এটি প্যারানয়েড হতে পারে তবে আমি যদি কোনও দূষিত ওয়েবসাইটে যাই তবে তারা কি বলতে পারবে যে আমার ডেস্কটপে পিডিএফের ভিতরে কী আছে বা আমার হার্ড ড্রাইভে আমার চিত্রগুলির ভিতরে কী রয়েছে?
আমার কাছে একটি Chromebook এবং একটি উইন্ডোজ মেশিন রয়েছে have
এটি প্যারানয়েড হতে পারে তবে আমি যদি কোনও দূষিত ওয়েবসাইটে যাই তবে তারা কি বলতে পারবে যে আমার ডেস্কটপে পিডিএফের ভিতরে কী আছে বা আমার হার্ড ড্রাইভে আমার চিত্রগুলির ভিতরে কী রয়েছে?
আমার কাছে একটি Chromebook এবং একটি উইন্ডোজ মেশিন রয়েছে have
উত্তর:
এটি প্যারানয়েড হতে পারে তবে আমি যদি এমন কোনও ওয়েবসাইটে যাই যা 100% সুরক্ষিত নাও হতে পারে তবে তারা কি বলতে পারবে যে আমার হার্ড ড্রাইভের ডেস্কটপের পিডিএফের ভিতরে বা আমার হার্ড ড্রাইভে আমার চিত্রগুলির ভিতরে কী আছে?
সাধারণভাবে, যদি না আপনি স্পষ্টভাবে তাদের আপনার হার্ড ড্রাইভ — বা আপনার হার্ড ড্রাইভের নথিগুলিতে অ্যাক্সেস না দেন — তবে না, কোনও অনিরাপদ ওয়েবসাইট কোনও কিছুই অ্যাক্সেস করতে সক্ষম হবে না।
এটি বলেছিল (এবং এটি স্পষ্ট করার জন্য এটির উপর জোর দেওয়া) সত্যিই কিছু অবিশ্বাস্যর বিরল - এবং বীরত্বপূর্ণ "শূন্য-দিন" শোষণ রয়েছে যা কিছু প্রান্তের ক্ষেত্রে উদ্বেগের কারণ হতে পারে । তবে সাধারণভাবে, আপনাকে an শেষ ব্যবহারকারী হিসাবে a কোনও ওয়েবসাইটকে আপনার সিস্টেমে ডকুমেন্টগুলিতে অ্যাক্সেস পাওয়ার অনুমতি দেওয়ার জন্য আপনার পথ ছাড়তে হবে। যতক্ষণ না আপনার ওএস প্যাচ করা থাকে এবং ব্রাউজারগুলি আপ টু ডেট থাকে আপনি নিরাপদ হন। এমনকি এমন ক্ষেত্রেও যেখানে আপনার প্যাচ এবং আপগ্রেড করা হয়নি (এবং আবার এটি পরিষ্কার করার জন্য এটির উপর জোর দেওয়া) ঝুঁকিটি এখনও অবিশ্বাস্যভাবে কম ।
একটি ওয়েবসাইট যা কেবল "১০০% সুরক্ষিত নাও হতে পারে" (মূল প্রশ্নটি বর্ণিত হিসাবে এবং আমি HTTPS বনাম সরল এইচটিটিপি ধরে নিচ্ছি) কেবলমাত্র উদ্বেগটি হ'ল আপনি যখন ডেটা প্রেরণ করেন এবং পিছু পিছু এইচটিটিপিএস এনক্রিপ্ট করা হয় না এবং এইচটিটিপি এনক্রিপ্ট করা হয় না।
তখন ঝুঁকিটি হ'ল যদি আপনি কোনও ফর্মের মাধ্যমে সাইটে কিছু টাইপ করেন এবং যেমন যদি সাইটটি সরল এইচটিটিপি হয় তবে আপনি যে ডেটা প্রেরণ করছেন তা হ'ল পরিষ্কার পাঠ্য যে প্যাকেট স্নিফার সহ যে কারও পড়ার সম্ভাবনা রয়েছে । তবে এটি সবচেয়ে পাতলা সুযোগ।
আপনি যদি কোনও পরিচিত পাবলিক ওয়াই-ফাই নেটওয়ার্কে থাকেন তবে সম্ভবত কেউ আপনার সাথে সেই নেটওয়ার্কে রয়েছে এবং সম্ভাব্যভাবে প্যাকেটগুলি ক্যাপচার করছে এবং এভাবে আপনি কী টাইপ করছেন তা সনাক্ত করতে পারে।
আপনি যদি তাদের কাছে ডেটা প্রেরণ করেন বা আপনি যে ওয়েবসাইটটি আপনার সিস্টেমে কোড চালাবেন সেই ওয়েবসাইট থেকে কোনও আইটেম ডাউনলোড করেন তবে একটি "অনিরাপদ" ওয়েবসাইটটি কেবল সত্যই উদ্বেগের বিষয়।
ডিজাইন দ্বারা ব্রাউজারগুলি এটির অনুমতি দেয় না তবে আপনার সিস্টেমে উচ্চ স্তরের অ্যাক্সেস পাওয়ার জন্য কোনও বাগটি ব্যবহার করা যায় এমন সম্ভাবনা সবসময় থাকে। এই বাগগুলি মোটামুটি বিরল এবং সর্বদা খুব দ্রুত সংশোধন করা হয় তাই আপনার ওএস বা ব্রাউজারটির মেয়াদ শেষ হয়ে গেলে এটি মূলত একটি সমস্যা। এই উভয় অটো আপডেট এখনই কেবল অটো আপডেটগুলি অক্ষম করবেন না এবং আপনি দূষিত ওয়েবসাইটগুলির বিরুদ্ধে মোটামুটি ভাল স্তর সুরক্ষা সম্পর্কে নিশ্চিত হতে পারেন।
অবিশ্বস্ত ওয়েবসাইটটি দেখার জন্য আপনি আপনার কম্পিউটারটি ব্যবহারের ক্ষেত্রে, আপনি দূরবর্তী কম্পিউটার থেকে ডেটা পাওয়ার জন্য ওয়েব অনুরোধগুলি (এইচটিটিপি বা এইচটিটিপিএস প্রোটোকল) আরম্ভ করার জন্য আপনার কম্পিউটারে ব্রাউজার সফ্টওয়্যার ব্যবহার করছেন। এই সাধারণ মডেলটিতে, দূরবর্তী কম্পিউটারটিতে আপনার কম্পিউটারে একেবারে অ্যাক্সেস নেই, তবে ... ব্রাউজারগুলিতে এমন কিছু বৈশিষ্ট্য রয়েছে যা এই ছবিটিকে জটিল করে তোলে।
আধুনিক ব্রাউজারগুলির একটি বৈশিষ্ট্য রয়েছে যা আপনাকে আপনার কম্পিউটার থেকে ফাইল আপলোড করতে দেয়। একটি ওয়েবসাইট একটি ফর্ম অন্তর্ভুক্ত করতে পারে যা এই বৈশিষ্ট্যটি ব্যবহার করে। এই বৈশিষ্ট্যটি আপনার কম্পিউটারে ওয়েবসাইটটিকে একটি ভিউ দেয় না । যখন আপনার ব্রাউজারটি এমন ফর্মটি প্রক্রিয়া করে, তখন এটি আপনাকে একটি ফাইল নির্বাচন নিয়ন্ত্রণ দিয়ে উপস্থাপন করে; আপনার ব্রাউজারটি আপনার কম্পিউটারে ফাইলগুলি দেখতে পারে এবং আপনি যখন একটি নির্বাচন করেন, আপনার ব্রাউজারটি সেই ফাইলের সামগ্রীগুলি এবং কেবলমাত্র সেই ফাইলটি দূরবর্তী সিস্টেমে প্রেরণ করে। এই বৈশিষ্ট্যটি যেভাবে কাজ করে তা কিছু লোককে বিশ্বাস করতে পরিচালিত করে যে ওয়েবসাইটটি আসলে আপনার কম্পিউটারে ফাইলগুলি দেখতে পারে যখন এটি আসলে না পারে।
সমস্ত আধুনিক ব্রাউজারগুলির মধ্যে জাভাস্ক্রিপ্ট ইঞ্জিনগুলি অন্তর্নির্মিত রয়েছে। ওয়েবসাইটটিতে জাভাস্ক্রিপ্ট কোড অন্তর্ভুক্ত থাকতে পারে যা আপনার ব্রাউজার দ্বারা কার্যকর করা হবে is ব্রাউজারটি কোনও পৃষ্ঠায় জাভাস্ক্রিপ্ট গ্রহণ করলে, এটি সাধারণত এটি স্বয়ংক্রিয়ভাবে কার্যকর হবে। জাভাস্ক্রিপ্ট সাধারণত ব্যবহারকারীর অভিজ্ঞতা বাড়ানোর জন্য ব্যবহৃত হয়; এটির নির্দিষ্ট ক্ষমতা এবং কিছু সীমাবদ্ধতা রয়েছে। জাভাস্ক্রিপ্ট ইঞ্জিনটি আপনার কম্পিউটারে "দেখতে" পারে না - আপনার ফাইলগুলি বা অন্যান্য প্রোগ্রামগুলিতে কী চলছে তা দেখতে পারে না, তবে এটি ব্রাউজারকে একই সাইট থেকে অন্য ফাইলগুলি - চিত্র, পৃষ্ঠাগুলি, ইত্যাদি লোড করতে পারে can জাভাস্ক্রিপ্ট ব্রাউজারটি অন্তত এমন কোনও প্রোগ্রাম ডাউনলোড এবং চালিত করার চেষ্টা করতে পারে যা আপনার সিস্টেমে আরও বেশি অ্যাক্সেস বা নিয়ন্ত্রণ রাখতে পারে। যদিও জাভাস্ক্রিপ্ট স্বয়ংক্রিয়ভাবে এটি আপনার কম্পিউটারে কী করতে পারে তা সীমাবদ্ধ রয়েছে,
টিএল; ডিআর: একটি অবিশ্বস্ত ওয়েবসাইট নিজেই আপনার কম্পিউটারে দেখতে পারে না। তবে, কোনও সাইট আপনাকে দূষিত সফ্টওয়্যারটি ডাউনলোড এবং কার্যকর করার কৌশল করতে পারে। এই জাতীয় সফ্টওয়্যার আপনার কম্পিউটারে সম্ভাব্য কিছু করতে পারে। আপনার ব্রাউজারটি স্বয়ংক্রিয়ভাবে এই জাতীয় সফ্টওয়্যারটি ডাউনলোড করা উচিত নয়; খুব কমপক্ষে, এটির জন্য আপনার স্পষ্ট গ্রহণযোগ্যতা প্রয়োজন। একটি দূষিত ওয়েবসাইট তবে আপনাকে এই জাতীয় গ্রহণযোগ্যতা দেওয়ার জন্য প্রতারিত করার চেষ্টা করতে পারে।
এই কারণেই স্যাভি ব্যবহারকারীদের ব্রাউজার এক্সটেনশানগুলি রয়েছে যা স্পষ্টভাবে শ্বেত তালিকাভুক্ত ওয়েবসাইটগুলির প্রয়োজন যা ব্যতীত সব সময় স্ক্রিপ্টিং অক্ষম করে এবং ক্রস সাইট অনুরোধ জালিয়াতি এবং হোয়াট নোটের মতো আরও অনেক আক্রমণকে ব্যর্থ করে দেয়।
রিমোট কোড প্রয়োগের অনুমতি দেয় বা স্থানীয় ফাইলগুলিতে অ্যাক্সেসের অনুমতি দেয় এমন শোষণগুলি প্রায় প্রতি মাসে প্রকাশিত হয়। একটি সুপরিচিত ব্রাউজারের জন্য দুটি সাম্প্রতিক উদাহরণ হ'ল 1 এবং 2 । অন্য একটি সুপরিচিত ব্রাউজারের উদাহরণগুলি 3 এবং 4 ।
(উপরেরগুলি এলোমেলো দুর্বলতা যা আমি কোন স্পষ্ট কারণ মনে না করেই বেছে নিয়েছি, এদিকে এগুলি আমার জ্ঞানের সাথে নতুন সংস্করণগুলি দিয়ে স্থির হয়েছে're)
ব্রাউজারের আক্রমণগুলি কেবল একটি ওয়েবসাইটকে ফাইল অ্যাক্সেসের অনুমতি দেয় না, তারা নীতিগতভাবে ওয়েবসাইটটিকে আপনার কম্পিউটারকে পুরোপুরি পুরোপুরিভাবে নেওয়ার অনুমতি দিতে পারে, সবচেয়ে খারাপ ক্ষেত্রে। সমস্যাটি ব্রাউজারগুলিতে সীমাবদ্ধ নয়, সাম্প্রতিক উদাহরণের জন্য হোয়াটসঅ্যাপ ভিডিও কলের দুর্বলতা দেখুন। এক বছর বা তারও আগে ডিএসএল রাউটারগুলির একটি বিস্তৃতভাবে মোতায়েন করা সিরিজের একটি শোষণ ছিল যা কেবলমাত্র আপনি যদি আপনার কম্পিউটার থেকে ওয়েবসাইটটি পরিদর্শন করেন তবে কোনও পাসওয়ার্ডের উপস্থিতিতে দূষিত ওয়েবসাইটটিকে আপনার রাউটারটি নিয়ন্ত্রণ করতে দেয় ।
আক্রমণ সফল হওয়ার জন্য প্রয়োজনীয় বোকামির স্তরটি পরিবর্তিত হয়। কিছু আক্রমণগুলির জন্য, শেষ ব্যবহারকারী অবশ্যই সত্যই বোকা হতে হবে। কিছু আক্রমণগুলির জন্য, ব্যবহারকারীকে বিভক্ত সেকেন্ডের জন্য অবশ্যই কিছুটা অসচেতন হতে হবে। এবং কিছু আক্রমণ যতক্ষণ না কিছু নির্দিষ্ট শর্ত পূরণ হয় ততক্ষণ পর্যন্ত ব্যবহারকারীরা বোকা কিছু না করেও কাজ করবে।
সাধারণভাবে একটি ওয়েবসাইট আপনার হার্ড ড্রাইভে বা তাদের মেটা তথ্যতে ফাইল অ্যাক্সেস করতে পারে না। তবুও আপনার কয়েকটি বিষয় সম্পর্কে সচেতন হওয়া উচিত: