Bisakah situs web jahat mengakses konten file di komputer?

Ini mungkin paranoid, tetapi jika saya mengunjungi situs web jahat, bisakah mereka tahu apa yang ada di dalam PDF di desktop saya atau apa yang ada di dalam gambar saya di hard drive saya?

Saya memiliki Chromebook dan mesin Windows.

Kecuali Anda secara eksplisit memberikan situs web — yang aman (HTTPS) atau tidak aman (HTTP) —mengakses item di sistem Anda, situs web itu tidak akan memiliki akses ke item itu di sistem Anda.

Ini mungkin paranoid, tetapi jika saya mengunjungi situs web yang mungkin tidak 100% aman, dapatkah mereka memberi tahu apa yang ada di dalam PDF desktop hard drive saya atau apa yang ada di dalam gambar saya di hard drive saya?

Secara umum, kecuali jika Anda secara eksplisit memberi mereka akses ke hard drive Anda — atau dokumen pada hard drive Anda — maka tidak, situs web yang tidak aman tidak akan dapat mengakses apa pun.

Yang mengatakan (dan menekankan ini untuk memperjelas) memang ada beberapa eksploitasi yang sangat langka - dan esoterik - "zero-day" yang mungkin menjadi perhatian dalam beberapa kasus tepi . Tetapi secara umum, Anda — sebagai pengguna akhir — harus berusaha keras agar situs web dapat mengakses dokumen di sistem Anda. Selama OS Anda ditambal dan peramban diperbarui, Anda aman. Dan bahkan dalam kasus di mana Anda tidak ditambal dan ditingkatkan (dan sekali lagi menekankan ini untuk memperjelas) risikonya masih sangat rendah .

Satu-satunya masalah dengan situs web yang "mungkin tidak 100% aman" (seperti pertanyaan asli dinyatakan dan saya mengasumsikan HTTPS versus HTTP biasa) adalah bahwa ketika Anda mengirimkan data bolak-balik HTTPS dienkripsi dan HTTP tidak dienkripsi.

Maka risikonya adalah jika Anda mengetik sesuatu ke situs melalui formulir dan semacamnya, jika situs itu HTTP sederhana maka data yang Anda kirimkan hanyalah teks yang jelas bahwa siapa pun yang memiliki sniffer paket berpotensi membaca. Tapi itu peluang tipis yang terbaik.

Seperti jika Anda berada di jaringan Wi-Fi publik yang dikenal maka mungkin seseorang berada di jaringan itu bersama Anda dan berpotensi menangkap paket dan dengan demikian dapat mendeteksi apa yang Anda ketikkan.

Secara umum jika Anda berada di jaringan aman di rumah atau di tempat lain — dan browser serta OS Anda ditambal — Anda “aman.”

Situs web "tidak aman" hanya benar-benar menjadi masalah jika Anda mengirim data kepada mereka atau mengunduh item dari situs web tersebut yang akan menjalankan kode pada sistem Anda.

Perancang browser tidak mengizinkan ini tetapi selalu ada kemungkinan bug yang dapat dieksploitasi untuk mendapatkan tingkat akses yang lebih tinggi ke sistem Anda. Bug ini sangat jarang dan selalu diperbaiki dengan sangat cepat sehingga ini merupakan masalah utama jika OS atau browser Anda kedaluwarsa. Kedua pembaruan otomatis ini sekarang jadi jangan menonaktifkan pembaruan otomatis dan Anda dapat memastikan tingkat perlindungan yang cukup baik terhadap situs web berbahaya.

Komputer jarak jauh tidak dapat mengakses apa pun di komputer Anda tanpa bantuan perangkat lunak yang bekerja sama di komputer Anda.

Jika Anda menggunakan komputer Anda untuk mengunjungi situs web yang tidak terpercaya, Anda menggunakan perangkat lunak browser di komputer Anda untuk memulai permintaan web (protokol HTTP atau HTTPS) untuk menerima data dari komputer jarak jauh. Dalam model sederhana ini, komputer jarak jauh sama sekali tidak memiliki akses ke komputer Anda, tetapi ... browser memiliki beberapa fitur yang menyulitkan gambar ini.

Browser modern memiliki fitur yang memungkinkan Anda untuk mengunggah file dari komputer Anda. Situs web dapat menyertakan formulir yang memanfaatkan fitur ini. Fitur ini tidak memberikan tampilan situs web ke komputer Anda. Saat browser Anda memproses formulir seperti itu, ia memberi Anda kontrol pemilihan file; browser Anda dapat melihat file di komputer Anda, dan ketika Anda membuat pilihan, browser Anda mengirimkan konten file itu, dan hanya file itu ke sistem jarak jauh. Cara kerja fitur ini membuat beberapa orang percaya bahwa situs web dapat melihat file di komputer Anda padahal sebenarnya tidak bisa.

Semua browser modern memiliki mesin JavaScript. Situs web ini dapat menyertakan kode JavaScript yang dimaksudkan untuk dieksekusi oleh browser Anda. Ketika browser menerima JavaScript dalam sebuah halaman, biasanya browser akan menjalankannya secara otomatis. JavaScript biasanya digunakan untuk meningkatkan pengalaman pengguna; ia memiliki kemampuan tertentu dan beberapa batasan. Mesin JavaScript tidak dapat "melihat" ke komputer Anda - tidak dapat melihat file Anda atau apa yang mungkin terjadi di program lain, tetapi dapat mengarahkan browser untuk memuat file lain dari situs yang sama - gambar, halaman, dll. JavaScript dapat membuat browser setidaknya mencoba mengunduh dan menjalankan program yang mungkin memiliki akses atau kontrol lebih besar atas sistem Anda. Sementara JavaScript sendiri terbatas pada apa yang dapat dilakukan di komputer Anda,

TL; DR: Situs web yang tidak terpercaya tidak dapat dengan sendirinya melihat ke komputer Anda. Tetapi, sebuah situs dapat mencoba menipu Anda agar mengunduh dan menjalankan perangkat lunak berbahaya. Perangkat lunak semacam itu berpotensi melakukan apa saja di komputer Anda. Browser Anda seharusnya tidak secara otomatis mengunduh perangkat lunak tersebut; paling tidak, itu harus meminta penerimaan eksplisit Anda. Namun, situs web jahat dapat mencoba menipu Anda agar memberikan penerimaan seperti itu.

Dalam teori tidak, dalam praktiknya: Ya, itu tentu saja mungkin.

Ini adalah alasan mengapa pengguna yang cerdas memiliki ekstensi peramban yang menonaktifkan scripting setiap saat kecuali untuk situs web yang masuk daftar putih secara eksplisit yang membutuhkannya, dan yang menggagalkan banyak serangan lain seperti pemalsuan permintaan lintas situs dan yang lainnya.

Eksploitasi yang memungkinkan eksekusi kode jarak jauh atau memungkinkan mengakses file lokal diterbitkan hampir setiap bulan. Dua contoh terbaru untuk satu browser terkenal adalah 1 dan 2 . Contoh untuk peramban terkenal lainnya adalah 3 dan 4 .

(Di atas adalah kerentanan acak yang saya pilih tanpa alasan yang jelas dalam pikiran, juga sementara mereka semua diperbaiki dengan versi terbaru, sepengetahuan saya.)

Serangan browser tidak hanya memungkinkan situs web untuk mengakses file, mereka pada prinsipnya memungkinkan situs web untuk mengambil alih komputer Anda secara keseluruhan, dalam kasus terburuk. Masalahnya tidak terbatas pada browser, lihat kerentanan panggilan video WhatsApp untuk contoh terbaru. Ada eksploitasi dalam seri router DSL yang disebarkan secara luas setahun atau lebih yang lalu yang akan memungkinkan situs web jahat mengambil alih router Anda bahkan di hadapan kata sandi, jika Anda hanya mengunjungi situs web dari komputer Anda.

Tingkat kebodohan yang diperlukan agar serangan agar berhasil bervariasi. Untuk beberapa serangan, pengguna akhir harus benar-benar bodoh. Untuk beberapa serangan, pengguna harus agak tidak sadar untuk sepersekian detik. Dan beberapa serangan akan bekerja bahkan tanpa pengguna melakukan sesuatu yang bodoh sama sekali selama beberapa kondisi tertentu terpenuhi.

Secara umum situs web tidak dapat mengakses file di hard drive Anda atau informasi meta mereka. Meskipun demikian, Anda harus mengetahui beberapa hal:

• mungkin ada kelemahan keamanan di browser Anda, yang memungkinkan penyerang membajak browser Anda atau bahkan sistem Anda
• tergantung pada peramban Anda, situs web berbahaya dapat mempelajari cukup banyak tentang Anda dan komputer yang Anda gunakan. Untuk tinjauan singkat lihat di sini: http://webkay.robinlinus.com/
• cara terbaik untuk menjaga keamanan file Anda adalah dengan menjauhkannya dari internet. Simpan file Anda di drive eksternal dan hanya akses melalui komputer offline. Ini mungkin tidak nyaman tetapi aman