恶意网站可以访问计算机上的文件内容吗?

恶意网站可以访问计算机上的文件内容吗?

这可能有些偏执,但如果我访问一个恶意网站,他们能否知道我桌面上的 PDF 里有什么或我硬盘上的图像里有什么?

我有一台 Chromebook 和一台 Windows 机器。

答案1

除非您明确授予某个网站(安全(HTTPS)或不安全(HTTP))对您系统上某个项目的访问权限,否则该网站将无权访问您系统上的该项目。

这可能有些偏执,但如果我访问一个可能不是 100% 安全的网站,他们能否知道我的硬盘桌面 PDF 里有什么或我硬盘上的图像里有什么?

一般来说,除非您明确授予他们访问您的硬盘或硬盘上的文档的权限,否则不安全的网站将无法访问任何内容。

话虽如此(并强调这一点以使其清楚)确实存在一些极其罕见且深奥的“零日”漏洞,可能在某些边缘情况下值得关注。但一般来说,作为最终用户,您需要特意允许网站访问您系统上的文档。只要您的操作系统已打补丁且浏览器已更新,您就是安全的。即使在您未打补丁和升级的情况下(再次强调这一点以说明这一点)风险仍然极低

唯一担心的是“网站可能不是 100% 安全”(正如最初的问题所述我假设 HTTPS 与普通 HTTP 的区别在于,当你来回传输数据时,HTTPS 是加密的,而 HTTP 未加密。

那么风险就是如果你通过表单等方式在网站上输入一些内容,如果网站是纯 HTTP,那么你传输的数据只是明文,任何有数据包嗅探器的人都可以潜在的阅读。但这最多只是一个渺茫的机会。

比如,如果你在一个已知的公共 Wi-Fi 网络上,那么也许有人和你一起在这个网络上,潜在捕获数据包,从而可以检测您正在输入的内容。

一般来说,如果您在家里或其他地方使用安全的网络 - 并且您的浏览器和操作系统都已修补 - 您就是“安全的”。

仅当您向“不安全”网站发送数据或从该网站下载将在您的系统上运行代码的项目时,才真正令人担忧。

答案2

浏览器的设计不允许这样做,但总有可能存在漏洞,可利用这些漏洞获得更高级别的系统访问权限。这些漏洞相当罕见,而且总是很快得到修复,因此这主要是您的操作系统或浏览器过时的问题。现在这两个浏览器都会自动更新,因此只要不禁用自动更新,您就可以确保获得相当好的针对恶意网站的保护。

答案3

如果没有您计算机上协作软件的帮助,远程计算机就无法访问您计算机上的任何内容。

如果您使用计算机访问不受信任的网站,则您正在使用计算机上的浏览器软件发起 Web 请求(HTTP 或 HTTPS 协议)以从远程计算机接收数据。在这个简单的模型中,远程计算机绝对无法访问您的计算机,...浏览器的一些特性使得这一情况变得复杂。

现代浏览器具有一项功能,可让您从计算机上传文件。网站可能包含使用此功能的表单。此功能才不是让网站查看您的计算机。当您的浏览器处理此类表单时,它会向您显示文件选择控件;您的浏览器可以看到您计算机上的文件,当您做出选择时,您的浏览器会将该文件的内容(并且只将该文件)发送到远程系统。此功能的工作方式使一些人认为该网站可以看到您计算机上的文件,但实际上它不能。

所有现代浏览器都内置有 JavaScript 引擎。网站可能包含旨在由浏览器执行的 JavaScript 代码。当浏览器在页面中收到 JavaScript 时,它通常会自动执行它。JavaScript 通常用于增强用户体验;它具有某些功能和一些限制。JavaScript 引擎无法“查看”您的计算机 - 无法查看您的文件或其他程序中可能正在发生的事情,但它可以指示浏览器从同一站点加载其他文件 - 图像、页面等。JavaScript 至少可以让浏览器尝试下载并执行可能对您的系统有更大访问权限或控制权的程序。虽然 JavaScript 本身在您的计算机上可以执行的操作有限,但恶意程序员仍然可以利用 JavaScript 诱骗毫无戒心的用户下载功能更强大且恶意的程序。

TL;DR:不受信任的网站本身无法查看您的计算机。但是,网站可能会试图诱骗您下载并执行恶意软件。此类软件可能会对您的计算机执行任何操作。您的浏览器不应自动下载此类软件;至少,它应该要求您明确接受。然而,恶意网站可能会试图诱骗您接受这种软件。

答案4

一般来说,网站无法访问您硬盘上的文件或其元信息。不过,您应注意以下几点:

  • 你的浏览器可能存在安全漏洞,攻击者可以利用该漏洞劫持你的浏览器甚至你的系统
  • 根据您的浏览器,恶意网站可以了解很多有关您和您正在使用的计算机的信息。请看此处的简要概述:http://webkay.robinlinus.com/
  • 保护文件安全的最佳方法是让它们远离互联网。将文件存储在外部驱动器上,仅通过离线计算机访问它们。这可能不方便,但安全

相关内容