¿Puede un sitio web malicioso acceder al contenido de los archivos en una computadora?

Esto puede ser paranoico, pero si voy a un sitio web malicioso, ¿pueden saber qué hay dentro de un PDF en mi escritorio o qué hay dentro de mis imágenes en mi disco duro?

Tengo una Chromebook y una máquina con Windows.

A menos que otorgue explícitamente un acceso a un elemento en su sistema, que es seguro (HTTPS) o inseguro (HTTP), ese sitio web no tendrá acceso a ese elemento en su sistema.

Esto puede ser paranoico, pero si voy a un sitio web que puede no ser 100% seguro, ¿pueden decir qué hay dentro del PDF del escritorio de mi disco duro o qué hay dentro de mis imágenes en mi disco duro?

En general, a menos que les dé acceso explícito a su disco duro, o documentos en su disco duro, entonces no, un sitio web inseguro no podrá acceder a nada.

Dicho esto (y enfatizando esto para dejarlo en claro) , de hecho hay algunas hazañas de "día cero" increíblemente raras y esotéricas que podrían ser motivo de preocupación en algunos casos extremos . Pero en general, usted, como usuario final, debe hacer todo lo posible para permitir que un sitio web obtenga acceso a los documentos de su sistema. Mientras su sistema operativo esté parcheado y los navegadores estén actualizados, estará seguro. E incluso en los casos en que no está parcheado y actualizado (y nuevamente enfatizando esto para dejarlo claro), el riesgo sigue siendo increíblemente bajo .

La única preocupación con un sitio web que "podría no ser 100% seguro" (como decía la pregunta original y supongo HTTPS versus HTTP simple) es que cuando transmite datos de un lado a otro, HTTPS está encriptado y HTTP no está encriptado.

El riesgo entonces es si escribe algo en el sitio a través de un formulario y tal, si el sitio es HTTP simple, entonces los datos que está transmitiendo son solo texto claro que cualquier persona con un rastreador de paquetes tiene el potencial de leer. Pero esa es una pequeña posibilidad en el mejor de los casos.

Al igual que si está en una red Wi-Fi pública conocida, entonces tal vez alguien esté en esa red con usted y posiblemente capture paquetes y, por lo tanto, pueda detectar lo que está escribiendo.

En general, si está en una red segura en su hogar o en otro lugar, y su navegador y sistema operativo están parcheados, está "seguro".

Un sitio web "inseguro" solo es realmente una preocupación si les envía datos o si descarga un elemento de dicho sitio web que ejecutará código en su sistema.

Por diseño, los navegadores no permiten esto, pero siempre existe la posibilidad de que se pueda explotar un error para obtener un mayor nivel de acceso a su sistema. Estos errores son bastante raros y siempre se solucionan muy rápidamente, por lo que esto es principalmente un problema si su sistema operativo o navegador no está actualizado. Ambas actualizaciones automáticas ahora, así que simplemente no deshabilite las actualizaciones automáticas y puede estar seguro de un nivel bastante bueno de protección contra sitios web maliciosos.

Una computadora remota no puede acceder a nada en su computadora sin la ayuda de un software cooperativo en su computadora.

En el caso de que use su computadora para visitar un sitio web no confiable, está usando un software de navegador en su computadora para iniciar solicitudes web (el protocolo HTTP o HTTPS) para recibir datos de la computadora remota. En este modelo simple, la computadora remota no tiene absolutamente ningún acceso a su computadora, pero ... los navegadores tienen algunas características que complican esta imagen.

Los navegadores modernos tienen una función que le permite cargar archivos desde su computadora. Un sitio web puede incluir un formulario que haga uso de esta función. Esta característica no le da al sitio web una vista de su computadora. Cuando su navegador procesa dicho formulario, le presenta un control de selección de archivos; su navegador puede ver los archivos en su computadora, y cuando realiza una selección, su navegador envía el contenido de ese archivo y solo ese archivo al sistema remoto. La forma en que funciona esta característica hace que algunas personas crean que el sitio web puede ver archivos en su computadora cuando en realidad no puede.

Todos los navegadores modernos tienen motores JavaScript incorporados. El sitio web puede incluir código JavaScript que debe ser ejecutado por su navegador. Cuando el navegador recibe JavaScript en una página, generalmente lo ejecutará automáticamente. JavaScript se usa normalmente para mejorar la experiencia del usuario; Tiene ciertas capacidades y algunas limitaciones. El motor de JavaScript no puede "ver" en su computadora; no puede ver sus archivos o lo que puede estar sucediendo en otros programas, pero puede indicar al navegador que cargue otros archivos desde el mismo sitio: imágenes, páginas, etc. JavaScript podría hacer que el navegador al menos intente descargar y ejecutar un programa que pueda tener mayor acceso o control sobre su sistema. Si bien JavaScript en sí es limitado en lo que puede hacer en su computadora,

TL; DR: un sitio web no confiable no puede ver por sí solo en su computadora. Pero un sitio puede intentar engañarlo para que descargue y ejecute software malicioso. Tal software podría hacer cualquier cosa en su computadora. Su navegador no debe descargar automáticamente dicho software; por lo menos, debería requerir su aceptación explícita. Sin embargo, un sitio web malicioso podría tratar de engañarte para que le des esa aceptación.

En teoría no, en la práctica: sí, eso es ciertamente posible.

Esta es la razón por la cual los usuarios inteligentes tienen extensiones de navegador que deshabilitan las secuencias de comandos en todo momento, excepto los sitios web explícitamente incluidos en la lista blanca que los requieren y que frustran muchos otros ataques, como la falsificación de solicitudes entre sitios y otras cosas.

Las vulnerabilidades que permiten la ejecución remota de código o permiten acceder a archivos locales se publican casi todos los meses. Dos ejemplos recientes para un navegador conocido son 1 y 2 . Ejemplos de otro navegador conocido son 3 y 4 .

(Lo anterior son vulnerabilidades aleatorias que seleccioné sin ninguna razón obvia en mente, también, mientras tanto, todas están solucionadas con las versiones más nuevas, que yo sepa).

Los ataques al navegador no solo pueden permitir que un sitio web acceda a los archivos, sino que, en principio, pueden permitir que el sitio web se haga cargo de su computadora, en el peor de los casos. El problema no se limita a los navegadores, consulte la vulnerabilidad de videollamadas de WhatsApp para ver un ejemplo reciente. Hubo una vulnerabilidad en una serie particular de enrutadores DSL implementados ampliamente hace aproximadamente un año que permitiría que un sitio web malicioso se hiciera cargo de su enrutador incluso en presencia de una contraseña, si solo visitara el sitio web desde su computadora.

El nivel de estupidez necesario para que un ataque tenga éxito varía. Para algunos ataques, el usuario final debe ser muy, muy estúpido. Para algunos ataques, el usuario solo debe ser inconsciente durante una fracción de segundo. Y algunos ataques funcionarán incluso sin que el usuario haga nada estúpido mientras se cumplan algunas condiciones particulares.

En general, un sitio web no puede acceder a los archivos en su disco duro o su metainformación. Sin embargo, debe tener en cuenta un par de cosas:

• puede haber fallas de seguridad en su navegador, lo que permite a los atacantes secuestrar su navegador o incluso su sistema
• dependiendo de su navegador, los sitios web maliciosos pueden aprender mucho sobre usted y la computadora que está utilizando. Para una pequeña descripción general, consulte aquí: http://webkay.robinlinus.com/
• La mejor manera de mantener sus archivos seguros es mantenerlos alejados de Internet. Almacene sus archivos en una unidad externa y solo acceda a ellos a través de computadoras sin conexión. Esto puede ser inconveniente pero seguro