क्या दुर्भावनापूर्ण वेबसाइट कंप्यूटर पर फ़ाइलों की सामग्री तक पहुंच सकती है?


27

यह पागल हो सकता है, लेकिन अगर मैं एक दुर्भावनापूर्ण वेबसाइट पर जाता हूं, तो क्या वे बता सकते हैं कि मेरे डेस्कटॉप पर पीडीएफ के अंदर क्या है या मेरी हार्ड ड्राइव पर मेरी छवियों के अंदर क्या है?

मेरे पास एक Chromebook और एक Windows मशीन है।


क्या इसे किसी विशिष्ट ब्राउज़र पर निर्दिष्ट किया जाना चाहिए? मैं कल्पना करूँगा कि सभी ब्राउज़र इस संबंध में समान रूप से सुरक्षित नहीं हैं? IE फ्लैश इस तरह से सामान के लिए एक बड़ी भेद्यता थी, है ना? यदि यह किसी ब्राउज़र के लिए विशिष्ट नहीं है, तो हो सकता है कि यह किसी दिए गए HTML युक्ति या जो भी हो, के एक निश्चित संस्करण तक सीमित होना चाहिए।
टैंकरस्मैश

1
स्पेक्टर को ध्यान में रखते हुए - संभवतः।
user253751


1
यह एक संभावना है, लेकिन यह इतना मामूली है कि यह वह नहीं है जिसके बारे में आपको चिंतित होना चाहिए। आपको इस बारे में चिंतित होना चाहिए कि आपके वेब ब्राउज़र में कौन सी अन्य जानकारी संग्रहीत है जिसे वेबसाइट एक्सेस कर सकती है। कुकीज़ आपके बारे में बहुत कमजोर व्यक्तिगत जानकारी संग्रहीत कर सकती हैं, जो ऐसी साइटें मछली बना सकती हैं।
गणितज्ञ

1
आप अतिरिक्त पागल होना चाहते हैं, तो अपने ब्राउज़र को चलाने के एक barebones अंदर आभासी मशीन लिनक्स
रिची फ्रेम

जवाबों:


33

जब तक आप स्पष्ट रूप से एक वेबसाइट प्रदान नहीं करते हैं - जो कि सुरक्षित है (HTTPS) या असुरक्षित (HTTP) - आपके सिस्टम के किसी आइटम के लिए उस वेबसाइट पर आपके सिस्टम पर उस आइटम तक पहुंच नहीं होगी।

यह पागल हो सकता है, लेकिन अगर मैं एक ऐसी वेबसाइट पर जाता हूं जो 100% सुरक्षित नहीं हो सकती है, तो क्या वे बता सकते हैं कि मेरे हार्ड ड्राइव के डेस्कटॉप के अंदर क्या है या मेरी हार्ड ड्राइव पर मेरी छवियों के अंदर क्या है?

सामान्य तौर पर, जब तक आप स्पष्ट रूप से उन्हें अपनी हार्ड ड्राइव तक पहुँच प्रदान नहीं करते हैं - या आपकी हार्ड ड्राइव पर दस्तावेज़ - तब नहीं, एक असुरक्षित वेबसाइट कुछ भी एक्सेस नहीं कर पाएगी।

उस ने कहा (और इसे स्पष्ट करने के लिए जोर देते हुए) वास्तव में कुछ अविश्वसनीय रूप से दुर्लभ और गूढ़ हैं- "शून्य-दिन" यह शोषण करता है जो कुछ किनारे के मामलों में चिंता का विषय हो सकता है । लेकिन सामान्य तौर पर, आप - एक अंतिम उपयोगकर्ता के रूप में - अपने सिस्टम से दस्तावेज़ों तक पहुँच प्राप्त करने के लिए किसी वेबसाइट को अनुमति देने के लिए अपने रास्ते से बाहर जाने की आवश्यकता होती है। जब तक आपके OS को पैच किया जाता है और ब्राउज़र सुरक्षित रहते हैं, तब तक आप सुरक्षित रहते हैं। और यहां तक ​​कि उन मामलों में जहां आप पैच नहीं किए जाते हैं और अपग्रेड किए जाते हैं (और फिर से इसे स्पष्ट करने के लिए जोर देते हैं) जोखिम अभी भी अविश्वसनीय रूप से कम है

एक वेबसाइट के साथ एकमात्र चिंता यह है कि "100% सुरक्षित नहीं हो सकता है" (जैसा कि मूल प्रश्न में कहा गया है और मैं HTTPS बनाम सादे HTTP मान रहा हूं) यह है कि जब आप डेटा को आगे और पीछे स्थानांतरित करते हैं तो HTTPS एन्क्रिप्टेड होता है और HTTP एन्क्रिप्टेड नहीं होता है।

इसके बाद जोखिम यह है कि यदि आप किसी फॉर्म के माध्यम से साइट में कुछ टाइप करते हैं और इस तरह, यदि साइट प्लेन HTTP है, तो जो डेटा आप ट्रांसमिट कर रहे हैं, वह केवल स्पष्ट टेक्स्ट है, जिसमें पैकेट स्निफर वाले किसी भी व्यक्ति को पढ़ने की क्षमता है। लेकिन यह सबसे अच्छा मौका है।

जैसे यदि आप एक ज्ञात सार्वजनिक वाई-फाई नेटवर्क पर हैं, तो हो सकता है कि कोई व्यक्ति आपके साथ उस नेटवर्क पर हो और संभावित रूप से पैकेट कैप्चर कर रहा हो और इस प्रकार यह पता लगा सके कि आप क्या टाइप कर रहे हैं।

सामान्य तौर पर यदि आप घर या अन्य जगहों पर सुरक्षित नेटवर्क पर हैं- और आपके ब्राउज़र और OS को पैच किया गया है - तो आप "सुरक्षित" हैं।

एक "असुरक्षित" वेबसाइट केवल वास्तव में एक चिंता का विषय है यदि आप उन्हें डेटा भेजते हैं या आप उस वेबसाइट से एक आइटम डाउनलोड करते हैं जो आपके सिस्टम पर कोड चलाएगा।


56

डिज़ाइन ब्राउज़रों द्वारा इसकी अनुमति नहीं दी जाती है लेकिन हमेशा एक बग की संभावना होती है जिसका आपके सिस्टम तक उच्च स्तर तक पहुंचने के लिए दोहन किया जा सकता है। ये बग काफी दुर्लभ हैं और हमेशा बहुत जल्दी तय हो जाते हैं इसलिए यह मुख्य रूप से एक मुद्दा है अगर आपका ओएस या ब्राउज़र पुराना है। इन दोनों ऑटो अपडेट अब तो बस ऑटो अपडेट को अक्षम नहीं करते हैं और आप दुर्भावनापूर्ण वेबसाइटों के खिलाफ काफी अच्छे स्तर की सुरक्षा सुनिश्चित कर सकते हैं।


8
ध्यान देने योग्य बात यह है कि इस तरह का शून्य दिन सही लोगों के लिए सैकड़ों हजारों की कीमत का है, इसलिए संभावना है कि जब तक आप वास्तव में दिलचस्प न हों, तब तक इसका इस्तेमाल आपके खिलाफ नहीं किया जाएगा।
अडोंलियम

1
@Adonalsium - तुम सिर्फ एक क्रेडिट कार्ड की जरूरत सभी ... के लिए दिलचस्प होने के लिए सही ... लोग।
पॉल

5
@ पाओल अगर किसी ने क्रेडिट कार्ड चुराने के लिए छह-आंकड़े शून्य-दिन खरीदे, तो यह थोड़ा दुखद होगा। इससे पहले कि आप अपना पैसा वापस करने के करीब आ सकें, आपको हजारों की चोरी करनी होगी , और अगर आप हर एक लाल झंडे को ट्रिगर करते हैं और एक हमले पर जलाते हैं। इसके विपरीत, राज्य या कॉर्पोरेट रहस्यों को चुराने के लिए एक सौ हज़ार ... यह बहुत अधिक संभावना है।
निधि मोनिका का मुकदमा

1
@Aalsalsium एक शून्य दिन के लिए हाँ, लेकिन पुराने संस्करणों पर शोषण मुक्त सार्वजनिक ज्ञान है। और अभी भी आईई या सिल्वरलाइट के पुराने संस्करणों को चलाने वाले कुछ लोग हैं।
क्वर्टी

3
@ पाओल ज़रूर, यह आसान है: वे उन कारनामों के माध्यम से चुराए गए थे जिन्हें खरीदने के लिए हजारों डॉलर खर्च नहीं होंगे , और क्रेडिट कार्ड चोरी के लिए एक ब्राउज़र दोष की तुलना में बहुत अधिक गारंटीकृत रिटर्न है। सोशल इंजीनियरिंग और हैक किए गए वेबस्टोर डेटाबेस जैसी चीजें क्रेडिट कार्ड से भी समझौता कर सकती हैं। यदि आप कृपया मेरी वास्तविक टिप्पणी को पढ़ेंगे, तो मैंने कभी नहीं कहा कि क्रेडिट कार्ड की चोरी नहीं होती है - यह है कि आप इसे कैसे पढ़ते हैं - लेकिन यह कि एक शक्तिशाली ब्राउज़र शून्य-दिवस कुछ रैंडो के क्रेडिट कार्ड पर नहीं जलाया जाएगा।
निधि मोनिका का मुकदमा

43

एक दूरस्थ कंप्यूटर आपके कंप्यूटर पर सह-संचालन सॉफ़्टवेयर की सहायता के बिना आपके कंप्यूटर पर कुछ भी एक्सेस नहीं कर सकता है।

आपके द्वारा किसी अविशिष्ट वेबसाइट पर जाने के लिए अपने कंप्यूटर का उपयोग करने के मामले में, आप दूरस्थ कंप्यूटर से डेटा प्राप्त करने के लिए वेब अनुरोध (HTTP या HTTPS प्रोटोकॉल) आरंभ करने के लिए अपने कंप्यूटर पर ब्राउज़र सॉफ़्टवेयर का उपयोग कर रहे हैं। इस सरल मॉडल में, दूरस्थ कंप्यूटर के पास आपके कंप्यूटर तक पूरी तरह से पहुंच नहीं है, लेकिन ... ब्राउज़रों में कुछ विशेषताएं हैं जो इस तस्वीर को जटिल बनाती हैं।

आधुनिक ब्राउज़रों में एक सुविधा है जो आपको अपने कंप्यूटर से फाइलें अपलोड करने की अनुमति देती है। एक वेबसाइट में एक फॉर्म शामिल हो सकता है जो इस सुविधा का उपयोग करता है। यह सुविधा वेबसाइट को आपके कंप्यूटर में देखने की सुविधा नहीं देती है। जब आपका ब्राउज़र ऐसे फॉर्म को संसाधित करता है, तो यह आपको फ़ाइल चयन नियंत्रण के साथ प्रस्तुत करता है; आपका ब्राउज़र आपके कंप्यूटर पर फ़ाइलों को देख सकता है, और जब आप एक चयन करते हैं, तो आपका ब्राउज़र उस फ़ाइल की सामग्री, और केवल उस फ़ाइल को दूरस्थ सिस्टम पर भेजता है। जिस तरह से यह फीचर काम करता है उससे कुछ लोगों को यह विश्वास हो जाता है कि वेबसाइट आपके कंप्यूटर की फाइलों को देख सकती है जब वास्तव में ऐसा नहीं हो सकता।

सभी आधुनिक ब्राउज़रों में जावास्क्रिप्ट इंजन बनाया गया है। वेबसाइट में जावास्क्रिप्ट कोड शामिल हो सकता है जिसे आपके ब्राउज़र द्वारा निष्पादित किया जाना है। जब ब्राउज़र किसी पृष्ठ में जावास्क्रिप्ट प्राप्त करता है, तो यह आमतौर पर इसे स्वचालित रूप से निष्पादित करेगा। जावास्क्रिप्ट का उपयोग आमतौर पर उपयोगकर्ता अनुभव को बढ़ाने के लिए किया जाता है; इसकी कुछ क्षमताएं और कुछ सीमाएँ हैं। जावास्क्रिप्ट इंजन आपके कंप्यूटर में "देख नहीं सकता" - आपकी फ़ाइलों को नहीं देख सकता है या अन्य कार्यक्रमों में क्या हो सकता है, लेकिन यह ब्राउज़र को उसी साइट से अन्य फ़ाइलों को लोड करने के लिए निर्देशित कर सकता है - चित्र, पृष्ठ, आदि। जावास्क्रिप्ट एक प्रोग्राम को डाउनलोड करने और निष्पादित करने के लिए ब्राउज़र को कम से कम करने का प्रयास कर सकता है जिसके पास आपके सिस्टम पर अधिक पहुंच या नियंत्रण हो सकता है। जबकि जावास्क्रिप्ट स्वयं सीमित है कि यह आपके कंप्यूटर पर क्या कर सकता है,

TL; DR: एक अविश्वास वेबसाइट अपने आप आपके कंप्यूटर में नहीं देख सकती। लेकिन, एक साइट आपको दुर्भावनापूर्ण सॉफ़्टवेयर को डाउनलोड करने और निष्पादित करने की कोशिश कर सकती है। ऐसा सॉफ़्टवेयर आपके कंप्यूटर पर संभावित रूप से कुछ भी कर सकता है। आपके ब्राउज़र को ऐसे सॉफ़्टवेयर को स्वचालित रूप से डाउनलोड नहीं करना चाहिए; बहुत कम से कम, इसे आपकी स्पष्ट स्वीकृति की आवश्यकता होनी चाहिए। हालांकि, एक दुर्भावनापूर्ण वेबसाइट आपको इस तरह की स्वीकृति देने के लिए टाल सकती है।


1
जवाब देने के लिए धन्यवाद। यह जानकारीपूर्ण था
जॉन डो ने

12
+1 यह स्वीकृत उत्तर होना चाहिए। यदि साइट विश्वसनीय नहीं है, तो HTTP और HTTPS में कोई अंतर नहीं है। यह जावास्क्रिप्ट और ब्राउज़र का सुरक्षा तंत्र है जो मायने रखता है।
रेक्सकोगिटंस

3
सॉफ्ट ऑपरेटिंग: विंडोज़ ही।
वैल का कहना है कि मोनिका

@val - मैं उस सभी ऑपरेटिंग सिस्टम का विस्तार करूँगा, जो उचित होगा। यदि आप समय बिताते हैं, तो आपको छेद मिलेंगे।
पॉल

12

सिद्धांत रूप में, व्यवहार में: हां, यह निश्चित रूप से संभव है।

यही कारण है कि सेवी उपयोगकर्ताओं के पास ब्राउज़र एक्सटेंशन होते हैं जो स्पष्ट रूप से श्वेत सूची वाली वेबसाइटों को छोड़कर हर समय स्क्रिप्टिंग को अक्षम करते हैं जिनकी उन्हें आवश्यकता होती है, और जो कई अन्य हमलों जैसे क्रॉस-साइट अनुरोध जालसाजी और व्हाट्सन को विफल करते हैं।

शोषण जो दूरस्थ कोड के निष्पादन की अनुमति देते हैं या स्थानीय फ़ाइलों तक पहुँचने की अनुमति देते हैं, लगभग हर महीने प्रकाशित होते हैं। एक प्रसिद्ध ब्राउज़र के लिए दो हालिया उदाहरण 1 और 2 हैं । एक और प्रसिद्ध ब्राउज़र के उदाहरण 3 और 4 हैं

(उपरोक्त यादृच्छिक कमजोरियाँ हैं, जिन्हें मैंने बिना किसी स्पष्ट कारण के ध्यान में रखा, वे भी इस बीच मेरे ज्ञान के लिए नवीनतम संस्करणों के साथ तय किए गए हैं।)

ब्राउज़र हमले न केवल एक वेबसाइट को फाइलों तक पहुंचने की अनुमति दे सकते हैं, वे सिद्धांत रूप में वेबसाइट को आपके कंप्यूटर को पूरी तरह से खराब स्थिति में ले जाने की अनुमति दे सकते हैं। मुद्दा केवल ब्राउज़रों तक सीमित नहीं है, हाल के उदाहरण के लिए व्हाट्सएप वीडियो कॉल भेद्यता देखें। एक या एक साल पहले डीएसएल राउटर की विशेष रूप से तैनात श्रृंखला में एक शोषण हुआ था जो एक दुर्भावनापूर्ण वेबसाइट को पासवर्ड की उपस्थिति में भी आपके राउटर को संभालने की अनुमति देगा , यदि केवल आपने अपने कंप्यूटर से वेबसाइट का दौरा किया था।

एक हमले के सफल होने के लिए आवश्यक मूर्खता का स्तर भिन्न होता है। कुछ हमलों के लिए, अंतिम उपयोगकर्ता को वास्तव में, वास्तव में बेवकूफ होना चाहिए। कुछ हमलों के लिए, उपयोगकर्ता को विभाजित विभाजन के लिए केवल कुछ अनजान होना चाहिए। और कुछ हमले उपयोगकर्ता के बिना भी काम करेंगे जब तक कि कुछ विशेष शर्तों को पूरा नहीं किया जाता है।


3

सामान्य तौर पर एक वेबसाइट आपकी हार्ड ड्राइव या उनकी मेटा जानकारी पर फ़ाइलों तक नहीं पहुंच सकती है। फिर भी आपको कुछ चीजों के बारे में पता होना चाहिए:

  • आपके ब्राउज़र में सुरक्षा दोष हो सकते हैं, जो हमलावरों को आपके ब्राउज़र या यहां तक ​​कि आपके सिस्टम को हाईजैक करने देता है
  • आपके ब्राउज़र के आधार पर, दुर्भावनापूर्ण वेबसाइट आपके और आपके द्वारा उपयोग किए जा रहे कंप्यूटर के बारे में बहुत कुछ जान सकती हैं। यहाँ थोड़ा अवलोकन करें: http://webkay.robinlinus.com/
  • अपनी फ़ाइलों को सुरक्षित रखने का सबसे अच्छा तरीका है, उन्हें इंटरनेट से दूर रखना। अपनी फ़ाइलों को बाहरी ड्राइव पर संग्रहीत करें और केवल ऑफ़लाइन कंप्यूटर के माध्यम से उन्हें एक्सेस करें। यह असुविधाजनक लेकिन सुरक्षित हो सकता है
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.