Kann eine böswillige Website auf den Inhalt von Dateien auf einem Computer zugreifen?

27

Das mag paranoid sein, aber wenn ich auf eine schädliche Website gehe, können sie dann erkennen, was sich in einem PDF auf meinem Desktop oder in meinen Bildern auf meiner Festplatte befindet?

Ich habe ein Chromebook und einen Windows-Computer.

John Doe
quelle
Sollte dies für einen bestimmten Browser angegeben werden? Ich würde mir vorstellen, dass nicht alle Browser in dieser Hinsicht gleich sicher sind. IE Flash war eine große Sicherheitslücke für solche Dinge, nicht wahr? Wenn es nicht spezifisch für einen Browser ist, sollte es möglicherweise auf eine bestimmte Version einer bestimmten HTML-Spezifikation oder was auch immer beschränkt sein.
TankorSmash
1
Unter Berücksichtigung von Spectre - möglicherweise.
user253751
13
Dies könnte besser für Informationssicherheit
phuclv
1
Es ist eine Möglichkeit, aber es ist so gering, dass Sie sich darüber keine Sorgen machen sollten. Sie sollten sich Gedanken darüber machen, auf welche anderen in Ihrem Webbrowser gespeicherten Informationen die Website zugreifen kann. Cookies können sehr anfällige persönliche Informationen über Sie speichern, die von solchen Websites abgerufen werden können.
Kathreadler
1
Wenn Sie besonders paranoid sein möchten, führen Sie Ihren Browser in einer virtuellen Barebones-Linux-Maschine aus
Richie Frame

Antworten:

33

Sofern Sie einer Website, die sicher (HTTPS) oder unsicher (HTTP) ist, nicht ausdrücklich Zugriff auf ein Element auf Ihrem System gewähren, hat diese Website keinen Zugriff auf dieses Element auf Ihrem System.

Das mag paranoid sein, aber wenn ich zu einer Website gehe, die möglicherweise nicht 100% sicher ist, können sie dann erkennen, was sich in der PDF-Datei meines Festplatten-Desktops befindet oder was sich in meinen Bildern auf meiner Festplatte befindet?

Im Allgemeinen kann eine unsichere Website nur dann auf etwas zugreifen, wenn Sie ihnen explizit Zugriff auf Ihre Festplatte oder auf Dokumente auf Ihrer Festplatte gewähren.

Das heißt (und dies unterstreicht, um es klar zu machen), es gibt tatsächlich einige unglaublich seltene - und esoterische - Zero-Day-Exploits, die in einigen Randfällen Anlass zur Sorge geben könnten . Im Allgemeinen müssen Sie als Endbenutzer jedoch alles daran setzen, einer Website den Zugriff auf Dokumente auf Ihrem System zu ermöglichen. Solange Ihr Betriebssystem gepatcht ist und die Browser auf dem neuesten Stand sind, sind Sie sicher. Und selbst in Fällen, in denen Sie nicht gepatcht und aufgerüstet sind (und dies nochmals unterstreichen, um es deutlich zu machen), ist das Risiko immer noch unglaublich gering .

Das einzige Problem mit einer Website, die möglicherweise nicht 100% sicher ist (wie in der ursprünglichen Frage angegeben und ich gehe davon aus, dass HTTPS im Vergleich zu einfachem HTTP steht), ist, dass bei der Datenübertragung HTTPS verschlüsselt und HTTP nicht verschlüsselt wird.

Die Gefahr ist dann , wenn man etwas in die Website über ein Formular und eine solche geben, wenn die Site Plain - HTTP ist dann die Daten , die Sie übertragen werden , ist nur Klartext , dass jeder mit einem Paket - Sniffer das hat Potential zu lesen. Aber das ist bestenfalls eine geringe Chance.

Wenn Sie sich in einem bekannten öffentlichen Wi-Fi-Netzwerk befinden, ist möglicherweise jemand in diesem Netzwerk und erfasst möglicherweise Pakete und kann so erkennen, was Sie eingeben.

Im Allgemeinen sind Sie "sicher", wenn Sie sich zu Hause oder anderswo in einem sicheren Netzwerk befinden und Ihr Browser und Betriebssystem gepatcht sind.

Eine "unsichere" Website ist nur dann wirklich ein Problem, wenn Sie Daten an diese senden oder einen Artikel von dieser Website herunterladen, der Code auf Ihrem System ausführt.

JakeGould
quelle
56

Konstruktionsbedingt erlauben Browser dies nicht, es besteht jedoch immer die Möglichkeit, dass ein Fehler ausgenutzt wird, um einen höheren Grad an Zugriff auf Ihr System zu erhalten. Diese Fehler sind ziemlich selten und werden immer sehr schnell behoben. Dies ist hauptsächlich dann ein Problem, wenn Ihr Betriebssystem oder Browser veraltet ist. Beide Updates werden jetzt automatisch aktualisiert. Deaktivieren Sie die automatischen Updates also nicht, und Sie können sicher sein, dass Sie einen recht guten Schutz vor böswilligen Websites haben.

Qwertie
quelle
8
Es ist erwähnenswert, dass ein solcher Nulltag Hunderttausende für die richtigen Leute wert ist. Wenn Sie also nicht wirklich interessant sind, wird er nicht gegen Sie eingesetzt.
Adonalsium
1
@Adonalsium - Sie brauchen nur eine Kreditkarte, um für alle ... richtigen ... Leute interessant zu sein .
Paul
5
@Paul Wenn jemand einen Zero-Day im sechsstelligen Bereich gekauft hätte, um ein paar Kreditkarten zu stehlen, wäre das ein bisschen traurig. Sie müssten Tausende stehlen, bevor Sie Ihr Geld zurückerhalten könnten, und das ist, wenn Sie jede einzelne rote Fahne auslösen und sie bei einem Angriff verbrennen. Im Gegensatz dazu, hunderttausend Staats- oder Unternehmensgeheimnisse zu stehlen ... das ist viel wahrscheinlicher.
Fund Monicas Klage
1
@Adonalsium für einen Zero Day ja, aber Exploits auf alten Versionen sind kostenlos. Und es gibt immer noch ein paar Leute, die alte Versionen von IE oder Silverlight verwenden.
Qwertie
3
@Paul Sicher, es ist einfach: Sie wurden durch Exploits gestohlen, deren Anschaffung nicht hunderttausende von Dollar kosten würde und deren garantierte Rendite viel höher ist als die eines Browsers bei Kreditkartendiebstahl. Dinge wie Social Engineering und gehackte Webstore-Datenbanken können auch eine Kreditkarte gefährden. Wenn Sie meinen aktuellen Kommentar lesen möchten, habe ich nie gesagt, dass kein Kreditkartendiebstahl stattfindet - so lesen Sie es -, aber dass ein leistungsfähiger Zero-Day-Browser nicht auf der Kreditkarte von Rando brennt.
Fund Monica's Lawsuit
43

Ein Remotecomputer kann ohne die Hilfe von Software auf Ihrem Computer nicht auf etwas auf Ihrem Computer zugreifen.

Wenn Sie mit Ihrem Computer eine nicht vertrauenswürdige Website besuchen, verwenden Sie eine Browsersoftware auf Ihrem Computer, um Webanforderungen (das HTTP- oder HTTPS-Protokoll) zum Empfangen von Daten vom Remotecomputer aus zu initiieren. In diesem einfachen Modell hat der Remote - Computer überhaupt keinen Zugriff auf Ihren Computer, aber ... Browser hat einige Funktionen , die das Bild komplizieren.

Moderne Browser verfügen über eine Funktion, mit der Sie Dateien von Ihrem Computer hochladen können. Eine Website kann ein Formular enthalten, in dem diese Funktion verwendet wird. Diese Funktion gibt der Website keinen Einblick in Ihren Computer. Wenn Ihr Browser ein solches Formular verarbeitet, erhalten Sie eine Dateiauswahlsteuerung. Ihr Browser kann die Dateien auf Ihrem Computer sehen, und wenn Sie eine Auswahl treffen, sendet Ihr Browser den Inhalt dieser Datei und nur diese Datei an das ferne System. Die Funktionsweise dieser Funktion lässt manche Leute glauben, dass die Website Dateien auf Ihrem Computer sehen kann, wenn dies tatsächlich nicht möglich ist.

In allen modernen Browsern sind JavaScript-Engines integriert. Die Website enthält möglicherweise JavaScript-Code, der von Ihrem Browser ausgeführt werden soll. Wenn der Browser JavaScript auf einer Seite empfängt, wird es normalerweise automatisch ausgeführt. JavaScript wird normalerweise verwendet, um die Benutzerfreundlichkeit zu verbessern. Es hat bestimmte Fähigkeiten und einige Einschränkungen. Die JavaScript-Engine "sieht" nicht in Ihren Computer - kann Ihre Dateien oder die Vorgänge in anderen Programmen nicht sehen, kann jedoch den Browser anweisen, andere Dateien von derselben Site zu laden - Bilder, Seiten usw. Mit JavaScript könnte der Browser zumindest versuchen, ein Programm herunterzuladen und auszuführen, das möglicherweise einen besseren Zugriff auf Ihr System oder eine bessere Kontrolle über Ihr System hat. Während JavaScript selbst begrenzt ist, was es auf Ihrem Computer tun kann,

TL; DR: Eine nicht vertrauenswürdige Website kann nicht automatisch auf Ihren Computer zugreifen. Eine Site kann jedoch versuchen, Sie zum Herunterladen und Ausführen von schädlicher Software zu verleiten. Diese Software kann möglicherweise alles auf Ihrem Computer tun. Ihr Browser sollte solche Software nicht automatisch herunterladen. Zumindest sollte dies Ihre ausdrückliche Zustimmung erfordern. Eine böswillige Website könnte jedoch versuchen, Sie zu einer solchen Akzeptanz zu verleiten.

Zenilogix
quelle
1
Danke für Ihre Antwort. Das war informativ
John Doe
12
+1 Dies sollte die akzeptierte Antwort sein. Wenn die Site nicht vertrauenswürdig ist, gibt es keinen Unterschied zwischen HTTP und HTTPS. Entscheidend sind JavaScript und die Sicherheitsmechanismen des Browsers.
Rexkogitans
3
Mitwirkende Soft: Windows selbst.
Val sagt Reinstate Monica
@val - Ich würde das auf alle Betriebssysteme ausweiten, um fair zu sein. Wenn Sie Zeit verbringen, finden Sie die Löcher.
Paul
12

In der Theorie nein, in der Praxis: Ja, das ist durchaus möglich.

Dies ist der Grund, warum erfahrene Benutzer über Browser-Erweiterungen verfügen, die die Skripterstellung zu jeder Zeit deaktivieren, mit Ausnahme von Websites, für die eine explizite Whitelist gilt und die viele andere Angriffe wie die Fälschung von Cross-Site-Anfragen und so weiter verhindern.

Exploits, die Remotecodeausführung oder den Zugriff auf lokale Dateien ermöglichen, werden fast jeden Monat veröffentlicht. Zwei aktuelle Beispiele für einen bekannten Browser sind 1 und 2 . Beispiele für einen anderen bekannten Browser sind 3 und 4 .

(Dies sind zufällige Sicherheitslücken, die ich ohne ersichtlichen Grund ausgewählt habe. Soweit ich weiß, sind sie mittlerweile alle mit den neuesten Versionen behoben.)

Browser-Angriffe können einer Website nicht nur den Zugriff auf Dateien ermöglichen, sondern im schlimmsten Fall auch die vollständige Übernahme Ihres Computers durch die Website. Das Problem ist nicht auf Browser beschränkt. Ein aktuelles Beispiel finden Sie unter WhatsApp-Videoanruf-Sicherheitsanfälligkeit. Vor etwa einem Jahr gab es einen Exploit in einer besonders weit verbreiteten Serie von DSL-Routern, der es einer böswilligen Website ermöglichte , Ihren Router auch bei Vorhandensein eines Kennworts zu übernehmen, wenn Sie die Website nur von Ihrem Computer aus besuchten.

Das Maß an Dummheit, das für einen erfolgreichen Angriff erforderlich ist, variiert. Für einige Angriffe muss der Endbenutzer wirklich, wirklich dumm sein. Für einige Angriffe muss der Benutzer nur für den Bruchteil einer Sekunde etwas ahnungslos sein. Und manche Angriffe funktionieren auch dann, wenn der Benutzer überhaupt nichts Dummes tut, solange bestimmte Bedingungen erfüllt sind.

Damon
quelle
3

Im Allgemeinen kann eine Website nicht auf Dateien auf Ihrer Festplatte oder deren Metainformationen zugreifen. Trotzdem sollten Sie sich einiger Dinge bewusst sein:

  • Möglicherweise weist Ihr Browser Sicherheitslücken auf, durch die Angreifer Ihren Browser oder sogar Ihr System missbrauchen können
  • Abhängig von Ihrem Browser können böswillige Websites ziemlich viel über Sie und den von Ihnen verwendeten Computer erfahren. Einen kleinen Überblick finden Sie hier: http://webkay.robinlinus.com/
  • Der beste Weg, um Ihre Dateien zu schützen, besteht darin, sie vom Internet fernzuhalten. Speichern Sie Ihre Dateien auf einem externen Laufwerk und greifen Sie nur über Offline-Computer darauf zu. Dies kann unpraktisch, aber sicher sein
Nikita Malyschkin
quelle