Um site malicioso pode acessar o conteúdo de arquivos em um computador?

Navegue suas respostas
27

Isso pode ser paranóico, mas se eu for a um site mal-intencionado, eles poderão dizer o que há dentro de um PDF na minha área de trabalho ou o que está dentro das minhas imagens no meu disco rígido?

Eu tenho um Chromebook e uma máquina Windows.

    
por john doe 15.10.2018 / 01:05

5 respostas

33

A menos que você conceda explicitamente um site - que é seguro (HTTPS) ou inseguro (HTTP) - acessando um item em seu sistema, esse site não terá acesso a esse item em seu sistema.

This might be paranoid, but if I go to a website that might not be 100% secure, can they tell what is inside my hard drive desktop's PDF or what is inside my images on my hard drive?

Em geral, a menos que você conceda explicitamente acesso ao seu disco rígido ou a documentos no disco rígido, não, um site inseguro não conseguirá acessar nada.

Dito isso (e enfatizando isso para deixar claro) existem realmente algumas façanhas incrivelmente raras - e esotéricas - de "dia zero" que podem ser motivo de preocupação em alguns casos extremos Mas, em geral, você, como usuário final, precisa se esforçar para permitir que um site tenha acesso a documentos em seu sistema. Enquanto o seu sistema operacional estiver atualizado e os navegadores estiverem atualizados, você estará seguro. E mesmo nos casos em que você não é corrigido e atualizado (e novamente enfatizando isso para deixar claro) o risco ainda é incrivelmente baixo .

A única preocupação com um site que "pode não ser 100% seguro" (conforme a pergunta original e eu Estou assumindo HTTPS versus HTTP simples) é que quando você transmitir dados e para trás HTTPS é criptografado e HTTP não é criptografado.

O risco é se você digitar algo no site através de um formulário e tal, se o site for HTTP simples, então os dados que você está transmitindo são apenas texto claro que qualquer um com um sniffer de pacotes tem o potencial em> ler. Mas essa é uma pequena chance na melhor das hipóteses.

Como se você estivesse em uma rede Wi-Fi pública conhecida, talvez alguém esteja nessa rede com você e potencialmente capturando pacotes e, assim, possa detectar o que você está digitando.

Em geral, se você estiver em uma rede segura em casa ou em outro lugar - e seu navegador e sistema operacional estiverem corrigidos - você estará "a salvo".

Um site "inseguro" só é uma preocupação se você enviar dados para eles ou fizer o download de um item do site que executará o código em seu sistema.

    
por 15.10.2018 / 01:58
56

Por design, os navegadores não permitem isso, mas há sempre a possibilidade de um bug que pode ser explorado para obter um nível mais alto de acesso ao seu sistema. Esses bugs são bastante raros e sempre são corrigidos muito rapidamente, então isso é um problema se o seu sistema operacional ou navegador estiverem desatualizados. Essas duas atualizações automáticas agora não desativam as atualizações automáticas, e você pode ter certeza de um nível bastante bom de proteção contra sites maliciosos.

    
por 15.10.2018 / 06:45
43

Um computador remoto não pode acessar nada no seu computador sem o auxílio de um software cooperativo em seu computador.

No caso de você usar seu computador para visitar um site não confiável, você está usando o software do navegador em seu computador para iniciar solicitações da Web (o protocolo HTTP ou HTTPS) para receber dados do computador remoto. Neste modelo simples, o computador remoto não tem absolutamente nenhum acesso ao seu computador, mas os navegadores têm alguns recursos que complicam essa imagem.

Navegadores modernos têm um recurso que permite fazer upload de arquivos do seu computador. Um site pode incluir um formulário que faz uso desse recurso. Esse recurso não oferece ao site uma visão do seu computador. Quando seu navegador processa esse formulário, ele apresenta um controle de seleção de arquivos; seu navegador pode ver os arquivos em seu computador e, quando você faz uma seleção, seu navegador envia o conteúdo desse arquivo e apenas esse arquivo para o sistema remoto. A maneira como esse recurso funciona leva algumas pessoas a acreditarem que o site pode ver arquivos em seu computador quando realmente não é possível.

Todos os navegadores modernos têm mecanismos JavaScript integrados neles. O site pode incluir código JavaScript que deve ser executado pelo seu navegador. Quando o navegador recebe JavaScript em uma página, normalmente ele é executado automaticamente. JavaScript é normalmente usado para melhorar a experiência do usuário; tem certas capacidades e algumas limitações. O mecanismo de JavaScript não pode "ver" em seu computador - não pode ver seus arquivos ou o que pode estar acontecendo em outros programas, mas pode direcionar o navegador para carregar outros arquivos do mesmo site - imagens, páginas, etc. JavaScript pode fazer com que o navegador tente ao menos baixar e executar um programa que possa ter maior acesso ou controle sobre o seu sistema. Embora o JavaScript em si seja limitado no que pode ser feito em seu computador, é possível que um programador malicioso use JavaScript para enganar um usuário desavisado a fazer o download de um programa mais capaz e malicioso.

TL; DR: Um site não confiável não pode ver sozinho em seu computador. Mas, um site pode tentar enganá-lo para baixar e executar softwares mal-intencionados. Tal software poderia potencialmente fazer qualquer coisa no seu computador. Seu navegador não deve baixar automaticamente esse software; no mínimo, deve exigir sua aceitação explícita. Um site malicioso pode, no entanto, tentar induzi-lo a dar essa aceitação.

    
por 15.10.2018 / 04:25
12

Em teoria, não, na prática: Sim, isso é certamente possível.

Esse é o motivo pelo qual usuários experientes têm extensões de navegador que desativam o script em todos os momentos, exceto sites explicitamente permitidos que os solicitam e que impedem muitos outros ataques, como falsificação de solicitações entre sites e outros detalhes.

As explorações que permitem a execução remota de código ou permitem acessar arquivos locais são publicadas quase todos os meses. Dois exemplos recentes de um navegador bem conhecido são 1 e 2 . Exemplos de outro navegador conhecido são 3 e 4 .

(Os itens acima são vulnerabilidades aleatórias que eu escolhi sem nenhuma razão óbvia em mente, mas também estão todas corrigidas com as versões mais recentes, que eu saiba).

Os ataques do navegador podem não apenas permitir que um site acesse arquivos, eles podem, em princípio, permitir que o site assuma o controle do computador, no pior dos casos. O problema não está limitado a navegadores, consulte a vulnerabilidade de videochamadas WhatsApp para um exemplo recente. Houve uma exploração em uma série de roteadores DSL implantados há um ano, o que permitiria que um site malicioso assumisse seu roteador mesmo na presença de uma senha, se você visitasse o site do seu computador.

O nível de estupidez necessário para um ataque ser bem sucedido varia. Para alguns ataques, o usuário final deve ser muito, muito estúpido. Para alguns ataques, o usuário deve estar apenas um pouco inconsciente por uma fração de segundo. E alguns ataques funcionarão mesmo sem que o usuário faça nada estúpido, desde que algumas condições particulares sejam atendidas.

    
por 16.10.2018 / 13:07
3

Em geral, um site não pode acessar arquivos em seu disco rígido ou suas meta informações. No entanto, você deve estar ciente de algumas coisas:

  • pode haver falhas de segurança em seu navegador, que permite que invasores invadam seu navegador ou até mesmo seu sistema
  • dependendo do seu navegador, sites maliciosos podem aprender muito sobre você e o computador que você está usando.Para ter uma visão geral, veja aqui: link
  • a melhor maneira de manter seus arquivos seguros é mantê-los longe da internet. Armazene seus arquivos em uma unidade externa e acesse-os somente por meio de computadores off-line. Isso pode ser inconveniente, mas seguro
por 16.10.2018 / 10:15

Tags

Como obtenho o Notepad ++ para associar um tipo de arquivo a um idioma? [duplicado] Como removo o Candy Crush Saga do Windows 10?