเยี่ยมชมเว็บไซต์ที่ไม่น่าเชื่อถือคุณกำลังใช้ซอฟต์แวร์เบราว์เซอร์ในคอมพิวเตอร์ของคุณเพื่อเริ่มคำขอเว็บ (โปรโตคอล HTTP หรือ HTTPS) เพื่อรับข้อมูลจากคอมพิวเตอร์ระยะไกล ในรุ่นง่าย ๆ นี้คอมพิวเตอร์ระยะไกลไม่สามารถเข้าถึงคอมพิวเตอร์ของคุณได้อย่างแน่นอนแต่ ... เบราว์เซอร์มีคุณสมบัติบางอย่างที่ทำให้รูปภาพนี้ซับซ้อน
เบราว์เซอร์สมัยใหม่มีคุณสมบัติที่ช่วยให้คุณสามารถอัปโหลดไฟล์จากคอมพิวเตอร์ของคุณ เว็บไซต์อาจมีแบบฟอร์มที่ใช้ประโยชน์จากคุณสมบัตินี้ คุณสมบัตินี้ไม่ได้ทำให้เว็บไซต์มีมุมมองในคอมพิวเตอร์ของคุณ เมื่อเบราว์เซอร์ของคุณประมวลผลแบบฟอร์มดังกล่าวจะมีการควบคุมการเลือกไฟล์ เบราว์เซอร์ของคุณสามารถดูไฟล์ในคอมพิวเตอร์ของคุณและเมื่อคุณทำการเลือกเบราว์เซอร์ของคุณจะส่งเนื้อหาของไฟล์นั้นและเฉพาะไฟล์นั้นไปยังระบบระยะไกล วิธีการทำงานของคุณลักษณะนี้ทำให้บางคนเชื่อว่าเว็บไซต์สามารถดูไฟล์ในคอมพิวเตอร์ของคุณเมื่อไม่สามารถใช้งานได้จริง
เบราว์เซอร์ที่ทันสมัยทั้งหมดมีเครื่องมือ JavaScript ที่ติดตั้งไว้ เว็บไซต์อาจมีรหัส JavaScript ที่เบราว์เซอร์ของคุณตั้งใจจะใช้งาน เมื่อเบราว์เซอร์ได้รับจาวาสคริปต์ในหน้าเว็บโดยทั่วไปจะเรียกใช้งานโดยอัตโนมัติ โดยปกติจะใช้ JavaScript เพื่อปรับปรุงประสบการณ์ผู้ใช้ มันมีความสามารถบางอย่างและข้อ จำกัด บางอย่าง เอ็นจิ้น JavaScript ไม่สามารถ "เห็น" ลงในคอมพิวเตอร์ของคุณ - ไม่สามารถมองเห็นไฟล์ของคุณหรือสิ่งที่อาจเกิดขึ้นในโปรแกรมอื่น ๆ แต่มันสามารถนำทางให้เบราว์เซอร์โหลดไฟล์อื่น ๆ จากเว็บไซต์เดียวกัน - รูปภาพหน้า ฯลฯ . JavaScript อาจทำให้เบราว์เซอร์พยายามอย่างน้อยที่สุดในการดาวน์โหลดและเรียกใช้โปรแกรมที่อาจเข้าถึงหรือควบคุมระบบของคุณได้มากกว่า แม้ว่า JavaScript เองจะถูก จำกัด ในสิ่งที่สามารถทำได้บนคอมพิวเตอร์ของคุณ
TL; DR: เว็บไซต์ที่ไม่น่าเชื่อถือไม่สามารถมองเห็นในคอมพิวเตอร์ของคุณได้ แต่ไซต์อาจพยายามหลอกให้คุณดาวน์โหลดและเรียกใช้ซอฟต์แวร์ที่เป็นอันตราย ซอฟต์แวร์ดังกล่าวอาจทำอะไรบนคอมพิวเตอร์ของคุณ เบราว์เซอร์ของคุณไม่ควรดาวน์โหลดซอฟต์แวร์ดังกล่าวโดยอัตโนมัติ อย่างน้อยที่สุดก็ควรได้รับการยอมรับอย่างชัดเจนจากคุณ อย่างไรก็ตามเว็บไซต์ที่เป็นอันตรายอาจพยายามหลอกให้คุณยอมรับเช่นนั้น
นี่คือเหตุผลที่ผู้ใช้ที่มีหน้าซีดมีส่วนขยายเบราว์เซอร์ที่ปิดใช้งานการเขียนสคริปต์ตลอดเวลายกเว้นเว็บไซต์ที่อยู่ในรายการที่อนุญาตอย่างชัดเจนซึ่งต้องการพวกเขาและที่ขัดขวางการโจมตีอื่น ๆ เช่นการปลอมแปลงคำขอข้ามไซต์
การหาประโยชน์ซึ่งอนุญาตให้เรียกใช้รหัสระยะไกลหรืออนุญาตให้เข้าถึงไฟล์ในระบบได้มีการเผยแพร่เกือบทุกเดือน สองตัวอย่างล่าสุดสำหรับเบราว์เซอร์ที่รู้จักกันเป็นอย่างดี1และ2 ตัวอย่างอีกเบราว์เซอร์ที่รู้จักกันดีมี3และ4
(ด้านบนเป็นช่องโหว่แบบสุ่มที่ฉันเลือกโดยไม่มีเหตุผลที่ชัดเจนในใจพวกมันกำลังถูกแก้ไขด้วยความรู้ล่าสุดของฉัน)
การโจมตีด้วยเบราว์เซอร์ไม่เพียง แต่อนุญาตให้เว็บไซต์เข้าถึงไฟล์เท่านั้น แต่โดยหลักการแล้วก็สามารถอนุญาตให้เว็บไซต์เข้าครอบครองคอมพิวเตอร์ของคุณได้ในกรณีที่เลวร้ายที่สุด ปัญหาไม่ได้ จำกัด อยู่ที่เบราว์เซอร์โปรดดูช่องโหว่การโทรผ่านวิดีโอของ WhatsApp สำหรับตัวอย่างล่าสุด มีการใช้ประโยชน์จากชุดเราเตอร์ DSL ที่มีการใช้งานกันอย่างแพร่หลายเมื่อประมาณหนึ่งปีที่ผ่านมาซึ่งจะทำให้เว็บไซต์ที่เป็นอันตรายเข้าครอบครองเราเตอร์ของคุณแม้ว่าจะมีรหัสผ่านอยู่ก็ตามหากคุณเท่านั้นที่เยี่ยมชมเว็บไซต์จากคอมพิวเตอร์ของคุณ
ระดับความโง่เขลาที่จำเป็นสำหรับการโจมตีจะประสบความสำเร็จแตกต่างกันไป สำหรับการโจมตีบางครั้งผู้ใช้จะต้องโง่จริงๆ สำหรับการโจมตีบางครั้งผู้ใช้จะต้องไม่รู้ตัวเพียงเสี้ยววินาที และการโจมตีบางอย่างจะใช้งานได้โดยที่ผู้ใช้ไม่ได้ทำอะไรโง่ ๆ ตราบใดที่ยังมีเงื่อนไขบางประการ
โดยทั่วไปเว็บไซต์ไม่สามารถเข้าถึงไฟล์ในฮาร์ดไดรฟ์หรือข้อมูลเมตาของพวกเขา อย่างไรก็ตามคุณควรตระหนักถึงสองสิ่ง: