Un sito Web dannoso può accedere al contenuto dei file su un computer?

27

Questo potrebbe essere paranoico, ma se vado su un sito Web dannoso, possono dire cosa c'è dentro un PDF sul mio desktop o cosa c'è dentro le mie immagini sul mio disco rigido?

Ho un Chromebook e un computer Windows.

windows  security  chromebook 
John Doe
fonte
Questo dovrebbe essere specificato per un browser specifico? Immagino che non tutti i browser siano ugualmente sicuri in questo senso? IE Flash era una grande vulnerabilità per cose come questa, vero? Se non è specifico di un browser, forse dovrebbe essere limitato a una determinata versione di una determinata specifica HTML o altro.
TankorSmash,
1
Tenendo conto dello spettro - possibilmente.
user253751
13
questo potrebbe essere più adatto alla sicurezza delle informazioni
phuclv,
1
È una possibilità, ma è così minore che questo non è ciò di cui dovresti preoccuparti. Dovresti essere preoccupato per quali altre informazioni memorizzate nel tuo browser web a cui il sito Web può accedere. I cookie possono memorizzare informazioni personali molto vulnerabili su di te che tali siti possono pescare.
matematico
1
Se vuoi essere paranoico in più, esegui il tuo browser all'interno di una macchina virtuale Linux barebone
Richie Frame

Risposte:

33

A meno che non si garantisca esplicitamente un sito Web — che è sicuro (HTTPS) o non sicuro (HTTP) —accedere a un elemento sul proprio sistema quel sito Web non avrà accesso a tale elemento sul proprio sistema.

Questo potrebbe essere paranoico, ma se vado su un sito Web che potrebbe non essere sicuro al 100%, possono dire cosa c'è dentro il PDF del desktop del mio disco rigido o cosa c'è dentro le mie immagini sul mio disco rigido?

In generale, a meno che tu non dia loro esplicitamente l'accesso al tuo disco rigido o ai documenti sul tuo disco rigido, allora no, un sito Web non sicuro non sarà in grado di accedere a nulla.

Detto questo (e sottolineando ciò per chiarire) ci sono davvero alcuni exploit incredibilmente rari ed esoterici di "zero-day" che potrebbero essere fonte di preoccupazione in alcuni casi limite . Ma in generale, come utente finale, è necessario fare di tutto per consentire a un sito Web di accedere ai documenti sul proprio sistema. Finché il tuo sistema operativo è patchato e i browser aggiornati, sei al sicuro. E anche nei casi in cui non si è patchati e aggiornati (e sottolineando di nuovo questo per chiarire) il rischio è ancora incredibilmente basso .

L'unica preoccupazione per un sito Web che "potrebbe non essere sicuro al 100%" (come affermato dalla domanda originale e presumo HTTPS rispetto al semplice HTTP) è che quando si trasmettono i dati avanti e indietro HTTPS è crittografato e HTTP non crittografato.

Il rischio è quindi se si digita qualcosa nel sito tramite un modulo e simili, se il sito è semplice HTTP, i dati che si stanno trasmettendo sono solo testo che chiunque abbia uno sniffer di pacchetti ha il potenziale per leggere. Ma questa è una piccola possibilità al massimo.

Come se tu fossi su una rete Wi-Fi pubblica conosciuta, forse qualcuno è su quella rete con te e potenzialmente sta acquisendo pacchetti e quindi potrebbe rilevare ciò che stai digitando.

In generale, se ci si trova su una rete protetta a casa o altrove, e il browser e il sistema operativo sono sottoposti a patch, si è "sicuri".

Un sito Web "insicuro" è davvero un problema solo se si inviano dati a loro o si scarica un elemento da detto sito Web che eseguirà il codice sul sistema.

JakeGould
fonte
56

In base alla progettazione, i browser non lo consentono, ma esiste sempre la possibilità di un bug che può essere sfruttato per ottenere un livello superiore di accesso al sistema. Questi bug sono abbastanza rari e sempre risolti molto rapidamente, quindi questo è principalmente un problema se il tuo sistema operativo o browser non è aggiornato. Entrambi questi aggiornamenti automatici ora quindi non disabilitare gli aggiornamenti automatici e si può essere sicuri di un livello abbastanza buono di protezione contro i siti Web dannosi.

Qwertie
fonte
8
Vale la pena notare che un giorno pari a zero vale centinaia di migliaia per le persone giuste, quindi è probabile che a meno che tu non sia davvero interessante, non verrà utilizzato contro di te.
Adonalsium,
1
@Adonalsium - Hai solo bisogno di una carta di credito per essere interessante per tutte le ... giuste ... persone.
Paolo,
5
@Paul Se qualcuno acquistasse un giorno zero a sei cifre per rubare alcune carte di credito, sarebbe un po 'triste. Dovresti rubare migliaia prima ancora di avvicinarti a recuperare i tuoi soldi, e questo è se inneschi ogni singola bandiera rossa e la bruci in un attacco. Al contrario, centomila per rubare segreti statali o aziendali ... è molto più probabile.
Finanzi la causa di Monica il
1
@Adonalsium per un giorno zero sì, ma exploit su vecchie versioni è conoscenza pubblica gratuita. E ci sono ancora poche persone che eseguono vecchie versioni di IE o Silverlight.
Qwertie,
3
@Paul Certo, è facile: sono stati rubati attraverso exploit che non sarebbero costati centinaia di migliaia di dollari da acquistare e hanno un rendimento garantito molto più elevato rispetto a un difetto del browser per il furto di carta di credito. Anche cose come il social engineering e i database di webstore compromessi possono compromettere una carta di credito. Se leggerai gentilmente il mio vero commento, non avrei mai detto che il furto della carta di credito non accade - ed è così che lo leggi - ma che un potente zero-day del browser non verrà bruciato sulla carta di credito di qualche rando.
Finanzia la causa di Monica il
43

Un computer remoto non può accedere a nulla sul tuo computer senza l'aiuto di software cooperativo sul tuo computer.

Nel caso in cui utilizzi il computer per visitare un sito Web non attendibile, stai utilizzando il software del browser sul computer per avviare richieste Web (protocollo HTTP o HTTPS) per ricevere dati dal computer remoto. In questo semplice modello, il computer remoto non ha assolutamente accesso al tuo computer, ma ... i browser hanno alcune funzionalità che complicano questa immagine.

I browser moderni hanno una funzione che ti consente di caricare file dal tuo computer. Un sito Web può includere un modulo che utilizza questa funzione. Questa funzione non consente al sito Web di visualizzare il tuo computer. Quando il tuo browser elabora un tale modulo, ti presenta un controllo di selezione dei file; il tuo browser può vedere i file sul tuo computer e quando fai una selezione, il tuo browser invia il contenuto di quel file e solo quel file al sistema remoto. Il modo in cui questa funzione funziona porta alcune persone a credere che il sito Web possa vedere i file sul tuo computer quando in realtà non è possibile.

Tutti i browser moderni hanno motori JavaScript incorporati. Il sito Web può includere codice JavaScript che deve essere eseguito dal browser. Quando il browser riceve JavaScript in una pagina, in genere lo eseguirà automaticamente. JavaScript viene normalmente utilizzato per migliorare l'esperienza dell'utente; ha alcune capacità e alcune limitazioni. Il motore JavaScript non può "vedere" sul tuo computer - non può vedere i tuoi file o cosa potrebbe succedere in altri programmi, ma può indirizzare il browser a caricare altri file dallo stesso sito - immagini, pagine, ecc. JavaScript potrebbe far tentare almeno al browser di scaricare ed eseguire un programma che potrebbe avere un maggiore accesso o controllo sul proprio sistema. Mentre JavaScript stesso è limitato in ciò che può fare sul tuo computer,

TL; DR: un sito Web non attendibile non può di per sé vedere nel tuo computer. Tuttavia, un sito può tentare di indurti a scaricare ed eseguire software dannoso. Tale software potrebbe potenzialmente fare qualsiasi cosa sul tuo computer. Il tuo browser non dovrebbe scaricare automaticamente tale software; per lo meno, dovrebbe richiedere la tua esplicita accettazione. Un sito Web dannoso potrebbe tuttavia tentare di indurti a dare tale accettazione.

Zenilogix
fonte
1
Grazie per la risposta. questo è stato informativo
john doe,
12
+1 Questa dovrebbe essere la risposta accettata. Se il sito non è affidabile, non c'è differenza tra HTTP e HTTPS. È JavaScript e i meccanismi di sicurezza del browser che contano.
rexkogitans,
3
Cooperazione operativa: windows stesso.
dice Val Reinstate Monica il
@val - Lo espanderò a tutti i sistemi operativi, per essere onesti. Se passi il tempo, troverai i buchi.
Paul,
12

In teoria no, in pratica: sì, è certamente possibile.

Questo è il motivo per cui gli utenti esperti hanno estensioni del browser che disabilitano sempre gli script, ad eccezione dei siti Web esplicitamente autorizzati che li richiedono e che contrastano molti altri attacchi come la falsificazione di richieste tra siti e quant'altro.

Gli exploit che consentono l'esecuzione di codice in modalità remota o l'accesso ai file locali vengono pubblicati quasi ogni mese. Due esempi recenti per un noto browser sono 1 e 2 . Esempi per un altro browser ben noto sono 3 e 4 .

(Le precedenti sono vulnerabilità casuali che ho selezionato senza alcuna ragione ovvia in mente, inoltre sono nel frattempo tutte riparate con le versioni più recenti, a mia conoscenza.)

Gli attacchi del browser non solo consentono a un sito Web di accedere ai file, ma in linea di principio possono consentire al sito Web di assumere il controllo del computer, nel peggiore dei casi. Il problema non è limitato ai browser, vedi la vulnerabilità della videochiamata di WhatsApp per un esempio recente. C'è stato un exploit in una particolare serie ampiamente diffusa di router DSL circa un anno fa che avrebbe consentito a un sito Web dannoso di assumere il controllo del router anche in presenza di una password, se solo visitassi il sito Web dal tuo computer.

Il livello di stupidità necessario per il successo di un attacco varia. Per alcuni attacchi, l'utente finale deve essere davvero, davvero stupido. Per alcuni attacchi, l'utente deve essere in qualche modo inconsapevole per una frazione di secondo. E alcuni attacchi funzioneranno anche senza che l'utente faccia qualcosa di stupido purché siano soddisfatte alcune condizioni particolari.

Damon
fonte
3

In generale un sito Web non può accedere ai file sul disco rigido o alle loro meta informazioni. Tuttavia dovresti essere consapevole di un paio di cose:

  • potrebbero esserci dei difetti di sicurezza nel tuo browser, che consentono agli aggressori di dirottare il tuo browser o persino il tuo sistema
  • a seconda del browser, i siti Web dannosi possono apprendere molto su di te e sul computer che stai utilizzando. Per una breve panoramica, consulta qui: http://webkay.robinlinus.com/
  • il modo migliore per proteggere i tuoi file è tenerli lontani da Internet. Archivia i tuoi file su un'unità esterna e accedili solo tramite computer offline. Questo potrebbe essere scomodo ma sicuro
Nikita Malyschkin
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.