网站本身有危险吗？

Question

我确实知道存在网络钓鱼风险，并且它会下载打开时可能造成损害的文件。但是，当我只是打开一个网站时，是否存在发生不良情况的风险？那样的话，会发生什么呢？

Answer 1

Web 浏览器是与任何其他软件一样可能存在漏洞的程序。

这意味着，在最坏的情况下，仅使用具有远程执行代码漏洞的 Web 浏览器浏览网站可能会导致攻击者能够在 Web 浏览器的许可下执行代码。

现代网络浏览器使用沙箱系统来防止此类代码造成损害，但这些系统并不完美，黑客可能会找到逃离沙箱并感染您的系统的方法。

Google、Mozilla、Apple 等网络浏览器的开发人员在了解这些漏洞后就会关闭这些漏洞，但许多漏洞以“零日漏洞”的形式出现，这意味着它们首先被用来攻击用户，然后才会收到通知，例如由反病毒公司通知网络浏览器开发人员。然后必须开发一个固定版本并将其分发给所有用户，这可能需要一些时间。

总之，您可以说，如果您运气不好并且您的网络浏览器中存在未修复的漏洞，那么浏览网站可能会损害您的计算机。

由于大量此类漏洞需要 JavaScript，因此最好对可疑网页禁用 JavaScript。您可以使用 NoScript 等附加组件来执行此操作。

Answer 2

如果您查看这一代和上一代视频游戏机（PlayStation 4 和 5、Xbox One 和 Series），就会发现 Web 浏览器用于利用固件中的错误来访问通常不可用的功能。想要利用其控制台的用户访问一个专门准备的网站，基本上就是这样。相同的漏洞可用于恶意目的。

是的，这与 PC 是一个很好的类比：这些控制台像任何个人计算机一样运行操作系统，并且它们的浏览器基于 Webkit - 与为绝大多数桌面浏览器提供支持的引擎相同*。

为什么这样的漏洞在 PC 上并不常见？我想主要是因为桌面浏览器供应商在保持浏览器处于最新状态方面做得更好。所有主要浏览器都是常青的，即。他们会在最新版本发布后立即自动更新到最新版本。对于控制台，浏览器与固件捆绑在一起，他们似乎没有很好地保持其最新状态 - 可能是因为它与系统的其余部分集成得更紧密，并且他们无力重新测试每次发布小补丁时，一切都要彻底。

* 更准确地说，Chrome 及其一些相关产品由基于 Webkit 的 Blink 引擎提供支持。Firefox 是目前最流行的无 Webkit 浏览器，但同样的原则也适用。

Answer 3

如果浏览器存在漏洞，网站可能会很危险。但即使您的浏览器中没有任何漏洞，根据您的定义，它们也可能是危险的。

• 他们可能会利用其他网站中的漏洞，例如窃取您的帐户，或绕过互联网与本地网络之间的防火墙。或者他们只是尝试使用您的浏览器对另一个网站进行 DDoS，这可能会对该网站造成损害，或者让您被其他网站阻止，或者两者兼而有之。
• 他们可以运行加密货币的挖掘脚本。
• 在某些情况下，它们可能会通过使用大量资源来使您的系统冻结。
• 如果该链接是专门为您设计的，它会泄露您的 IP 和位置信息、一些系统信息和设置，以及您实际单击它的事实，这意味着您已阅读该消息。
• 如果您通过使用某些类型的代理向 ISP 隐藏您的活动，理论上，如果您访问特定网站，他们可以通过测量带宽来了解您。
• 可能不是故意的，但它们可能会让一些第三方广告平台在接下来的几天内显示不友好的广告。
• 一些验证码提供商表示，他们可以分析用户的行为，并将流程简化为在某些情况下只需单击一下即可。我不知道它是如何工作的。但如果它有效，理论上他们可以通过复制你的行为来破坏它。