Pozor na kopírování textů z webových stránek

Na AbcLinuxu již bylo několikrát diskutováno. Neuškodí si ale připomenout. Kopírování příkazů z webových stránek může být hodně nebezpečné. Nebezpečné ale může být i kopírování textů do editorů vim, nano nebo emacs. V kopírovaných textech se mohou nacházet řídící sekvence editorů a příkazy, které mohou být provedeny [reddit].

Komentáře

Přidávám pro pobavení jednu trapnou historku.

Měl jsem flashku, která se divně chovala. Někde radili ji celou přepsat nulami pomocí

sudo dd if=/dev/zero of=/dev/sdb

A modří už asi tuší... Dal jsem ten příkaz do schránky a kolečkem hodil do terminálu s tím, že opravím to písmenko a odpálím to. Jenže já vůl nějakým způsobem dostal do schránky i [CR/LF] a sudo bylo ještě teplé... Brejkl jsem to mezi první a druhou sekundou s adrenalinem v infarktových hodnotách.

Tímto žádám všechny, kteří někde něco radí, aby kvůli nám blbcům všude v příkladech psali disky jako sdX. Děkuji :-)

6.3.2018 17:12 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Já zas jednou kompiloval cosi v Buildrootu (už nevím jestli pro ARM nebo pro MIPS) a samozřejmě jsem se přihlásil pod roota, chtěl jsem to někam nainstalovat pomocí prefixu a omylem jsem to překlopil do /. Dodám že tam byly základní utility v /bin a /usr/bin a všechny binárky pro non-x86 systém a make install se neptal jestli má něco přepsat. Pomocí kluků z Redhatu se mi nicméně podařilo (RPM databáze má uložené hashe souborů které má pod správou balíčkovací systém) obnovit jednotlivé přepsané soubory a systém nějak (sice nic moc ale nějak jo) fungoval.

Několikrát jsem přemýšlel nad tím jak zajistit aby až na pár adresářů ve kterých nemám moc ztratit byl celý root namountovaný v RO režimu s tím že bych ho odemykal jen když bych updatoval či něco instaloval.

Jsem dřevo gramlavé. Mně do ruk žádný produkční systém nepatří. To výstraha do budoucna pro někoho kdo by chtěl využít mých služeb.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

6.3.2018 23:26 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Jo takový věci se mě staly párkrát taky :-D

. Ale buildroot pod rootem jinak funguje OK, crosstool-ng ne (ale já kompiluju kompilátor mimo buildroot).

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

6.3.2018 21:08 Rad
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

jo to pomuze, jenom se nesmi pouzivat usb hub, ktery trpi kontaktni vadou.

to jsem tak jednou prenasel image na flasku - oberil jsem si ktere je to pismenko, opravil prikaz v cli ... a odpalil.

a pak jsem se divil, ze flaska obsahuje to co predtim, jenom misto 1TB disku mam jakesi pidizarizeni.

a duvod? hub se odpojil a vzapeti pripojil: vsechno ok, jenom poprehazoval pripojena zarizeni. to potesi :)

7.3.2018 18:33 jiwopene | skóre: 31 | blog: Od každého trochu…
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Já si napíšu # před vložením nebo napsáním "nebezpečných" příkazů.

.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.

7.3.2018 19:39 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

To neřeší příkaz na víc řádek.

Nejlepší je udělat xclip -out.

Přijde mi to jako chyba konzole. Konzole by neměla povolit zkopírovat znak odřádkování (a řídící znaky vůbec), respektive by před vložením měla vyžadovat potvrzení.

Zahrajte si trojšachy přes internet :-)

6.3.2018 15:09 Petr
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Takze kvuli zacatecnikum pridame do rm dotaz jestli je si uzivatel akutecne jist tim co dela? Nebo u dd budeme pro jistotu vyzadovat 5x potvrzeni treba vypoctem nahodneho scitani? Konzole dela to co ma, vkladani vlozi vse vcetne radkovani a kdyby to melo byt jinak, tak budu pouzivat konzoli co to dela presne tkhle, protoze mi to ulehcuje praci.

6.3.2018 15:20 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Tak jinak – konzole by měla umožňovat vkládat ze schránky, bez spuštění kódu. Teď to není možné, nijak. Jedině to stripnout někde vedle, znovu zkopírovat a pak až dát do konzole (a modlit se, aby mi nějaký virus mezi stripnutím a vložením do konzole do té stránky nedal něco jiného). Díky skrytým prvkům na stránce a JavaScriptu ten mezikrok s textovým souborem někde vedle je v podstatě nutný v každém případě – není možné napadené stránce zabránit v tom, aby při kopírování vkládala nečekané znaky.

Tohle je principiálně špatně. To nemá dobré řešení.

To je jako kdybych psal C++ kód, a když zmáčknu enter, hned se ten kód přeloží a spustí. Nechci ho spustit nikdy, určitě ne vložením ze schránky, nebo jen ve výjimečných případech.

Ale tak prostě konzole nebyla navržena pro bezpečnost, nejen kvůli tomuhle. Dřív byla jiná doba, proti tomu nic. Jen škoda, že v podstatě není žádná jiná alternativa.

Zahrajte si trojšachy přes internet :-)

6.3.2018 16:23 Petr
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Ja si vzdy u kopirovani z webu otevru prazdny textak (bez formatu), do nej nakopiruji co potrebuji, upravim to a pak to kopiruji do konzole. Pokud je toho vice, kopiruji to po castech. Kdyz jsem byl mladsi, nezkusenejsi, kopiroval jsem klidne xx radku do konzole. Jedno smazani dokumentu v home me poucilo. Presto si neumim predstavit ze bych skopiroval treba 10 prikazu a musel je one by one potvrzovat. Alternativa je vytvorit skript, ale ve srovnani s rychlosti paste je to marne.

6.3.2018 17:06 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Ano, pokud chcete spouštět potenciálně nebezpečný kód - což ctrl-c příkazy zkopírované z nějakého webu jsou - tak k tomu holt musíte přístupovat opatrně. Na tom není žádné překvapení a nic, co byste mohl vysvětlovat nesmysly typu "konzole nebyla navržena pro bezpečnost". Konzole je navržená pro spouštění příkazů zadaných uživatelem a dělá přesně to.

Co do ní zadáte, to je jenom vaše zodpovědnost.

Quando omni flunkus moritati

6.3.2018 17:36 koroptev
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

ktera konzole? emulator terminalu ktere uz desitky let neexistuji a ktery ocekava nejake divne ridici znaky aby hejbl kurzorem napr nebo ta gui aplikace napsana v gui toolkitu vzniklem o desitky let pozdeji ktera presstira ze je ten terminal a ktera rozhodne disponuje vecmi ktere ten temrinal nikdy nemel (jako napr moznost paste z weboveho prohlizece)?

7.3.2018 08:36 Aleš Janda | skóre: 23 | blog: kýblův blog | Praha
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

pokud chcete spouštět potenciálně nebezpečný kód - což ctrl-c příkazy zkopírované z nějakého webu jsou

To je právě to, že vidím velký rozdíl mezi vložením a spuštěním. Vložit chci, spustit nechci. Není metoda, jak vložit bez spuštění.

Vkládání do konzole nebezpečné je, protože nefunguje jako vkládání textu, ale vkládání klávesy, které se mají jakoby zmáčknout a provést. Kdyby to stejně fungovalo i jinde a já při banálním zkopírování slova omylem vzal i řídící znaky třeba pro Ctrl+Alt+F1 a potom Ctrl+Alt+Del, restartoval by se mi počítač (naštěstí v konzoli až takové řídící znaky nejsou). A tak dále. Jistě, dal by se najít příklad, kdy by takové kopírování s restartem bylo užitečné, ale ve většině případů je to naopak nežádoucí.

Stejně třeba jako kdyby třeba JavaScript normálně z webových stránek dokázal číst soubory na lokálním disku (tak jako to kdysi dávno umělo IE přes VBScript). Také by se to občas hodilo, ale v drtivé většině případů by to byla díra jak prase a každej by to chtěl vypnout.

Bohužel z toho důvodu, že konzole neumí vkládat, ale pouze interpretovat, je nebezpečné do jakýchkoli programů v konzoli běžících. O tom je ostatně ta zprávička. Jasně, můžeme se tvářit, že je to vlastnost, ale na h***o to je. Před 40 lety, když se kopírovalo maximálně z BBSky také z textového rozhraní, to asi moc nevadilo, možná naopak. Dnes to ale vadí řádově víc.

Zahrajte si trojšachy přes internet :-)

7.3.2018 17:05 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Jak komu. Já s tím, že konzole interpretuje znaky/klávesy tak, jak je dostala, problém nemám a rád to využívám.

Quando omni flunkus moritati

6.3.2018 17:52 chrono
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Toto normálne rieši shell (napr. v zsh je štandardne povolené zle_bracketed_paste, to isté podporuje aj bash 4.4+ s readline 7.0+, štandardne je to ale vypnuté).

7.3.2018 01:20 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Mám pocit, že „správné“ kombinace webových prohlížečů a terminálů uměly přes schránky přenést i ten escape znak, který značí konec paste.

7.3.2018 10:31 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

bracketed paste mode to mozno riesi

6.3.2018 17:38 koroptev
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

rm tam ten dotaz ma i kdyz je primo explicitne v parametrech uvedeno co se po tom rm chce

neviditelny znak pritomny v bufferu lze obtizne pokladat za chtene explicitni vyzadani obzvlast pri interaktivnim pouziti

7.3.2018 01:22 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Nemá, rm soubor i rm -r adresář mažou bez ptaní. Používáš distribuci, která tam pomocí aliasů vkládá -i (např. redhaty).

7.3.2018 11:47 koroptev
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

a proc proboha to ten redhat dela? to ma tak spatne mineni o svych uzivatelich?

6.3.2018 17:02 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Akorát - jako v každém případě, kdy něco vyžaduje takovéhle potvrzení - skončíte s tím, že uživatel to potvrzení odklepne zcela automaticky.

Quando omni flunkus moritati

6.3.2018 17:40 koroptev
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

neni preci problem mit jako default paste kde mi to vsechny takoveto znaky oteze/zkonvertuje na mezeru napr a v menu druhou akci s nazvem "paste raw"..

6.3.2018 17:46 Martin Mareš
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Ne nutně. Já mám své urxvt nastavené tak, že vyžaduje potvrzení, pokud vkládaný text obsahuje newline. Jelikož v naprosté většině případů neobsahuje, nejsem zvyklý nic automaticky odklepávat.

6.3.2018 21:51 marbu | skóre: 31 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Díky za tip. To confirm-pase rožšíření vypadá moc pěkně (viz man urxvt-extensions).

There is no point in being so cool in a cold world.

6.3.2018 23:27 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

Hmm to zase ne, já často kopíruju shell snippety do konzole a kdybych měl v tom bloku každej potvrzovat ... :-/

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

7.3.2018 14:45 ::: | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

pokud gui aplikace ktera emuluje terminal bez zeptani spusti neco zkopirovane ze schranky jenom proto ze je tam nekde \n tak by autori zaslouzili naliskat

totez jestli tohle delaji editory...

7.3.2018 15:40 pushkin | skóre: 43 | blog: FluxBlog
Rozbalit Rozbalit vše Re: Pozor na kopírování textů z webových stránek

No, ono by se nic nestalo, kdyby schránka \n sama filtrovala - viz třeba zkopírování textu z PDF do LO.

🇺🇦 Pomoc pro obranu Ukrajiny | SOS Ukrajina | Web4Ukrajina | Web4Ukraine 🇺🇦