Bisakah situs web jahat mengakses konten file di komputer?

27

Ini mungkin paranoid, tetapi jika saya mengunjungi situs web jahat, bisakah mereka tahu apa yang ada di dalam PDF di desktop saya atau apa yang ada di dalam gambar saya di hard drive saya?

Saya memiliki Chromebook dan mesin Windows.

john doe
sumber
Haruskah ini ditentukan untuk browser tertentu? Saya membayangkan tidak semua browser sama amannya dalam hal ini? IE Flash adalah kerentanan besar untuk hal-hal seperti ini, bukan? Jika tidak khusus untuk browser, mungkin itu harus dibatasi pada versi tertentu dari spesifikasi HTML yang diberikan atau apa pun.
TankorSmash
1
Memperhatikan Spectre akun - mungkin.
user253751
13
ini mungkin lebih cocok untuk Keamanan Informasi
phuclv
1
Itu adalah suatu kemungkinan, tetapi ini sangat kecil sehingga ini bukan yang harus Anda perhatikan. Anda harus khawatir tentang informasi lain apa yang tersimpan di browser web Anda yang dapat diakses situs web. Cookie dapat menyimpan informasi pribadi yang sangat rentan tentang Anda yang mana situs tersebut dapat memancing.
mathreadler
1
Jika Anda ingin menjadi paranoid ekstra, jalankan browser Anda di dalam mesin virtual linux barebones
Richie Frame

Jawaban:

33

Kecuali Anda secara eksplisit memberikan situs web — yang aman (HTTPS) atau tidak aman (HTTP) —mengakses item di sistem Anda, situs web itu tidak akan memiliki akses ke item itu di sistem Anda.

Ini mungkin paranoid, tetapi jika saya mengunjungi situs web yang mungkin tidak 100% aman, dapatkah mereka memberi tahu apa yang ada di dalam PDF desktop hard drive saya atau apa yang ada di dalam gambar saya di hard drive saya?

Secara umum, kecuali jika Anda secara eksplisit memberi mereka akses ke hard drive Anda — atau dokumen pada hard drive Anda — maka tidak, situs web yang tidak aman tidak akan dapat mengakses apa pun.

Yang mengatakan (dan menekankan ini untuk memperjelas) memang ada beberapa eksploitasi yang sangat langka - dan esoterik - "zero-day" yang mungkin menjadi perhatian dalam beberapa kasus tepi . Tetapi secara umum, Anda — sebagai pengguna akhir — harus berusaha keras agar situs web dapat mengakses dokumen di sistem Anda. Selama OS Anda ditambal dan peramban diperbarui, Anda aman. Dan bahkan dalam kasus di mana Anda tidak ditambal dan ditingkatkan (dan sekali lagi menekankan ini untuk memperjelas) risikonya masih sangat rendah .

Satu-satunya masalah dengan situs web yang "mungkin tidak 100% aman" (seperti pertanyaan asli dinyatakan dan saya mengasumsikan HTTPS versus HTTP biasa) adalah bahwa ketika Anda mengirimkan data bolak-balik HTTPS dienkripsi dan HTTP tidak dienkripsi.

Maka risikonya adalah jika Anda mengetik sesuatu ke situs melalui formulir dan semacamnya, jika situs itu HTTP sederhana maka data yang Anda kirimkan hanyalah teks yang jelas bahwa siapa pun yang memiliki sniffer paket berpotensi membaca. Tapi itu peluang tipis yang terbaik.

Seperti jika Anda berada di jaringan Wi-Fi publik yang dikenal maka mungkin seseorang berada di jaringan itu bersama Anda dan berpotensi menangkap paket dan dengan demikian dapat mendeteksi apa yang Anda ketikkan.

Secara umum jika Anda berada di jaringan aman di rumah atau di tempat lain — dan browser serta OS Anda ditambal — Anda “aman.”

Situs web "tidak aman" hanya benar-benar menjadi masalah jika Anda mengirim data kepada mereka atau mengunduh item dari situs web tersebut yang akan menjalankan kode pada sistem Anda.

JakeGould
sumber
56

Perancang browser tidak mengizinkan ini tetapi selalu ada kemungkinan bug yang dapat dieksploitasi untuk mendapatkan tingkat akses yang lebih tinggi ke sistem Anda. Bug ini sangat jarang dan selalu diperbaiki dengan sangat cepat sehingga ini merupakan masalah utama jika OS atau browser Anda kedaluwarsa. Kedua pembaruan otomatis ini sekarang jadi jangan menonaktifkan pembaruan otomatis dan Anda dapat memastikan tingkat perlindungan yang cukup baik terhadap situs web berbahaya.

Qwertie
sumber
8
Perlu dicatat bahwa nol hari seperti itu bernilai ratusan ribu bagi orang yang tepat, jadi kemungkinannya kecuali Anda benar-benar menarik itu tidak akan digunakan untuk melawan Anda.
Adonalsium
1
@Adonalsium - Anda hanya perlu kartu kredit agar menarik bagi semua ... benar ... orang.
Paul
5
@ Paul Jika seseorang membeli enam digit nol hari untuk mencuri beberapa kartu kredit, itu akan sedikit sedih. Anda harus mencuri ribuan sebelum Anda bahkan bisa mendapatkan uang Anda kembali, dan itu jika Anda memicu setiap bendera merah dan membakarnya dalam satu serangan. Sebaliknya, seratus ribu untuk mencuri rahasia negara atau perusahaan ... itu jauh lebih mungkin.
Dana Gugatan Monica
1
@ Adonalsium selama nol hari ya tapi eksploitasi pada versi lama adalah pengetahuan umum gratis. Dan masih ada beberapa orang yang menjalankan versi lama IE atau silverlight.
Qwertie
3
@ Paa Tentu, mudah: Mereka dicuri melalui eksploitasi yang tidak akan membutuhkan biaya ratusan ribu dolar untuk membeli, dan memiliki jaminan pengembalian yang jauh lebih tinggi daripada cacat browser untuk pencurian kartu kredit. Hal-hal seperti rekayasa sosial dan database toko web yang diretas juga dapat membahayakan kartu kredit. Jika Anda dengan baik hati membaca komentar saya yang sebenarnya, saya tidak pernah mengatakan bahwa pencurian kartu kredit tidak terjadi - begitulah cara Anda membacanya - tetapi browser yang kuat zero-day tidak akan dibakar pada beberapa kartu kredit rando.
Dana Gugatan Monica
43

Komputer jarak jauh tidak dapat mengakses apa pun di komputer Anda tanpa bantuan perangkat lunak yang bekerja sama di komputer Anda.

Jika Anda menggunakan komputer Anda untuk mengunjungi situs web yang tidak terpercaya, Anda menggunakan perangkat lunak browser di komputer Anda untuk memulai permintaan web (protokol HTTP atau HTTPS) untuk menerima data dari komputer jarak jauh. Dalam model sederhana ini, komputer jarak jauh sama sekali tidak memiliki akses ke komputer Anda, tetapi ... browser memiliki beberapa fitur yang menyulitkan gambar ini.

Browser modern memiliki fitur yang memungkinkan Anda untuk mengunggah file dari komputer Anda. Situs web dapat menyertakan formulir yang memanfaatkan fitur ini. Fitur ini tidak memberikan tampilan situs web ke komputer Anda. Saat browser Anda memproses formulir seperti itu, ia memberi Anda kontrol pemilihan file; browser Anda dapat melihat file di komputer Anda, dan ketika Anda membuat pilihan, browser Anda mengirimkan konten file itu, dan hanya file itu ke sistem jarak jauh. Cara kerja fitur ini membuat beberapa orang percaya bahwa situs web dapat melihat file di komputer Anda padahal sebenarnya tidak bisa.

Semua browser modern memiliki mesin JavaScript. Situs web ini dapat menyertakan kode JavaScript yang dimaksudkan untuk dieksekusi oleh browser Anda. Ketika browser menerima JavaScript dalam sebuah halaman, biasanya browser akan menjalankannya secara otomatis. JavaScript biasanya digunakan untuk meningkatkan pengalaman pengguna; ia memiliki kemampuan tertentu dan beberapa batasan. Mesin JavaScript tidak dapat "melihat" ke komputer Anda - tidak dapat melihat file Anda atau apa yang mungkin terjadi di program lain, tetapi dapat mengarahkan browser untuk memuat file lain dari situs yang sama - gambar, halaman, dll. JavaScript dapat membuat browser setidaknya mencoba mengunduh dan menjalankan program yang mungkin memiliki akses atau kontrol lebih besar atas sistem Anda. Sementara JavaScript sendiri terbatas pada apa yang dapat dilakukan di komputer Anda,

TL; DR: Situs web yang tidak terpercaya tidak dapat dengan sendirinya melihat ke komputer Anda. Tetapi, sebuah situs dapat mencoba menipu Anda agar mengunduh dan menjalankan perangkat lunak berbahaya. Perangkat lunak semacam itu berpotensi melakukan apa saja di komputer Anda. Browser Anda seharusnya tidak secara otomatis mengunduh perangkat lunak tersebut; paling tidak, itu harus meminta penerimaan eksplisit Anda. Namun, situs web jahat dapat mencoba menipu Anda agar memberikan penerimaan seperti itu.

Zenilogix
sumber
1
Terima kasih atas balasannya. ini informatif
john doe
12
+1 Ini harus menjadi jawaban yang diterima. Jika situs tidak dapat dipercaya, tidak ada perbedaan antara HTTP dan HTTPS. JavaScript dan mekanisme keamanan browserlah yang penting.
rexkogitans
3
Co-operating soft: windows itu sendiri.
val berkata Reinstate Monica
@val - Saya akan memperluas itu ke semua sistem operasi, agar adil. Jika Anda menghabiskan waktu, Anda akan menemukan lubangnya.
Paul
12

Dalam teori tidak, dalam praktiknya: Ya, itu tentu saja mungkin.

Ini adalah alasan mengapa pengguna yang cerdas memiliki ekstensi peramban yang menonaktifkan scripting setiap saat kecuali untuk situs web yang masuk daftar putih secara eksplisit yang membutuhkannya, dan yang menggagalkan banyak serangan lain seperti pemalsuan permintaan lintas situs dan yang lainnya.

Eksploitasi yang memungkinkan eksekusi kode jarak jauh atau memungkinkan mengakses file lokal diterbitkan hampir setiap bulan. Dua contoh terbaru untuk satu browser terkenal adalah 1 dan 2 . Contoh untuk peramban terkenal lainnya adalah 3 dan 4 .

(Di atas adalah kerentanan acak yang saya pilih tanpa alasan yang jelas dalam pikiran, juga sementara mereka semua diperbaiki dengan versi terbaru, sepengetahuan saya.)

Serangan browser tidak hanya memungkinkan situs web untuk mengakses file, mereka pada prinsipnya memungkinkan situs web untuk mengambil alih komputer Anda secara keseluruhan, dalam kasus terburuk. Masalahnya tidak terbatas pada browser, lihat kerentanan panggilan video WhatsApp untuk contoh terbaru. Ada eksploitasi dalam seri router DSL yang disebarkan secara luas setahun atau lebih yang lalu yang akan memungkinkan situs web jahat mengambil alih router Anda bahkan di hadapan kata sandi, jika Anda hanya mengunjungi situs web dari komputer Anda.

Tingkat kebodohan yang diperlukan agar serangan agar berhasil bervariasi. Untuk beberapa serangan, pengguna akhir harus benar-benar bodoh. Untuk beberapa serangan, pengguna harus agak tidak sadar untuk sepersekian detik. Dan beberapa serangan akan bekerja bahkan tanpa pengguna melakukan sesuatu yang bodoh sama sekali selama beberapa kondisi tertentu terpenuhi.

Damon
sumber
3

Secara umum situs web tidak dapat mengakses file di hard drive Anda atau informasi meta mereka. Meskipun demikian, Anda harus mengetahui beberapa hal:

  • mungkin ada kelemahan keamanan di browser Anda, yang memungkinkan penyerang membajak browser Anda atau bahkan sistem Anda
  • tergantung pada peramban Anda, situs web berbahaya dapat mempelajari cukup banyak tentang Anda dan komputer yang Anda gunakan. Untuk tinjauan singkat lihat di sini: http://webkay.robinlinus.com/
  • cara terbaik untuk menjaga keamanan file Anda adalah dengan menjauhkannya dari internet. Simpan file Anda di drive eksternal dan hanya akses melalui komputer offline. Ini mungkin tidak nyaman tetapi aman
Nikita Malyschkin
sumber