Questo potrebbe essere paranoico, ma se vado su un sito Web dannoso, possono dire cosa c'è dentro un PDF sul mio desktop o cosa c'è dentro le mie immagini sul mio disco rigido?
Ho un Chromebook e un computer Windows.
Questo potrebbe essere paranoico, ma se vado su un sito Web dannoso, possono dire cosa c'è dentro un PDF sul mio desktop o cosa c'è dentro le mie immagini sul mio disco rigido?
Ho un Chromebook e un computer Windows.
Risposte:
Questo potrebbe essere paranoico, ma se vado su un sito Web che potrebbe non essere sicuro al 100%, possono dire cosa c'è dentro il PDF del desktop del mio disco rigido o cosa c'è dentro le mie immagini sul mio disco rigido?
In generale, a meno che tu non dia loro esplicitamente l'accesso al tuo disco rigido o ai documenti sul tuo disco rigido, allora no, un sito Web non sicuro non sarà in grado di accedere a nulla.
Detto questo (e sottolineando ciò per chiarire) ci sono davvero alcuni exploit incredibilmente rari ed esoterici di "zero-day" che potrebbero essere fonte di preoccupazione in alcuni casi limite . Ma in generale, come utente finale, è necessario fare di tutto per consentire a un sito Web di accedere ai documenti sul proprio sistema. Finché il tuo sistema operativo è patchato e i browser aggiornati, sei al sicuro. E anche nei casi in cui non si è patchati e aggiornati (e sottolineando di nuovo questo per chiarire) il rischio è ancora incredibilmente basso .
L'unica preoccupazione per un sito Web che "potrebbe non essere sicuro al 100%" (come affermato dalla domanda originale e presumo HTTPS rispetto al semplice HTTP) è che quando si trasmettono i dati avanti e indietro HTTPS è crittografato e HTTP non crittografato.
Il rischio è quindi se si digita qualcosa nel sito tramite un modulo e simili, se il sito è semplice HTTP, i dati che si stanno trasmettendo sono solo testo che chiunque abbia uno sniffer di pacchetti ha il potenziale per leggere. Ma questa è una piccola possibilità al massimo.
Come se tu fossi su una rete Wi-Fi pubblica conosciuta, forse qualcuno è su quella rete con te e potenzialmente sta acquisendo pacchetti e quindi potrebbe rilevare ciò che stai digitando.
Un sito Web "insicuro" è davvero un problema solo se si inviano dati a loro o si scarica un elemento da detto sito Web che eseguirà il codice sul sistema.
In base alla progettazione, i browser non lo consentono, ma esiste sempre la possibilità di un bug che può essere sfruttato per ottenere un livello superiore di accesso al sistema. Questi bug sono abbastanza rari e sempre risolti molto rapidamente, quindi questo è principalmente un problema se il tuo sistema operativo o browser non è aggiornato. Entrambi questi aggiornamenti automatici ora quindi non disabilitare gli aggiornamenti automatici e si può essere sicuri di un livello abbastanza buono di protezione contro i siti Web dannosi.
Nel caso in cui utilizzi il computer per visitare un sito Web non attendibile, stai utilizzando il software del browser sul computer per avviare richieste Web (protocollo HTTP o HTTPS) per ricevere dati dal computer remoto. In questo semplice modello, il computer remoto non ha assolutamente accesso al tuo computer, ma ... i browser hanno alcune funzionalità che complicano questa immagine.
I browser moderni hanno una funzione che ti consente di caricare file dal tuo computer. Un sito Web può includere un modulo che utilizza questa funzione. Questa funzione non consente al sito Web di visualizzare il tuo computer. Quando il tuo browser elabora un tale modulo, ti presenta un controllo di selezione dei file; il tuo browser può vedere i file sul tuo computer e quando fai una selezione, il tuo browser invia il contenuto di quel file e solo quel file al sistema remoto. Il modo in cui questa funzione funziona porta alcune persone a credere che il sito Web possa vedere i file sul tuo computer quando in realtà non è possibile.
Tutti i browser moderni hanno motori JavaScript incorporati. Il sito Web può includere codice JavaScript che deve essere eseguito dal browser. Quando il browser riceve JavaScript in una pagina, in genere lo eseguirà automaticamente. JavaScript viene normalmente utilizzato per migliorare l'esperienza dell'utente; ha alcune capacità e alcune limitazioni. Il motore JavaScript non può "vedere" sul tuo computer - non può vedere i tuoi file o cosa potrebbe succedere in altri programmi, ma può indirizzare il browser a caricare altri file dallo stesso sito - immagini, pagine, ecc. JavaScript potrebbe far tentare almeno al browser di scaricare ed eseguire un programma che potrebbe avere un maggiore accesso o controllo sul proprio sistema. Mentre JavaScript stesso è limitato in ciò che può fare sul tuo computer,
TL; DR: un sito Web non attendibile non può di per sé vedere nel tuo computer. Tuttavia, un sito può tentare di indurti a scaricare ed eseguire software dannoso. Tale software potrebbe potenzialmente fare qualsiasi cosa sul tuo computer. Il tuo browser non dovrebbe scaricare automaticamente tale software; per lo meno, dovrebbe richiedere la tua esplicita accettazione. Un sito Web dannoso potrebbe tuttavia tentare di indurti a dare tale accettazione.
Questo è il motivo per cui gli utenti esperti hanno estensioni del browser che disabilitano sempre gli script, ad eccezione dei siti Web esplicitamente autorizzati che li richiedono e che contrastano molti altri attacchi come la falsificazione di richieste tra siti e quant'altro.
Gli exploit che consentono l'esecuzione di codice in modalità remota o l'accesso ai file locali vengono pubblicati quasi ogni mese. Due esempi recenti per un noto browser sono 1 e 2 . Esempi per un altro browser ben noto sono 3 e 4 .
(Le precedenti sono vulnerabilità casuali che ho selezionato senza alcuna ragione ovvia in mente, inoltre sono nel frattempo tutte riparate con le versioni più recenti, a mia conoscenza.)
Gli attacchi del browser non solo consentono a un sito Web di accedere ai file, ma in linea di principio possono consentire al sito Web di assumere il controllo del computer, nel peggiore dei casi. Il problema non è limitato ai browser, vedi la vulnerabilità della videochiamata di WhatsApp per un esempio recente. C'è stato un exploit in una particolare serie ampiamente diffusa di router DSL circa un anno fa che avrebbe consentito a un sito Web dannoso di assumere il controllo del router anche in presenza di una password, se solo visitassi il sito Web dal tuo computer.
Il livello di stupidità necessario per il successo di un attacco varia. Per alcuni attacchi, l'utente finale deve essere davvero, davvero stupido. Per alcuni attacchi, l'utente deve essere in qualche modo inconsapevole per una frazione di secondo. E alcuni attacchi funzioneranno anche senza che l'utente faccia qualcosa di stupido purché siano soddisfatte alcune condizioni particolari.
In generale un sito Web non può accedere ai file sul disco rigido o alle loro meta informazioni. Tuttavia dovresti essere consapevole di un paio di cose: