恶意网站可以访问计算机上文件的内容吗？

27

这可能是偏执狂，但是如果我访问了一个恶意网站，他们能否告诉我台式机上PDF的内容或硬盘上图像的内容？

我有一台Chromebook和一台Windows计算机。

windows security chromebook

— 约翰·杜
source

是否应将其指定给特定的浏览器？我以为不是所有的浏览器在这方面都同样安全？IE Flash对于这样的东西是一个巨大的漏洞，不是吗？如果不是特定于浏览器，则可能应限于给定HTML规范的某个版本或其他任何版本。

— TankorSmash

1

考虑到幽灵-可能。

— user253751 '18

13

这可能更适合于信息安全

— phuclv

1

这是可能的，但是它很小，因此您不必担心。您应该担心网站可以访问网络浏览器中存储的其他信息。Cookies可以存储有关您的非常脆弱的个人信息，这些网站可以窃取这些信息。

— mathreadler '18

1

如果您想让自己更偏执，请在准系统linux虚拟机中运行浏览器

— Richie Frame

33

除非您明确授予网站（安全（HTTPS）或不安全（HTTP））的访问权限，否则该网站将无权访问系统上的该项目。

这可能有点偏执，但是如果我访问的网站可能不是100％安全的，他们能否告诉我硬盘桌面PDF的内容或硬盘图像的内容？

通常，除非您明确允许他们访问您的硬盘驱动器或硬盘驱动器上的文档，否则，不安全的网站将无法访问任何内容。

就是说（并强调这一点以使其变得清楚），确实确实存在着一些极为罕见且深奥的“零时差”漏洞，在某些情况下可能会引起关注。但总的来说，作为最终用户，您需要竭尽所能，以允许网站访问您系统上的文档。只要您的操作系统已打补丁且浏览器是最新的，您就可以安全使用。即使在您未打补丁和升级的情况下（再次强调这一点也很清楚），风险仍然非常低。

一个网站“可能不是100％安全”的唯一问题（正如最初的问题所述，我假设HTTPS与纯HTTP相比）是，当您来回传输数据时，HTTPS是加密的，而HTTP不是加密的。

这样做的风险是，如果您通过某种形式在站点中键入内容，例如，如果站点是纯HTTP，则您所传输的数据就是纯文本，任何具有数据包嗅探器的人都有可能读取。但这只是极小的机会。

就像您在已知的公共Wi-Fi网络上一样，也许有人在您的网络上，并且有可能捕获数据包，从而可以检测到您正在输入的内容。

通常，如果您位于家庭或其他地方的安全网络上，并且浏览器和操作系统已打补丁，则“安全”。

仅当您向其发送数据或从该网站下载将在系统上运行代码的项目时，“不安全”的网站才真正成为问题。

— 杰克·古尔德
source

56

根据设计，浏览器不允许这样做，但总有可能会利用一个漏洞来获取对系统的更高级别的访问。这些错误很少见，并且总是很快修复，因此如果您的操作系统或浏览器已过时，这主要是一个问题。现在，这两个自动更新都不会禁用自动更新，因此您可以确保对恶意网站的保护水平相当高。

— Qwertie
source

8

值得一提的是，对于一个正确的人来说，这样一个零日值得数十万，所以除非您真的很有趣，否则机会将不会对您不利。

— Adonalsium

1

@Adonalsium-您只需要一张信用卡就可以使所有... 正确的人都感兴趣。

— 保罗

5

@Paul如果有人购买了一个六位数的零日时间来窃取一些信用卡，那会有些伤心。您必须先窃取成千上万笔钱，然后才能赚钱，也就是说，如果您触发每个危险信号并在一次攻击中将其烧掉。相比之下，十万个窃取国家或企业机密的可能性更大。

— 基金莫妮卡的诉讼

1

@Adonalsium为零日，是的，但是对旧版本的利用是免费的公共知识。而且仍然有少数人在运行旧版本的IE或silverlight。

— Qwertie

3

@Paul Sure，这很容易：它们是通过无需花费数十万美元购买的漏洞就被盗的，并且保证的回报率比信用卡盗窃的浏览器漏洞要高得多。诸如社会工程学和网络商店数据库被黑之类的事情也可能危害信用卡。如果您能读懂我的实际评论，我从来没有说过不会发生信用卡盗窃的情况（这就是您的阅读方式），但是某些rando的信用卡不会消耗强大的浏览器零时差。

— 基金莫妮卡的诉讼

43

如果没有计算机上的协作软件，远程计算机将无法访问计算机上的任何内容。

如果您使用计算机访问不受信任的网站，则您正在使用计算机上的浏览器软件来发起Web请求（HTTP或HTTPS协议）以从远程计算机接收数据。在这个简单的模型中，远程计算机绝对无法访问您的计算机，但是 ...浏览器具有使此图片复杂化的某些功能。

现代浏览器具有一项功能，可让您从计算机上载文件。网站可能包含使用此功能的表格。此功能无法使网站查看您的计算机。当您的浏览器处理这样的表单时，它将为您提供文件选择控件。您的浏览器可以看到您计算机上的文件，并且当您进行选择时，浏览器会将该文件的内容发送给远程系统，并且仅将该文件的内容发送给远程系统。此功能的工作方式使某些人认为，该网站实际上无法访问您的计算机上的文件。

所有现代浏览器都内置有JavaScript引擎。该网站可能包含旨在由您的浏览器执行的JavaScript代码。当浏览器在页面中接收到JavaScript时，通常会自动执行它。JavaScript通常用于增强用户体验。它具有某些功能和某些限制。JavaScript引擎无法“看到”您的计算机-无法看到您的文件或其他程序中可能发生的情况，但是它可以指示浏览器从同一站点加载其他文件-图像，页面等。 JavaScript可以使浏览器至少尝试下载和执行程序，这些程序可能对您的系统具有更大的访问权或对其进行控制。尽管JavaScript本身在计算机上的功能受到限制，

TL; DR：不受信任的网站本身无法查看您的计算机。但是，站点可以尝试诱使您下载和执行恶意软件。此类软件可能会在您的计算机上执行任何操作。您的浏览器不应自动下载此类软件；至少，它应该要求您明确接受。但是，恶意网站可能会试图诱使您接受这种接受。

— Zenilogix
source

1

感谢您的答复。这很有信息

— 约翰·多伊

12

+1这应该是公认的答案。如果站点不可靠，则HTTP和HTTPS之间没有区别。重要的是JavaScript和浏览器的安全机制。

— rexkogitans '18 -10-15

3

合作软件：windows本身。

— 瓦尔说，恢复莫妮卡

@val-公平地说，我会将其扩展到所有操作系统。如果您花时间，就会发现漏洞。

— 保罗

12

从理论上讲，在实践中是：是的，这肯定是可能的。

这就是为什么精明的用户拥有始终禁用脚本功能的浏览器扩展程序的原因，除了需要白名单的网站将其明确列入白名单之外，并且阻止了许多其他攻击，例如跨站点请求伪造和其他攻击。

几乎每个月都会发布允许远程执行代码或访问本地文件的漏洞。一个知名浏览器的两个最新示例是1和2。另一个知名浏览器的示例是3和4。

（以上是我在没有明显原因的情况下选择的随机漏洞，据我所知，它们同时都已通过最新版本修复。）

浏览器攻击不仅可以使网站访问文件，而且在最坏的情况下，它们原则上可以使网站完全接管您的计算机。该问题不仅限于浏览器，有关最新示例，请参阅WhatsApp视频通话漏洞。大约在一年前，在广泛部署的一系列DSL路由器中存在一个利用漏洞，即使您只有通过计算机访问该网站，该恶意网站也可以在没有密码的情况下接管您的路由器。

成功进行攻击所需的愚蠢程度会有所不同。对于某些攻击，最终用户必须非常非常愚蠢。对于某些攻击，用户仅需稍稍不察觉。只要满足某些特定条件，即使用户根本不做任何愚蠢的事情，某些攻击也将起作用。

— 达蒙
source

3

通常，网站无法访问您的硬盘驱动器上的文件或其元信息。但是，您应该注意以下几点：

您的浏览器中可能存在安全漏洞，攻击者可以利用这些漏洞劫持您的浏览器甚至系统
取决于您的浏览器，恶意网站可以了解您和您所使用的计算机的信息。有关概述，请参见：http ://webkay.robinlinus.com/
确保文件安全的最佳方法是使文件远离互联网。将文件存储在外部驱动器上，并且只能通过脱机计算机访问它们。这可能不方便但安全

— 尼基塔·马利什金（Nikita Malyschkin）
source