• # source de la sélection

    Posté par (page perso) . Évalué à 1.

    dans Firefox : sélectionner le bloc à copier, clic droit, voir la source de la sélection, copier le texte quivabien.

    • [^] # Re: source de la sélection

      Posté par (page perso) . Évalué à 5.

      Incroyable, Firefox dispose d'outil d'inspection du DOM !

    • [^] # Re: source de la sélection

      Posté par . Évalué à 10.

      Et bien sur, tout le monde vérifie la source html de la page à chaque fois.

    • [^] # Re: source de la sélection

      Posté par . Évalué à 4.

      Personnellement, bien qu'ayant l'habitude d'observer du code html (pratique régulière de "Code source de la sélection", "Examiner l'élément"…) je trouve cette tâche lourde dans ce cas. Je préfère largement rajouter un intermédiaire et coller d'abord dans mon éditeur de texte favori (qu'on a toujours à portée de main). Ca permet au passage d'avoir des notes sur les manipulations effectuées, pratique aussi pour les retoucher et les adapter à ses besoins.

    • [^] # Re: source de la sélection

      Posté par . Évalué à 10.

      D'ailleurs, afin de faire une petite démo préventive dans mon entourage, j'ai poussé le vice jusqu'à nommer mon fichier html malicieux avec une extension .txt (avec le .htaccess qui va bien pour qu'il soit tout de même interprété). Dans ces conditions on penserait encore moins à regarder le source html, tellement ça se présente comme un bête fichier texte !

  • # Visibilité

    Posté par . Évalué à 3.

    Ce qui est le plus dangereux c'est que le texte malicieux n'apparait absolument pas à l'écran.
    Si en plus du JS, Flash, Java, … il faut maintenant désactiver les CSS pour naviguer en toute sécurité '

    • [^] # Re: Visibilité

      Posté par . Évalué à 10.

      Pour moi un navigateur qui copie un texte autre que celui sélectionné, peu importe que ce soit une fonctionnalité officielle qui provoque ça, je considère que c'est un bug.

      • [^] # Re: Visibilité

        Posté par (page perso) . Évalué à 10.

        Ah, mais le texte caché est sélectionné ! Ça ne se voit pas parce qu'il est caché, mais il est bien sélectionné !

        • [^] # Re: Visibilité

          Posté par . Évalué à 10.

          Ca en devient limite philosophique. J'aurais tendance à dire que si il est caché, il ne peut pas être sélectionné.

          • [^] # Re: Visibilité

            Posté par . Évalué à 10.

            Le texte caché existe et n'existe pas, jusqu'à ce que tu le mesures! Après, mieux vaut le mesurer dans un éditeur de texte que dans ton terminal…

            ----------->[ ]

      • [^] # Re: Visibilité

        Posté par (page perso) . Évalué à 5.

        Ca c'est parce que tu n'as pas compris réellement. Le truc c'est que tu ne sélectionne pas du texte. Tu sélectionne du html, du texte, de la mise en forme, des couleurs, des images, etc. Ca n'a absolument rien d'un bug, sélectionner uniquement le texte serait justement un bug.

        • [^] # Re: Visibilité

          Posté par . Évalué à 5.

          Perso j'aurait plutôt tendance à être d'accord avec kursus_hc, on ne peut sélectionner ce que l'on ne voit pas. D'ailleurs si je sélectionne cette page c'est bien le texte affiché qui atterrit dan le presse papier, pas le code source de la page.

          • [^] # Re: Visibilité

            Posté par (page perso) . Évalué à 10.

            si je sélectionne cette page c'est bien le texte affiché qui atterrit dan le presse papier, pas le code source de la page.

            Et non :)
            Enfin pas que.
            Lorsque tu copies, plusieurs "versions" sont mises dans le presse papier, avec des types mimes différents. Ca peut être du plain/text, ça peut être du texte enrichi, ça peut être des images. Et souvent il y a même plusieurs version différentes en même temps pour un même ajout. Ensuite, lorsque tu vas vouloir le coller, le logiciel va rechercher la version qu'il souhaite, qu'il peut gérer. C'est pour ça que beaucoup ne vont prendre que le texte, mais d'autres vont prendre aussi la mise en forme (par exemple les traitements de texte) ou les images.

            Le problème de sélectionner ce qu'on ne voit pas est alors beaucoup plus complexe.

            <p>
            bla bla bla bla
            <span class="maichancontenumasque">niarf niarf niarf</span>
            plop plop plop
            </p>
            
            

            Si je sélectionne le paragraphe, commençant à bla bla, finissant à plop plop, je sélectionne le span, et c'est normal. J'ai sélectionné le paragraphe, pas juste quelques caractères (et encore ça pourrait aussi bien fonctionner), j'ai donc dans mon presse papier le contenu du paragraphe.

      • [^] # Re: la Visibilité en métaphore

        Posté par . Évalué à 2.

        «Un train peut en cacher un autre»

        Certains traversaient sans penser à vérifier. Alors on a inventé les passages à niveau. Puis certains ont traversé avant que le feux passe au blanc. Puis on a enlevé les passages à niveau pour les remplacer par des tunnels ou des ponts…

        Moralité: rien n'empêchera la connerie.

        Corollaire: rien ne remplacera le bon sens.

  • # Associé à...

    Posté par (page perso) . Évalué à 4.

    Je ne sais pas si c'est faisable sous Linux, mais sous Windows il y a des logiciels qui scannent le buffer et l'utilisent direct. Genre emule (oui, pour les vieux) qui se met à télécharger direct un lien ed2k mis en buffer. Ca peut faire des choses rigolotes :)

    • [^] # Re: Associé à...

      Posté par . Évalué à 3.

      jdownloader fait ça, mais il ne démarre pas le téléchargement automatiquement.

    • [^] # Re: Associé à...

      Posté par . Évalué à 4.

      sous KDE c'est possible aussi :) Ça pourrait faire de bonnes blaques de premier avril sur linuxfr…

  • # Comportement du C/C sous OSX ?

    Posté par . Évalué à 1. Dernière modification le 08/04/13 à 15:59.

    J'ai copié cette ligne depuis Firefox/OSX.
    Quand je la colle dans mon terminal, c'est bien la commande git qui est affichée (et qui ne veut pas se lancer d'ailleurs, car je n'ai pas git installé).

    Je n'ai pas de machine Ubuntu sous la main pour tester, mais j'en déduis que le comportement entre les différents dérivés UNIX varie à ce niveau ?

  • # Selection X11

    Posté par . Évalué à 1.

    Bon je peux pas tester tout de suite, car je bosse sous du windows…
    Mais je suppose que le buffer de sélection de X n'est peut-être pas touché par ce tour de passe passe ?
    Personnllement, pour copier coller des petites commandes comme ça c'est ce que j'utilise, et non le "copier/coller"
    Quelqu'un pour tester ?

    • [^] # Re: Selection X11

      Posté par (page perso) . Évalué à 2.

      Pourquoi ne serait-il pas touché ?

      • [^] # Re: Selection X11

        Posté par . Évalué à 2.

        Bah bonne question mais c'est effectivement le cas : sélection du texte + clic milieu dans le terminal = collage de la commande affichée et pas de la cachée.

    • [^] # Re: Selection X11

      Posté par . Évalué à 7.

      Mais je suppose que le buffer de sélection de X n'est peut-être pas touché par ce tour de passe passe ?

      Malheureusement, il l'est.
      Je viens de faire le test:

      • sélection par clic gauche dans Firefox
      • insertion dans Gedit par clic sur le bouton du milieu

      Les trois lignes de commandes sont bien insérées.

      • [^] # Re: Selection X11

        Posté par . Évalué à 3.

        Je viens de refaire le test car j'ai le comportement contraire (Debian Sid KDE).

        Et ben c'est drôle car si effectivement Konsole et Kate affichent la commande viciée, Yakuake affiche juste la commande affichée (c'est avec lui que j'avais testé en premier lieu).
        C'est bizarre car Yakuake est censée utiliser Konsole, non ? En tout cas voilà encore une raison pour utiliser cet excellent outil !!

        • [^] # Re: Selection X11

          Posté par (page perso) . Évalué à 2. Dernière modification le 08/04/13 à 17:17.

          Et chez moi Yakuake agit comme Konsole et utilise la commande viciée. (Archlinux KDE)

          • [^] # Re: Selection X11

            Posté par . Évalué à 4.

            Donc à Yakuake fixé, Debian > Arch. Et par extension…

            CQFD

    • [^] # Re: Selection X11

      Posté par . Évalué à 2.

      Tu peux tester sous windows, ça fonctionne très bien (les commandes cachées sont bien collées).

      C'est lié au navigateur, et le pire, c'est que c'est logique si on respecte la norme. Donc tu peux tester avec n'importe quel navigateur, sous n'importe quel OS.

      • [^] # Re: Selection X11

        Posté par . Évalué à 2.

        Implicitement je disais avoir testé sous windows, et oui le texte malicieux est collé.

  • # Plugin safe-paste pour ZSH

    Posté par (page perso) . Évalué à 9.

    Pour ZSH (je ne sais pas pour les autres shells), il existe le plugin safe-paste (maintenant inclus dans la collection de plugin oh-my-zsh) qui permet d'éviter cette "attaque".

    Avec ce plugin, le bloc de texte n'est plus exécuté ligne par ligne, mais il reste en un seul bloc sur la ligne en cours. Cela laisse ainsi à l'utilisateur le choix de valider (en appuyant sur entré), ce qui laisse le temps de vérifier qu'il s'agit bien d'une commande innocente.

    Il est à noter que ça ne fonctionne pas avec tous les terminaux (mais c'est déjà un début).

    • [^] # Re: Plugin safe-paste pour ZSH

      Posté par (page perso) . Évalué à 10.

      Qu'en est-il de ce que dit l'auteur ?

      For those of you who have installed the oh-my-zsh stuff, sorry, but the following variant (which includes an escape sequence) still works against you

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Emacs shell

    Posté par (page perso) . Évalué à 6.

    En utilisant le shell d'Emacs, on voit apparaître les lignes cachées et on a tout le temps de lire la commande complète avant de l'exécuter (ou pas). Il y a sûrement d'autres shell qui ont ce comportement.

  • # passer par un éditeur de texte, au pire...

    Posté par . Évalué à 1.

    Même si j'admets ne pas le faire.
    Quoique, pour une longue liste de commande, si, comme ça je peux enregistrer le fichier.

    Enfin, le résultat est impressionnant, et donne a réfléchir, tout de même.

  • # Ubuntu = boulot, Arch = Perso

    Posté par (page perso) . Évalué à 1.

    Alors pour mon cas et plus précisément mes deux cas :

    Sur ubuntu 10.10 au boulot, le copy-paste prend le code malicieux que je colle avec la souris ou bien avec CTRL+C / +V.
    Chez moi, sur Arhclinux avec bash également, je ne prends que le : git clone git://git.kernel.org/pub/scm/utils/kup/kup.git avec la souris mais les deux avec le CTRL+C / +V.

    Bref, ça demande une petite investigation, pour en savoir plus… après, je ne sais pas si ça peut faire vraiment mal : mon rm par dans une poubelle et pour le reste de tendancieux il demande un accès sudo.

    La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick

  • # le bookmark

    Posté par . Évalué à 10.

    Bon, comme ce qui est dit dans le bookmark est intéressant, et qu'un bookmark ça peut disparaître, et aussi pour ceux qui ont peur de clicker sur le lien au cas où ce serait du p0rn et qu'ils pourraient se faire licencier à cause de tel contenu, voici un résumé du sujet :

    Il s'agit de tromper l'utilisateur qui copie-colle des commandes shell à partir d'une page web. Il croit copier-coller une commande "git clone …" ou autre, mais en fait ça copie-colle une commande malicieuse qui pourrait lui pourrir son ordinateur.

    Le moyen technique de la tromperie est celui-ci :

      <p>
      git clone
      <span style="position: absolute; left: -100px; top: -100px">/dev/null; clear; echo -n "Hello ";whoami|tr -d '\n';echo -e '!\nThat was a bad idea. Don'"'"'t copy code from websites you don'"'"'t trust!<br>Here'"'"'s the first line of your /etc/passwd: ';head -n1 /etc/passwd<br>git clone </span>
      git://git.kernel.org/pub/scm/utils/kup/kup.git
      </p>
    
    

    (la commande malicieuse est affichée hors de l'écran, donc invisible)

    Quand l'utilisateur croit copier-coller "git clone …", il copie-colle en fait d'autres commandes, et s'il n'est pas attentif il exécutera dans son shell des commandes malicieuses.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.