क्या दुर्भावनापूर्ण वेबसाइट कंप्यूटर पर फ़ाइलों की सामग्री तक पहुंच सकती है?

यह पागल हो सकता है, लेकिन अगर मैं एक दुर्भावनापूर्ण वेबसाइट पर जाता हूं, तो क्या वे बता सकते हैं कि मेरे डेस्कटॉप पर पीडीएफ के अंदर क्या है या मेरी हार्ड ड्राइव पर मेरी छवियों के अंदर क्या है?

मेरे पास एक Chromebook और एक Windows मशीन है।

जब तक आप स्पष्ट रूप से एक वेबसाइट प्रदान नहीं करते हैं - जो कि सुरक्षित है (HTTPS) या असुरक्षित (HTTP) - आपके सिस्टम के किसी आइटम के लिए उस वेबसाइट पर आपके सिस्टम पर उस आइटम तक पहुंच नहीं होगी।

यह पागल हो सकता है, लेकिन अगर मैं एक ऐसी वेबसाइट पर जाता हूं जो 100% सुरक्षित नहीं हो सकती है, तो क्या वे बता सकते हैं कि मेरे हार्ड ड्राइव के डेस्कटॉप के अंदर क्या है या मेरी हार्ड ड्राइव पर मेरी छवियों के अंदर क्या है?

सामान्य तौर पर, जब तक आप स्पष्ट रूप से उन्हें अपनी हार्ड ड्राइव तक पहुँच प्रदान नहीं करते हैं - या आपकी हार्ड ड्राइव पर दस्तावेज़ - तब नहीं, एक असुरक्षित वेबसाइट कुछ भी एक्सेस नहीं कर पाएगी।

उस ने कहा (और इसे स्पष्ट करने के लिए जोर देते हुए) वास्तव में कुछ अविश्वसनीय रूप से दुर्लभ और गूढ़ हैं- "शून्य-दिन" यह शोषण करता है जो कुछ किनारे के मामलों में चिंता का विषय हो सकता है । लेकिन सामान्य तौर पर, आप - एक अंतिम उपयोगकर्ता के रूप में - अपने सिस्टम से दस्तावेज़ों तक पहुँच प्राप्त करने के लिए किसी वेबसाइट को अनुमति देने के लिए अपने रास्ते से बाहर जाने की आवश्यकता होती है। जब तक आपके OS को पैच किया जाता है और ब्राउज़र सुरक्षित रहते हैं, तब तक आप सुरक्षित रहते हैं। और यहां तक ​​कि उन मामलों में जहां आप पैच नहीं किए जाते हैं और अपग्रेड किए जाते हैं (और फिर से इसे स्पष्ट करने के लिए जोर देते हैं) जोखिम अभी भी अविश्वसनीय रूप से कम है ।

एक वेबसाइट के साथ एकमात्र चिंता यह है कि "100% सुरक्षित नहीं हो सकता है" (जैसा कि मूल प्रश्न में कहा गया है और मैं HTTPS बनाम सादे HTTP मान रहा हूं) यह है कि जब आप डेटा को आगे और पीछे स्थानांतरित करते हैं तो HTTPS एन्क्रिप्टेड होता है और HTTP एन्क्रिप्टेड नहीं होता है।

इसके बाद जोखिम यह है कि यदि आप किसी फॉर्म के माध्यम से साइट में कुछ टाइप करते हैं और इस तरह, यदि साइट प्लेन HTTP है, तो जो डेटा आप ट्रांसमिट कर रहे हैं, वह केवल स्पष्ट टेक्स्ट है, जिसमें पैकेट स्निफर वाले किसी भी व्यक्ति को पढ़ने की क्षमता है। लेकिन यह सबसे अच्छा मौका है।

जैसे यदि आप एक ज्ञात सार्वजनिक वाई-फाई नेटवर्क पर हैं, तो हो सकता है कि कोई व्यक्ति आपके साथ उस नेटवर्क पर हो और संभावित रूप से पैकेट कैप्चर कर रहा हो और इस प्रकार यह पता लगा सके कि आप क्या टाइप कर रहे हैं।

सामान्य तौर पर यदि आप घर या अन्य जगहों पर सुरक्षित नेटवर्क पर हैं- और आपके ब्राउज़र और OS को पैच किया गया है - तो आप "सुरक्षित" हैं।

एक "असुरक्षित" वेबसाइट केवल वास्तव में एक चिंता का विषय है यदि आप उन्हें डेटा भेजते हैं या आप उस वेबसाइट से एक आइटम डाउनलोड करते हैं जो आपके सिस्टम पर कोड चलाएगा।

डिज़ाइन ब्राउज़रों द्वारा इसकी अनुमति नहीं दी जाती है लेकिन हमेशा एक बग की संभावना होती है जिसका आपके सिस्टम तक उच्च स्तर तक पहुंचने के लिए दोहन किया जा सकता है। ये बग काफी दुर्लभ हैं और हमेशा बहुत जल्दी तय हो जाते हैं इसलिए यह मुख्य रूप से एक मुद्दा है अगर आपका ओएस या ब्राउज़र पुराना है। इन दोनों ऑटो अपडेट अब तो बस ऑटो अपडेट को अक्षम नहीं करते हैं और आप दुर्भावनापूर्ण वेबसाइटों के खिलाफ काफी अच्छे स्तर की सुरक्षा सुनिश्चित कर सकते हैं।

एक दूरस्थ कंप्यूटर आपके कंप्यूटर पर सह-संचालन सॉफ़्टवेयर की सहायता के बिना आपके कंप्यूटर पर कुछ भी एक्सेस नहीं कर सकता है।

आपके द्वारा किसी अविशिष्ट वेबसाइट पर जाने के लिए अपने कंप्यूटर का उपयोग करने के मामले में, आप दूरस्थ कंप्यूटर से डेटा प्राप्त करने के लिए वेब अनुरोध (HTTP या HTTPS प्रोटोकॉल) आरंभ करने के लिए अपने कंप्यूटर पर ब्राउज़र सॉफ़्टवेयर का उपयोग कर रहे हैं। इस सरल मॉडल में, दूरस्थ कंप्यूटर के पास आपके कंप्यूटर तक पूरी तरह से पहुंच नहीं है, लेकिन ... ब्राउज़रों में कुछ विशेषताएं हैं जो इस तस्वीर को जटिल बनाती हैं।

आधुनिक ब्राउज़रों में एक सुविधा है जो आपको अपने कंप्यूटर से फाइलें अपलोड करने की अनुमति देती है। एक वेबसाइट में एक फॉर्म शामिल हो सकता है जो इस सुविधा का उपयोग करता है। यह सुविधा वेबसाइट को आपके कंप्यूटर में देखने की सुविधा नहीं देती है। जब आपका ब्राउज़र ऐसे फॉर्म को संसाधित करता है, तो यह आपको फ़ाइल चयन नियंत्रण के साथ प्रस्तुत करता है; आपका ब्राउज़र आपके कंप्यूटर पर फ़ाइलों को देख सकता है, और जब आप एक चयन करते हैं, तो आपका ब्राउज़र उस फ़ाइल की सामग्री, और केवल उस फ़ाइल को दूरस्थ सिस्टम पर भेजता है। जिस तरह से यह फीचर काम करता है उससे कुछ लोगों को यह विश्वास हो जाता है कि वेबसाइट आपके कंप्यूटर की फाइलों को देख सकती है जब वास्तव में ऐसा नहीं हो सकता।

सभी आधुनिक ब्राउज़रों में जावास्क्रिप्ट इंजन बनाया गया है। वेबसाइट में जावास्क्रिप्ट कोड शामिल हो सकता है जिसे आपके ब्राउज़र द्वारा निष्पादित किया जाना है। जब ब्राउज़र किसी पृष्ठ में जावास्क्रिप्ट प्राप्त करता है, तो यह आमतौर पर इसे स्वचालित रूप से निष्पादित करेगा। जावास्क्रिप्ट का उपयोग आमतौर पर उपयोगकर्ता अनुभव को बढ़ाने के लिए किया जाता है; इसकी कुछ क्षमताएं और कुछ सीमाएँ हैं। जावास्क्रिप्ट इंजन आपके कंप्यूटर में "देख नहीं सकता" - आपकी फ़ाइलों को नहीं देख सकता है या अन्य कार्यक्रमों में क्या हो सकता है, लेकिन यह ब्राउज़र को उसी साइट से अन्य फ़ाइलों को लोड करने के लिए निर्देशित कर सकता है - चित्र, पृष्ठ, आदि। जावास्क्रिप्ट एक प्रोग्राम को डाउनलोड करने और निष्पादित करने के लिए ब्राउज़र को कम से कम करने का प्रयास कर सकता है जिसके पास आपके सिस्टम पर अधिक पहुंच या नियंत्रण हो सकता है। जबकि जावास्क्रिप्ट स्वयं सीमित है कि यह आपके कंप्यूटर पर क्या कर सकता है,

TL; DR: एक अविश्वास वेबसाइट अपने आप आपके कंप्यूटर में नहीं देख सकती। लेकिन, एक साइट आपको दुर्भावनापूर्ण सॉफ़्टवेयर को डाउनलोड करने और निष्पादित करने की कोशिश कर सकती है। ऐसा सॉफ़्टवेयर आपके कंप्यूटर पर संभावित रूप से कुछ भी कर सकता है। आपके ब्राउज़र को ऐसे सॉफ़्टवेयर को स्वचालित रूप से डाउनलोड नहीं करना चाहिए; बहुत कम से कम, इसे आपकी स्पष्ट स्वीकृति की आवश्यकता होनी चाहिए। हालांकि, एक दुर्भावनापूर्ण वेबसाइट आपको इस तरह की स्वीकृति देने के लिए टाल सकती है।

सिद्धांत रूप में, व्यवहार में: हां, यह निश्चित रूप से संभव है।

यही कारण है कि सेवी उपयोगकर्ताओं के पास ब्राउज़र एक्सटेंशन होते हैं जो स्पष्ट रूप से श्वेत सूची वाली वेबसाइटों को छोड़कर हर समय स्क्रिप्टिंग को अक्षम करते हैं जिनकी उन्हें आवश्यकता होती है, और जो कई अन्य हमलों जैसे क्रॉस-साइट अनुरोध जालसाजी और व्हाट्सन को विफल करते हैं।

शोषण जो दूरस्थ कोड के निष्पादन की अनुमति देते हैं या स्थानीय फ़ाइलों तक पहुँचने की अनुमति देते हैं, लगभग हर महीने प्रकाशित होते हैं। एक प्रसिद्ध ब्राउज़र के लिए दो हालिया उदाहरण 1 और 2 हैं । एक और प्रसिद्ध ब्राउज़र के उदाहरण 3 और 4 हैं ।

(उपरोक्त यादृच्छिक कमजोरियाँ हैं, जिन्हें मैंने बिना किसी स्पष्ट कारण के ध्यान में रखा, वे भी इस बीच मेरे ज्ञान के लिए नवीनतम संस्करणों के साथ तय किए गए हैं।)

ब्राउज़र हमले न केवल एक वेबसाइट को फाइलों तक पहुंचने की अनुमति दे सकते हैं, वे सिद्धांत रूप में वेबसाइट को आपके कंप्यूटर को पूरी तरह से खराब स्थिति में ले जाने की अनुमति दे सकते हैं। मुद्दा केवल ब्राउज़रों तक सीमित नहीं है, हाल के उदाहरण के लिए व्हाट्सएप वीडियो कॉल भेद्यता देखें। एक या एक साल पहले डीएसएल राउटर की विशेष रूप से तैनात श्रृंखला में एक शोषण हुआ था जो एक दुर्भावनापूर्ण वेबसाइट को पासवर्ड की उपस्थिति में भी आपके राउटर को संभालने की अनुमति देगा , यदि केवल आपने अपने कंप्यूटर से वेबसाइट का दौरा किया था।

एक हमले के सफल होने के लिए आवश्यक मूर्खता का स्तर भिन्न होता है। कुछ हमलों के लिए, अंतिम उपयोगकर्ता को वास्तव में, वास्तव में बेवकूफ होना चाहिए। कुछ हमलों के लिए, उपयोगकर्ता को विभाजित विभाजन के लिए केवल कुछ अनजान होना चाहिए। और कुछ हमले उपयोगकर्ता के बिना भी काम करेंगे जब तक कि कुछ विशेष शर्तों को पूरा नहीं किया जाता है।

सामान्य तौर पर एक वेबसाइट आपकी हार्ड ड्राइव या उनकी मेटा जानकारी पर फ़ाइलों तक नहीं पहुंच सकती है। फिर भी आपको कुछ चीजों के बारे में पता होना चाहिए:

• आपके ब्राउज़र में सुरक्षा दोष हो सकते हैं, जो हमलावरों को आपके ब्राउज़र या यहां तक ​​कि आपके सिस्टम को हाईजैक करने देता है
• आपके ब्राउज़र के आधार पर, दुर्भावनापूर्ण वेबसाइट आपके और आपके द्वारा उपयोग किए जा रहे कंप्यूटर के बारे में बहुत कुछ जान सकती हैं। यहाँ थोड़ा अवलोकन करें: http://webkay.robinlinus.com/
• अपनी फ़ाइलों को सुरक्षित रखने का सबसे अच्छा तरीका है, उन्हें इंटरनेट से दूर रखना। अपनी फ़ाइलों को बाहरी ड्राइव पर संग्रहीत करें और केवल ऑफ़लाइन कंप्यूटर के माध्यम से उन्हें एक्सेस करें। यह असुविधाजनक लेकिन सुरक्षित हो सकता है