কোনও দূষিত ওয়েবসাইট কম্পিউটারে ফাইলের সামগ্রীগুলি অ্যাক্সেস করতে পারে?


27

এটি প্যারানয়েড হতে পারে তবে আমি যদি কোনও দূষিত ওয়েবসাইটে যাই তবে তারা কি বলতে পারবে যে আমার ডেস্কটপে পিডিএফের ভিতরে কী আছে বা আমার হার্ড ড্রাইভে আমার চিত্রগুলির ভিতরে কী রয়েছে?

আমার কাছে একটি Chromebook এবং একটি উইন্ডোজ মেশিন রয়েছে have


এটি একটি নির্দিষ্ট ব্রাউজারে নির্দিষ্ট করা উচিত? আমি কল্পনা করতে পারি যে সমস্ত ব্রাউজার এই ক্ষেত্রে সমানভাবে সুরক্ষিত নয়? আই ফ্ল্যাশ এই জাতীয় স্টাফগুলির জন্য একটি বিশাল দুর্বলতা ছিল, তাই না? যদি এটি কোনও ব্রাউজারের সাথে সুনির্দিষ্ট না হয়, তবে এটি কোনও প্রদত্ত এইচটিএমএল অনুমানের নির্দিষ্ট সংস্করণ বা যা কিছুতেই সীমাবদ্ধ থাকতে হবে।
ট্যাঙ্কোরস্যামশ

1
অ্যাকাউন্টে নেওয়া স্পেক্টর - সম্ভবত।
ব্যবহারকারী 253751


1
এটি একটি সম্ভাবনা, তবে এটি এতটা নাবালিক যে এটি আপনার চিন্তিত হওয়া উচিত নয়। আপনার ওয়েব ব্রাউজারে অন্যান্য কোন তথ্য সঞ্চিত আছে যা ওয়েবসাইট অ্যাক্সেস করতে পারে সে সম্পর্কে আপনার উদ্বিগ্ন হওয়া উচিত। কুকিগুলি আপনার সম্পর্কে খুব দুর্বল ব্যক্তিগত তথ্য সংরক্ষণ করতে পারে যা এই জাতীয় সাইটগুলি মাছ ধরতে পারে।
mathreadler

1
আপনি যদি অতিরিক্ত ভৌতিক হতে চান তবে আপনার ব্রাউজারটি একটি বেয়ারবোনস লিনাক্স ভার্চুয়াল মেশিনের অভ্যন্তরে চালান
রিচি ফ্রেম

উত্তর:


33

আপনার সিস্টেমের কোনও আইটেমটিতে আপনি স্পষ্টভাবে কোনও ওয়েবসাইট grant যা সুরক্ষিত (HTTPS) বা সুরক্ষিত (HTTP) মঞ্জুরি না দিলে সেই ওয়েবসাইটটি আপনার সিস্টেমে সেই আইটেমটির অ্যাক্সেস পাবে না।

এটি প্যারানয়েড হতে পারে তবে আমি যদি এমন কোনও ওয়েবসাইটে যাই যা 100% সুরক্ষিত নাও হতে পারে তবে তারা কি বলতে পারবে যে আমার হার্ড ড্রাইভের ডেস্কটপের পিডিএফের ভিতরে বা আমার হার্ড ড্রাইভে আমার চিত্রগুলির ভিতরে কী আছে?

সাধারণভাবে, যদি না আপনি স্পষ্টভাবে তাদের আপনার হার্ড ড্রাইভ — বা আপনার হার্ড ড্রাইভের নথিগুলিতে অ্যাক্সেস না দেন — তবে না, কোনও অনিরাপদ ওয়েবসাইট কোনও কিছুই অ্যাক্সেস করতে সক্ষম হবে না।

এটি বলেছিল (এবং এটি স্পষ্ট করার জন্য এটির উপর জোর দেওয়া) সত্যিই কিছু অবিশ্বাস্যর বিরল - এবং বীরত্বপূর্ণ "শূন্য-দিন" শোষণ রয়েছে যা কিছু প্রান্তের ক্ষেত্রে উদ্বেগের কারণ হতে পারে । তবে সাধারণভাবে, আপনাকে an শেষ ব্যবহারকারী হিসাবে a কোনও ওয়েবসাইটকে আপনার সিস্টেমে ডকুমেন্টগুলিতে অ্যাক্সেস পাওয়ার অনুমতি দেওয়ার জন্য আপনার পথ ছাড়তে হবে। যতক্ষণ না আপনার ওএস প্যাচ করা থাকে এবং ব্রাউজারগুলি আপ টু ডেট থাকে আপনি নিরাপদ হন। এমনকি এমন ক্ষেত্রেও যেখানে আপনার প্যাচ এবং আপগ্রেড করা হয়নি (এবং আবার এটি পরিষ্কার করার জন্য এটির উপর জোর দেওয়া) ঝুঁকিটি এখনও অবিশ্বাস্যভাবে কম

একটি ওয়েবসাইট যা কেবল "১০০% সুরক্ষিত নাও হতে পারে" (মূল প্রশ্নটি বর্ণিত হিসাবে এবং আমি HTTPS বনাম সরল এইচটিটিপি ধরে নিচ্ছি) কেবলমাত্র উদ্বেগটি হ'ল আপনি যখন ডেটা প্রেরণ করেন এবং পিছু পিছু এইচটিটিপিএস এনক্রিপ্ট করা হয় না এবং এইচটিটিপি এনক্রিপ্ট করা হয় না।

তখন ঝুঁকিটি হ'ল যদি আপনি কোনও ফর্মের মাধ্যমে সাইটে কিছু টাইপ করেন এবং যেমন যদি সাইটটি সরল এইচটিটিপি হয় তবে আপনি যে ডেটা প্রেরণ করছেন তা হ'ল পরিষ্কার পাঠ্য যে প্যাকেট স্নিফার সহ যে কারও পড়ার সম্ভাবনা রয়েছে । তবে এটি সবচেয়ে পাতলা সুযোগ।

আপনি যদি কোনও পরিচিত পাবলিক ওয়াই-ফাই নেটওয়ার্কে থাকেন তবে সম্ভবত কেউ আপনার সাথে সেই নেটওয়ার্কে রয়েছে এবং সম্ভাব্যভাবে প্যাকেটগুলি ক্যাপচার করছে এবং এভাবে আপনি কী টাইপ করছেন তা সনাক্ত করতে পারে।

সাধারণভাবে যদি আপনি বাড়িতে বা অন্য কোথাও কোনও সুরক্ষিত নেটওয়ার্কে থাকেন — এবং আপনার ব্রাউজার এবং ওএস প্যাচ করা হয় - আপনি "নিরাপদ"।

আপনি যদি তাদের কাছে ডেটা প্রেরণ করেন বা আপনি যে ওয়েবসাইটটি আপনার সিস্টেমে কোড চালাবেন সেই ওয়েবসাইট থেকে কোনও আইটেম ডাউনলোড করেন তবে একটি "অনিরাপদ" ওয়েবসাইটটি কেবল সত্যই উদ্বেগের বিষয়।


56

ডিজাইন দ্বারা ব্রাউজারগুলি এটির অনুমতি দেয় না তবে আপনার সিস্টেমে উচ্চ স্তরের অ্যাক্সেস পাওয়ার জন্য কোনও বাগটি ব্যবহার করা যায় এমন সম্ভাবনা সবসময় থাকে। এই বাগগুলি মোটামুটি বিরল এবং সর্বদা খুব দ্রুত সংশোধন করা হয় তাই আপনার ওএস বা ব্রাউজারটির মেয়াদ শেষ হয়ে গেলে এটি মূলত একটি সমস্যা। এই উভয় অটো আপডেট এখনই কেবল অটো আপডেটগুলি অক্ষম করবেন না এবং আপনি দূষিত ওয়েবসাইটগুলির বিরুদ্ধে মোটামুটি ভাল স্তর সুরক্ষা সম্পর্কে নিশ্চিত হতে পারেন।


8
এই জাতীয় শূন্য দিনটি সঠিক মানুষের কাছে কয়েক হাজারের মূল্যবান বলে মনে করা যায়, তাই যদি আপনি সত্যই আকর্ষণীয় না হন তবে এটি আপনার বিরুদ্ধে ব্যবহৃত হবে না ces
অ্যাডোনালসিয়াম

1
@ অ্যাডোনালসিয়াম - সমস্ত ... ডান ... লোকের কাছে আকর্ষণীয় হওয়ার জন্য আপনার কেবল ক্রেডিট কার্ড দরকার ।
পল

5
@ পল যদি কেউ কিছু ক্রেডিট কার্ড চুরি করতে ছয়-অঙ্কের শূন্য-দিন কিনে থাকে তবে তা দুঃখজনক হবে। নিজের টাকা ফেরত দেওয়ার কাছাকাছি আসার আগে আপনাকে হাজার হাজার চুরি করতে হবে এবং আপনি যদি প্রতিটি লাল পতাকাটি ট্রিগার করে এবং একটি আক্রমণে পোড়ান তবে তা হ'ল। বিপরীতে, রাজ্য বা কর্পোরেট গোপনীয়তা চুরি করতে এক লক্ষ হাজার ... সম্ভবত এটি অনেক বেশি।
ফান্ড মনিকার লকসুইট

1
@ অ্যাডোনালসিয়াম একটি শূন্য দিনের জন্য হ্যাঁ তবে পুরাতন সংস্করণগুলিতে ব্যবহার করা নিখরচায় জনসাধারণের জ্ঞান। এবং এখনও IE বা সিলভারলাইটের পুরানো সংস্করণগুলি চালাচ্ছেন মোটামুটি কিছু লোক।
কিওয়ারটি

3
@ পল শিওর, এটি সহজ: এগুলি এমন শোষণের মাধ্যমে চুরি করা হয়েছিল যেগুলি কেনার জন্য কয়েক লক্ষাধিক ডলার খরচ হবে না এবং ক্রেডিট কার্ড চুরির ব্রাউজারের ত্রুটির চেয়ে অনেক বেশি গ্যারান্টিযুক্ত রিটার্ন রয়েছে have সোশ্যাল ইঞ্জিনিয়ারিং এবং হ্যাক ওয়েব স্টোর ডাটাবেসের মতো বিষয়গুলিও ক্রেডিট কার্ডে আপস করতে পারে। আপনি যদি দয়া করে আমার আসল মন্তব্যটি পড়েন তবে আমি কখনই বলিনি যে ক্রেডিট কার্ড চুরি হয় না - যা আপনি এটি পড়েন - তবে কোনও শক্তিশালী ব্রাউজার শূন্য-দিন কোনও র্যান্ডোর ক্রেডিট কার্ডে জ্বলবে না।
মনিকা'র মোকদ্দমাটি 17:51

43

একটি রিমোট কম্পিউটার আপনার কম্পিউটারে সহ-অপারেটিং সফ্টওয়্যার সহায়তা ব্যতীত আপনার কম্পিউটারে কিছু অ্যাক্সেস করতে পারে না।

অবিশ্বস্ত ওয়েবসাইটটি দেখার জন্য আপনি আপনার কম্পিউটারটি ব্যবহারের ক্ষেত্রে, আপনি দূরবর্তী কম্পিউটার থেকে ডেটা পাওয়ার জন্য ওয়েব অনুরোধগুলি (এইচটিটিপি বা এইচটিটিপিএস প্রোটোকল) আরম্ভ করার জন্য আপনার কম্পিউটারে ব্রাউজার সফ্টওয়্যার ব্যবহার করছেন। এই সাধারণ মডেলটিতে, দূরবর্তী কম্পিউটারটিতে আপনার কম্পিউটারে একেবারে অ্যাক্সেস নেই, তবে ... ব্রাউজারগুলিতে এমন কিছু বৈশিষ্ট্য রয়েছে যা এই ছবিটিকে জটিল করে তোলে।

আধুনিক ব্রাউজারগুলির একটি বৈশিষ্ট্য রয়েছে যা আপনাকে আপনার কম্পিউটার থেকে ফাইল আপলোড করতে দেয়। একটি ওয়েবসাইট একটি ফর্ম অন্তর্ভুক্ত করতে পারে যা এই বৈশিষ্ট্যটি ব্যবহার করে। এই বৈশিষ্ট্যটি আপনার কম্পিউটারে ওয়েবসাইটটিকে একটি ভিউ দেয় না । যখন আপনার ব্রাউজারটি এমন ফর্মটি প্রক্রিয়া করে, তখন এটি আপনাকে একটি ফাইল নির্বাচন নিয়ন্ত্রণ দিয়ে উপস্থাপন করে; আপনার ব্রাউজারটি আপনার কম্পিউটারে ফাইলগুলি দেখতে পারে এবং আপনি যখন একটি নির্বাচন করেন, আপনার ব্রাউজারটি সেই ফাইলের সামগ্রীগুলি এবং কেবলমাত্র সেই ফাইলটি দূরবর্তী সিস্টেমে প্রেরণ করে। এই বৈশিষ্ট্যটি যেভাবে কাজ করে তা কিছু লোককে বিশ্বাস করতে পরিচালিত করে যে ওয়েবসাইটটি আসলে আপনার কম্পিউটারে ফাইলগুলি দেখতে পারে যখন এটি আসলে না পারে।

সমস্ত আধুনিক ব্রাউজারগুলির মধ্যে জাভাস্ক্রিপ্ট ইঞ্জিনগুলি অন্তর্নির্মিত রয়েছে। ওয়েবসাইটটিতে জাভাস্ক্রিপ্ট কোড অন্তর্ভুক্ত থাকতে পারে যা আপনার ব্রাউজার দ্বারা কার্যকর করা হবে is ব্রাউজারটি কোনও পৃষ্ঠায় জাভাস্ক্রিপ্ট গ্রহণ করলে, এটি সাধারণত এটি স্বয়ংক্রিয়ভাবে কার্যকর হবে। জাভাস্ক্রিপ্ট সাধারণত ব্যবহারকারীর অভিজ্ঞতা বাড়ানোর জন্য ব্যবহৃত হয়; এটির নির্দিষ্ট ক্ষমতা এবং কিছু সীমাবদ্ধতা রয়েছে। জাভাস্ক্রিপ্ট ইঞ্জিনটি আপনার কম্পিউটারে "দেখতে" পারে না - আপনার ফাইলগুলি বা অন্যান্য প্রোগ্রামগুলিতে কী চলছে তা দেখতে পারে না, তবে এটি ব্রাউজারকে একই সাইট থেকে অন্য ফাইলগুলি - চিত্র, পৃষ্ঠাগুলি, ইত্যাদি লোড করতে পারে can জাভাস্ক্রিপ্ট ব্রাউজারটি অন্তত এমন কোনও প্রোগ্রাম ডাউনলোড এবং চালিত করার চেষ্টা করতে পারে যা আপনার সিস্টেমে আরও বেশি অ্যাক্সেস বা নিয়ন্ত্রণ রাখতে পারে। যদিও জাভাস্ক্রিপ্ট স্বয়ংক্রিয়ভাবে এটি আপনার কম্পিউটারে কী করতে পারে তা সীমাবদ্ধ রয়েছে,

টিএল; ডিআর: একটি অবিশ্বস্ত ওয়েবসাইট নিজেই আপনার কম্পিউটারে দেখতে পারে না। তবে, কোনও সাইট আপনাকে দূষিত সফ্টওয়্যারটি ডাউনলোড এবং কার্যকর করার কৌশল করতে পারে। এই জাতীয় সফ্টওয়্যার আপনার কম্পিউটারে সম্ভাব্য কিছু করতে পারে। আপনার ব্রাউজারটি স্বয়ংক্রিয়ভাবে এই জাতীয় সফ্টওয়্যারটি ডাউনলোড করা উচিত নয়; খুব কমপক্ষে, এটির জন্য আপনার স্পষ্ট গ্রহণযোগ্যতা প্রয়োজন। একটি দূষিত ওয়েবসাইট তবে আপনাকে এই জাতীয় গ্রহণযোগ্যতা দেওয়ার জন্য প্রতারিত করার চেষ্টা করতে পারে।


1
উত্তর দেওয়ার জন্য আপনাকে ধন্যবাদ. এটি তথ্যবহুল ছিল
জন দো

12
+1 এটি গ্রহণযোগ্য উত্তর হওয়া উচিত। সাইটটি বিশ্বাসযোগ্য না হলে এইচটিটিপি এবং এইচটিটিপিএসের মধ্যে কোনও পার্থক্য নেই। এটি জাভাস্ক্রিপ্ট এবং ব্রাউজারের সুরক্ষা পদ্ধতিগুলি গুরুত্বপূর্ণ।
রেক্সকোটিটানস

3
কো-অপারেটিং সফট: উইন্ডোজ নিজেই।
বলেছেন মনিকা পুনরায় ইনস্টল করুন

@ ওয়াল - আমি এটিকে সমস্ত অপারেটিং সিস্টেমে প্রসারিত করব, ন্যায্য হতে। আপনি যদি সময় ব্যয় করেন তবে আপনি গর্তগুলি খুঁজে পাবেন।
পল

12

তত্ত্বের নং, অনুশীলনে: হ্যাঁ, এটি অবশ্যই সম্ভব।

এই কারণেই স্যাভি ব্যবহারকারীদের ব্রাউজার এক্সটেনশানগুলি রয়েছে যা স্পষ্টভাবে শ্বেত তালিকাভুক্ত ওয়েবসাইটগুলির প্রয়োজন যা ব্যতীত সব সময় স্ক্রিপ্টিং অক্ষম করে এবং ক্রস সাইট অনুরোধ জালিয়াতি এবং হোয়াট নোটের মতো আরও অনেক আক্রমণকে ব্যর্থ করে দেয়।

রিমোট কোড প্রয়োগের অনুমতি দেয় বা স্থানীয় ফাইলগুলিতে অ্যাক্সেসের অনুমতি দেয় এমন শোষণগুলি প্রায় প্রতি মাসে প্রকাশিত হয়। একটি সুপরিচিত ব্রাউজারের জন্য দুটি সাম্প্রতিক উদাহরণ হ'ল 1 এবং 2 । অন্য একটি সুপরিচিত ব্রাউজারের উদাহরণগুলি 3 এবং 4

(উপরেরগুলি এলোমেলো দুর্বলতা যা আমি কোন স্পষ্ট কারণ মনে না করেই বেছে নিয়েছি, এদিকে এগুলি আমার জ্ঞানের সাথে নতুন সংস্করণগুলি দিয়ে স্থির হয়েছে're)

ব্রাউজারের আক্রমণগুলি কেবল একটি ওয়েবসাইটকে ফাইল অ্যাক্সেসের অনুমতি দেয় না, তারা নীতিগতভাবে ওয়েবসাইটটিকে আপনার কম্পিউটারকে পুরোপুরি পুরোপুরিভাবে নেওয়ার অনুমতি দিতে পারে, সবচেয়ে খারাপ ক্ষেত্রে। সমস্যাটি ব্রাউজারগুলিতে সীমাবদ্ধ নয়, সাম্প্রতিক উদাহরণের জন্য হোয়াটসঅ্যাপ ভিডিও কলের দুর্বলতা দেখুন। এক বছর বা তারও আগে ডিএসএল রাউটারগুলির একটি বিস্তৃতভাবে মোতায়েন করা সিরিজের একটি শোষণ ছিল যা কেবলমাত্র আপনি যদি আপনার কম্পিউটার থেকে ওয়েবসাইটটি পরিদর্শন করেন তবে কোনও পাসওয়ার্ডের উপস্থিতিতে দূষিত ওয়েবসাইটটিকে আপনার রাউটারটি নিয়ন্ত্রণ করতে দেয় ।

আক্রমণ সফল হওয়ার জন্য প্রয়োজনীয় বোকামির স্তরটি পরিবর্তিত হয়। কিছু আক্রমণগুলির জন্য, শেষ ব্যবহারকারী অবশ্যই সত্যই বোকা হতে হবে। কিছু আক্রমণগুলির জন্য, ব্যবহারকারীকে বিভক্ত সেকেন্ডের জন্য অবশ্যই কিছুটা অসচেতন হতে হবে। এবং কিছু আক্রমণ যতক্ষণ না কিছু নির্দিষ্ট শর্ত পূরণ হয় ততক্ষণ পর্যন্ত ব্যবহারকারীরা বোকা কিছু না করেও কাজ করবে।


3

সাধারণভাবে একটি ওয়েবসাইট আপনার হার্ড ড্রাইভে বা তাদের মেটা তথ্যতে ফাইল অ্যাক্সেস করতে পারে না। তবুও আপনার কয়েকটি বিষয় সম্পর্কে সচেতন হওয়া উচিত:

  • আপনার ব্রাউজারে সুরক্ষা ত্রুটি থাকতে পারে, যা আক্রমণকারীদের আপনার ব্রাউজার বা এমনকি আপনার সিস্টেমকে হাইজ্যাক করতে দেয়
  • আপনার ব্রাউজার উপর নির্ভর করে, দূষিত ওয়েবসাইটগুলির বেশ অনেক এবং কম্পিউটার সম্পর্কে জানতে পারেন আপনি using.For একটু ওভারভিউ বর্ণন এখানে এসেছি: http://webkay.robinlinus.com/
  • আপনার ফাইলগুলি সুরক্ষিত রাখার সর্বোত্তম উপায় হ'ল এগুলি ইন্টারনেট থেকে দূরে রাখা। আপনার ফাইলগুলি একটি বাহ্যিক ড্রাইভে সঞ্চয় করুন এবং কেবল অফলাইন কম্পিউটারের মাধ্যমে এগুলি অ্যাক্সেস করুন। এটি অসুবিধাজনক হলেও সুরক্ষিত হতে পারে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.