web-dev-qa-db-fra.com

Un site Web malveillant peut-il accéder au contenu de fichiers sur un ordinateur?

C'est peut-être paranoïaque, mais si je visite un site Web malveillant, peuvent-ils dire ce qu'il y a dans un PDF sur mon bureau ou ce qu'il y a dans mes images sur mon disque dur?

J'ai un Chromebook et une machine Windows.

27
john doe

Sauf si vous accordez explicitement à un site Web (qui est sécurisé (HTTPS) ou non sécurisé (HTTP)), d'accéder à un élément de votre système, ce site Web n'aura pas accès à cet élément sur votre système.

C'est peut-être paranoïaque, mais si je vais sur un site Web qui n'est peut-être pas sécurisé à 100%, peuvent-ils dire ce qu'il y a dans le bureau de mon disque dur PDF ou ce qu'il y a dans mes images sur mon disque dur?

En général, à moins que vous ne leur donniez explicitement accès à votre disque dur - ou à des documents sur votre disque dur -, non, un site Web non sécurisé ne pourra accéder à rien.

Ceci dit (et en soulignant ceci pour préciser) il existe effectivement quelques exploits extrêmement rares - et ésotériques - du «jour zéro» qui pourraitêtre un sujet de préoccupation dans certains cas Edge. Mais en général, vous En tant qu'utilisateur final, vous devez permettre à un site Web d'accéder aux documents de votre système. Aussi longtemps que votre système d'exploitation est corrigé et que les navigateurs sont à jour, vous êtes en sécurité. Même dans les cas où vous êtes pas corrigé et mis à niveau (en soulignant encore une fois ceci pour le rendre clair) le risque est toujours incroyablement faible.

Le seul problème avec un site Web qui "pourrait ne pas être sécurisé à 100%" (comme le disait la question initiale et je suppose que HTTPS par rapport à HTTP simple) est que, lorsque vous transmettez des données en retour, HTTPS est crypté et HTTP non. crypté.

Le risque est alors que si vous tapez quelque chose sur le site via un formulaire, par exemple, si le site est en HTTP simple, les données que vous transmettez sont simplement du texte en clair que toute personne possédant un renifleur de paquet a le potentielà lire. Mais c'est une chance mince au mieux.

Comme si vous êtes sur un réseau Wi-Fi public connu, il se peut que quelqu'un se trouve sur ce réseau avec vous et potentiellementcapture des paquets et puisse ainsi détecter ce que vous tapez.

En général, si vous êtes sur un réseau sécurisé à la maison ou ailleurs - et que votre navigateur et votre système d'exploitation sont corrigés - vous êtes "en sécurité".

Un site Web "non sécurisé" ne constitue vraiment un problème que si vous leur envoyez des données ou si vous téléchargez un élément dudit site Web qui exécutera du code sur votre système.

33
JakeGould

De par leur conception, les navigateurs ne le permettent pas, mais il existe toujours la possibilité qu’un bogue puisse être exploité pour obtenir un niveau supérieur d’accès à votre système. Ces bogues sont assez rares et sont toujours résolus très rapidement. Il s'agit donc d'un problème si votre système d'exploitation ou votre navigateur est obsolète. Ces deux mises à jour automatiques maintenant, ne désactivez pas les mises à jour automatiques et vous pouvez être assuré d'un niveau de protection assez élevé contre les sites Web malveillants.

56
Qwertie

Un ordinateur distant ne peut accéder à rien sur votre ordinateur sans l'aide d'un logiciel coopérant sur votre ordinateur.

Si vous utilisez votre ordinateur pour visiter un site Web non approuvé, vous utilisez un logiciel de navigation sur votre ordinateur pour lancer des requêtes Web (protocole HTTP ou HTTPS) afin de recevoir des données de l'ordinateur distant. Dans ce modèle simple, l'ordinateur distant n'a absolument aucun accès à votre ordinateur, mais ... les navigateurs ont des fonctionnalités qui compliquent cette image.

Les navigateurs modernes ont une fonctionnalité qui vous permet de télécharger des fichiers depuis votre ordinateur. Un site Web peut inclure un formulaire qui utilise cette fonctionnalité. Cette fonctionnalité ne permet pas de donner au site une vue sur votre ordinateur. Lorsque votre navigateur traite un tel formulaire, il vous présente un contrôle de sélection de fichier. votre navigateur peut voir les fichiers sur votre ordinateur et, lorsque vous effectuez une sélection, votre navigateur envoie le contenu de ce fichier, et uniquement de ce fichier au système distant. Le fonctionnement de cette fonctionnalité laisse penser que le site Web peut voir des fichiers sur votre ordinateur quand il ne le peut pas.

Tous les navigateurs modernes ont des moteurs JavaScript intégrés. Le site Web peut inclure du code JavaScript destiné à être exécuté par votre navigateur. Lorsque le navigateur reçoit du code JavaScript dans une page, il l'exécutera automatiquement. JavaScript est normalement utilisé pour améliorer l'expérience utilisateur. il a certaines capacités et certaines limitations. Le moteur JavaScript ne peut pas "voir" sur votre ordinateur. Il ne peut pas voir vos fichiers ni ce qui peut se passer dans d'autres programmes, mais il peut demander au navigateur de charger d'autres fichiers du même site - images, pages, etc. JavaScript peut faire que le navigateur tente au moins de télécharger et d’exécuter un programme qui peut avoir un meilleur accès à votre système ou le contrôler. Bien que JavaScript soit limité dans ce qu'il peut faire sur votre ordinateur, il est néanmoins possible pour un programmeur malveillant de se servir de JavaScript pour inciter un utilisateur peu méfiant à télécharger un programme plus performant et malveillant.

TL; DR: un site Web non fiable ne peut pas voir par lui-même dans votre ordinateur. Mais un site peut essayer de vous amener à télécharger et à exécuter des logiciels malveillants. Un tel logiciel pourrait potentiellement faire quelque chose sur votre ordinateur. Votre navigateur ne doit pas télécharger automatiquement ce logiciel; à tout le moins, cela devrait nécessiter votre acceptation explicite. Un site Web malveillant pourrait toutefois tenter de vous amener à donner une telle acceptation.

43
Zenilogix

En théorie non, en pratique: oui, c'est certainement possible.

C’est la raison pour laquelle les utilisateurs avertis ont des extensions de navigateur qui désactivent les scripts à tout moment, à l’exception des sites Web explicitement inscrits sur la liste blanche qui en ont besoin, et qui contrent de nombreuses autres attaques, telles que la falsification de requêtes intersites et autres.

Les exploits permettant l'exécution de code à distance ou l'accès aux fichiers locaux sont publiés presque tous les mois. Deux exemples récents d’un navigateur bien connu sont 1 et 2 . Les exemples pour un autre navigateur bien connu sont 3 et 4 .

(Les vulnérabilités ci-dessus sont des vulnérabilités aléatoires que j'ai choisies sans aucune raison évidente. Elles sont également corrigées des versions les plus récentes, à ma connaissance.)

Les attaques de navigateur peuvent non seulement permettre à un site Web d'accéder à des fichiers, elles peuvent en principe permettre au site Web de prendre en charge votre ordinateur, dans le pire des cas. Le problème ne se limite pas aux navigateurs, consultez la page Vulnérabilité des appels vidéo WhatsApp pour un exemple récent. Il y a un an environ, il existait un exploit dans une série de routeurs DSL largement déployés qui permettait à un site Web malveillant de de prendre en charge votre routeur même en présence d'un mot de passe, si vous visitiez le site Web uniquement ton ordinateur.

Le niveau de stupidité nécessaire pour qu'une attaque réussisse varie. Pour certaines attaques, l'utilisateur final doit être vraiment, vraiment stupide. Pour certaines attaques, l'utilisateur ne doit être qu'un peu inconscient pendant une fraction de seconde. Et certaines attaques fonctionneront même si l'utilisateur ne fait rien de stupide tant que certaines conditions sont remplies.

12
Damon

En général, un site Web ne peut pas accéder aux fichiers de votre disque dur ni à leurs méta-informations. Néanmoins, vous devez être conscient de quelques choses:

  • votre navigateur peut comporter des failles de sécurité, permettant aux attaquants de pirater votre navigateur ou même votre système
  • en fonction de votre navigateur, des sites Web malveillants peuvent en apprendre beaucoup sur vous et l'ordinateur que vous utilisez. Pour un aperçu, regardez ici: http://webkay.robinlinus.com/
  • le meilleur moyen de protéger vos fichiers est de les tenir à l'écart d'Internet. Stockez vos fichiers sur un lecteur externe et accédez-y uniquement via des ordinateurs hors connexion. Cela peut être gênant mais sécurisé
3
Nikita Malyschkin