При наличии безопасного домена безопасны ли подкаталоги?

Домен может быть "безопасным", но его содержимое может быть небезопасным.

Пример: есть google.com безопасный? Ответ будет "Конечно", но на самом деле Google является одним из основных переносчиков инфекции в мире. Это связано с тем, что он обслуживает рекламу, а хакерам удается законно купить рекламное пространство и размещать рекламу, которая заражает компьютеры.

Более того: изображения, видео и документы, которые вы найдете в Google, могут быть созданы для заражения вашего компьютера, когда вы просматриваете их в Интернете или в автономном режиме после их загрузки. Если вам когда-нибудь понадобится отключить некоторые средства защиты для определенного сайта, сделайте это осторожно.

Конечно, Google будет запрещать такой контент при обнаружении, но это может быть слишком поздно для некоторых пользователей.

Мой ответ: не существует безопасного домена, или, скорее, поддомен будет таким же безопасным, как домен, который совсем не является.

Вы не должны рассчитывать на безопасность домена. Только средства защиты, которые вы установили, защитят вас. Это и ваш здравый смысл в том, чтобы не разрешать сомнительным сайтам слишком большой доступ к вашему компьютеру, это ваша безопасность.

Вы не можете знать это, просто посмотрев на URL. Вы можете сделать правильное предположение, если вы уже знаете, как работает веб-сайт и что он предлагает.

Что делает домен "безопасным", так это то, как его владелец управляет им. Независимо от того, спрашиваете ли вы о поддоменах (www.) Или о подпутях (/a/subfoldername), они не являются чем-то особенным или отличаются от основного домена или корневого пути: они все еще находятся под контролем владельца таким же образом, если только владелец дает некоторый контроль над другими. Вы должны знать, предлагают ли владельцы какого-либо конкретного сайта какие-либо функции, которые позволят использовать сторонний HTML-код, или, более конкретно, JavaScript.

Например, веб-сайт A может позволить пользователям размещать свой собственный HTML на поддоменах (например, способ работы GitHub Pages - github.com было безопасно, но <user>.github.com не было), и веб-сайт B мог бы также позволить пользователям размещать свой собственный HTML на подпути. Сайт C может технически разрешать только безопасные вещи, но он может иметь дыру в безопасности в форме комментариев. Веб-сайт D может вообще не разрешать сторонний контент, но в итоге может быть взломан, и вредоносный код будет вставлен непосредственно в их основной домен.

нет

Классическим примером является взломанный сайт WordPress.

WordPress по своей природе не более или менее безопасен, чем любая другая система управления контентом, но просто из-за огромного количества (порядка 30% всех общедоступных веб-сайтов!) И преобладания простых имен пользователей и паролей это является важной целью.

Кроме того, WordPress имеет особую уязвимость в том, что она тривиальна, при условии, что вы можете попасть на страницу администратора WordPress с достаточными правами для редактирования страницы или публикации, чтобы создать страницу, содержащую вредоносный код, при этом владелец сайта не знает, что сайт имеет был взломан. Кроме того, страница (или сообщение) может быть скрыта (в зависимости от настроек по умолчанию) настолько далеко в списке страниц (или сообщений), что владелец может даже войти на страницу администрирования WordPress и не заметить ничего необычного в все. Страница (или сообщение) может быть даже "скрыта" таким образом, что невозможно перейти на нее с другой страницы сайта, а получить доступ только по прямому URL -адресу - URL -адресу, который отправляется в рамках спам-кампании., Иногда владелец сайта только узнает, получают ли они сообщения о проблемах или сайт начинает блокироваться из-за размещения известных вредоносных программ.