Задать вопрос
@romazhan
информационная-безопасность

Допускается ли возможность заражения машины сугубо открытием ссылки на сайт?

Спустя время, после поиска информации по данному вопросу, возникло чувство неудовлетворённости (что вредно для человека живущего в мире IT) и подступающей злости.
Одни утверждают что заразиться можно с лёгкостью, читая статью на обычном web-сайте, другие пишут что заразиться трудно, но не исключают данную возможность - посредством эксплуатирования каких-то древних уязвимостей.
Сам же я считаю что это невозможно, так как браузерный JavaScript практически изолирован от прямого доступа к внешним приложениям. Попробуйте переубедить меня конкретными фактами.
  • Вопрос задан
  • 296 просмотров
3 комментария
Подписаться 3 Простой 3 комментария
Решения вопроса 2
Jump
@Jump
Системный администратор со стажем.
Допускается ли возможность заражения машины сугубо открытием ссылки на сайт?
Да, такая возможность существует.

браузерный JavaScript практически изолирован от прямого доступа к внешним приложениям.
Теоретически это так. На практике могут существовать уязвимости.
JS это код который выполняется на вашей машине, да его постарались изолировать, но изоляцию можно обойти.
Это не просто, но возможно.
Кроме того не стоит забывать что у большинства браузер обвешан плагинами - причем плагин может иметь доступ к системным функциям.
Ответ написан
2 комментария
2 комментария
Vamp
@Vamp
С лёгкостью заразиться не получится, потому что web стал слишком важной инфраструктурой, поэтому компании прилагают много усилий для его развития. В том числе в плане безопасности. Но софт пишут люди, а люди неспособны производить безошибочный код. Поэтому ошибки всегда будут, а значит и уязвимости, позволяющие обходить изолированную песочницу.

Фактов полно в интернете. Например, этот:

According to the screenshot shared by Agarwal, the PoC HTML file, and its associated JavaScript file, can be loaded in a Chromium-based browser to exploit the security flaw and launch the Windows calculator (calc.exe) app. But it's worth noting that the exploit needs to be chained with another flaw that can allow it to escape Chrome's sandbox protections.

Или такой пример. Джеилбрейк iOS через уязвимость в браузере Safari.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Каталог AI tools
18 апр. 2024, в 01:12
150000 руб./за проект
Загрузка характеристик из xml/csv файла в карточки товаров WordPress
18 апр. 2024, в 00:58
5000 руб./за проект
Нарисовать подарки для соц сети
18 апр. 2024, в 00:10
50000 руб./за проект
Ещё заказы