Problemi di sicurezza relativi al download dei contenuti dei siti Web

Naviga le tue risposte
0

Recentemente ho iniziato a utilizzare Firefox per Android e ho visto che posso scaricare pagine in formato PDF e vicino a qualsiasi immagine o video per qualsiasi sito e lo sto utilizzando parecchio, quindi qual è il rischio di scaricare tali elementi da siti Web?

Diciamo che ho scaricato un'immagine con codice dannoso incorporato? Se si salva una pagina come PDF, verranno scaricati JavaScript o altri contenuti dannosi? Apro i miei PDF solo tramite il supporto integrato di Google Drive se questo è importante.

    
posta Freedo 23.01.2015 - 03:36
fonte

3 risposte

5

In generale no: non dovresti essere eccessivamente preoccupato per un simile attacco. Per sfruttarlo, è necessario che un malintenzionato trovi un modo per incorporare codice dannoso nelle immagini, nei video (o in qualsiasi altro) che si attiva dopo che l'immagine (o qualsiasi altra cosa) è stata convertita in un PDF e viene quindi visualizzata.

Tieni presente che la cosa che fa la conversione in PDF in questo scenario è il tuo telefono: vorrai fidarti molto meno di un PDF generato da una terza parte.

    
risposta data 23.01.2015 - 10:33
fonte
2

Un tempo esisteva un pericolo nel download e nell'esecuzione di contenuti localmente in Internet Explorer 3 e versioni precedenti. Microsoft ha introdotto Mark of the Web in IE4 che renderebbe localmente Il sito Web eseguito viene eseguito nel contesto della zona di sicurezza da cui è stato scaricato anziché nel contesto del computer locale (si pensi a file:/// piuttosto che a http://127.0.0.1 ).

JavaScript in esecuzione localmente normalmente avrebbe le autorizzazioni complete per il file system nel contesto dell'utente corrente. Tuttavia, i browser moderni ora limitano questo e Internet Explorer chiederà prima di consentire l'esecuzione del contenuto ActiveX localmente.

Se stai stampando la pagina corrente in PDF, dovresti stare bene. Non c'è alcun pericolo in più di cose che si eseguono mentre il browser stampa solo ciò che ha già reso.

Riguardo agli altri file, questo dipende da come lo stai facendo e dalla malizia di quel particolare sito da cui stai scaricando. Se si utilizza uno strumento di spidering, una pagina dannosa potrebbe fare riferimento a un collegamento a un trojan nel formato <a href="page/trojan.exe">Click Me!</a> . Sebbene questi link siano ora trattati in modo più sicuro quindi non dovresti essere in grado di eseguirli senza un prompt, continuerai a scaricare l'eseguibile sul tuo computer. Cerca di essere il più attento possibile e verifica se il particolare metodo che stai utilizzando per il download sia vulnerabile a questo.

    
risposta data 23.01.2015 - 15:26
fonte
1

Dipende dal sito che visiti. Non tutto ciò che stai scaricando è dannoso o viceversa.

www.netcraft.com fornisce un servizio per bloccare l'URL contro siti noti di malware / phishing è possibile aggiungere questa barra degli strumenti al browser. Ciò riduce il rischio fino a un certo punto.

Netcraft

Spero che questo aiuti.

    
risposta data 23.01.2015 - 15:02
fonte

Leggi altre domande sui tag

Come può l'accesso American Express Serve essere conforme PCI-DSS? Come è possibile lo spoofing SSL?