J’ai fait un copier‐coller depuis Firefox sous Linux avec X.org dans un éditeur de texte (je fais toujours les copier‐coller dans un éditeur de texte, parce que ce n’est pas le premier avertissement qu’on a eu à propos des copier‐coller depuis le web) et j’ai obtenu… la chaîne affichée. Pourtant, j’ai autorisé les scripts avant (j’utilise NoScript).
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
Sur Firefox j’ai aussi bien uniquement la chaîne affichée. Ce qui est peut-être lié à l’option de configuration dom.event.clipboardevents.enabled qui est ici désactivée.
Posté par Arthur Accroc .
Évalué à 4.
Dernière modification le 21 octobre 2020 à 00:45.
Effectivement, je l’ai désactivée aussi (j’ai modifié un certain nombre d’options, je ne me rappelle pas de toutes…). Ce n’est pas le réglage par défaut (il apparaît en gras et quand on clique sur réinitialiser, ça revient à enabled).
Donc le conseil pour les utilisateurs de Firefox, c’est de désactiver cette option. Manifestement, ça évite des surprises potentiellement mauvaises.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
Je confirme que j’ai déjà observé ce comportement, il semble que le presse-papier copiant la sélection courante par un clic milieu ne déclenche pas les événements JavaScript, contrairement au presse-papier "standard".
Mais ce n’est que suite à notre échange ici-même que je comprends enfin cette différence de comportement qui me questionnait, merci donc de m’avoir poussé à réfléchir un peu plus sur ce sujet ;)
Posté par moi1392 .
Évalué à 3.
Dernière modification le 21 octobre 2020 à 11:19.
Merci pour cette option, je ne la connaissais pas.
D'ailleurs, est ce qu'il existe un site sympa qui référence les options utiles et cachés de firefox.
Pas la doc officielle qui les a certainement toutes, mais une pré-sélection judicieuse pour l'utilisateur moyen ou avancé.
Merci :)
Il y a juste un chevron en trop à la fin du lien, si quelqu'un peut le corriger, ça évitera à une personne de penser que le lien est mort alors que la page est toujours bien présente.
Effectivement, j'utilise quasi-exclusivement le « Sélection - clic-molette », et du coup, je suis hors du cadre de cette attaque. J'ai en plus deux protections supplémentaires :
- Fish shell qui n'exécute pas les commandes sur des collage de \n
- Tilix qui avertit lorsqu'on colle des commandes su ou sudo
Posté par Faya .
Évalué à 2.
Dernière modification le 21 octobre 2020 à 18:36.
Tilix qui avertit lorsqu'on colle des commandes su ou sudo
Effectivement ça le fait chez moi, pourtant je n'étais jamais tombé sur cette alerte. Faut croire que je ne colle pas souvent de sudosu.
Par contre ils devraient le rajouter aussi pour tout ce qu'on veut coller dans un terminal où on est déjà est root (donc sans sudosu).
Information intéressante : je n'avais jamais pensé à ça et malheureusement, je fais régulièrement des copier-coller de commandes. En revanche,
Note that you don't even have to press ENTER in your terminal after pasting for the exploit to happen. The payload conveniently contains a trailing newline that does that for you!
ne marche pas chez moi, avec zsh : il y a bien une nouvelle ligne, mais la commande n'est pas lancée tant que je n'appuie pas sur Enter. Avec bash, en revanche, ça marche.
Posté par vv222 (site web personnel) .
Évalué à 4.
Dernière modification le 21 octobre 2020 à 09:05.
Un exemple d’utilisation légitime qui me semble basé sur ce système (je n’ai pas vérifié comment ça fonctionne) :
Quand on copie le texte d’un ticket/commentaire sur GitLab, formaté en Markdown, puis qu’on le colle ailleurs sur cette instance GitLab, c’est la source en Markdown qui est copiée. Ça permet donc d’en conserver le formatage.
Il y a une particularité intéressante : si je colle le texte ailleurs qu’au sein de cette même instance GitLab, c’est bien uniquement le texte affiché qui est collé, pas la source en Markdown.
Il me semble quand même que c'est une source non négligeable de problèmes, qui mériterait largement un popup de confirmation, comme cela est fait pour la géolocalisation ou les notifications.
On nous bassine tous les jours avec la sécurité sur Internet, et là on a une sorte de "phishing" officiel activé par défaut sur tous les navigateurs…
Pas sur Qupzilla, même si on coche prefs/privacy/JS options/Access clipboard (qui est décoché chez moi, je ne me souviens plus si c'est par défaut ou par config). La chaîne cachée n'apparaît ni avec Ctrl-V ni avec clic-milieu. Avec TOR-browser, par contre, si, ils auraient pu changer la config par defaut de FF, quand même.
Étonnant, ici j’ai bien la chaîne cachée qui est copiée, pourtant je suis sur Falkon (la version à jour de QupZilla). Cette option est bien désactivée.
Posté par sebas .
Évalué à 2.
Dernière modification le 21 octobre 2020 à 20:43.
Damnation ! C'est l'âge mon p'tit gars, tu verras quand t'en seras là… [voix chevrotante]
Alors moi aussi j'ai Falkon, en fait, j'ai mis qupzilla à jour il y a quelques mois et j'ai gardé l'habitude du vieux nom (c'est un peu comme les anciens francs, hein ? [voix chevrotante]).
Alors devine quoi ? Chez moi aussi ça copie la chaîne cachée, il suffit juste que…. j'active le javascript (désactivé par défaut ici). ^o^
Je ne connaissais pas du tout, je suis vraiment content de l'apprendre bien que je ne copie jamais des choses du style curl http://install-my-stuff | bash. Mais ça peut toujours être pratique quand vous suivez des documentations qui vous donne des commandes à taper.
Je crains le jour (à moins que ce soit déjà possible) de pouvoir exécuter des scripts malveillants juste en accédant à une page web et sans aucune intéraction avec l'utilisateur.
git is great because linus did it, mercurial is better because he didn't
Je crains le jour (à moins que ce soit déjà possible) de pouvoir exécuter des scripts malveillants juste en accédant à une page web et sans aucune intéraction avec l'utilisateur.
Mince, ne te renseigne pas trop sur JavaScript ou tu vas vite être terrifié ;P
# À l’essai
Posté par Arthur Accroc . Évalué à 6.
J’ai fait un copier‐coller depuis Firefox sous Linux avec X.org dans un éditeur de texte (je fais toujours les copier‐coller dans un éditeur de texte, parce que ce n’est pas le premier avertissement qu’on a eu à propos des copier‐coller depuis le web) et j’ai obtenu… la chaîne affichée. Pourtant, j’ai autorisé les scripts avant (j’utilise NoScript).
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: À l’essai
Posté par vv222 (site web personnel) . Évalué à 5.
Sur Firefox j’ai aussi bien uniquement la chaîne affichée. Ce qui est peut-être lié à l’option de configuration
dom.event.clipboardevents.enabledqui est ici désactivée.[^] # Désactivez dom.event.clipboardevents.enabled
Posté par Arthur Accroc . Évalué à 4. Dernière modification le 21 octobre 2020 à 00:45.
Effectivement, je l’ai désactivée aussi (j’ai modifié un certain nombre d’options, je ne me rappelle pas de toutes…). Ce n’est pas le réglage par défaut (il apparaît en gras et quand on clique sur réinitialiser, ça revient à enabled).
Donc le conseil pour les utilisateurs de Firefox, c’est de désactiver cette option. Manifestement, ça évite des surprises potentiellement mauvaises.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Pas tous les presse‐papiers
Posté par Arthur Accroc . Évalué à 4.
En réactivant l’option, le presse‐papier correspondant à Ctrl‐C Ctrl‐V est affecté, mais pas celui correspondant à la sélection et le clic du milieu.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Pas tous les presse‐papiers
Posté par vv222 (site web personnel) . Évalué à 4.
Je confirme que j’ai déjà observé ce comportement, il semble que le presse-papier copiant la sélection courante par un clic milieu ne déclenche pas les événements JavaScript, contrairement au presse-papier "standard".
Mais ce n’est que suite à notre échange ici-même que je comprends enfin cette différence de comportement qui me questionnait, merci donc de m’avoir poussé à réfléchir un peu plus sur ce sujet ;)
[^] # Re: À l’essai
Posté par moi1392 . Évalué à 3. Dernière modification le 21 octobre 2020 à 11:19.
Merci pour cette option, je ne la connaissais pas.
D'ailleurs, est ce qu'il existe un site sympa qui référence les options utiles et cachés de firefox.
Pas la doc officielle qui les a certainement toutes, mais une pré-sélection judicieuse pour l'utilisateur moyen ou avancé.
[^] # Re: À l’essai
Posté par joel . Évalué à 3. Dernière modification le 22 octobre 2020 à 12:11.
Il y a ça, par exemple :
https://www.kali-linux.fr/configuration/configurer-firefox-optimiser-securite-performances
[^] # Re: À l’essai
Posté par moi1392 . Évalué à 2.
Merci :)
Il y a juste un chevron en trop à la fin du lien, si quelqu'un peut le corriger, ça évitera à une personne de penser que le lien est mort alors que la page est toujours bien présente.
[^] # Re: À l’essai
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 4.
C'est fait merci.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: À l’essai
Posté par Glandos . Évalué à 3.
Effectivement, j'utilise quasi-exclusivement le « Sélection - clic-molette », et du coup, je suis hors du cadre de cette attaque. J'ai en plus deux protections supplémentaires :
- Fish shell qui n'exécute pas les commandes sur des collage de
\n- Tilix qui avertit lorsqu'on colle des commandes
suousudo[^] # Re: À l’essai
Posté par Faya . Évalué à 2. Dernière modification le 21 octobre 2020 à 18:36.
Effectivement ça le fait chez moi, pourtant je n'étais jamais tombé sur cette alerte. Faut croire que je ne colle pas souvent de
sudosu.Par contre ils devraient le rajouter aussi pour tout ce qu'on veut coller dans un terminal où on est déjà est root (donc sans
sudosu).# Test
Posté par paucazou . Évalué à 3.
Information intéressante : je n'avais jamais pensé à ça et malheureusement, je fais régulièrement des copier-coller de commandes. En revanche,
ne marche pas chez moi, avec zsh : il y a bien une nouvelle ligne, mais la commande n'est pas lancée tant que je n'appuie pas sur Enter. Avec bash, en revanche, ça marche.
# Intérêt ?
Posté par ff9097 . Évalué à 7.
Je me demande pourquoi l'API JavaScript permet cela
[^] # Re: Intérêt ?
Posté par vv222 (site web personnel) . Évalué à 4. Dernière modification le 21 octobre 2020 à 09:05.
Un exemple d’utilisation légitime qui me semble basé sur ce système (je n’ai pas vérifié comment ça fonctionne) :
Quand on copie le texte d’un ticket/commentaire sur GitLab, formaté en Markdown, puis qu’on le colle ailleurs sur cette instance GitLab, c’est la source en Markdown qui est copiée. Ça permet donc d’en conserver le formatage.
Il y a une particularité intéressante : si je colle le texte ailleurs qu’au sein de cette même instance GitLab, c’est bien uniquement le texte affiché qui est collé, pas la source en Markdown.
[^] # Re: Intérêt ?
Posté par Christophe . Évalué à 6.
Il me semble quand même que c'est une source non négligeable de problèmes, qui mériterait largement un popup de confirmation, comme cela est fait pour la géolocalisation ou les notifications.
On nous bassine tous les jours avec la sécurité sur Internet, et là on a une sorte de "phishing" officiel activé par défaut sur tous les navigateurs…
[^] # Re: Intérêt ?
Posté par Christophe . Évalué à 5.
Alors en fait cette remarque a déjà été faite: https://bugzilla.mozilla.org/show_bug.cgi?id=1591698
[^] # Re: Intérêt ?
Posté par sebas . Évalué à 2.
Pas sur Qupzilla, même si on coche prefs/privacy/JS options/Access clipboard (qui est décoché chez moi, je ne me souviens plus si c'est par défaut ou par config). La chaîne cachée n'apparaît ni avec Ctrl-V ni avec clic-milieu. Avec TOR-browser, par contre, si, ils auraient pu changer la config par defaut de FF, quand même.
[^] # Re: Intérêt ?
Posté par vv222 (site web personnel) . Évalué à 3.
Étonnant, ici j’ai bien la chaîne cachée qui est copiée, pourtant je suis sur Falkon (la version à jour de QupZilla). Cette option est bien désactivée.
[^] # Re: Intérêt ?
Posté par sebas . Évalué à 2. Dernière modification le 21 octobre 2020 à 20:43.
Damnation ! C'est l'âge mon p'tit gars, tu verras quand t'en seras là… [voix chevrotante]
Alors moi aussi j'ai Falkon, en fait, j'ai mis qupzilla à jour il y a quelques mois et j'ai gardé l'habitude du vieux nom (c'est un peu comme les anciens francs, hein ? [voix chevrotante]).
Alors devine quoi ? Chez moi aussi ça copie la chaîne cachée, il suffit juste que…. j'active le javascript (désactivé par défaut ici). ^o^
D'où mon commentaire en tête de ce message… :-)
[^] # Re: Intérêt ?
Posté par vv222 (site web personnel) . Évalué à 3.
Pfff, m’en cause pas, j’entame une nouvelle décade dans un mois ;P
Au moins ça confirme les comportements qu’on observe ailleurs dans cette discussion, tout va bien donc.
# On arrête pas les malware
Posté par David Demelier (site web personnel) . Évalué à 2.
Je ne connaissais pas du tout, je suis vraiment content de l'apprendre bien que je ne copie jamais des choses du style
curl http://install-my-stuff | bash. Mais ça peut toujours être pratique quand vous suivez des documentations qui vous donne des commandes à taper.Je crains le jour (à moins que ce soit déjà possible) de pouvoir exécuter des scripts malveillants juste en accédant à une page web et sans aucune intéraction avec l'utilisateur.
git is great because linus did it, mercurial is better because he didn't
[^] # Re: On arrête pas les malware
Posté par vv222 (site web personnel) . Évalué à 6.
Mince, ne te renseigne pas trop sur JavaScript ou tu vas vite être terrifié ;P
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.