我使用 Xubuntu 18.04,我使用 Firefox 的方式是这样的:我下载并在主目录中解压 Firefox;然后我“chmod aw firefox”以便该目录中的任何内容都无法修改。
昨天我在搜索时,鼠标碰到了一本书,不小心点击了一个链接,然后进入了一个奇怪的广告网站。有一些弹窗,我都关闭了。过了一会儿,我听说我的备用外置 USB 驱动器开始旋转,昨天注销后今天重新登录,发现桌面图标被重新排列了。
我的问题是:在 Firefox Quantum 63.0.1 中,只需访问一个网站,该网站是否会自动扫描我的计算机并窃取我的文件?
谢谢。
答案1
<input>在没有用户界面(例如将文件拖放到标签上或点击上传按钮)的纯 HTML 上不可能实现这一点。
然而,我不会说恶意网站不可能伪装其用户界面,从而导致用户在不了解背后操作的情况下点击这样的按钮。
对于 WebExtensions,它们应该被阻止,不具有对文件系统的默认访问权限,也就是说,没有用户操作来触发该操作。您可以在文章中阅读 WebExtensions 文件系统接口的草稿 Web扩展/文件系统。
浏览器可能会使用如下 URL 显示磁盘:file://///。但是,该file:协议没有域,因此各种操作都无法与此类 URL 配合使用,例如XMLHttpRequest、document.domain等,因此这些 URL 不易受到攻击,因为强制实施了“同域”策略。
我想说 Firefox 可以合理地防范此类上传/窃取,但不能绝对肯定地说这方面不存在安全漏洞。真的没人能做到。