悪意のあるWebサイトがコンピュータ上のファイルの内容にアクセスすることはできますか?
これは妄想的かもしれませんが、悪意のあるWebサイトにアクセスした場合、デスクトップのPDFの内部にあるもの、またはハードドライブの画像の内部にあるものがわかりますか?
ChromebookとWindowsマシンを持っています。
セキュア(HTTPS)または非セキュア(HTTP)のWebサイトをシステム上のアイテムに明示的に許可しない限り、そのWebサイトはシステム上のそのアイテムにアクセスできません。
これは妄想かもしれませんが、100%安全でない可能性のあるWebサイトにアクセスした場合、ハードドライブデスクトップのPDFまたはハードドライブの画像の中に何があるのかを教えてもらえますか?
一般に、ハードドライブ(またはハードドライブ上のドキュメント)へのアクセスを明示的に許可しない限り、安全でないWebサイトは何にもアクセスできません。
とは言っても(そしてこれを明確にするために強調する)、実際にはいくつかの非常にまれで、難解な「ゼロデイ」エクスプロイトがありますmightエッジケース。しかし、一般的に、エンドユーザーは、Webサイトがシステム上のドキュメントにアクセスできるようにするために、邪魔にならないようにする必要があります。 OSにパッチが適用され、ブラウザが最新である限り、安全です。また、パッチを適用してアップグレードしていない場合(そして、これを明確にするためにこれを強調している場合)でも、リスクは非常に低くなっています。
「100%安全ではないかもしれない」というウェブサイトの唯一の懸念は、 (元の質問で述べたように であり、HTTPSとプレーンHTTPを想定しています) HTTPは暗号化されません。
リスクは、フォームなどを介してサイトに何かを入力した場合、サイトがプレーンHTTPである場合、送信するデータは、パケットスニファーを持つユーザーがpotential to読む。しかし、それはせいぜいわずかなチャンスです。
既知のパブリックWi-Fiネットワーク上にいる場合と同様に、誰かがそのネットワーク上にいて、潜在的にパケットをキャプチャしているため、入力内容を検出できます。
一般に、自宅または他の場所の安全なネットワーク上にあり、ブラウザとOSにパッチが適用されている場合、「安全」です。
「安全でない」ウェブサイトは、データを送信したり、システム上でコードを実行するアイテムをそのウェブサイトからダウンロードした場合にのみ実際に問題になります。
設計上、ブラウザはこれを許可しませんが、システムへのより高いレベルのアクセスを取得するために悪用される可能性があるバグの可能性が常にあります。これらのバグは非常にまれで、常に非常に早く修正されるので、これは主にあなたのOSやブラウザが古くなっている場合に問題になります。これら2つの自動アップデートは両方とも無効になっていないので、悪意のあるWebサイトに対するかなり良いレベルの保護を確信できます。
リモートコンピュータは、コンピュータ上のソフトウェアを連携させずにコンピュータ上のものにアクセスすることはできません。
信頼されていないWebサイトにアクセスするためにコンピュータを使用している場合は、リモートコンピュータからデータを受信するためにWeb要求(HTTPまたはHTTPSプロトコル)を開始するためにコンピュータ上のブラウザソフトウェアを使用しています。この単純なモデルでは、リモートコンピュータはあなたのコンピュータに絶対にアクセスできません。しかし...ブラウザには、この図を複雑にするいくつかの機能があります。
最近のブラウザには、コンピュータからファイルをアップロードできる機能があります。ウェブサイトはこの機能を利用するフォームを含むかもしれません。この機能は、Webサイトからコンピュータを見ることはできません。ブラウザがこのようなフォームを処理すると、ファイル選択コントロールが表示されます。あなたのブラウザはあなたのコンピュータ上のファイルを見ることができます、そしてあなたが選択をするとき、あなたのブラウザはそのファイルの内容だけをリモートシステムに送ります。この機能のしくみは、実際には見えないときにWebサイトがあなたのコンピュータ上のファイルを見ることができると信じる人々を導きます。
最近のブラウザにはすべてJavaScriptエンジンが組み込まれています。 Webサイトには、ブラウザによって実行されることを意図したJavaScriptコードが含まれている場合があります。ブラウザがページ内のJavaScriptを受け取ると、通常自動的にそれを実行します。 JavaScriptは通常、ユーザーエクスペリエンスを向上させるために使用されます。それは特定の機能といくつかの制限があります。 JavaScriptエンジンはあなたのコンピュータを「見る」ことはできません - あなたのファイルや他のプログラムで何が起こっているのか見ることはできませんが、ブラウザは同じサイトから他のファイルを読み込むように指示できます。 JavaScriptはブラウザに少なくともあなたのシステムにもっとアクセスしたり制御したりするプログラムをダウンロードして実行させようとするかもしれません。 JavaScript自体はコンピュータ上でできることに制限がありますが、それでも悪意のあるプログラマがJavaScriptを利用して疑いを持たないユーザをだましてより有能で悪意のあるプログラムをダウンロードさせることは可能です。
TL; DR:信頼できないWebサイトは、それ自体ではあなたのコンピュータを見ることはできません。しかし、サイトは悪意のあるソフトウェアをダウンロードして実行するように仕向けることを試みることができます。そのようなソフトウェアはあなたのコンピュータ上で潜在的に何かをする可能性があります。あなたのブラウザはそのようなソフトウェアを自動的にダウンロードするべきではありません。少なくとも、それはあなたの明示的な承認を必要とするはずです。悪意のあるWebサイトは、しかしながら、そのような承認を与えるためにあなたをだまそうとするかもしれません。
理論的にはいいえ、実際には:はい、それは確かに可能です。
これが、熟練したユーザーが、それらを必要とする明示的にホワイトリストに登録されたWebサイトや、クロスサイトリクエストフォージェリなどの他の多くの攻撃を阻止するブラウザ拡張を常時無効にする理由です。
リモートでコードが実行される、またはローカルファイルにアクセスすることができるエクスプロイトは、ほぼ毎月公開されています。 1つの有名なブラウザの最近の例としては、 1 と 2 があります。他のよく知られたブラウザの例は 3 と 4 です。
(上記は、私が選んだランダムな脆弱性であり、明白な理由はありません。また、私の知る限りでは、これらはすべて最新バージョンで修正されています。)
ブラウザ攻撃は、Webサイトがファイルにアクセスすることを許可するだけでなく、原則としてWebサイトがあなたのコンピュータを完全に引き継ぐことを可能にします、最悪の場合。この問題はブラウザに限定されず、最近の例についてはWhatsAppビデオ通話の脆弱性を参照してください。 1年ほど前にDSLルーターの特定の広範囲に展開された一連の悪用がありました。これは悪意のあるWebサイトがあなたのルーターを引き継ぐパスワードがあっても可能になりますあなたがあなたのコンピュータからウェブサイトを訪れたのであれば。
攻撃が成功するのに必要な愚かさのレベルはさまざまです。一部の攻撃では、エンドユーザーは本当に愚かでなければなりません。一部の攻撃では、ユーザーはほんの一瞬だけ気付かないでいる必要があります。そして、いくつかの攻撃は、特定の条件が満たされている限り、ユーザーがまったく愚かなことをしなくても機能します。
一般に、Webサイトはハードドライブ上のファイルやそのメタ情報にアクセスすることはできません。それにもかかわらず、あなたはいくつかのことに注意するべきです:
- お使いのブラウザにセキュリティ上の欠陥がある可能性があります。これにより、攻撃者がブラウザやシステムをハイジャックする可能性があります
- お使いのブラウザによっては、悪意のあるWebサイトがあなたと使用しているコンピュータについて非常に詳しく知ることができます。概要については、次のサイトを参照してください。 http://webkay.robinlinus.com/
- あなたのファイルを安全に保つための最良の方法は、インターネットからそれらを遠ざけることです。ファイルを外付けドライブに保存し、オフラインのコンピュータからのみアクセスしてください。これは不便かもしれませんが安全です