Das mag paranoid sein, aber wenn ich auf eine schädliche Website gehe, können sie dann erkennen, was sich in einem PDF auf meinem Desktop oder in meinen Bildern auf meiner Festplatte befindet?
Ich habe ein Chromebook und einen Windows-Computer.
Das mag paranoid sein, aber wenn ich auf eine schädliche Website gehe, können sie dann erkennen, was sich in einem PDF auf meinem Desktop oder in meinen Bildern auf meiner Festplatte befindet?
Ich habe ein Chromebook und einen Windows-Computer.
Antworten:
Das mag paranoid sein, aber wenn ich zu einer Website gehe, die möglicherweise nicht 100% sicher ist, können sie dann erkennen, was sich in der PDF-Datei meines Festplatten-Desktops befindet oder was sich in meinen Bildern auf meiner Festplatte befindet?
Im Allgemeinen kann eine unsichere Website nur dann auf etwas zugreifen, wenn Sie ihnen explizit Zugriff auf Ihre Festplatte oder auf Dokumente auf Ihrer Festplatte gewähren.
Das heißt (und dies unterstreicht, um es klar zu machen), es gibt tatsächlich einige unglaublich seltene - und esoterische - Zero-Day-Exploits, die in einigen Randfällen Anlass zur Sorge geben könnten . Im Allgemeinen müssen Sie als Endbenutzer jedoch alles daran setzen, einer Website den Zugriff auf Dokumente auf Ihrem System zu ermöglichen. Solange Ihr Betriebssystem gepatcht ist und die Browser auf dem neuesten Stand sind, sind Sie sicher. Und selbst in Fällen, in denen Sie nicht gepatcht und aufgerüstet sind (und dies nochmals unterstreichen, um es deutlich zu machen), ist das Risiko immer noch unglaublich gering .
Das einzige Problem mit einer Website, die möglicherweise nicht 100% sicher ist (wie in der ursprünglichen Frage angegeben und ich gehe davon aus, dass HTTPS im Vergleich zu einfachem HTTP steht), ist, dass bei der Datenübertragung HTTPS verschlüsselt und HTTP nicht verschlüsselt wird.
Die Gefahr ist dann , wenn man etwas in die Website über ein Formular und eine solche geben, wenn die Site Plain - HTTP ist dann die Daten , die Sie übertragen werden , ist nur Klartext , dass jeder mit einem Paket - Sniffer das hat Potential zu lesen. Aber das ist bestenfalls eine geringe Chance.
Wenn Sie sich in einem bekannten öffentlichen Wi-Fi-Netzwerk befinden, ist möglicherweise jemand in diesem Netzwerk und erfasst möglicherweise Pakete und kann so erkennen, was Sie eingeben.
Eine "unsichere" Website ist nur dann wirklich ein Problem, wenn Sie Daten an diese senden oder einen Artikel von dieser Website herunterladen, der Code auf Ihrem System ausführt.
Konstruktionsbedingt erlauben Browser dies nicht, es besteht jedoch immer die Möglichkeit, dass ein Fehler ausgenutzt wird, um einen höheren Grad an Zugriff auf Ihr System zu erhalten. Diese Fehler sind ziemlich selten und werden immer sehr schnell behoben. Dies ist hauptsächlich dann ein Problem, wenn Ihr Betriebssystem oder Browser veraltet ist. Beide Updates werden jetzt automatisch aktualisiert. Deaktivieren Sie die automatischen Updates also nicht, und Sie können sicher sein, dass Sie einen recht guten Schutz vor böswilligen Websites haben.
Wenn Sie mit Ihrem Computer eine nicht vertrauenswürdige Website besuchen, verwenden Sie eine Browsersoftware auf Ihrem Computer, um Webanforderungen (das HTTP- oder HTTPS-Protokoll) zum Empfangen von Daten vom Remotecomputer aus zu initiieren. In diesem einfachen Modell hat der Remote - Computer überhaupt keinen Zugriff auf Ihren Computer, aber ... Browser hat einige Funktionen , die das Bild komplizieren.
Moderne Browser verfügen über eine Funktion, mit der Sie Dateien von Ihrem Computer hochladen können. Eine Website kann ein Formular enthalten, in dem diese Funktion verwendet wird. Diese Funktion gibt der Website keinen Einblick in Ihren Computer. Wenn Ihr Browser ein solches Formular verarbeitet, erhalten Sie eine Dateiauswahlsteuerung. Ihr Browser kann die Dateien auf Ihrem Computer sehen, und wenn Sie eine Auswahl treffen, sendet Ihr Browser den Inhalt dieser Datei und nur diese Datei an das ferne System. Die Funktionsweise dieser Funktion lässt manche Leute glauben, dass die Website Dateien auf Ihrem Computer sehen kann, wenn dies tatsächlich nicht möglich ist.
In allen modernen Browsern sind JavaScript-Engines integriert. Die Website enthält möglicherweise JavaScript-Code, der von Ihrem Browser ausgeführt werden soll. Wenn der Browser JavaScript auf einer Seite empfängt, wird es normalerweise automatisch ausgeführt. JavaScript wird normalerweise verwendet, um die Benutzerfreundlichkeit zu verbessern. Es hat bestimmte Fähigkeiten und einige Einschränkungen. Die JavaScript-Engine "sieht" nicht in Ihren Computer - kann Ihre Dateien oder die Vorgänge in anderen Programmen nicht sehen, kann jedoch den Browser anweisen, andere Dateien von derselben Site zu laden - Bilder, Seiten usw. Mit JavaScript könnte der Browser zumindest versuchen, ein Programm herunterzuladen und auszuführen, das möglicherweise einen besseren Zugriff auf Ihr System oder eine bessere Kontrolle über Ihr System hat. Während JavaScript selbst begrenzt ist, was es auf Ihrem Computer tun kann,
TL; DR: Eine nicht vertrauenswürdige Website kann nicht automatisch auf Ihren Computer zugreifen. Eine Site kann jedoch versuchen, Sie zum Herunterladen und Ausführen von schädlicher Software zu verleiten. Diese Software kann möglicherweise alles auf Ihrem Computer tun. Ihr Browser sollte solche Software nicht automatisch herunterladen. Zumindest sollte dies Ihre ausdrückliche Zustimmung erfordern. Eine böswillige Website könnte jedoch versuchen, Sie zu einer solchen Akzeptanz zu verleiten.
Dies ist der Grund, warum erfahrene Benutzer über Browser-Erweiterungen verfügen, die die Skripterstellung zu jeder Zeit deaktivieren, mit Ausnahme von Websites, für die eine explizite Whitelist gilt und die viele andere Angriffe wie die Fälschung von Cross-Site-Anfragen und so weiter verhindern.
Exploits, die Remotecodeausführung oder den Zugriff auf lokale Dateien ermöglichen, werden fast jeden Monat veröffentlicht. Zwei aktuelle Beispiele für einen bekannten Browser sind 1 und 2 . Beispiele für einen anderen bekannten Browser sind 3 und 4 .
(Dies sind zufällige Sicherheitslücken, die ich ohne ersichtlichen Grund ausgewählt habe. Soweit ich weiß, sind sie mittlerweile alle mit den neuesten Versionen behoben.)
Browser-Angriffe können einer Website nicht nur den Zugriff auf Dateien ermöglichen, sondern im schlimmsten Fall auch die vollständige Übernahme Ihres Computers durch die Website. Das Problem ist nicht auf Browser beschränkt. Ein aktuelles Beispiel finden Sie unter WhatsApp-Videoanruf-Sicherheitsanfälligkeit. Vor etwa einem Jahr gab es einen Exploit in einer besonders weit verbreiteten Serie von DSL-Routern, der es einer böswilligen Website ermöglichte , Ihren Router auch bei Vorhandensein eines Kennworts zu übernehmen, wenn Sie die Website nur von Ihrem Computer aus besuchten.
Das Maß an Dummheit, das für einen erfolgreichen Angriff erforderlich ist, variiert. Für einige Angriffe muss der Endbenutzer wirklich, wirklich dumm sein. Für einige Angriffe muss der Benutzer nur für den Bruchteil einer Sekunde etwas ahnungslos sein. Und manche Angriffe funktionieren auch dann, wenn der Benutzer überhaupt nichts Dummes tut, solange bestimmte Bedingungen erfüllt sind.
Im Allgemeinen kann eine Website nicht auf Dateien auf Ihrer Festplatte oder deren Metainformationen zugreifen. Trotzdem sollten Sie sich einiger Dinge bewusst sein: