악성 웹 사이트가 컴퓨터의 파일 내용에 액세스 할 수 있습니까?

이것은 편집증 일 수 있지만 악의적 인 웹 사이트를 방문하면 데스크탑의 PDF 안에 무엇이 있는지 또는 하드 드라이브의 이미지 안에 무엇이 있는지 알 수 있습니까?

크롬 북과 Windows 컴퓨터가 있습니다.

보안 (HTTPS) 또는 안전하지 않은 (HTTP) 웹 사이트에 시스템의 항목에 대한 액세스 권한을 명시 적으로 부여하지 않으면 해당 웹 사이트는 시스템의 해당 항목에 액세스 할 수 없습니다.

이것은 편집증 일 수 있지만 100 % 안전하지 않은 웹 사이트를 방문하면 내 하드 드라이브 데스크탑의 PDF 내부 또는 하드 드라이브의 이미지 내부를 알 수 있습니까?

일반적으로 하드 드라이브 또는 하드 드라이브의 문서에 대한 액세스 권한을 명시 적으로 부여하지 않으면 안전하지 않은 웹 사이트는 아무 것도 액세스 할 수 없습니다.

즉 , 일부 경우에는 우려 할 수 있는 매우 드물고 난해한 "제로 데이"익스플로잇도 있습니다 . 그러나 일반적으로 최종 사용자 인 경우 웹 사이트에서 시스템의 문서에 액세스 할 수 있도록해야합니다. OS가 패치되고 브라우저가 최신 상태 인 한 안전합니다. 또한 패치 및 업그레이드를하지 않은 경우에도 (그리고이를 다시 강조하여 강조 표시하는 경우) 위험은 여전히 ​​매우 낮습니다 .

"100 % 안전하지 않을 수있는"웹 사이트에 대한 유일한 우려는 (원래 질문에서 언급 한대로 HTTPS와 일반 HTTP를 가정하고 있음) 데이터를 앞뒤로 전송할 때 HTTPS가 암호화되고 HTTP가 암호화되지 않는다는 것입니다.

그런 다음 양식을 통해 사이트에 무언가를 입력하면 사이트가 일반 HTTP 인 경우 전송하는 데이터는 패킷 스니퍼를 가진 사람이 읽을 가능성 이 있다는 분명한 텍스트입니다 . 그러나 그것은 최선의 슬림 기회입니다.

알려진 공개 Wi-Fi 네트워크에있는 것처럼 누군가가 해당 네트워크에 있고 잠재적으로 패킷을 캡처하여 입력 한 내용을 감지 할 수 있습니다.

일반적으로 집이나 다른 곳의 안전한 네트워크에 있고 브라우저와 OS가 패치 된 경우 "안전"합니다.

"안전하지 않은"웹 사이트는 데이터를 보내거나 시스템에서 코드를 실행하는 해당 웹 사이트에서 항목을 다운로드하는 경우에만 문제가됩니다.

설계 상 브라우저는이를 허용하지 않지만 항상 시스템에 대한 높은 수준의 액세스 권한을 얻기 위해 악용 될 수있는 버그가있을 수 있습니다. 이러한 버그는 매우 드물고 항상 매우 빠르게 수정되므로 OS 또는 브라우저가 오래된 경우 주로 문제입니다. 이 두 가지 자동 업데이트는 이제 자동 업데이트를 비활성화하지 않고 악의적 인 웹 사이트로부터 상당히 우수한 수준의 보호를 보장 할 수 있습니다.

원격 컴퓨터는 컴퓨터의 소프트웨어 협력없이 컴퓨터의 어떤 것에도 액세스 할 수 없습니다.

컴퓨터를 사용하여 신뢰할 수없는 웹 사이트를 방문하는 경우 컴퓨터의 브라우저 소프트웨어를 사용하여 웹 요청 (HTTP 또는 HTTPS 프로토콜)을 시작하여 원격 컴퓨터에서 데이터를 수신합니다. 이 간단한 모델에서 원격 컴퓨터는 컴퓨터에 전혀 액세스 할 수 없지만 브라우저에는이 그림을 복잡하게하는 몇 가지 기능이 있습니다.

최신 브라우저에는 컴퓨터에서 파일을 업로드 할 수있는 기능이 있습니다. 웹 사이트에는이 기능을 사용하는 양식이 포함될 수 있습니다. 이 기능 은 웹 사이트에 컴퓨터를 보여 주지 않습니다 . 브라우저가 이러한 양식을 처리하면 파일 선택 컨트롤이 제공됩니다. 브라우저는 컴퓨터의 파일을 볼 수 있으며, 선택하면 브라우저는 해당 파일의 내용과 해당 파일의 내용 만 원격 시스템으로 보냅니다. 이 기능이 작동하는 방식으로 일부 사람들은 웹 사이트가 실제로는 불가능할 때 컴퓨터에서 파일을 볼 수 있다고 믿게됩니다.

모든 최신 브라우저에는 JavaScript 엔진이 내장되어 있습니다. 웹 사이트에는 브라우저가 실행하도록되어있는 JavaScript 코드가 포함되어있을 수 있습니다. 브라우저가 페이지에서 JavaScript를 수신하면 일반적으로 자동으로 실행됩니다. JavaScript는 일반적으로 사용자 경험을 향상시키는 데 사용됩니다. 특정 기능과 일부 제한 사항이 있습니다. 자바 스크립트 엔진은 컴퓨터에 "볼"수 없습니다-파일이나 다른 프로그램에서 일어날 수있는 일을 볼 수 없지만 브라우저가 같은 사이트 (예 : 이미지, 페이지 등)에서 다른 파일을로드하도록 지시 할 수 있습니다. JavaScript는 브라우저가 시스템에 더 많이 액세스하거나 시스템을 제어 할 수있는 프로그램을 다운로드하여 실행하려고 할 수 있습니다. 자바 스크립트 자체는 컴퓨터에서 수행 할 수있는 작업에 제한이 있지만,

TL; DR : 신뢰할 수없는 웹 사이트 자체만으로는 컴퓨터를 볼 수 없습니다. 그러나 사이트에서 악성 소프트웨어를 다운로드하여 실행하도록 속일 수 있습니다. 이러한 소프트웨어는 컴퓨터에서 잠재적으로 모든 작업을 수행 할 수 있습니다. 브라우저가 그러한 소프트웨어를 자동으로 다운로드해서는 안됩니다. 최소한 명시적인 승인이 필요합니다. 그러나 악의적 인 웹 사이트는 그러한 수락을하도록 속일 수 있습니다.

이론적으로 아니오, 실제로 : 예, 확실히 가능합니다.

이러한 이유로 인해 해군 사용자가 명시 적으로 허용 된 웹 사이트를 제외하고 스크립팅을 비활성화하는 브라우저 확장 기능이 브라우저 간 요청 위조 및 기타와 같은 다른 많은 공격을 차단하는 이유가 여기에 있습니다.

원격 코드 실행 또는 로컬 파일 액세스를 허용하는 악용은 거의 매월 게시됩니다. 잘 알려진 하나의 브라우저에 대한 두 가지 최근 예는 1 과 2 입니다. 잘 알려진 다른 브라우저의 예는 3 및 4 입니다.

(위의 내용은 명백한 이유없이 선택한 임의의 취약점이며, 최신 버전으로 수정 된 것입니다.)

브라우저 공격은 웹 사이트가 파일에 액세스 할 수있게 할뿐만 아니라 원칙적으로 웹 사이트가 컴퓨터를 완전히 대신 할 수 있도록합니다. 이 문제는 브라우저에만 국한되지 않습니다. 최근 예는 WhatsApp 화상 통화 취약점을 참조하십시오. 1 년 전쯤에 광범위하게 배포 된 특정 DSL 라우터가 악용되어 악의적 인 웹 사이트가 컴퓨터에서 웹 사이트를 방문한 경우에만 암호가있는 경우에도 라우터 를 대신 할 수 있습니다.

공격이 성공하는 데 필요한 어리 석음의 수준은 다양합니다. 일부 공격의 경우 최종 사용자는 정말 어리석어 야합니다. 일부 공격의 경우 사용자는 1 초 동안 약간만 인식해야합니다. 그리고 일부 공격은 특정 조건이 충족되는 한 사용자가 어리석은 짓을하지 않아도 작동합니다.

일반적으로 웹 사이트는 하드 드라이브의 파일이나 메타 정보에 액세스 할 수 없습니다. 그럼에도 불구하고 몇 가지 사항을 알고 있어야합니다.

• 브라우저에 보안 결함이있어 공격자가 브라우저 나 시스템을 가로 챌 수 있습니다.
• 브라우저에 따라 악의적 인 웹 사이트가 귀하와 사용중인 컴퓨터에 대해 많은 것을 배울 수 있습니다 .
• 파일을 안전하게 보관하는 가장 좋은 방법은 인터넷에서 멀리 떨어진 곳에 보관하는 것입니다. 파일을 외장 드라이브에 저장하고 오프라인 컴퓨터를 통해서만 액세스하십시오. 불편하지만 안전 할 수 있습니다.