Kann eine schädliche Website auf den Inhalt von Dateien auf einem Computer zugreifen?

12903
john doe

Dies könnte paranoid sein, aber wenn ich zu einer schädlichen Website gehe, können sie dann herausfinden, was sich in einem PDF auf meinem Desktop befindet oder was in meinen Bildern auf meiner Festplatte gespeichert ist.

Ich habe ein Chromebook und eine Windows-Maschine.

27
Sollte dies für einen bestimmten Browser angegeben werden? Ich könnte mir vorstellen, dass nicht alle Browser in dieser Hinsicht gleich sicher sind. IE Flash war eine große Sicherheitslücke für solche Sachen, nicht wahr? Wenn es nicht spezifisch für einen Browser ist, sollte es möglicherweise auf eine bestimmte Version einer bestimmten HTML-Spezifikation oder was auch immer beschränkt sein. TankorSmash vor 5 Jahren 0
Unter Berücksichtigung von Spectre - möglicherweise. user20574 vor 5 Jahren 1
Dies könnte auf [security.se] besser geeignet sein. phuclv vor 5 Jahren 12
@ user20574 Ich bin auf keinen Fall ein Experte, aber ich habe mit Spectre herumgesucht, und es scheint, als wäre das alles ... zwielichtig. Sicherlich nicht _impossible_, aber Sie müssten sich gezielt auf ein einzelnes Dateisystem auf einem einzelnen Computer mit einem bestimmten Browser konzentrieren, und selbst dann würde es nicht unbedingt funktionieren, da sich allerlei Sachen mit dem Cache im Cache befinden die API-Aufrufe im geöffneten Dateidialogfeld. Nic Hartley vor 5 Jahren 0
Um zu versuchen, in dieser Frage zu regieren, kann @johndoe klarstellen, dass damit gemeint ist, wenn jemand - trotz der neuesten gepatchten Betriebssysteme und Browser - eine schädliche Website besucht, deren System gefährdet ist. Am Ende des Tages zeigen die Kommentare zu meiner Antwort und den Kontext anderer Antworten, dass diese Frage als eine Frage interpretiert werden kann, dass "niemals Webbrowser verwendet werden", weil * alles * in der Datenverarbeitung (und im Leben) besteht risiken. Aber im Allgemeinen sollte man nicht vollkommen paranoid sein. Wenn diese Frage zu offen ist, neigen Bedeutungsinterpretationen stark zur Seite der Paranoiden. JakeGould vor 5 Jahren 0
Es ist eine Möglichkeit, aber es ist so klein, dass es nicht darum geht, worüber Sie sich Sorgen machen sollten. Sie sollten besorgt sein, welche anderen Informationen in Ihrem Webbrowser gespeichert sind, auf die die Website zugreifen kann. ** Cookies ** können sehr anfällige persönliche Informationen über Sie speichern, die von solchen Websites erfasst werden können. mathreadler vor 5 Jahren 1
Wenn Sie besonders paranoid sein möchten, führen Sie Ihren Browser in einer virtuellen Linux-Maschine mit Barebones aus Richie Frame vor 5 Jahren 1

5 Antworten auf die Frage

56
Qwertie

Browser erlauben dies zwar nicht, aber es besteht immer die Möglichkeit, dass ein Fehler ausgenutzt wird, um einen höheren Zugriff auf Ihr System zu erhalten. Diese Fehler sind ziemlich selten und werden immer sehr schnell behoben. Dies ist vor allem ein Problem, wenn das Betriebssystem oder der Browser veraltet ist. Bei beiden automatischen Aktualisierungen werden die automatischen Aktualisierungen jetzt nicht deaktiviert, und Sie können sich auf einen recht guten Schutz vor schädlichen Websites verlassen.

Erwähnenswert ist, dass solch ein Nulltag den richtigen Leuten Hunderttausende wert ist. Wenn Sie also nicht wirklich interessant sind, wird er nicht gegen Sie eingesetzt. Adonalsium vor 5 Jahren 8
@ Adonalsium - Sie benötigen nur eine Kreditkarte, um für alle ... * richtigen * ... Menschen interessant zu sein. Paul vor 5 Jahren 1
Ja! Verwenden Sie außerdem einen aktuellen, gut konfigurierten Router - wahrscheinlich verwenden Sie bereits einen Router -, damit der Remote-Standort nicht versuchen kann, Ihren Computer einfach durch das Erkennen Ihrer öffentlichen IP-Adresse zu hacken. Mathieu K. vor 5 Jahren 0
Und halten Sie Ihre Plugins auf dem neuesten Stand. Ich habe nicht darauf geachtet, wie das in diesen Tagen funktioniert. Mathieu K. vor 5 Jahren 0
@Paul Ich meine so etwas wie .. Nationalstaaten. Sie möchten Ihre Kreditkarte nicht, sie möchten auf Ihre Stromverteilungsnetzwerk-Controller oder was auch immer zugreifen. Adonalsium vor 5 Jahren 0
@Paul Wenn jemand einen sechsstelligen Zero-Day gekauft hat, um Kreditkarten zu stehlen, wäre das etwas traurig. Sie müssten _tausende_ stehlen, bevor Sie Ihr Geld fast zurückgewinnen könnten, und das ist, wenn Sie jede einzelne rote Flagge auslösen und bei einem Angriff verbrennen. Im Gegensatz dazu müssen hunderttausend Staats- oder Unternehmensgeheimnisse gestohlen werden ... das ist viel wahrscheinlicher. Nic Hartley vor 5 Jahren 5
@Adonalsium für einen Zero-Day-Tag, aber Ausnutzen alter Versionen ist öffentliches Wissen kostenlos. Und es gibt immer noch ein paar Leute, die alte Versionen von IE oder Silverlight verwenden. Qwertie vor 5 Jahren 1
@NicHartley - Möchten Sie das den Millionen von Menschen erklären, denen die Kartendetails gestohlen wurden? ... Ich bin einer von ihnen und ohne eigenes Verschulden. Paul vor 5 Jahren 0
@Adonalsium - Qwertie hat absolut recht. Sie müssen zunächst die WikiLeaks-Seiten lesen. Paul vor 5 Jahren 0
Bei der Antwort geht es darum, die Systeme auf dem neuesten Stand zu halten ... mein ursprünglicher Kommentar war IRT-aktualisierte Computer. Adonalsium vor 5 Jahren 0
@Paul Klar, es ist einfach: Sie wurden durch Exploits gestohlen, die nicht Hunderttausende von Dollar_ für den Kauf kosteten, und sie haben eine viel höhere garantierte Rendite als ein Browserfehler für den Diebstahl von Kreditkarten. Dinge wie Social Engineering und gehackte Webstore-Datenbanken können auch eine Kreditkarte gefährden. Wenn Sie meinen eigentlichen Kommentar lesen möchten, habe ich nie gesagt, dass Kreditkarten-Diebstahl nicht stattfindet - wie Sie ihn lesen -, aber dass ein leistungsfähiger Browser-Zero-Day nicht auf der Kreditkarte eines Randos verbrannt wird. Nic Hartley vor 5 Jahren 3
43
Zenilogix

Ein Remotecomputer kann ohne die Zusammenarbeitssoftware auf Ihrem Computer auf nichts auf Ihren Computer zugreifen.

Wenn Sie Ihren Computer für den Besuch einer nicht vertrauenswürdigen Website verwenden, verwenden Sie eine Browsersoftware auf Ihrem Computer, um Webanfragen (das HTTP- oder HTTPS-Protokoll) auszulösen, um Daten vom Remote-Computer zu empfangen. In diesem einfachen Modell hat der Remote-Computer absolut keinen Zugriff auf Ihren Computer, aber ... Browser verfügen über einige Funktionen, die dieses Bild komplizieren.

Moderne Browser verfügen über eine Funktion, mit der Sie Dateien von Ihrem Computer hochladen können. Eine Website kann ein Formular enthalten, das diese Funktion verwendet. Diese Funktion gibt der Website keinen Einblick in Ihren Computer. Wenn Ihr Browser ein solches Formular verarbeitet, erhalten Sie eine Dateiauswahlkontrolle. Ihr Browser kann die Dateien auf Ihrem Computer sehen. Wenn Sie eine Auswahl treffen, sendet Ihr Browser den Inhalt dieser Datei und nur diese Datei an das Remote-System. Die Funktionsweise dieser Funktion lässt vermuten, dass die Website Dateien auf Ihrem Computer sehen kann, wenn dies tatsächlich nicht möglich ist.

Alle modernen Browser verfügen über integrierte JavaScript-Engines. Die Website kann JavaScript-Code enthalten, der von Ihrem Browser ausgeführt werden soll. Wenn der Browser JavaScript auf einer Seite empfängt, wird es normalerweise automatisch ausgeführt. Normalerweise wird JavaScript verwendet, um die Benutzererfahrung zu verbessern. es hat bestimmte Fähigkeiten und einige Einschränkungen. Die JavaScript-Engine kann Ihren Computer nicht "sehen" - Ihre Dateien können nicht angezeigt werden oder was in anderen Programmen passiert, der Browser kann jedoch andere Dateien von derselben Website laden (Bilder, Seiten usw.). JavaScript kann den Browser zumindest dazu veranlassen, ein Programm herunterzuladen und auszuführen, das möglicherweise mehr Zugriff auf Ihr System hat oder die Kontrolle über Ihr System hat. Während JavaScript selbst nur eingeschränkte Möglichkeiten für den Computer bietet,

TL; DR: Eine nicht vertrauenswürdige Website kann nicht von alleine in Ihren Computer eingesehen werden. Eine Website kann Sie jedoch dazu verleiten, schädliche Software herunterzuladen und auszuführen. Solche Software kann möglicherweise irgendetwas auf Ihrem Computer tun. Ihr Browser sollte solche Software nicht automatisch herunterladen. Zumindest sollte dies Ihre ausdrückliche Zustimmung erfordern. Eine bösartige Website könnte jedoch versuchen, Sie dazu zu bringen, eine solche Akzeptanz zu geben.

Danke für Ihre Antwort. das war informativ john doe vor 5 Jahren 1
+1 Dies sollte die akzeptierte Antwort sein. Wenn die Site nicht vertrauenswürdig ist, besteht kein Unterschied zwischen HTTP und HTTPS. Es sind JavaScript und die Sicherheitsmechanismen des Browsers, auf die es ankommt. rexkogitans vor 5 Jahren 12
Kooperierende Soft: Fenster selbst. val vor 5 Jahren 3
@val - Ich würde das auf alle Betriebssysteme ausdehnen, um fair zu sein. Wenn Sie Zeit verbringen, werden Sie die Löcher finden. Paul vor 5 Jahren 0
33
JakeGould

Wenn Sie nicht ausdrücklich eine Website gewähren, die sicher (HTTPS) oder unsicher ist (HTTP), können Sie auf ein Element in Ihrem System zugreifen, wenn diese Website keinen Zugriff auf dieses Element in Ihrem System hat.

Dies könnte paranoid sein, aber wenn ich zu einer Website gehe, die möglicherweise nicht 100% sicher ist, können sie dann herausfinden, was sich in meinem PDF-Desktop des Festplattenlaufwerks befindet oder was sich in meinen Bildern auf meiner Festplatte befindet?

Im Allgemeinen gilt: Wenn Sie ihnen nicht ausdrücklich Zugriff auf Ihre Festplatte oder auf Dokumente auf Ihrer Festplatte gewähren, besteht keine Möglichkeit, auf eine unsichere Website zuzugreifen.

Das heißt (und unterstreicht dies, um es klar zu machen), es gibt tatsächlich einige unglaublich seltene - und esoterische - Zero-Day-Exploits, die in einigen Randfällen besorgniserregend sein könnten . Im Allgemeinen müssen Sie als Endbenutzer jedoch alles tun, um einer Website den Zugriff auf Dokumente auf Ihrem System zu ermöglichen. Solange Ihr Betriebssystem gepatcht ist und die Browser auf dem neuesten Stand sind, sind Sie auf der sicheren Seite. Und selbst in Fällen, in denen Sie nicht gepatcht und aufgerüstet werden (und dies noch einmal deutlich machen), ist das Risiko immer noch unglaublich gering .

Die einzige Sorge bei einer Website, die "möglicherweise nicht zu 100% sicher ist" (wie in der ursprünglichen Frage angegeben und ich gehe von HTTPS gegenüber einfachem HTTP aus), besteht darin, dass HTTPS verschlüsselt wird und HTTP nicht verschlüsselt wird, wenn Sie Daten hin und her übertragen.

Die Gefahr ist dann, wenn man etwas in die Website über ein Formular und eine solche geben, wenn die Site Plain - HTTP ist dann die Daten, die Sie übertragen werden, ist nur Klartext, dass jeder mit einem Paket - Sniffer das hat Potential zu lesen. Aber das ist bestenfalls eine geringe Chance.

Wenn Sie sich in einem bekannten öffentlichen Wi-Fi-Netzwerk befinden, befindet sich möglicherweise jemand in diesem Netzwerk, das möglicherweise Pakete erfasst, und könnte so erkennen, was Sie eingeben.

Wenn Sie sich zu Hause oder an einem anderen Ort in einem sicheren Netzwerk befinden und Ihr Browser und Betriebssystem gepatcht sind, sind Sie im Allgemeinen "sicher".

Eine „unsichere“ Website ist nur ein Problem, wenn Sie Daten an sie senden oder ein Element von dieser Website herunterladen, das Code auf Ihrem System ausführt.

12
Damon

Nein, in der Praxis: Ja, das ist durchaus möglich.

Aus diesem Grund verfügen Savy-Benutzer über Browsererweiterungen, die das Scripting jederzeit deaktivieren, mit Ausnahme von Websites, die explizit auf der Whitelist aufgeführt sind und die viele andere Angriffe abwehren, z. B. Cross-Site-Request-Fälschungen und so weiter.

Fast jeden Monat werden Exploits veröffentlicht, die Remotecodeausführung oder Zugriff auf lokale Dateien ermöglichen. Zwei aktuelle Beispiele für einen bekannten Browser sind 1 und 2 . Beispiele für einen anderen bekannten Browser sind 3 und 4 .

(Die oben genannten sind zufällige Schwachstellen, die ich ohne ersichtlichen Grund ausgewählt habe. Außerdem sind sie inzwischen alle mit den neuesten Versionen behoben, soweit ich weiß.)

Durch Browser-Angriffe kann eine Website nicht nur auf Dateien zugreifen, sondern sie kann grundsätzlich auch die vollständige Übernahme Ihres Computers ermöglichen, im schlimmsten Fall. Das Problem ist nicht auf Browser beschränkt. Ein aktuelles Beispiel finden Sie in der Sicherheitsanfälligkeit von WhatsApp für Videoanrufe. Bei einer bestimmten, weit verbreiteten Reihe von DSL-Routern gab es vor etwa einem Jahr einen Exploit, der es einer böswilligen Website ermöglichte , Ihren Router auch bei Vorhandensein eines Kennworts zu übernehmen, wenn Sie die Website nur von Ihrem Computer aus besuchen.

Die für einen erfolgreichen Angriff notwendige Dummheit ist unterschiedlich. Für manche Angriffe muss der Endbenutzer wirklich sehr dumm sein. Für einige Angriffe muss der Benutzer für einen Sekundenbruchteil nur wenig bewusst sein. Und einige Angriffe funktionieren auch, wenn der Benutzer überhaupt nichts Dummes tut, solange bestimmte Bedingungen erfüllt sind.

3
Nikita Malyschkin

Im Allgemeinen kann eine Website nicht auf Dateien auf Ihrer Festplatte oder deren Metainformationen zugreifen. Trotzdem sollten Sie einige Dinge beachten:

  • In Ihrem Browser können Sicherheitslücken vorhanden sein, die es Angreifern ermöglichen, Ihren Browser oder sogar Ihr System zu entführen
  • In Abhängigkeit von Ihrem Browser können bösartige Websites sehr viel über Sie und den von Ihnen verwendeten Computer erfahren. Eine kleine Übersicht finden Sie hier: http://webkay.robinlinus.com/
  • Der beste Weg, um Ihre Dateien zu schützen, ist, sie vom Internet fernzuhalten. Speichern Sie Ihre Dateien auf einem externen Laufwerk und greifen Sie nur über Offline-Computer darauf zu. Dies kann unbequem, aber sicher sein