那些遇到过的问题

恶意网站能否访问计算机上的文件内容?

joh*_*doe 29 windows security chromebook

这可能有点偏执,但如果我访问一个恶意网站,他们能知道我桌面上的 PDF 里面有什么或者我硬盘上的图像里面有什么吗?

我有一台 Chromebook 和一台 Windows 机器。

Qwe*_*tie 56

根据设计,浏览器不允许这样做,但总有可能存在漏洞,可利用该漏洞获得更高级别的系统访问权限。这些错误相当罕见,而且总是很快得到修复,因此如果您的操作系统或浏览器已过时,这主要是一个问题。现在这两种自动更新,所以不要禁用自动更新,你可以确保对恶意网站的保护水平相当好。

  • 值得注意的是,这样的零日对于合适的人来说价值数十万,所以除非你真的很有趣,否则它不会被用来对付你。 (8认同)
  • @Paul如果有人购买了六位数的零日来窃取一些信用卡,那会有点难过。你必须偷_数千_,然后才能接近赚回你的钱,那就是如果你触发每一个红旗并在一次攻击中烧掉它。相比之下,窃取国家或公司机密的十万……可能性要大得多。 (5认同)
  • @Paul 当然,这很容易:它们是通过漏洞被盗的,这些漏洞不会花费 _数十万美元_ 来购买,并且比信用卡盗窃的浏览器缺陷有更高的保证回报。诸如社交工程和被黑客入侵的网上商店数据库之类的事情也可能危及信用卡。如果您愿意阅读我的实际评论,我从来没有说过信用卡盗窃不会发生——这就是你阅读它的方式——但是一个强大的浏览器零日不会在一些兰多的信用卡上被烧毁。 (3认同)

Zen*_*gix 44

如果没有计算机上的协作软件的帮助,远程计算机将无法访问您计算机上的任何内容。

如果您使用计算机访问不受信任的网站,则您正在使用计算机上的浏览器软件发起 Web 请求(HTTP 或 HTTPS 协议)以从远程计算机接收数据。在这个简单的模型中,远程计算机绝对无法访问您的计算机,但是……浏览器具有一些使此图片复杂化的功能。

现代浏览器具有允许您从计算机上传文件的功能。网站可能包含使用此功能的表单。此功能不会让网站查看您的计算机。当您的浏览器处理此类表单时,它会为您提供一个文件选择控件;您的浏览器可以看到您计算机上的文件,当您进行选择时,您的浏览器会将该文件的内容发送到远程系统,并且只会将该文件发送到远程系统。此功能的工作方式使某些人相信该网站可以查看您计算机上的文件,而实际上却看不到。

所有现代浏览器都内置了 JavaScript 引擎。该网站可能包含旨在由您的浏览器执行的 JavaScript 代码。当浏览器接收到页面中的 JavaScript 时,它通常会自动执行它。JavaScript 通常用于增强用户体验;它有一定的能力和一些限制。JavaScript 引擎无法“看到”您的计算机 - 无法看到您的文件或其他程序中可能发生的事情,但它可以指示浏览器从同一站点加载其他文件 - 图像、页面等。 . JavaScript 至少可以使浏览器尝试下载和执行可能对您的系统具有更大访问权或控制权的程序。虽然 JavaScript 本身在您的计算机上可以做的事情是有限的,

TL;DR:不受信任的网站本身无法查看您的计算机。但是,站点可能会试图诱骗您下载和执行恶意软件。此类软件可能会在您的计算机上执行任何操作。您的浏览器不应自动下载此类软件;至少,它应该要求您明确接受。但是,恶意网站可能会试图诱骗您给予此类接受。

  • +1 这应该是公认的答案。如果站点不可信,则 HTTP 和 HTTPS 之间没有区别。JavaScript 和浏览器的安全机制很重要。 (12认同)
  • 合作软:windows本身。 (3认同)

Gia*_*968 34

除非您明确授予网站(安全 (HTTPS) 或不安全 (HTTP))访问您系统上的项目的权限,否则该网站将无法访问您系统上的该项目。

这可能有点偏执,但如果我访问一个可能不是 100% 安全的网站,他们能知道我硬盘驱动器桌面 PDF 中的内容或硬盘驱动器上图像中的内容吗?

一般来说,除非您明确授予他们访问您的硬盘驱动器或硬盘驱动器上的文档的权限,否则不安全的网站将无法访问任何内容。

也就是说(并强调这一点以使其清楚)确实存在一些非常罕见且深奥的“零日”漏洞利用,在某些边缘情况下可能会引起关注。但总的来说,作为最终用户,您需要竭尽全力允许网站访问您系统上的文档。只要您的操作系统已打补丁并且浏览器是最新的,您就是安全的。即使在您没有打补丁和升级的情况下(并再次强调这一点以明确表示),风险仍然非常低

网站“可能不是 100% 安全”的唯一问题(如最初的问题所述,我假设 HTTPS 与普通 HTTP)是当您来回传输数据时,HTTPS 已加密,而 HTTP 未加密。

那么风险是,如果您通过表单等在站点中输入内容,如果站点是纯 HTTP,那么您传输的数据只是明文,任何使用数据包嗅探器的人都有可能读取。但这充其量只是一个渺茫的机会。

就像如果您在一个已知的公共 Wi-Fi 网络上,那么也许有人和您一起在该网络上并可能捕获数据包,从而可以检测到您正在输入的内容。

一般而言,如果您在家中或其他地方使用安全网络(并且您的浏览器和操作系统已打补丁),那么您就是“安全的”。

如果您向他们发送数据或从该网站下载将在您的系统上运行代码的项目,那么“不安全”网站才是真正值得关注的问题。

Dam*_*mon 13

理论上不,在实践中:是的,这当然是可能的。

这就是为什么精明的用户拥有始终禁用脚本的浏览器扩展的原因,除了需要它们的明确列入白名单的网站,并阻止许多其他攻击,例如跨站点请求伪造等。

几乎每个月都会发布允许远程代码执行或允许访问本地文件的漏洞利用。一个著名浏览器的两个最近示例是12。另一个著名浏览器的示例是34

(以上是我在没有明显原因的情况下选择的随机漏洞,据我所知,它们同时都已通过最新版本修复。)

浏览器攻击不仅可以让网站访问文件,而且在最坏的情况下,它们原则上可以让网站完全接管您的计算机。该问题不仅限于浏览器,有关最近的示例,请参阅 WhatsApp 视频通话漏洞。大约一年前,在一个广泛部署的 DSL 路由器系列中存在一个漏洞,即使存在密码,恶意网站也可以接管您的路由器,只要您从您的计算机访问该网站。

攻击成功所需的愚蠢程度各不相同。对于某些攻击,最终用户必须非常非常愚蠢。对于某些攻击,用户必须在一瞬间有点不知道。只要满足某些特定条件,即使用户根本不做任何愚蠢的事情,某些攻击也会起作用。

归档时间:

查看次数:

16187 次

最近记录:

6 年,11 月 前
相关归档
在 Windows 中使用 PuTTY 生成的 SSH 密钥连接到 github 27
如何从 Google Chrome 中删除安全证书例外? 26
使用远程桌面连接后桌面图标重新排列 6
使用/作为屏幕保护程序运行应用程序 5
在没有屏幕保护程序的情况下锁定空闲的 Windows 会话 5
如何使用ffmpeg在特定时间间隔内使用慢动作效果 5
我正在尝试使用批处理文件每天下午自动将我的桌面复制到云中。我可以使用其他驱动器执行此操作,但不能使用我的桌面 5
我的 " 和 ' 键开始出现奇怪的行为 - 它们需要多次按键才能出现在屏幕上 3
Windows 8 预览版将来会停止工作并需要不同的许可证吗? 3
以普通用户身份运行的批处理文件如何在 C: 驱动器上创建文件? 0
难疑归档
通过多跳的 SSH 隧道 423
如何在 Linux 中比较二进制文件? 374
为什么virtualbox在Windows 7上只有32位选项,没有64位选项? 338
我的猫坐在我的笔记本电脑上,现在我键盘的右侧输入了错误的字符 250
是否可以在蒸馏水中运行主板? 226
键入`ls -l`时,文件名后面的星号是什么意思? 202
如何从网站下载favicon? 150
在 Windows PowerShell 中复制和粘贴 122
如何在 Windows 中修改我的 Git Bash 配置文件? 104
Less:快速跳转到大文件中的行号 101