AbcLinuxu:/ Zprávičky / Pozor na kopírování příkazů z webových stránek

Štítky: bezpečnost, kopírovaní, shelly

Pozor na kopírování příkazů z webových stránek

Kopírování příkazů z webových stránek může být hodně nebezpečné. Příkaz na webové stránce vypadá v pořádku, proč jej tedy přepisovat? Označím jej a zkopíruji do okna terminálu. Právě jsem spustil několik útočníkem připravených příkazů. Zkopírovány a spuštěny byly příkazy, které nejsou na stránce vůbec vidět.

8.4.2013 13:14 | Ladislav Hagara | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

8.4.2013 13:32 Ravensun | skóre: 11 | blog: Ravensun's blog | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Pěkné :)

Gentoo je můj poslední velký linux test...

8.4.2013 13:47 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Nefungovaly podobným způsobem nějaké zavirované soubory, že vypadaly ve Windows jakožto obrázek a skutečnou příponu měly schovanou kdesi mimo viditelný rozsah?

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

8.4.2013 13:54 chrono
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Keď sa vo Windows zakázalo zobrazovanie známych prípon, tak sa napr. obrazok.jpg.exe zobrazoval ako obrazok.jpg.

8.4.2013 14:07 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Četl jsem kdysi ještě něco o tom, že se před skutečný konec souboru nacpala hromada mezer, přičemž pak se to tvářilo úplně "normálně", ale byl to exe soubor.

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

9.4.2013 18:14 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Pokiaľ viem aj UTF8 znak čo mení výpis zprava do ľava, sa dajú robiť zaujímavé veci.

KERNEL ULTRAS video channel >>>

9.4.2013 18:30 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Jo, tato ukázka zde v diskuzi také padla :)

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

9.4.2013 19:10 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Už som si to všimol nižšie :)

KERNEL ULTRAS video channel >>>

8.4.2013 14:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

A jako bonus existovaly i přípony, které se nezobrazovaly ani když se to zakázalo - ve Windows 98 se takto IIRC chovala přípona "shs".

8.4.2013 14:13 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Jeden příklad využití.

8.4.2013 14:28 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Stale existuju. Napr. taky "shortcut" s priponou .lnk sa aj na Win7 zobrazuje bez pripony. V pripade malej ikonky tu "sipku" v rohu nemusi byt vobec vidiet ... a aj ked by to mal byt len "odkaz / symlink", tak to moze obsahovat virus a to nemyslim, ze odkazuje na virus, ale samotny subor ho obsahuje.

8.4.2013 14:57 Sten
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Pomocí Unicode se otočilo pořadí písmen: Unitrix

8.4.2013 15:05 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

To je též pěkné, ale to, co myslím, bylo akutní před více než 10 lety.

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

8.4.2013 16:23 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Příloha:

SideEfectW7.png (17654 bytů)

A má to hezký vedlejší efekt viz příloha (tři různá zobrazení), těch kombinací může být roj.
A jinak dobře ta technika funguje přes Skype (i e-mail), lidi to odklikávají jak blbí… :-)

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

9.4.2013 00:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

lidi to odklikávají jak blbí…

Hele zrovna nedávno jsem si takhle omylem spustil (naštěstí neškodný) pythoní skript - byl v Zipu, což se mi otevřelo ve Squeeze (GTK archive manager), a já se chtěl podívat na obsah. Tak jsem na něj poklepal a čekal jsem, že ta věc spustí textový editor. No, prdlajs, spustilo to python.

9.4.2013 00:55 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

A bude hůř, je potřeba „automatika“ všude…, už jsem taky „klikal“, nicméně standardně se to ve Squeeze ptá, aspoň mě teda jo, možná u toho nevypadám dostatečně jistě…

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

8.4.2013 16:15 j
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

eee, widle totiz s kadym souborem bez ohledu na priponu udelaly "exec soubor.cosi" mno a pokud v tom soubor.jpg (trebas) je ve skutecnosti exe, tak se proste spusti.

8.4.2013 13:48 volani.webnode.cz
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Není to problém webového prohlížeče? Podle mě by měl kopírovat jen pro uživatele viditelný text a v opačném případě alespoň zobrazit nějaké upozornění či varování.

8.4.2013 14:05 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Problém? Záleží, jak se to bere. Chyba to není.

Stejně bude fungovat i méně komplikovaně zapsané

abcd<span style="display:none;">efghijklmnopqrstuv</span>wxyz

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

8.4.2013 17:39 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

No, chyba to IMHO je stejně. Když si vemu jako příklad něco nezáškodnického, kde ten text je z nějakého důvodu posunutý jen o kousek, tak se mi ho nepodaří zkopírovat, když budu chtít, protože bych tou myší musel označovat jinde, než ten text vidím...

8.4.2013 17:52 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Podaří. Text je pozicovaný úplně bežně. Možná ti více objasní jednoduché demo (leze do toho zkur**** reklama, tu neřeš)

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

8.4.2013 20:26 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

No, samotný text označit jde, ale to jak to mezitím přeskakuje... to kdyby mi nějaká stránka dělala, tak z toho asi vzteky zešílím :)

8.4.2013 20:31 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Jasně, jen jsem ti chtěl ukázat, že to funguje normálně, že absolutně pozicovaný text označuješ přesně tam, kde je zobrazený. A samozřejmě je zachována posloupnost textu tak, jak je ve zdroji, z čehož vyplývá to "přeskakování", pokud vybíráš to, co pozicovaný text (ve zdroji) obklopuje.

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

8.4.2013 20:16 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

No, chyba. Jaké to má vlastně reálné využití psát do stránky něco co nebude vidět?

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

8.4.2013 20:21 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Používá se to zcela běžně velmi seriózně. Web má například ozdobné nadpisy, tvořené obrázky (přes css), a pro prohlížeče, které nepodporují css je tam skrytý i reálný text, aby se to zobrazio i v lynxu či třeba prohlížeči pro nevidomé.

Je to sice jiný případ, než ten diskutovaný, ale odpovídá na tvůj dotaz.

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

8.4.2013 20:26 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

velmi seriózně

ozdobné nadpisy

Jo, chápu.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

8.4.2013 20:28 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

8.4.2013 20:36 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Ono i když se podívám:

Možná si říkáte, k čemu je dobré dávat do stránky prvky, které se nezobrazí. Je to dobré na práci s javascriptem a v hektické praxi také na skrývání věcí, které prostě ještě nejsou hotové. Další uplatnění se najde při tisku, kdy se prostě některé věci na obrazovce viditelné na tisk nepošlou.

Zrovna za ten tisk bych vyloženě vraždil.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

8.4.2013 20:42 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Zrovna za ten tisk bych vyloženě vraždil.

No to já také. Smutná pravda je ta, že takových 99 % stránek nemá tisk ošetřený buď vůbec, nebo špatně. A při názoru, který jsi citoval, se tomu přestávám divit…

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

9.4.2013 00:23 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

To mi ve Firefoxu (10) ani v Chromiu nechodí.

9.4.2013 05:39 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

No jo, je to zajímavé. Ve Firefoxu ve Windows mi to fungovalo, ve Firefoxu v Linuxu mi to též nefunguje :-)

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

8.4.2013 16:18 j
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Jako vsechny problemy je to predevsim problem mezi klavesnici a zidli. Zajimavy, ze kdyz nekdo BFUcku rekne skoc z mostu ... tak neskoci (jaka skoda ...) ale kdyz mu rekne "tak si zadej rm -rf ..." tak to udela (a ani mu to nemusim schovavat).

9.4.2013 13:06 JirkaH
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

tak i ten nejtupejsi BFU chape, ze rm -rf mu nezlame vsechny kosti v tele a nepotrha vsechy organy na kasi, ze....

9.4.2013 13:42 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

...a z toho mostu skočí duševně zhroucen poté, co zjistí, že si právě smazal svou půlroční nezálohovanou práci :)

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

9.4.2013 21:55 misch | skóre: 3
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

ale než skočí, tak mu dojde že jeho půlroční práce stejně nestála za nic a že by ji za další půlrok stejně nejspíš smazal sám a dobře by udělal. Takže příští projekt už hodí na github a svět bude opět veselejší místo :)

9.4.2013 00:22 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

No jo, ale jak se určí viditelnost? Je text psaný velikostí 5 viditelný? A šedý text na šedém pozadí?

9.4.2013 00:27 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Případně text s průhledným pozadím nad obrázkem vyplněným stejnou barvou, jakou má text.

9.4.2013 01:56 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Začal bych s display: none / visibility: hidden. Ostatních věcí si většinou všimneš, protože při vyselektování jsou vidět.

Mátě někdo protip na doplněk, co by to implementoval? Případně nechcete se do toho někdo pustit? :D

blog.rfox.eu | Lessons learned from games

9.4.2013 06:54 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Hele toho může být fakt hafo. Například zápornej margin. Nebo různý hrátky s position: fixed + z-indexem. Opacity. Zaoblený rohy a vržený stíny. Pak je tady taky css selektor ::selection, kterým můžeš upravit, jak vypadají jednotlivé prvky při vybrání. A to je jen prvních pár nápadů, co jsem si právě vycucal z prstu, jsem si jist, že CSS toho skrývá ještě mnohem víc a javascript nebo flash jsme ani nenačali :-D

Suma sumárum, tisíckrát jednodušší je ověřit si, co v tý schránce skutečně je. Správné místo na tuhle kontrolu by byl emulátor terminálu při vkládání (ctrl+shift+v apod.).

SPD vůbec není proruská

9.4.2013 17:11 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Ono by prostě stačilo, aby se kopírovalo pouze to, co je vidět. Netuším však, jestli by to chtělo zásah do jádra prohlížeče, nebo by to šlo řešit doplňkem, aby se kopíroval výsledek, ne zdroj.

blog.rfox.eu | Lessons learned from games

9.4.2013 17:19 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Ono by prostě stačilo, aby se kopírovalo pouze to, co je vidět.

Vo tom to právě je: Je hodně náročný určit, co je/není vidět, jak už tu zaznělo...

SPD vůbec není proruská

9.4.2013 19:38 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Náročné vs nemožné. Prohlížeč to na nějaké úrovni přece vědět musí.

blog.rfox.eu | Lessons learned from games

9.4.2013 19:54 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Prohlížeč renderuje, nekontroluje co vidíš. Když budeš mít mezi kupou textu o normální velikosti nějaký text o výšce jeden či pár pixelů, tak jak má vědět jestli to přečteš nebo ne? Spíš by měla existovat nějaká základní kontrola syntaxe, jestli třeba zarovnání vytéká mimo stránku a tak. Ono pokud by něco mělo vytéct a prohlížeč to zarovná nahoru do rohu a ty odscrolluješ dolů, stejně to označíš aniž by si o tom věděl. Tomu už prostě asi zabránit nejde. Ale už to zarovnání bude aspoň vypadat podezřele a hlavně to bude technicky správně.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

9.4.2013 23:26 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Když budeš mít mezi kupou textu o normální velikosti nějaký text o výšce jeden či pár pixelů, tak jak má vědět jestli to přečteš nebo ne?

K tomu by právě sloužil ten doplněk, že. Tam by byla prostě nějaká sada pravidel, která by mu to řekla.

Prohlížeč renderuje, nekontroluje co vidíš.

Já bych řekl, že to spolu tak nějak souvisí a při renderování kontroluje co vidím - a to co nevidím (neviditelné/záporné divy) nevykresluje. Teď jde o to tam přidat nějaké ověřování a sadu pravidel.

blog.rfox.eu | Lessons learned from games

9.4.2013 21:55 chrono
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Rovnako, ako sa dá časť toho textu presunúť mimo obrazovku sa dá iná časť presunúť na to správne miesto, takže skopírovať zobrazovaný text môže byť dosť komplikované (a urobiť to správne je pravdepodobne nemožné).

9.4.2013 17:30 Mti. | skóre: 31 | blog: Mti
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

A pokud bude pres cast textu (treba) reklama, tak se mi pro zmenu ten "schovany" text nepodari "primo" zkopirovat? :-)

Na osel.cz, kdyz si zvetsim pismo, nabehnou odstavce pres sebe... to je ktery pripad? (necitelne to je) :-(

Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...

9.4.2013 19:36 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Proto jsem psal, že ideální by byl doplněk, který můžeš kdykoliv vypnout.

blog.rfox.eu | Lessons learned from games

8.4.2013 13:50 Mti. | skóre: 31 | blog: Mti
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Ano moc pekne.

V priapde vyslovne zurivosti - v lynxu to je videt. :-D

Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...

8.4.2013 14:17 m1c4a1 | skóre: 2
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Zajímavé, že dvojitým poklepáním se mi zkopíroval text do schránky tak, jak jde vidět na stránce, zatímco označením a CTRL+C se mi zkopíroval i ten neviditelný bastl. :-)

8.4.2013 15:12 Andrej | skóre: 9
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

to asi uplne nie.

text je rozdeleny na 2 bloky, trojklik na zaciatok zoberie git clone a trojklik na adresu zase zoberie git://git.kernel.org/pub/scm/utils/kup/kup.git

Any sufficiently advanced magic is indistinguishable from technology. --Larry Niven

8.4.2013 14:35 alfonz mucha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

tak tohle je hustý... nedíval jsem se na kód a myslel jsem si, že to používá javascript, tak jsem to zkusil... a docela mě zděsilo, jakým způsobem to funguje... hodně dobrý a bylo by dobré to vyřešit..

8.4.2013 16:19 j
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Postrilet 3/4 lidstva? To je totiz jediny reseni. To ze je na strance skrytej obsah je zcela normalni a funguje to uz peknych par let.

8.4.2013 17:41 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

To funguje, ale opravdu by měl jít neviditelnej obsah kopírovat do schránky? :) Jak to může jít, když je neviditelný? :) teda, nic to nemění na tom, že pastovat dlouhé commandy do shellu je blbost, ale tohle imho taky není korektní chování...

8.4.2013 18:04 joejoe | skóre: 19
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Problem je jak identifikovat neviditelny obsah. Je nasledujici element jeste viditelny nebo uz neviditelny?


.neviditelny {color: #fffffe; background-color: #ffffff; }

8.4.2013 18:32 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Podle mě jde spíše o to, zda jde daný obsah viditelně označit.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

9.4.2013 16:40 joejoe | skóre: 19
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

tak pridejme jeste neco jako


p.moz::-moz-selection {
	background:#000000;
	color:#000001;
}

Moje pointa byla, ze lze ruznym zpusobem zajistit to, aby text nebyl videt (vcetne jeho oznaceni). Obsahnout vsechny varianty "neviditelnosti" textu je programove obtizne.

Na druhou stranu pokud jedu copy paste podle navodu, tak dost pravdepodobne zkopiruju "rm -rf /", ktere neni nijak skryte.

Notifikace uzivatele dialogem co kopiruje asi dava smysl. Snaha o detekci neviditelneho textu je jenom potencionalnim zdrojem dalsich chyb.

9.4.2013 22:39 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

A nebylo by tím pádem řešením zakázat označování textu (s výjimkou nějaké stlačené klávesy třeba) skrze tagy? Aby se v případě třeba

aaa<span>bb</span>ccc

při startu označování od prvního "a" označilo maximálně poslední "a", jakožto poslední non-tag plaintext znak? To samé při trojkliku.

9.4.2013 23:34 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

To by se mi moc nelíbilo. Například by stačilo, aby tady v diskusi někdo zvýraznil jedno slovo, a nemohl bych do odpovědi zkopírovat celou větu. Nebo bych nemohl kopírovat dva odstavečky textu.

9.4.2013 23:50 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Což o to, to by ani nevadilo, to by se dalo vyřešit tím, že by se označování by default chovalo normálně a na příkazy by byl nějaký sekundární označovací mód.

Spíš jsou s tim ale jiný problémy: 1) Stále by imho bylo možné dosáhnout stejnýho ekeftu jako se spanem pomocí pseudo tříd jako :first-letter, :before nebo :after a 2) řada webů používá pro příkazy zvýrazňování syntaxe, a tedy nějaký ty tagy tam jsou potřeba.

SPD vůbec není proruská

9.4.2013 02:02 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Příloha:

bila.png (13616 bytů)

Takhle.

blog.rfox.eu | Lessons learned from games

9.4.2013 07:00 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

kuk

SPD vůbec není proruská

9.4.2013 17:13 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Nefunguje.

blog.rfox.eu | Lessons learned from games

9.4.2013 17:23 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Tak ještě jednou, tentokrát i pro FF...

SPD vůbec není proruská

8.4.2013 18:25 martin-ux | skóre: 18 | Bratislava
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

suhlas - podla mna sa da divat na to z viacerych uhlov. z pohladu uzivatela kopirujem to, co som oznacil (viditelny text). Viac ma nezaujima. Prezerat HTML kod by bolo cisty brainfuck pri kazdom kopirovani (vseobecne, nielen prikazov).

@joejoe: lenze text pisany tak ako si ty ukazal bude robit "medzery", prazdne riadky/znaky kopirovat nebudes. s tym skrytim mimo obsah je to celkom hnusne.

ja som si osobne tiez myslel, ze pri oznaceni textu som oznacil len text, nie ze pri ^c bude parsovat html a zistovat, co ma vlastne do toho skopirovat. ocakaval som, ze browser pregeneruje HTML a na "sklo" zobrazi uz len vysledok. a kedze ten skryty text je mimo (pripadne display:none), tak ho neskopiruje.

..when you do things right, people won't be sure you've done anything at all..

8.4.2013 20:12 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

suhlas - podla mna sa da divat na to z viacerych uhlov. z pohladu uzivatela kopirujem to, co som oznacil (viditelny text). Viac ma nezaujima. Prezerat HTML kod by bolo cisty brainfuck pri kazdom kopirovani (vseobecne, nielen prikazov).

To jo. Na druhou stranu, proč dovolí prohlížeč vykreslit span -100px nalevo a -100px nahoře nad začátkem vlastní stránky je mi docela záhadou.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

8.4.2013 20:20 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

To funguje, ale opravdu by měl jít neviditelnej obsah kopírovat do schránky?

Já bych si spíš kladl otázku k čemu se to dá vlastně reálně využít (krom popsaného případu).

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

8.4.2013 20:24 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Pozicování i mimo rozsah stránky se používá úplně normálně a využití to určitě má. Že se této vlastnosti dá využít i nesmyslně (případně ji zneužít) už je jiný problém.

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

8.4.2013 20:32 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

využití to určitě má.

No tady jsem myslel zrovna pro účely toho kopírování (ať už je to způsob jaký chce).

Pozicování i mimo rozsah stránky se používá úplně normálně a využití to určitě má.

No tady zrovna dost pochybuju. A nebo aspoň za sebe můžu říct že krom nějakých debilních jezdících nápisů v JS mě vůbec nic nenapadá. No ale i když bych to měl vzít z hlediska technické korektnosti – i když nadpis zcela zajede za viditelnou plochu, jaký smysl má ho vykreslovat/pozicovat? To by John Carmack radostí zrovna moc neskákal.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

8.4.2013 20:38 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Jo, napsal jsem blbost, měl jsem na mysli pozicování do záporných hodnot, které pak může "vytéct" mimo stránku.

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

9.4.2013 00:28 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

nic to nemění na tom, že pastovat dlouhé commandy do shellu je blbost

A co krátké? Nebo URL ve stránce, když ji dáváš jako argument třeba tomu gitu? Děláš vždycky kolečko přes textový editor/správce schránky, abys to zbavil nebezpečných znaků?

Jinak ten nápad, o kterém je zprávička, se mi moc líbí.

8.4.2013 15:01 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Myslel jsem si, že kopírováním přes primary (myš + prostřední tlačítko paste), které je pro kopírování příkazů do terminálu nejpohodlnější, jsem v pohodě. A ejhle, nejsem :)

Díky za zprávičku.

8.4.2013 15:24 2X4B-523P | skóre: 38 | blog: Zelezo_vs_Debian
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

fakt jednoduché a funkční, je to hnedka vidět v Klipperovi, co se to vlastně vložilo...

git clone /dev/null; clear; echo -n "Hello ";whoami|tr -d '\n';echo -e '!\nThat was a bad idea. Don'"'"'t copy code from websites you don'"'"'t trust!
Here'"'"'s the first line of your /etc/passwd: ';head -n1 /etc/passwd
git clone git://git.kernel.org/pub/scm/utils/kup/kup.git

8.4.2013 15:25 psc
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Jak primitivní ! Ale jak účinné !

Ze začátku to vypadalo na js-hnůj, ale zdroják odhalil tu eleganci :-)

8.4.2013 15:43 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

No takže jsem si napsal následující funkci:

xcx() # X Clipboard eXecute
{
  printf 'Contents of the clipboard:\n\n'
  xsel -b
  printf '\n\n'

  read -p "Execute the code above? [y/n] " yn
  case $yn in
    [Yy]* ) eval "$(xsel -b)";;
    * ) return 0;;
  esac
}

Funguje takhle:

✔ 15:43 vojta ~ $> xcx
Contents of the clipboard:

git clone /dev/null; clear; echo -n "Hello ";whoami|tr -d '\n';echo -e '!\nThat was a bad idea. Don'"'"'t copy code from websites you don'"'"'t trust!
Here'"'"'s the first line of your /etc/passwd: ';head -n1 /etc/passwd
git clone git://git.kernel.org/pub/scm/utils/kup/kup.git

Execute the code above? [y/n] n
✔ 15:43 vojta ~ $> 
✔ 15:43 vojta ~ $> echo 'echo Ahoj!' | xsel -b
✔ 15:45 vojta ~ $> xcx
Contents of the clipboard:

echo Ahoj!


Execute the code above? [y/n] y
Ahoj!
✔ 15:45 vojta ~ $>

Kdyžtak to prosím ještě někdo zkoukněte, jestli to je bezpečný...

SPD vůbec není proruská

8.4.2013 22:18 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Nezkousel jsem to, ale predpokladam, ze to nepujde pro muj usecase - cca 95% vsech terminalu mam nejakou SSH session nekam pryc - tam se takhle se schrankou pracovat neda, nebo jo?

--- vpsFree.cz --- Virtuální servery svobodně

8.4.2013 23:00 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Při X11 forwardingu by to fungovat afaik mělo, ale jinak ne.

SPD vůbec není proruská

9.4.2013 00:33 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Při X11 forwardingu by to fungovat afaik mělo

A to jenom když je zapnutá jeho „nebezpečná“ verze (bohužel na mnoha distribucích default). Ono není zrovna cool, když ti root na vzdáleném serveru začne dělat screenshoty a psát na klávesnici.

8.4.2013 15:49 Honza
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

No jo, bude třeba kopírovat s mezičlánkem, třeba to prohnat přes gedit. Já to takhle dělám, když kopíruji z www do nějakého sazečského programu typu word nebo příliš inteligentního diskusního fóra a chci okopírovat jen text, ne formátování.

8.4.2013 19:59 muhehe
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

ctrl + shift + v

8.4.2013 21:12 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Jo, za to kopírování stylu bych vraždil. Nemá to žádný smysl snad krom toho, že to BFU zkurví výsledný dokument ještě daleko více, než co jsou schopni napáchat sami.

sazečského programu typu word

FACEPALM

Heron

9.4.2013 00:34 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Náhodou, třeba takové referáty „převzaté“ z Wikipedie včetně hyperlinků a ^[zdroj?]… :-)

9.4.2013 05:56 hibiki | skóre: 5 | blog: Hibikiho
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

A jeste ma wiki takovou skvelou lehce modrou barvu pozadi, ktera je na TN panelech videt jen z urciteho uhlu :o)

9.4.2013 12:10 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Heron

8.4.2013 15:55 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

To je drasticke! Netusil jsem, ze to jde bez javascriptu! Kdyz si vzpomenu, kolik prikazu uz jsem takhle kopiroval... :-D

Veni, vidi, copi

8.4.2013 16:00 VH | skóre: 5 | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

A kolikrat jako root na ostrem serveru, brrr naskakuje mi husi kuze!

8.4.2013 17:54 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

OMG tímhle infikovat gitweb, tak jsem mrtvej :-D

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

8.4.2013 22:50 gtz | skóre: 27 | blog: gtz | Brno
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Taky občas jsem něco překopčil

- nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude

8.4.2013 16:05 pushkin | skóre: 43 | blog: FluxBlog
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Pěkná schovka :-)

🇺🇦 Pomoc pro obranu Ukrajiny | SOS Ukrajina 🇺🇦

8.4.2013 17:12 jadd | skóre: 34 | blog: Greenhorn
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Příloha:

LPP.PNG (15851 bytů)

Rozšíření (Link properties plus) do Ff, vám to může usnadnit

8.4.2013 18:08 Arno3t | skóre: 23 | Uherské Hradiště
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Jo ve výše zmíněném příkladě alespoň vidíte v terminálu, že jste vložili úplně něco jiného. Několikrát jsem se už setkal s tím, že jsem z webu vkládal příkazy do skriptu a ty nefungovaly. V editoru vim vše vypadalo OK. Až po otevření v hexadecimální podobě jsem zjistil, že tam je pár neviditelných znaků naštěstí ne nebezpečných. Možná nějaký šikulka dokáže zkombinovat obojí a to by teprve byl ten pravý hack :-)

8.4.2013 20:52 Saljack | skóre: 28 | blog: Saljack | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

A co kdyz je tam konec radku? Me se to normalne spusti. Da se tohle chovani nejak vypnout?

Sex, Drugs & Rock´n Roll.

9.4.2013 00:25 danc
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Z konce radku mam pri kopirovani vzdycky strach, pred vlozenim do terminalu chci vzdy videt a jeste jednou zkontrolovat co se spusti.

Takze nez vlozim do terminalu, napisu si treba znak "a":

$ a

pokud je soucasti textu i konec radku, spusti se, ale obvykle :-) skonci chybou, a tak mam sanci jeste text zkontrolovat

$ aecho "nazdar"

bohuzel to asi nebude fungovat, pokud bude napr. vic zretezenych prikazu v jedne radce, oddelenych napriklad ;

9.4.2013 00:37 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

bohuzel to asi nebude fungovat, pokud bude napr. vic zretezenych prikazu v jedne radce, oddelenych napriklad ;

…a nebo když je tam dokonce uprostřed newline, že. A za ní pro jistotu clear nebo posun kurzoru o řádek výš a jeho vymazání.

9.4.2013 10:52 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

od toho tu prece mame #, tak proc pouzivat nejaky acko!

Talking about music is like dancing to architecture.

9.4.2013 18:26 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

tak proc pouzivat nejaky acko!

Stačí pridať medzeru :) a & rm -rf *

KERNEL ULTRAS video channel >>>

9.4.2013 00:40 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Očividně existuje jakýsi paste mode. Terminálu se dá vědět „tento text je pastovaný, zachovej se podle toho“. Podle mě takhle funguje v irssi taková ta funkce „snažíte se na kanál pastnout obsah svého /etc/shadow, opravdu chcete pokračovat?“ Existuje i implementace pro ZSH (odkazována z té stránky), pro Bash nevím.

10.4.2013 14:25 kolcon | skóre: 15 | blog: kolcon
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

v irssi to imho jen pocita pocet radku a rve to, pokud >x....

9.4.2013 00:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Jo ve výše zmíněném příkladě alespoň vidíte v terminálu, že jste vložili úplně něco jiného.

Já tam teda viděl clear. Samozřejmě, na dálnopisu s tiskárnou clear nemám implementovaný, protože je to fyzicky nemožné. Ale ty elektronické terminály, to je děs. Ještě, že si pořizuju kopii spojení na děrnou pásku.

8.4.2013 18:53 Milan Roubal | skóre: 25
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

vetsinu veci co najdu si rovnou ukladam a pouzivam na to clearly. Ten to koukam odhali velice rychle :)

9.4.2013 00:50 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Občas používám

cat <<KONEC
...
KONEC

Ale kompletní řešení to není :-(

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

9.4.2013 00:54 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

No tak nejjednodušší je pastnout to do Vimu (v insert módu!!! :-)

^*). Speciální klávesy snad moje schránka emulovat neumí.

^* Kolikrát už se vám podařilo pastnout do Vimu něco, co se provedlo jako příkaz?

9.4.2013 00:57 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

A přesně proto to dávám do gedit-u.

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

9.4.2013 01:17 Ladislav Hagara | skóre: 107 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Stačí za příkazy přidat dd a ve Vimu je neuvidím.
ESC dd, smazání řádku.

9.4.2013 01:36 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

FFFUUU, fakt to funguje. Předtím jsem si zkoušel takhle pastovat barvičky a to mi nešlo.

9.4.2013 09:31 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Větší prdel je když to tam v insert módu nepastneš. To já vždycky radši Vim pro jistotu SIGKILLnu a spustím znova.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

9.4.2013 12:40 Duff
Rozbalit Rozbalit vše Re: Pozor na kopírování příkazů z webových stránek

Odpovědět | Sbalit | Link | Blokovat | Admin

Jakže jsou ty pěkné smajlíky :(){ :|: & };:

Založit nové vlákno • Nahoru