Kötü amaçlı bir web sitesi bilgisayardaki dosyaların içeriğine erişebilir mi?


27

Bu paranoyak olabilir, ancak kötü amaçlı bir web sitesine gidersem, masaüstümdeki bir PDF'nin içinde veya sabit diskimdeki resimlerimin içinde ne olduğunu söyleyebilirler mi?

Chromebook'um ve Windows makinem var.


Bu, belirli bir tarayıcıya belirtilmeli mi? Tüm tarayıcıların bu açıdan eşit güvende olmadıklarını hayal ediyorum. IE Flash, böyle şeyler için çok büyük bir güvenlik açığıydı, değil mi? Bir tarayıcıya özgü değilse, belirli bir HTML özelliğinin belirli bir sürümüyle veya her neyse sınırlı olması gerekir.
TankorSmash

1
Spectre dikkate alınarak - muhtemelen.
user253751


1
Bu bir olasılık, ama endişelenmen gereken şey bu değil. Web tarayıcınızda saklanan ve web sitesinin erişebildiği başka hangi bilgiler olduğuna dair endişelenmelisiniz. Çerezler , bu tür sitelerin balık tutabileceği hakkınızdaki çok hassas kişisel bilgileri saklayabilir.
mathreadler 16:18

1
Ekstra paranoyak olmak istiyorsanız, tarayıcınızı bir barebones linux sanal makinesinde çalıştırın
Richie Frame

Yanıtlar:


33

Açıkça, güvenli olan (HTTPS) veya güvensiz (HTTP) bir web sitesine sisteminizin o öğeye erişemeyeceği bir sisteme erişebilirsiniz.

Bu paranoyak olabilir, ancak% 100 güvenli olmayan bir web sitesine gidersem, sabit disk masaüstümün PDF'sinin içinde ne olduğunu veya sabit diskimdeki resimlerimin içinde ne olduğunu söyleyebilirler mi?

Genel olarak, açıkça onlara sabit sürücünüze (veya sabit sürücünüzdeki belgeler) erişmediğiniz sürece, hayır, güvensiz bir web sitesi hiçbir şeye erişemez.

Yani (ve temizlemek için bu vurgulayan) “sıfırıncı gün” patlatır gerçekten bazı inanılmaz nadir ve esoteric- vardır belki bazı kenar durumlarda endişe olabilir . Ancak, genel olarak, bir son kullanıcı olarak, bir web sitesinin sisteminizdeki belgelere erişmesine izin vermek için yoldan çekilmeniz gerekir. İşletim sisteminiz yamalı ve tarayıcılar güncel olduğu sürece güvendesiniz. Ayrıca, yama atılmadığınız ve yükseltmediğiniz durumlarda (ve bunu açıkça vurgulamak için bunu vurgulayarak) bile , risk hala inanılmaz derecede düşüktür .

“% 100 güvenli olmayabilecek” bir web sitesiyle ilgili tek endişe (orijinal soru belirtildiği gibi ve HTTPS'yi düz HTTP'ye göre varsayıyorum), verileri ileri geri ilettiğinizde HTTPS şifreli ve HTTP şifreli değil.

O zaman risk, siteye bir form ve benzeri bir şey yazarsanız, site düz HTTP ise, ilettiğiniz veriler, paket algılayıcılı herkesin okuma potansiyeline sahip olduğu açık bir metindir . Ama bu en iyi ihtimalle ince bir şans.

Bilinen bir halka açık Wi-Fi ağındaysanız, belki de birileri sizinle birlikte o ağda olabilir ve potansiyel olarak paketleri yakalar ve böylece yazdıklarınızı algılayabilir.

Genel olarak, evde veya başka bir yerde güvenli bir ağdaysanız - ve tarayıcınız ve işletim sisteminiz yamalıysa - “güvendesiniz”.

“Güvensiz” bir web sitesi, yalnızca kendilerine veri gönderirseniz veya söz konusu web sitesinden sisteminizde kod çalıştıracak bir öğe indirirseniz kaygı vericidir.


56

Tasarım gereği tarayıcılar buna izin vermez, ancak her zaman sisteminize daha yüksek düzeyde erişim sağlamak için sömürülebilen bir hata olasılığı vardır. Bu hatalar oldukça nadirdir ve her zaman çok hızlı bir şekilde düzeltilir, bu nedenle işletim sisteminiz veya tarayıcınız güncel değilse, bu bir sorun teşkil eder. Bu otomatik güncellemelerin ikisi de artık otomatik güncellemeleri devre dışı bırakmıyor ve kötü amaçlı web sitelerine karşı oldukça iyi bir koruma düzeyinden emin olabilirsiniz.


8
Böylesine sıfır bir günün doğru insanlara yüzbinlerce değerinde olduğunu belirtmek gerekir, bu yüzden olasılıklar size karşı kullanılmayacak kadar ilginç olmadığınız sürece.
Adonalsium

1
@Adonalsium - Sadece ... herkese ilginç bir kredi kartına ihtiyacınız sağ ... insanlar.
Paul

5
@Paul Birisi bazı kredi kartlarını çalmak için günde altı rakam altı alsa, bu biraz üzücü olur. Paranızı geri kazanmaya yaklaşmadan önce binlerce çalmak zorunda kalacaksınız, ve eğer her bir kırmızı bayrağını tetikleyip tek bir saldırıyla yakarsanız. Buna karşılık, devlet veya şirket sırlarını çalmak için yüz bin ... bu çok daha muhtemel.
Fon Monica'nın Davası

1
@Adonalsium sıfır günlüğüne evet, ancak eski sürümlerdeki istismarlar kamuya açık bir bilgi. Ve hala IE veya Silverlight'ın eski versiyonlarını çalıştıran adil bir kaç insan var.
Qwertie

3
@Paul Tabii, çok kolay: Satın almak için yüzbinlerce dolara mal olmayacak istismarlar yüzünden çalındılar ve kredi kartı hırsızlığı için bir tarayıcı kusurundan çok daha yüksek bir garantili getiri elde ettiler. Sosyal mühendislik ve web siteleri hack veritabanları gibi şeyler de bir kredi kartını tehlikeye atabilir. Asıl yorumumu nazikçe okuyacaksanız, kredi kartı hırsızlığının gerçekleşmeyeceğini, bu şekilde nasıl okuduğunuzu söylemedim ama sıfır gün güçlü bir tarayıcı bazı rando kredi kartlarında yanmayacak.
Fon Monica'nın Davası

43

Bilgisayarınızdaki işbirliği yazılımı yardımı olmadan uzaktaki bir bilgisayar bilgisayarınızdaki hiçbir şeye erişemez.

Bilgisayarınızı güvenilmez bir web sitesini ziyaret etmek için kullanıyorsanız, uzak bilgisayardan veri almak üzere web isteklerini (HTTP veya HTTPS protokolü) başlatmak için bilgisayarınızda tarayıcı yazılımı kullanıyorsunuzdur. Bu basit modelde, uzaktaki bilgisayarın bilgisayarınıza kesinlikle erişimi yoktur, ancak ... tarayıcıların bu resmi karmaşıklaştıran bazı özellikleri vardır.

Modern tarayıcılar, bilgisayarınızdan dosya yüklemenizi sağlayan bir özelliğe sahiptir. Bir web sitesi bu özelliği kullanan bir form içerebilir. Bu özellik değildir web sitesi bilgisayarınıza bir görünüm verir. Tarayıcınız böyle bir formu işlediğinde, size bir dosya seçimi kontrolü sunar; tarayıcınız bilgisayarınızdaki dosyaları görebilir ve bir seçim yaptığınızda, tarayıcınız o dosyanın içeriğini ve yalnızca o dosyayı uzaktaki sisteme gönderir. Bu özelliğin çalışma şekli, bazı kişilerin, web sitenizin gerçekte göremediğinde dosyaları bilgisayarınızda görebileceğine inanmalarına neden olur.

Tüm modern tarayıcılarda yerleşik JavaScript motorları bulunur. Web sitesi, tarayıcınız tarafından yürütülmesi amaçlanan JavaScript kodunu içerebilir. Tarayıcı bir sayfada JavaScript aldığında, genellikle otomatik olarak yürütür. JavaScript normalde kullanıcı deneyimini geliştirmek için kullanılır; belirli yetenekleri ve bazı sınırlamaları vardır. JavaScript motoru bilgisayarınıza "göremiyor" - dosyalarınızı göremiyor veya başka programlarda neler olup bittiğini göremiyor, ancak tarayıcıyı aynı siteden başka dosyalar - resimler, sayfalar, vb. Yüklemeye yönlendirebilir. JavaScript, tarayıcının en azından sisteminize daha fazla erişebilecek veya denetleyebilecek bir programı indirme ve yürütme girişiminde bulunmasına neden olabilir. JavaScript’in bilgisayarınızda yapabilecekleriyle sınırlı olmasına rağmen,

TL; DR: Güvenilmeyen bir web sitesi kendi başına bilgisayarınıza göremiyor. Ancak, bir site sizi kötü amaçlı yazılımları indirerek çalıştırmaya kandırabilir. Bu tür bir yazılım bilgisayarınızda potansiyel olarak her şeyi yapabilir. Tarayıcınız bu yazılımı otomatik olarak indirmemelidir; en azından açık bir şekilde kabullenmenizi gerektiriyor. Ancak, kötü amaçlı bir web sitesi sizi bu tür bir kabulle kandırmaya çalışabilir.


1
Cevabınız için teşekkür ederim. Bu bilgilendirici oldu
john doe

12
+1 Bu kabul edilen cevap olmalıdır. Site güvenilir değilse, HTTP ile HTTPS arasında bir fark yoktur. JavaScript ve tarayıcının önemli güvenlik mekanizmalarıdır.
rexkogitans

3
Yumuşak işbirliği: pencerelerin kendisi.
val diyor Reinstate Monica

@ val - Adil olmak gerekirse, bunu tüm işletim sistemlerine yayardım. Zaman harcıyorsanız delikleri bulacaksınız.
Paul

12

Teoride hayır, pratikte: Evet, kesinlikle mümkün.

Savy kullanıcılarının, kendileri gerektiren ve siteler arası istekleri sahtecilik ve aldatma gibi diğer birçok saldırıyı engelleyen, açıkça beyaz listeye alınan web siteleri hariç, komut dosyalarını her zaman devre dışı bırakan tarayıcı uzantılarına sahip olmasının nedeni budur.

Uzaktan kod yürütülmesine izin veren veya yerel dosyalara erişime izin veren tanıtımlar hemen hemen her ay yayımlanır. İyi bilinen bir tarayıcı için son iki örnek 1 ve 2 . Tanınmış başka bir tarayıcıya örnek 3 ve 4'tür .

(Yukarıdakiler, aklımda hiçbir neden olmadan seçtiğim rastgele güvenlik açıklarıdır, aynı zamanda hepsi benim bildiğim kadarıyla en yeni sürümlerle sabitlenmişlerdir.)

Tarayıcı saldırıları yalnızca bir web sitesinin dosyalara erişmesine izin vermekle kalmaz, prensip olarak en kötü durumda, web sitesinin bilgisayarınızı tamamen ele geçirmesine izin verebilir. Sorun tarayıcılarla sınırlı değil, son örnekteki WhatsApp video araması güvenlik açığı bölümüne bakın. Bir yıl veya daha uzun bir süre önce yaygın olarak dağıtılan bir DSL yönlendiricileri serisinde, web sitesini yalnızca bilgisayarınızdan ziyaret ettiyseniz, kötü amaçlı bir web sitesinin yönlendiricinizi bir parola olsa bile ele geçirmesine izin verecek bir istismar vardı .

Bir saldırının başarılı olması için gereken aptallık düzeyi değişir. Bazı saldırılar için son kullanıcı gerçekten çok aptal olmalı. Bazı saldırılar için, kullanıcının yalnızca bir saniye için habersiz olması gerekir. Bazı saldırılar, kullanıcının bazı özel koşullar yerine getirildiği sürece aptalca bir şey yapmadan bile çalışacaktır.


3

Genel olarak bir web sitesi sabit diskinizdeki dosyalara veya bunların meta bilgilerine erişemez. Bununla birlikte, birkaç şeyin farkında olmalısınız:

  • Tarayıcınızda güvenlik açığı olabilir, bu da saldırganların tarayıcınızı ve hatta sisteminizi ele geçirmesini sağlar
  • tarayıcınıza bağlı olarak, kötü amaçlı web siteleri siz ve kullandığınız bilgisayar hakkında oldukça fazla şey öğrenebilir. Küçük bir genel bakış için buraya bakın: http://webkay.robinlinus.com/
  • dosyalarınızı güvende tutmanın en iyi yolu, onları internetten uzak tutmaktır. Dosyalarınızı harici bir sürücüde saklayın ve bunlara yalnızca çevrimdışı bilgisayarlardan erişin. Bu uygunsuz olabilir ama güvenli olabilir
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.