まあ、あなたがウェブサイトを開くと、ウェブサイトはブラウザにあらゆる種類のことを代行するよう指示することができます。最も単純なケースでは、表示するテキストと画像を送信するだけですが、ブラウザが実行する小さなプログラムを送信することもできます(JavaScriptでは、ブラウザに組み込みのもの、またはJavaやFlashなどのブラウザプラグインを使用) 。
原則として、Webサイトにアクセスしただけで感染することは不可能です。
ブラウザは、アクセスしたWebサイトに代わってプログラムを実行しますが、これらのプログラムは「無害な」ことしかできないように慎重に制限されています。JavaScriptから、たとえば、JavaScriptが属するページを変更できます(両方が同じWebサイトから来ているため、害はない可能性があります)が、JavaScriptは別のWebサイトからページを変更できない可能性がありますホームバンキングディスプレイ)、コンピューター上のファイルに直接アクセスできない場合があります。
ほとんどのプラグインにも同様の制限があります(少なくともJavaとFlashには)。これは一般にサンドボックスと呼ばれます。コードは基本的に、それが実行されるコンピューターから隔離された独自のボックス内にあるためです。特に、ハードディスク上のファイルを読み取ったり、コンピューターで実行される「通常の」プログラムのようなプログラムを開始したりすることはできません。
今、問題は次のとおりです。原則としてあなたは安全ですが、実際にはそうではないかもしれません。その理由は、すべてのプログラムと同様に、サンドボックスシステムにバグがあるためです。これらのバグにより、プログラムがサンドボックスを「破壊」し、ブラウザまたはプラグインをだまして、許可されてはならないことを実行できるようになる場合があります。これらのトリックは非常に複雑な場合があります。
例:
- 通常のプログラムと同様に、ブラウザーまたはプラグインの実装ではバッファーオーバーフローが発生する可能性があります。これにより、入力としてブラウザーに送信することでWebサイトが特別に細工されたコードを実行できるようになります。
- サンドボックスに関して、SunのJavaプラグインの古いバージョンに脆弱性がありました。サンドボックスは、ローカルファイルの読み取りや削除など、プログラムが損害を与える可能性のあるすべてのJava関数へのアクセスを許可していません(それでも許可していません)。ただし、サンドボックスはJavaアプレットからこれらの関数へのアクセスを正しくブロックしましたが、ブラウザーはJavaScriptからこれらの関数への間接的なアクセスも許可しました(「リフレクション」と呼ばれる手法による)。この「バックドア」は開発者によって十分に考慮されていなかったため、サンドボックスの制限を回避して、サンドボックスを破ることができました。詳細については、https://klikki.fi/adv/javaplugin.htmlを参照してください。
残念ながら、JavaScriptのサンドボックス、Javaのサンドボックス、およびFlashのサンドボックスにいくつかの脆弱性があります。これらの脆弱性を悪用するためにこれらの脆弱性を検出する悪意のあるハッカーと、それらを検出して修正する優れたハッカーと開発者の間には、依然として一種の競争があります。通常、それらは迅速に修正されますが、脆弱性の窓が時々あります。
ところで:これらのアプレットは:サンドボックスは、いくつかのJavaが起動時に「あなたは、このアプレットを信頼しています」という警告をポップアップアプレット理由で尋ねる彼らのサンドボックスのそれらをできるようにして、コンピュータにそれらのアクセス権を与えることをあなたは。これは時々必要ですが、正当な理由がある場合にのみ許可されるべきです。
PS:ActiveX(少なくとも初期のバージョン)が非常に安全ではなかった理由は、ActiveXがサンドボックスを使用しなかったためです。WebページのActiveXコードはすべて、システムに完全にアクセスできました。公平を期すために、これは後のバージョンで(部分的に)修正されました。