悪意のあるWebサイトがコンピューター上のファイルのコンテンツにアクセスできますか？

これは妄想かもしれませんが、悪意のあるWebサイトにアクセスした場合、デスクトップのPDFの内容やハードドライブの画像の内容を知ることができますか？

ChromebookとWindowsマシンがあります。

セキュア（HTTPS）または非セキュア（HTTP）であるWebサイトをシステム上のアイテムに明示的に許可しない限り、そのWebサイトはシステム上のそのアイテムにアクセスできません。

これは妄想かもしれませんが、100％安全ではない可能性のあるWebサイトにアクセスすると、ハードドライブデスクトップのPDFの内容やハードドライブの画像の内容を知ることができますか？

一般的に、ハードドライブまたはハードドライブ上のドキュメントへのアクセスを明示的に許可しない限り、安全でないWebサイトは何にもアクセスできません。

とはいえ（そしてこれを明確にするためにこれを強調して）、いくつかの非常にまれな、そして難解な「ゼロデイ」エクスプロイトは確かにいくつかのエッジケースで懸念されるかもしれません。しかし、一般的に、エンドユーザーは、Webサイトがシステム上のドキュメントにアクセスできるようにするために邪魔にならないようにする必要があります。OSにパッチが適用され、ブラウザが最新である限り、安全です。そして、パッチを適用してアップグレードしていない場合（そして、これを明確にするために再度強調している場合）でも、リスクは非常に低いままです。

「100％安全でない可能性がある」ウェブサイトに関する唯一の懸念事項（元の質問で述べたように）、HTTPSとプレーンHTTPを想定してデータを送受信するときにHTTPSが暗号化され、HTTPが暗号化されないことです。

リスクは、フォームなどを介してサイトに何かを入力した場合、サイトがプレーンHTTPである場合、送信しているデータは、パケットスニファーを持っている人が読む可能性のあるクリアテキストであるということです。しかし、それはせいぜいわずかなチャンスです。

既知のパブリックWi-Fiネットワークを使用している場合、誰かがそのネットワーク上にいる可能性があります。ので、パケットをキャプチャし、することは、あなたが入力しているものを検出することができました。

一般に、自宅や他の場所で安全なネットワークにいて、ブラウザとOSにパッチが適用されている場合、「安全」です。

「安全でない」ウェブサイトは、あなたがデータを送信したり、システム上でコードを実行するアイテムをそのウェブサイトからダウンロードした場合にのみ実際に問題になります。

設計上、ブラウザはこれを許可していませんが、システムへのより高いレベルのアクセスを得るために悪用される可能性のあるバグが常に存在します。これらのバグは非常にまれであり、常に非常に迅速に修正されるため、これは主にOSまたはブラウザが古い場合の問題です。これらの自動更新は両方とも自動更新を無効にしないでください。これにより、悪意のあるWebサイトに対する保護がかなり良好なレベルになります。

リモートコンピューターは、コンピューター上の連携ソフトウェアの助けなしでは、コンピューター上の何にもアクセスできません。

コンピューターを使用して信頼できないWebサイトにアクセスする場合、コンピューター上のブラウザーソフトウェアを使用して、リモートコンピューターからデータを受信するWeb要求（HTTPまたはHTTPSプロトコル）を開始します。この単純なモデルでは、リモートコンピューターはコンピューターに絶対にアクセスできませんが、 ...ブラウザーにはこの図を複雑にする機能がいくつかあります。

最新のブラウザには、コンピューターからファイルをアップロードできる機能があります。Webサイトには、この機能を利用するフォームが含まれている場合があります。この機能は、Webサイトにコンピューターのビューを提供しません。ブラウザがこのようなフォームを処理するとき、ファイル選択コントロールが表示されます。ブラウザはコンピュータ上のファイルを見ることができ、選択すると、ブラウザはそのファイルの内容だけをリモートシステムに送信します。この機能の動作により、一部の人々は、Webサイトが実際にはコンピューターにないファイルを見ることができると信じるようになります。

最新のブラウザにはすべて、JavaScriptエンジンが組み込まれています。Webサイトには、ブラウザで実行されるJavaScriptコードが含まれている場合があります。ブラウザがページでJavaScriptを受け取ると、通常は自動的に実行されます。JavaScriptは通常、ユーザーエクスペリエンスを向上させるために使用されます。特定の機能といくつかの制限があります。JavaScriptエンジンはコンピューターを「見る」ことはできません-ファイルや他のプログラムで何が起こっているのかを見ることができませんが、ブラウザーに同じサイトから他のファイル（画像、ページなど）をロードさせることができます。 JavaScriptにより、ブラウザは少なくともシステムへのアクセスや制御が強化されたプログラムをダウンロードして実行しようとする可能性があります。JavaScript自体はコンピューターで実行できる機能に制限がありますが、

TL; DR：信頼されていないWebサイトは、それ自体ではコンピューターを見ることができません。しかし、サイトはあなたをだまして悪意のあるソフトウェアのダウンロードと実行を試みることができます。そのようなソフトウェアは、潜在的にあなたのコンピューターで何でもすることができます。ブラウザがそのようなソフトウェアを自動的にダウンロードすることはありません。少なくとも、明示的に受け入れる必要があります。しかし、悪意のあるWebサイトは、ユーザーをだましてそのような受け入れを試みる可能性があります。

理論的には、実際にはそうではありません。はい、確かにそれは可能です。

これが、savyユーザーがブラウザの拡張機能を持っている理由であり、それらを必要とする明示的にホワイトリストに登録されたWebサイトを除き、常にスクリプトを無効にします。

リモートコードの実行を許可する、またはローカルファイルへのアクセスを許可するエクスプロイトは、ほぼ毎月公開されます。よく知られているブラウザの最近の2つの例は1と2です。別の有名なブラウザの例は3と4です。

（上記はランダムな脆弱性であり、明白な理由を念頭に置いて選んだものではありません。また、私の知る限りでは、すべて最新バージョンで修正されています。）

ブラウザー攻撃は、Webサイトがファイルにアクセスすることを許可するだけでなく、原則として、最悪の場合、Webサイトがコンピューターを完全に乗っ取ることを許可します。この問題はブラウザーに限定されません。最近の例については、WhatsAppビデオ通話の脆弱性をご覧ください。1年ほど前に特定の広く展開された一連のDSLルーターに悪用があり、コンピューターからWebサイトにアクセスしただけで、パスワードが存在する場合でも悪意のあるWebサイトがルーターを引き継ぐことができました。

攻撃が成功するために必要な愚かさのレベルはさまざまです。一部の攻撃では、エンドユーザーは本当に本当に愚かでなければなりません。一部の攻撃では、ユーザーはほんの一瞬だけ気付かない必要があります。また、特定の条件が満たされている限り、ユーザーがまったく愚かなことをしなくても、一部の攻撃は機能します。

一般に、Webサイトはハードドライブ上のファイルやそのメタ情報にアクセスできません。それでも、いくつかの点に注意する必要があります。

• ブラウザにセキュリティ上の欠陥がある可能性があり、攻撃者がブラウザまたはシステムさえもハイジャックする可能性があります
• ブラウザーによっては、悪意のあるWebサイトがユーザーと使用しているコンピューターについて多くのことを知ることができます。概要については、http：//webkay.robinlinus.com/をご覧ください。
• ファイルを安全に保つ最善の方法は、ファイルをインターネットから遠ざけることです。ファイルを外部ドライブに保存し、オフラインコンピューターからのみアクセスします。これは不便かもしれませんが安全です