abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 13:00 | Komunita

Do 30. října se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 4. prosince 2018 do 4. března 2019, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 47
21.9. 22:22 | Komunita

Společnost Purism představila kryptografický token Librem Key. Koupit jej lze za 59 dolarů. Token byl vyvinut ve spolupráci se společností Nitrokey a poskytuje jak OpenPGP čipovou kartu, tak zabezpečení bootování notebooků Librem a také dalších notebooků s open source firmwarem Heads.

Ladislav Hagara | Komentářů: 8
21.9. 20:33 | Nová verze

Společnost NVIDIA oficiálně vydala verzi 10.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
21.9. 20:00 | Upozornění

Příspěvek Jak přežít plánovanou údržbu DNS na blogu zaměstnanců CZ.NIC upozorňuje na historicky poprvé podepsání DNS root zóny novým klíčem dne 11. října 2018 v 18:00. Software, který nebude po tomto okamžiku obsahovat nový DNSSEC root klíč, nebude schopen resolvovat žádná data. Druhým důležitým datem je 1. února 2019, kdy významní výrobci DNS softwaru, také historicky poprvé, přestanou podporovat servery, které porušují DNS standard

… více »
Ladislav Hagara | Komentářů: 8
21.9. 15:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 156. brněnský sraz, který proběhne v pátek 21. září od 18:00 v restauraci Na Purkyňce na adrese Purkyňova 80.

Ladislav Hagara | Komentářů: 0
21.9. 13:22 | Nová verze

Alan Griffiths z Canonicalu oznámil vydání verze 1.0.0 display serveru Mir (GitHub, Wikipedie). Mir byl představen v březnu 2013 jako náhrada X serveru a alternativa k Waylandu. Dnes Mir běží nad Waylandem a cílen je na internet věcí (IoT).

Ladislav Hagara | Komentářů: 0
20.9. 22:00 | Nasazení Linuxu
Stabilní aktualizace Chrome OS 69 (resp. Chromium OS), konkrétně 69.0.3497.95, přináší mj. podporu linuxových aplikací. Implementována je pomocí virtualizace, a proto je tato funkce také omezena na zařízení s dostatkem paměti a podporou hardwarové akcelerace, tudíž nejsou podporovány chromebooky s 32bitovými architekturami ARM, či Intel Bay Trail (tzn. bez Intel VT-x).
Fluttershy, yay! | Komentářů: 5
20.9. 21:32 | Zajímavý projekt

Došlo k uvolnění linuxové distribuce CLIP OS, vyvíjené francouzským úřadem pro kybernetickou bezpečnost ANSSI, jako open source. Vznikla za účelem nasazení v úřadech, kde je potřeba omezit přístup k důvěrným datům. Je založená na Gentoo.

Fluttershy, yay! | Komentářů: 1
20.9. 16:00 | Komerce

Zjistěte více o bezpečné a flexibilní architektuře v cloudu! IBM Cloud poskytuje bezpečné úložiště pro Vaše obchodní data s možností škálovatelnosti a flexibilitou ukládání dat. Zároveň nabízí prostředky pro jejich analýzu, vizualizaci, reporting a podporu rozhodování.

… více »
Fluttershy, yay! | Komentářů: 12
20.9. 12:22 | Nová verze

V dubnu letošního roku Mozilla představila webový prohlížeč pro rozšířenou a virtuální realitu Firefox Reality (GitHub). V úterý oznámila vydání verze 1.0. Ukázka na YouTube. Firefox Reality je k dispozici pro Viveport, Oculus a Daydream.

Ladislav Hagara | Komentářů: 2
Na optické médium (CD, DVD, BD aj.) jsem naposledy vypaloval(a) data před méně než
 (13%)
 (15%)
 (21%)
 (23%)
 (25%)
 (4%)
 (1%)
Celkem 393 hlasů
 Komentářů: 33, poslední 16.9. 11:55
Rozcestník

Pozor na kopírování textů z webových stránek

Na AbcLinuxu již bylo několikrát diskutováno. Neuškodí si ale připomenout. Kopírování příkazů z webových stránek může být hodně nebezpečné. Nebezpečné ale může být i kopírování textů do editorů vim, nano nebo emacs. V kopírovaných textech se mohou nacházet řídící sekvence editorů a příkazy, které mohou být provedeny [reddit].

6.3. 05:22 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

6.3. 08:43 Rad
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
jo, je to nebezpecny.

pak jsem kdesi cetl (tusim v nejake napovede), ze nebezpecna je taky prace s nuzkama, clovek se muze dokonce zranit!
6.3. 10:28 mica
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
pak jsem kdesi cetl (tusim v nejake napovede), ze nebezpecna je taky prace s nuzkama, clovek se muze dokonce zranit!
Jo, to se píše v manuálové stránce k nůžkám.
6.3. 21:11 Rad
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
takovy navod jsem jeste necetl.

ale to bylo (tusim) helper k MS Word (ale uz nevom ktera verze, asi pod W95 - Mr. Spinka)
pushkin avatar 6.3. 10:40 pushkin | skóre: 42 | blog: FluxBlog
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Jo, a taky není dobré na pleť pojmenovat si flashku "rm -rf ~" a používat jí pod KDE :-)
"...viděl jsem Vás žíznit a tak jsem se vrátil." | Díky, Kájo!
6.3. 12:38
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
:-) To fakt funguje?
6.3. 13:22 Ladislav Hagara | skóre: 85 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
6.3. 13:32
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Díky.

PS: Kde jsou moje soubory ;-)
6.3. 11:43 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Kdo nic neví, všeho se odváží...
Archlinux for your comps, faster running guaranted!
6.3. 14:17 x14
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Přidávám pro pobavení jednu trapnou historku.

Měl jsem flashku, která se divně chovala. Někde radili ji celou přepsat nulami pomocí
sudo dd if=/dev/zero of=/dev/sdb
A modří už asi tuší... Dal jsem ten příkaz do schránky a kolečkem hodil do terminálu s tím, že opravím to písmenko a odpálím to. Jenže já vůl nějakým způsobem dostal do schránky i [CR/LF] a sudo bylo ještě teplé... Brejkl jsem to mezi první a druhou sekundou s adrenalinem v infarktových hodnotách.

Tímto žádám všechny, kteří někde něco radí, aby kvůli nám blbcům všude v příkladech psali disky jako sdX. Děkuji :-)
Grunt avatar 6.3. 17:12 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Já zas jednou kompiloval cosi v Buildrootu (už nevím jestli pro ARM nebo pro MIPS) a samozřejmě jsem se přihlásil pod roota, chtěl jsem to někam nainstalovat pomocí prefixu a omylem jsem to překlopil do /. Dodám že tam byly základní utility v /bin a /usr/bin a všechny binárky pro non-x86 systém a make install se neptal jestli má něco přepsat. Pomocí kluků z Redhatu se mi nicméně podařilo (RPM databáze má uložené hashe souborů které má pod správou balíčkovací systém) obnovit jednotlivé přepsané soubory a systém nějak (sice nic moc ale nějak jo) fungoval.

Několikrát jsem přemýšlel nad tím jak zajistit aby až na pár adresářů ve kterých nemám moc ztratit byl celý root namountovaný v RO režimu s tím že bych ho odemykal jen když bych updatoval či něco instaloval.

Jsem dřevo gramlavé. Mně do ruk žádný produkční systém nepatří. To výstraha do budoucna pro někoho kdo by chtěl využít mých služeb.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
6.3. 23:26 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Jo takový věci se mě staly párkrát taky :-D. Ale buildroot pod rootem jinak funguje OK, crosstool-ng ne (ale já kompiluju kompilátor mimo buildroot).
6.3. 21:08 Rad
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
jo to pomuze, jenom se nesmi pouzivat usb hub, ktery trpi kontaktni vadou.

to jsem tak jednou prenasel image na flasku - oberil jsem si ktere je to pismenko, opravil prikaz v cli ... a odpalil.

a pak jsem se divil, ze flaska obsahuje to co predtim, jenom misto 1TB disku mam jakesi pidizarizeni.

a duvod? hub se odpojil a vzapeti pripojil: vsechno ok, jenom poprehazoval pripojena zarizeni. to potesi :)
7.3. 18:33 jiwopene | skóre: 10
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Já si napíšu # před vložením nebo napsáním "nebezpečných" příkazů.
.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
Jendа avatar 7.3. 19:39 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
To neřeší příkaz na víc řádek.

Nejlepší je udělat xclip -out.
Aleš Janda avatar 6.3. 15:00 Aleš Janda | skóre: 21 | blog: kýblův blog | Kralupy nad Vltavou
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Přijde mi to jako chyba konzole. Konzole by neměla povolit zkopírovat znak odřádkování (a řídící znaky vůbec), respektive by před vložením měla vyžadovat potvrzení.
6.3. 15:09 Petr
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Takze kvuli zacatecnikum pridame do rm dotaz jestli je si uzivatel akutecne jist tim co dela? Nebo u dd budeme pro jistotu vyzadovat 5x potvrzeni treba vypoctem nahodneho scitani? Konzole dela to co ma, vkladani vlozi vse vcetne radkovani a kdyby to melo byt jinak, tak budu pouzivat konzoli co to dela presne tkhle, protoze mi to ulehcuje praci.
Aleš Janda avatar 6.3. 15:20 Aleš Janda | skóre: 21 | blog: kýblův blog | Kralupy nad Vltavou
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Tak jinak – konzole by měla umožňovat vkládat ze schránky, bez spuštění kódu. Teď to není možné, nijak. Jedině to stripnout někde vedle, znovu zkopírovat a pak až dát do konzole (a modlit se, aby mi nějaký virus mezi stripnutím a vložením do konzole do té stránky nedal něco jiného). Díky skrytým prvkům na stránce a JavaScriptu ten mezikrok s textovým souborem někde vedle je v podstatě nutný v každém případě – není možné napadené stránce zabránit v tom, aby při kopírování vkládala nečekané znaky.

Tohle je principiálně špatně. To nemá dobré řešení.

To je jako kdybych psal C++ kód, a když zmáčknu enter, hned se ten kód přeloží a spustí. Nechci ho spustit nikdy, určitě ne vložením ze schránky, nebo jen ve výjimečných případech.

Ale tak prostě konzole nebyla navržena pro bezpečnost, nejen kvůli tomuhle. Dřív byla jiná doba, proti tomu nic. Jen škoda, že v podstatě není žádná jiná alternativa.
6.3. 16:23 Petr
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Ja si vzdy u kopirovani z webu otevru prazdny textak (bez formatu), do nej nakopiruji co potrebuji, upravim to a pak to kopiruji do konzole. Pokud je toho vice, kopiruji to po castech. Kdyz jsem byl mladsi, nezkusenejsi, kopiroval jsem klidne xx radku do konzole. Jedno smazani dokumentu v home me poucilo. Presto si neumim predstavit ze bych skopiroval treba 10 prikazu a musel je one by one potvrzovat. Alternativa je vytvorit skript, ale ve srovnani s rychlosti paste je to marne.
6.3. 17:06 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Ano, pokud chcete spouštět potenciálně nebezpečný kód - což ctrl-c příkazy zkopírované z nějakého webu jsou - tak k tomu holt musíte přístupovat opatrně. Na tom není žádné překvapení a nic, co byste mohl vysvětlovat nesmysly typu "konzole nebyla navržena pro bezpečnost". Konzole je navržená pro spouštění příkazů zadaných uživatelem a dělá přesně to.

Co do ní zadáte, to je jenom vaše zodpovědnost.
Quando omni flunkus moritati
6.3. 17:36 koroptev
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
ktera konzole? emulator terminalu ktere uz desitky let neexistuji a ktery ocekava nejake divne ridici znaky aby hejbl kurzorem napr nebo ta gui aplikace napsana v gui toolkitu vzniklem o desitky let pozdeji ktera presstira ze je ten terminal a ktera rozhodne disponuje vecmi ktere ten temrinal nikdy nemel (jako napr moznost paste z weboveho prohlizece)?
Aleš Janda avatar 7.3. 08:36 Aleš Janda | skóre: 21 | blog: kýblův blog | Kralupy nad Vltavou
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
pokud chcete spouštět potenciálně nebezpečný kód - což ctrl-c příkazy zkopírované z nějakého webu jsou
To je právě to, že vidím velký rozdíl mezi vložením a spuštěním. Vložit chci, spustit nechci. Není metoda, jak vložit bez spuštění.

Vkládání do konzole nebezpečné je, protože nefunguje jako vkládání textu, ale vkládání klávesy, které se mají jakoby zmáčknout a provést. Kdyby to stejně fungovalo i jinde a já při banálním zkopírování slova omylem vzal i řídící znaky třeba pro Ctrl+Alt+F1 a potom Ctrl+Alt+Del, restartoval by se mi počítač (naštěstí v konzoli až takové řídící znaky nejsou). A tak dále. Jistě, dal by se najít příklad, kdy by takové kopírování s restartem bylo užitečné, ale ve většině případů je to naopak nežádoucí.

Stejně třeba jako kdyby třeba JavaScript normálně z webových stránek dokázal číst soubory na lokálním disku (tak jako to kdysi dávno umělo IE přes VBScript). Také by se to občas hodilo, ale v drtivé většině případů by to byla díra jak prase a každej by to chtěl vypnout.

Bohužel z toho důvodu, že konzole neumí vkládat, ale pouze interpretovat, je nebezpečné do jakýchkoli programů v konzoli běžících. O tom je ostatně ta zprávička. Jasně, můžeme se tvářit, že je to vlastnost, ale na h***o to je. Před 40 lety, když se kopírovalo maximálně z BBSky také z textového rozhraní, to asi moc nevadilo, možná naopak. Dnes to ale vadí řádově víc.
7.3. 17:05 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Jak komu. Já s tím, že konzole interpretuje znaky/klávesy tak, jak je dostala, problém nemám a rád to využívám.
Quando omni flunkus moritati
6.3. 17:52 chrono
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Toto normálne rieši shell (napr. v zsh je štandardne povolené zle_bracketed_paste, to isté podporuje aj bash 4.4+ s readline 7.0+, štandardne je to ale vypnuté).
Jendа avatar 7.3. 01:20 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Mám pocit, že „správné“ kombinace webových prohlížečů a terminálů uměly přes schránky přenést i ten escape znak, který značí konec paste.
7.3. 10:31 disorder | blog: weblog | Bratislava
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
bracketed paste mode to mozno riesi
6.3. 17:38 koroptev
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
rm tam ten dotaz ma i kdyz je primo explicitne v parametrech uvedeno co se po tom rm chce

neviditelny znak pritomny v bufferu lze obtizne pokladat za chtene explicitni vyzadani obzvlast pri interaktivnim pouziti
Jendа avatar 7.3. 01:22 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Nemá, rm soubor i rm -r adresář mažou bez ptaní. Používáš distribuci, která tam pomocí aliasů vkládá -i (např. redhaty).
7.3. 11:47 koroptev
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
a proc proboha to ten redhat dela? to ma tak spatne mineni o svych uzivatelich?
6.3. 17:02 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Akorát - jako v každém případě, kdy něco vyžaduje takovéhle potvrzení - skončíte s tím, že uživatel to potvrzení odklepne zcela automaticky.
Quando omni flunkus moritati
6.3. 17:40 koroptev
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
neni preci problem mit jako default paste kde mi to vsechny takoveto znaky oteze/zkonvertuje na mezeru napr a v menu druhou akci s nazvem "paste raw"..
6.3. 17:46 Martin Mareš
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Ne nutně. Já mám své urxvt nastavené tak, že vyžaduje potvrzení, pokud vkládaný text obsahuje newline. Jelikož v naprosté většině případů neobsahuje, nejsem zvyklý nic automaticky odklepávat.
6.3. 21:51 marbu | skóre: 29 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Díky za tip. To confirm-pase rožšíření vypadá moc pěkně (viz man urxvt-extensions).
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
6.3. 23:27 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
Hmm to zase ne, já často kopíruju shell snippety do konzole a kdybych měl v tom bloku každej potvrzovat ... :-/
7.3. 14:45 extremni lama | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
+1

pokud gui aplikace ktera emuluje terminal bez zeptani spusti neco zkopirovane ze schranky jenom proto ze je tam nekde \n tak by autori zaslouzili naliskat

totez jestli tohle delaji editory...
The enemy of my enemy is still my enemy.
pushkin avatar 7.3. 15:40 pushkin | skóre: 42 | blog: FluxBlog
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
No, ono by se nic nestalo, kdyby schránka \n sama filtrovala - viz třeba zkopírování textu z PDF do LO.
"...viděl jsem Vás žíznit a tak jsem se vrátil." | Díky, Kájo!
6.3. 17:53 jbohac | skóre: 19 | Praha 5
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
funguje to někomu? když jsem to četl, tak mě polilo horko, ale ať to zkouším, jak to zkouším, naštěsti mi to nefunguje.

Ani z chromia ani z firefoxu. Ani do xterm, ani do urxvt, ani do konsole.

(plusmínus aktuální opensuse tumbleweed)
8.3. 12:22 ik | skóre: 2
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
V X11 používám LilyTerm a ten se při vkládání ptá, zda má clipboard pastnout jak je, nebo spojit řádky. Naproti tomu zmíněný postup, nastavení readline proměnné "set enable-bracketed-paste On" mi nějak nezabírá.
8.3. 14:45 Andrej | skóre: 45 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Editory, které jsou navržené pro komunikaci stroje se strojem, nikoliv člověka se strojem, jsou samozřejmě náchylné ke kritickým chybám tohoto druhu. Na tom není nic překvapivého. Protože si hrají na programovací jazyk s interpretem, dovedou ze schránky dostat instrukce, jaké by slušně vychovaný editor přijímal jedině pomocí klávesových zkratek, které skrz schránku přenášet nelze, případně pomocí jiného typu uživatelského rozhraní, nezávislého na vstupu z "terminálu".

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
8.3. 16:59 Kate | skóre: 8
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek
No, omyl. Koukni se na příklad útoku přes nano. Tam je to dělané přímo přes klávesové zkratky.
Mintaka avatar 9.3. 13:52 Mintaka | skóre: 12
Rozbalit Rozbalit vše env EDITOR || VISUAL
Na problémy s EOL může pomoci stará dobrá technika. Otevření editoru pro editaci příkazu, a vložení obsahu tam.

Běžně se aktivuje pomocí dvojice klávesových zkratek.

Ctrl+x Ctrl+e

Jaký editor se použije je definováno env proměnnými EDITOR případně VISUAL

Obecně ale proti neopatrnosti a smůle neexistuje univerzální pomoc.

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.