Is it possible to get hacked based on those settings?
Non esiste una sicurezza al 100% - le misure di sicurezza aiutano solo a ridurre il rischio ma non eliminano completamente tutti i rischi.
Mentre ti preoccupi di alcuni aspetti della sicurezza a te non importava né agli altri né a chi non li trovava degni di menzione. C'è ad esempio la sicurezza fisica, cioè chi potrebbe avere un accesso fisico al tuo computer e sarai in grado di rilevare se qualcuno non autorizzato ha accesso e cambiato parti del sistema. Nota che solo avere una password sicura di solito non è sufficiente contro gli attacchi fisici: l'utente malintenzionato potrebbe avviare con il proprio sistema operativo per apportare modifiche al proprio sistema da "esterno", l'hacker potrebbe installare keylogger, ... E se sei davvero obiettivo prezioso quindi un utente malintenzionato potrebbe irrompere in casa o corrompere o ricattare persone di cui ti fidi per montare gli attacchi.
Ci sono anche molti altri aspetti che non hai discusso, vale a dire che la navigazione sul Web è l'unica cosa che fai o leggi anche la posta con un'applicazione di posta, giochi che hanno una loro connessione online, hanno un software installato che preleva i suoi aggiornamenti da internet ... - tutti questi sono anche possibili vettori di attacco. Ad esempio, non è raro che gli aggiornamenti software non siano firmati (correttamente) e non trasferiti in modo sicuro, quindi un attacco man-in-the-middle potrebbe forse sostituire l'aggiornamento del software con qualcosa di dannoso.
Parlando di attacchi man-in-the-middle: ci sono molte vulnerabilità nei router e alcuni attacchi contro i router possono essere fatti dall'esterno usando il browser come trampolino. In questo caso non importa se tutte le connessioni dall'esterno sono bloccate poiché questo tipo di connessioni proviene dall'interno, cioè dal tuo browser. Inoltre, per molti di questi attacchi CSRF non è necessario Javascript, quindi disattivarlo potrebbe non essere sufficiente per difendersi da questi attacchi. E un attacco comune contro i router porta alla riconfigurazione del router per rendere possibili attacchi man-in-the-middle.
E finalmente diamo un'occhiata a quello che fai con il tuo browser. Anche se lo script è disattivato, probabilmente guarderai immagini e video e caricherai anche caratteri. Anche se probabilmente sei a conoscenza di immagini e video, potresti non sapere che molti siti caricano font da Internet per visualizzare il contenuto. E, i caratteri dannosi sono stati in passato più volte un vettore di attacco di successo. Immagini e video simili sono in realtà formati di file complessi e il motore di visualizzazione sono comunemente ottimizzati per visualizzare il contenuto in modo rapido ed efficiente e normalmente non prevedono contenuti malformati. Quindi in passato era possibile sfruttare i sistemi anche con le immagini preparate.
Come per la VPN: protegge solo il percorso dal tuo computer all'endpoint VPN. Non protegge il percorso dall'endpoint VPN a qualsiasi server che visiti. A parte questo, devi davvero fidarti del provider VPN dal momento che è in grado di modificare tutti i tuoi contenuti, vale a dire sia ciò che tu invii ad alcuni server sia ciò che il server ti invia. Ad esempio, in passato esistevano malevoli nodi di uscita Tor che aggiungevano il malware ai download al volo.
E questa è solo una parte dei possibili attacchi. Non dimenticare che ci sono anche attacchi di forza bruta, nell'interpretazione letterale .