it-swarm.com.de

Kann eine böswillige Website auf den Inhalt von Dateien auf einem Computer zugreifen?

Das mag paranoid sein, aber wenn ich auf eine schädliche Website gehe, können sie dann erkennen, was sich in einem PDF auf meinem Desktop befindet oder was sich in meinen Bildern auf meiner Festplatte befindet?

Ich habe ein Chromebook und einen Windows-Computer.

27
john doe

Konstruktionsbedingt erlauben Browser dies nicht, aber es besteht immer die Möglichkeit, dass ein Fehler ausgenutzt wird, um einen höheren Grad an Zugriff auf Ihr System zu erlangen. Diese Fehler sind ziemlich selten und werden immer sehr schnell behoben. Dies ist hauptsächlich dann ein Problem, wenn Ihr Betriebssystem oder Browser veraltet ist. Beide Updates werden jetzt automatisch aktualisiert. Deaktivieren Sie die automatischen Updates also nicht, und Sie können sicher sein, dass Sie vor böswilligen Websites ziemlich gut geschützt sind.

56
Qwertie

Ein Remotecomputer kann ohne die Hilfe von Software auf Ihrem Computer nicht auf etwas auf Ihrem Computer zugreifen.

Wenn Sie mit Ihrem Computer eine nicht vertrauenswürdige Website besuchen, verwenden Sie eine Browsersoftware auf Ihrem Computer, um Webanforderungen (das HTTP- oder HTTPS-Protokoll) zum Empfangen von Daten vom Remotecomputer aus zu initiieren. In diesem einfachen Modell hat der Remote-Computer absolut keinen Zugriff auf Ihren Computer. But... Browser verfügen über einige Funktionen, die dieses Bild erschweren.

Moderne Browser verfügen über eine Funktion, mit der Sie Dateien von Ihrem Computer hochladen können. Eine Website kann ein Formular enthalten, in dem diese Funktion verwendet wird. Diese Funktion nicht gibt der Website einen Einblick in Ihren Computer. Wenn Ihr Browser ein solches Formular verarbeitet, erhalten Sie eine Dateiauswahlsteuerung. Ihr Browser kann die Dateien auf Ihrem Computer sehen, und wenn Sie eine Auswahl treffen, sendet Ihr Browser den Inhalt dieser Datei und nur diese Datei an das ferne System. Die Art und Weise, wie diese Funktion funktioniert, lässt manche Leute glauben, dass die Website Dateien auf Ihrem Computer sehen kann, wenn dies tatsächlich nicht möglich ist.

In allen modernen Browsern sind JavaScript-Engines integriert. Die Website enthält möglicherweise JavaScript-Code, der von Ihrem Browser ausgeführt werden soll. Wenn der Browser JavaScript auf einer Seite empfängt, wird es normalerweise automatisch ausgeführt. JavaScript wird normalerweise verwendet, um die Benutzerfreundlichkeit zu verbessern. Es hat bestimmte Fähigkeiten und einige Einschränkungen. Die JavaScript-Engine "sieht" nicht in Ihren Computer - kann Ihre Dateien oder die Vorgänge in anderen Programmen nicht sehen, kann jedoch den Browser anweisen, andere Dateien von derselben Site zu laden - Bilder, Seiten usw. Durch JavaScript könnte der Browser zumindest versuchen, ein Programm herunterzuladen und auszuführen, das möglicherweise einen besseren Zugriff auf Ihr System oder eine bessere Kontrolle über Ihr System hat. Obwohl JavaScript selbst nur eine eingeschränkte Funktion auf Ihrem Computer hat, kann ein böswilliger Programmierer JavaScript verwenden, um einen ahnungslosen Benutzer zum Herunterladen eines leistungsfähigeren und bösartigeren Programms zu verleiten.

TL; DR: Eine nicht vertrauenswürdige Website kann von sich aus nicht auf Ihren Computer zugreifen. Eine Site kann jedoch versuchen, Sie zum Herunterladen und Ausführen von schädlicher Software zu verleiten. Diese Software kann möglicherweise alles auf Ihrem Computer tun. Ihr Browser sollte solche Software nicht automatisch herunterladen. Zumindest sollte es Ihre ausdrückliche Zustimmung erfordern. Eine böswillige Website könnte jedoch versuchen, Sie zu einer solchen Akzeptanz zu verleiten.

43
Zenilogix

In der Theorie nein, in der Praxis: Ja, das ist durchaus möglich.

Dies ist der Grund, warum erfahrene Benutzer über Browsererweiterungen verfügen, die die Skripterstellung zu jeder Zeit deaktivieren, mit Ausnahme von Websites, für die eine explizite Whitelist festgelegt wurde und die viele andere Angriffe wie Cross-Site-Request-Forgery und so weiter verhindern.

Exploits, die Remotecodeausführung oder den Zugriff auf lokale Dateien ermöglichen, werden fast jeden Monat veröffentlicht. Zwei aktuelle Beispiele für einen bekannten Browser sind 1 und 2 . Beispiele für einen anderen bekannten Browser sind 3 und 4 .

(Die oben genannten sind zufällige Sicherheitslücken, die ich ohne ersichtlichen Grund ausgewählt habe. Meines Wissens sind sie mittlerweile alle mit den neuesten Versionen behoben.)

Browser-Angriffe können einer Website nicht nur den Zugriff auf Dateien ermöglichen, sondern im schlimmsten Fall auch die vollständige Übernahme Ihres Computers durch die Website. Das Problem ist nicht auf Browser beschränkt. Ein aktuelles Beispiel finden Sie unter WhatsApp-Videoanruf-Sicherheitsanfälligkeit. Vor etwa einem Jahr gab es einen Exploit in einer besonders weit verbreiteten Serie von DSL-Routern, der es einer böswilligen Website ermöglichte, Ihren Router zu übernehmen sogar bei Vorhandensein eines Kennworts, wenn Sie die Website nur von besuchten dein Computer.

Das Maß an Dummheit, das für einen erfolgreichen Angriff erforderlich ist, variiert. Für einige Angriffe muss der Endbenutzer wirklich sehr, sehr dumm sein. Für einige Angriffe muss der Benutzer nur für den Bruchteil einer Sekunde etwas ahnungslos sein. Und manche Angriffe funktionieren auch dann, wenn der Benutzer überhaupt nichts Dummes tut, solange bestimmte Bedingungen erfüllt sind.

12
Damon

Im Allgemeinen kann eine Website nicht auf Dateien auf Ihrer Festplatte oder deren Metainformationen zugreifen. Trotzdem sollten Sie sich einiger Dinge bewusst sein:

  • möglicherweise weist Ihr Browser Sicherheitslücken auf, durch die Angreifer Ihren Browser oder sogar Ihr System hijacken können
  • abhängig von Ihrem Browser können böswillige Websites ziemlich viel über Sie und den von Ihnen verwendeten Computer erfahren. Einen kleinen Überblick finden Sie hier: http://webkay.robinlinus.com/
  • der beste Weg, um Ihre Dateien zu schützen, besteht darin, sie vom Internet fernzuhalten. Speichern Sie Ihre Dateien auf einem externen Laufwerk und greifen Sie nur über Offline-Computer darauf zu. Dies kann unpraktisch, aber sicher sein
3