เว็บไซต์ที่เป็นอันตรายสามารถเข้าถึงเนื้อหาของไฟล์ในคอมพิวเตอร์ได้หรือไม่


27

นี่อาจเป็นสิ่งที่หวาดระแวง แต่ถ้าฉันไปที่เว็บไซต์ที่เป็นอันตรายพวกเขาสามารถบอกสิ่งที่อยู่ในรูปแบบ PDF บนเดสก์ท็อปของฉันหรือสิ่งที่อยู่ภายในภาพของฉันบนฮาร์ดไดรฟ์ของฉัน

ฉันมี Chromebook และเครื่อง Windows


ควรระบุสิ่งนี้กับเบราว์เซอร์ที่ระบุหรือไม่ ฉันคิดว่าเบราว์เซอร์ทั้งหมดไม่ได้มีความปลอดภัยเท่ากันในส่วนนี้หรือไม่ IE Flash เป็นช่องโหว่ที่ยิ่งใหญ่สำหรับสิ่งนี้ใช่ไหม? หากไม่ใช่เฉพาะเบราว์เซอร์บางทีมันอาจจะถูก จำกัด เฉพาะสเป็ค HTML ที่ระบุหรืออะไรก็ตาม
TankorSmash

1
คำนึงถึง Specter - เป็นไปได้
253751

13
สิ่งนี้อาจเหมาะสมกว่าในเรื่องความปลอดภัยของข้อมูล
phuclv

1
มันเป็นความเป็นไปได้ แต่มันก็น้อยกว่านี้ไม่ใช่สิ่งที่คุณควรกังวล คุณควรกังวลเกี่ยวกับข้อมูลอื่น ๆ ที่เก็บไว้ในเว็บเบราว์เซอร์ของคุณซึ่งเว็บไซต์สามารถเข้าถึงได้ คุกกี้สามารถจัดเก็บข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงเกี่ยวกับคุณซึ่งเว็บไซต์ดังกล่าวสามารถตกปลาได้
mathreadler

1
หากคุณต้องการที่จะหวาดระแวงเป็นพิเศษให้เรียกใช้เบราว์เซอร์ของคุณในเครื่องเสมือน Linux ลินุกซ์
Richie Frame

คำตอบ:


33

หากคุณไม่อนุญาตเว็บไซต์ที่ปลอดภัย (HTTPS) หรือไม่ปลอดภัย (HTTP) - เข้าถึงรายการในระบบของคุณเว็บไซต์จะไม่สามารถเข้าถึงรายการนั้นในระบบของคุณ

นี่อาจเป็นสิ่งที่หวาดระแวง แต่ถ้าฉันไปที่เว็บไซต์ที่อาจไม่ปลอดภัย 100% พวกเขาสามารถบอกได้ว่าสิ่งที่อยู่ในรูปแบบ PDF บนเดสก์ท็อปของฮาร์ดไดรฟ์หรือสิ่งที่อยู่ภายในภาพของฉันบนฮาร์ดไดรฟ์

โดยทั่วไปแล้วหากคุณไม่อนุญาตให้พวกเขาเข้าถึงฮาร์ดไดรฟ์ของคุณหรือเอกสารในฮาร์ดไดรฟ์ของคุณ - ไม่ใช่ไม่เว็บไซต์ที่ไม่ปลอดภัยจะไม่สามารถเข้าถึงสิ่งใด ๆ ได้

ที่กล่าวว่า (และเน้นการนี้จะทำให้มันชัดเจน) มีแน่นอนบางอย่างไม่น่าเชื่อที่หายากและ esoteric-“zero-day” หาประโยชน์ที่อาจจะมีความกังวลในกรณีขอบบาง แต่โดยทั่วไปคุณ - ในฐานะผู้ใช้ปลายทาง - ต้องออกนอกเส้นทางของคุณเพื่อให้เว็บไซต์สามารถเข้าถึงเอกสารในระบบของคุณได้ ตราบใดที่ระบบปฏิบัติการของคุณได้รับการติดตั้งและเบราว์เซอร์เป็นรุ่นล่าสุดคุณจะปลอดภัย และแม้กระทั่งในกรณีที่คุณไม่ได้ patched และปรับ (และอีกครั้งเน้นการนี้จะทำให้มันชัดเจน) ความเสี่ยงยังคงต่ำอย่างไม่น่าเชื่อ

ข้อกังวลเดียวกับเว็บไซต์ที่“ อาจไม่ปลอดภัย 100%” (ตามคำถามเดิมที่ระบุไว้และฉันสมมติว่า HTTPS กับ HTTP ธรรมดา) คือเมื่อคุณส่งข้อมูลไปมา HTTPS จะถูกเข้ารหัสและ HTTP จะไม่ถูกเข้ารหัส

ความเสี่ยงคือถ้าคุณพิมพ์บางสิ่งบางอย่างลงในเว็บไซต์ผ่านทางแบบฟอร์มและหากไซต์นั้นเป็น HTTP ธรรมดาข้อมูลที่คุณส่งเป็นเพียงข้อความที่ชัดเจนว่าทุกคนที่มีแพ็คเก็ตดมกลิ่นมีศักยภาพในการอ่าน แต่นั่นเป็นโอกาสที่ดีที่สุด

เช่นถ้าคุณอยู่ในเครือข่าย Wi-Fi สาธารณะที่รู้จักกันแล้วอาจมีบางคนอยู่ในเครือข่ายนั้นกับคุณและอาจจับแพ็คเก็ตและอาจตรวจจับสิ่งที่คุณกำลังพิมพ์

โดยทั่วไปหากคุณอยู่ในเครือข่ายที่ปลอดภัยที่บ้านหรือที่อื่น - และเบราว์เซอร์และระบบปฏิบัติการของคุณได้รับการติดตั้ง - คุณจะ "ปลอดภัย"

เว็บไซต์“ ไม่ปลอดภัย” นั้นเป็นเรื่องที่น่ากังวลอย่างยิ่งหากคุณส่งข้อมูลไปยังพวกเขาหรือคุณดาวน์โหลดรายการจากเว็บไซต์ดังกล่าวที่จะเรียกใช้โค้ดในระบบของคุณ


56

โดยการออกแบบเบราว์เซอร์ไม่อนุญาตสิ่งนี้ แต่ก็มีความเป็นไปได้ของข้อผิดพลาดที่สามารถใช้ประโยชน์เพื่อให้เข้าถึงระบบของคุณได้ในระดับที่สูงขึ้น ข้อบกพร่องเหล่านี้ค่อนข้างหายากและแก้ไขอย่างรวดเร็วเสมอดังนั้นนี่เป็นปัญหาหลักหากระบบปฏิบัติการหรือเบราว์เซอร์ของคุณล้าสมัย การอัปเดตอัตโนมัติทั้งสองนี้ในตอนนี้ดังนั้นอย่าเพิ่งปิดการใช้งานการอัปเดตอัตโนมัติและคุณสามารถมั่นใจได้ในระดับที่ค่อนข้างดีในการป้องกันเว็บไซต์ที่เป็นอันตราย


8
น่าสังเกตว่าวันศูนย์ดังกล่าวมีค่านับแสนต่อคนที่เหมาะสมดังนั้นโอกาสที่คุณจะได้รับนอกเสียจากว่าคุณจะน่าสนใจจริงๆ
Adonalsium

1
@Adonalsium - คุณเพียงแค่ต้องใช้บัตรเครดิตที่น่าสนใจสำหรับทุกคน ... ถูกต้อง ... ผู้คน
พอล

5
@ พอลหากมีคนซื้อตัวเลขหกหลักเป็นศูนย์ต่อวันเพื่อขโมยบัตรเครดิตนั่นน่าเศร้านิดหน่อย คุณจะต้องขโมยคนเป็นพันก่อนที่คุณจะเข้ามาใกล้เพื่อหารายได้คืนและนั่นก็คือถ้าคุณกระตุ้นให้ธงสีแดงทุกใบและเผามันในการโจมตีครั้งเดียว ในทางตรงกันข้ามคนนับแสนที่จะขโมยความลับของรัฐหรือขององค์กร ... นั่นมีแนวโน้มมากกว่า
คดีของกองทุนโมนิกา

1
@Adonalsium เป็นเวลาศูนย์ใช่ แต่การหาประโยชน์จากเวอร์ชั่นเก่านั้นเป็นความรู้สาธารณะฟรี และยังมีคนไม่กี่คนที่ใช้ IE หรือ Silverlight รุ่นเก่า
Qwertie

3
@ พอลแน่นอนมันง่าย: พวกเขาถูกขโมยไปโดยการหาประโยชน์ที่จะไม่เสียค่าใช้จ่ายหลายแสนดอลลาร์และจะได้รับผลตอบแทนที่สูงกว่าข้อบกพร่องของเบราว์เซอร์ที่ขโมยบัตรเครดิต สิ่งต่าง ๆ เช่นวิศวกรรมสังคมและฐานข้อมูลเว็บสโตร์ที่ถูกแฮ็กอาจทำให้บัตรเครดิตเสียหายเช่นกัน หากคุณจะอ่านความคิดเห็นที่แท้จริงของฉันฉันไม่เคยบอกว่าการขโมยบัตรเครดิตจะไม่เกิดขึ้น - ซึ่งเป็นวิธีที่คุณอ่าน - แต่เบราว์เซอร์ที่ทรงพลังตลอดวันจะไม่ถูกเผาบนบัตรเครดิตของ rando
คดีฟ้องร้องกองทุนโมนิก้า

43

คอมพิวเตอร์ระยะไกลไม่สามารถเข้าถึงสิ่งใด ๆ บนคอมพิวเตอร์ของคุณโดยไม่ได้รับความช่วยเหลือจากซอฟต์แวร์ความร่วมมือในคอมพิวเตอร์

ในกรณีที่คุณใช้คอมพิวเตอร์เพื่อเยี่ยมชมเว็บไซต์ที่ไม่น่าเชื่อถือคุณกำลังใช้ซอฟต์แวร์เบราว์เซอร์ในคอมพิวเตอร์ของคุณเพื่อเริ่มคำขอเว็บ (โปรโตคอล HTTP หรือ HTTPS) เพื่อรับข้อมูลจากคอมพิวเตอร์ระยะไกล ในรุ่นง่าย ๆ นี้คอมพิวเตอร์ระยะไกลไม่สามารถเข้าถึงคอมพิวเตอร์ของคุณได้อย่างแน่นอนแต่ ... เบราว์เซอร์มีคุณสมบัติบางอย่างที่ทำให้รูปภาพนี้ซับซ้อน

เบราว์เซอร์สมัยใหม่มีคุณสมบัติที่ช่วยให้คุณสามารถอัปโหลดไฟล์จากคอมพิวเตอร์ของคุณ เว็บไซต์อาจมีแบบฟอร์มที่ใช้ประโยชน์จากคุณสมบัตินี้ คุณสมบัตินี้ไม่ได้ทำให้เว็บไซต์มีมุมมองในคอมพิวเตอร์ของคุณ เมื่อเบราว์เซอร์ของคุณประมวลผลแบบฟอร์มดังกล่าวจะมีการควบคุมการเลือกไฟล์ เบราว์เซอร์ของคุณสามารถดูไฟล์ในคอมพิวเตอร์ของคุณและเมื่อคุณทำการเลือกเบราว์เซอร์ของคุณจะส่งเนื้อหาของไฟล์นั้นและเฉพาะไฟล์นั้นไปยังระบบระยะไกล วิธีการทำงานของคุณลักษณะนี้ทำให้บางคนเชื่อว่าเว็บไซต์สามารถดูไฟล์ในคอมพิวเตอร์ของคุณเมื่อไม่สามารถใช้งานได้จริง

เบราว์เซอร์ที่ทันสมัยทั้งหมดมีเครื่องมือ JavaScript ที่ติดตั้งไว้ เว็บไซต์อาจมีรหัส JavaScript ที่เบราว์เซอร์ของคุณตั้งใจจะใช้งาน เมื่อเบราว์เซอร์ได้รับจาวาสคริปต์ในหน้าเว็บโดยทั่วไปจะเรียกใช้งานโดยอัตโนมัติ โดยปกติจะใช้ JavaScript เพื่อปรับปรุงประสบการณ์ผู้ใช้ มันมีความสามารถบางอย่างและข้อ จำกัด บางอย่าง เอ็นจิ้น JavaScript ไม่สามารถ "เห็น" ลงในคอมพิวเตอร์ของคุณ - ไม่สามารถมองเห็นไฟล์ของคุณหรือสิ่งที่อาจเกิดขึ้นในโปรแกรมอื่น ๆ แต่มันสามารถนำทางให้เบราว์เซอร์โหลดไฟล์อื่น ๆ จากเว็บไซต์เดียวกัน - รูปภาพหน้า ฯลฯ . JavaScript อาจทำให้เบราว์เซอร์พยายามอย่างน้อยที่สุดในการดาวน์โหลดและเรียกใช้โปรแกรมที่อาจเข้าถึงหรือควบคุมระบบของคุณได้มากกว่า แม้ว่า JavaScript เองจะถูก จำกัด ในสิ่งที่สามารถทำได้บนคอมพิวเตอร์ของคุณ

TL; DR: เว็บไซต์ที่ไม่น่าเชื่อถือไม่สามารถมองเห็นในคอมพิวเตอร์ของคุณได้ แต่ไซต์อาจพยายามหลอกให้คุณดาวน์โหลดและเรียกใช้ซอฟต์แวร์ที่เป็นอันตราย ซอฟต์แวร์ดังกล่าวอาจทำอะไรบนคอมพิวเตอร์ของคุณ เบราว์เซอร์ของคุณไม่ควรดาวน์โหลดซอฟต์แวร์ดังกล่าวโดยอัตโนมัติ อย่างน้อยที่สุดก็ควรได้รับการยอมรับอย่างชัดเจนจากคุณ อย่างไรก็ตามเว็บไซต์ที่เป็นอันตรายอาจพยายามหลอกให้คุณยอมรับเช่นนั้น


1
ขอบคุณสำหรับการตอบกลับ. นี่เป็นข้อมูล
john doe

12
+1 นี่คือคำตอบที่ได้รับการยอมรับ หากเว็บไซต์ไม่น่าเชื่อถือจะไม่มีความแตกต่างระหว่าง HTTP และ HTTPS มันเป็น JavaScript และกลไกความปลอดภัยของเบราว์เซอร์ที่สำคัญ
rexkogitans

3
นุ่มนวลใช้งานร่วมกันได้: หน้าต่างตัวเอง
วาลพูดว่า Reinstate Monica

@val - ฉันจะขยายไปยังระบบปฏิบัติการทั้งหมดเพื่อให้มีความยุติธรรม หากคุณใช้เวลาคุณจะพบกับหลุม
พอล

12

ในทางทฤษฎีแล้วในทางปฏิบัติ: ใช่มันเป็นไปได้อย่างแน่นอน

นี่คือเหตุผลที่ผู้ใช้ที่มีหน้าซีดมีส่วนขยายเบราว์เซอร์ที่ปิดใช้งานการเขียนสคริปต์ตลอดเวลายกเว้นเว็บไซต์ที่อยู่ในรายการที่อนุญาตอย่างชัดเจนซึ่งต้องการพวกเขาและที่ขัดขวางการโจมตีอื่น ๆ เช่นการปลอมแปลงคำขอข้ามไซต์

การหาประโยชน์ซึ่งอนุญาตให้เรียกใช้รหัสระยะไกลหรืออนุญาตให้เข้าถึงไฟล์ในระบบได้มีการเผยแพร่เกือบทุกเดือน สองตัวอย่างล่าสุดสำหรับเบราว์เซอร์ที่รู้จักกันเป็นอย่างดี1และ2 ตัวอย่างอีกเบราว์เซอร์ที่รู้จักกันดีมี3และ4

(ด้านบนเป็นช่องโหว่แบบสุ่มที่ฉันเลือกโดยไม่มีเหตุผลที่ชัดเจนในใจพวกมันกำลังถูกแก้ไขด้วยความรู้ล่าสุดของฉัน)

การโจมตีด้วยเบราว์เซอร์ไม่เพียง แต่อนุญาตให้เว็บไซต์เข้าถึงไฟล์เท่านั้น แต่โดยหลักการแล้วก็สามารถอนุญาตให้เว็บไซต์เข้าครอบครองคอมพิวเตอร์ของคุณได้ในกรณีที่เลวร้ายที่สุด ปัญหาไม่ได้ จำกัด อยู่ที่เบราว์เซอร์โปรดดูช่องโหว่การโทรผ่านวิดีโอของ WhatsApp สำหรับตัวอย่างล่าสุด มีการใช้ประโยชน์จากชุดเราเตอร์ DSL ที่มีการใช้งานกันอย่างแพร่หลายเมื่อประมาณหนึ่งปีที่ผ่านมาซึ่งจะทำให้เว็บไซต์ที่เป็นอันตรายเข้าครอบครองเราเตอร์ของคุณแม้ว่าจะมีรหัสผ่านอยู่ก็ตามหากคุณเท่านั้นที่เยี่ยมชมเว็บไซต์จากคอมพิวเตอร์ของคุณ

ระดับความโง่เขลาที่จำเป็นสำหรับการโจมตีจะประสบความสำเร็จแตกต่างกันไป สำหรับการโจมตีบางครั้งผู้ใช้จะต้องโง่จริงๆ สำหรับการโจมตีบางครั้งผู้ใช้จะต้องไม่รู้ตัวเพียงเสี้ยววินาที และการโจมตีบางอย่างจะใช้งานได้โดยที่ผู้ใช้ไม่ได้ทำอะไรโง่ ๆ ตราบใดที่ยังมีเงื่อนไขบางประการ


3

โดยทั่วไปเว็บไซต์ไม่สามารถเข้าถึงไฟล์ในฮาร์ดไดรฟ์หรือข้อมูลเมตาของพวกเขา อย่างไรก็ตามคุณควรตระหนักถึงสองสิ่ง:

  • อาจมีข้อบกพร่องด้านความปลอดภัยในเบราว์เซอร์ของคุณซึ่งช่วยให้ผู้โจมตีจี้เบราว์เซอร์ของคุณหรือแม้แต่ระบบของคุณ
  • ขึ้นอยู่กับเบราว์เซอร์ของคุณเว็บไซต์ที่เป็นอันตรายสามารถเรียนรู้ได้มากมายเกี่ยวกับตัวคุณและคอมพิวเตอร์ที่คุณใช้งานดูภาพรวมเล็กน้อยที่นี่: http://webkay.robinlinus.com/
  • วิธีที่ดีที่สุดในการรักษาไฟล์ของคุณให้ปลอดภัยคือการเก็บให้ห่างจากอินเทอร์เน็ต จัดเก็บไฟล์ของคุณในไดรฟ์ภายนอกและเข้าถึงได้เฉพาะผ่านคอมพิวเตอร์ออฟไลน์ สิ่งนี้อาจไม่สะดวก แต่ปลอดภัย
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.