Les risques du copier coller depuis le web
http://thejh.net/misc/website-terminal-copy-paste
La nimage qui va bien :) (SFW)
Journal Bookmark : Don't copy paste me !
8
avr.
2013
Les risques du copier coller depuis le web
http://thejh.net/misc/website-terminal-copy-paste
La nimage qui va bien :) (SFW)
# source de la sélection
Posté par jeekajoo (site web personnel) . Évalué à 1.
dans Firefox : sélectionner le bloc à copier, clic droit, voir la source de la sélection, copier le texte quivabien.
[^] # Re: source de la sélection
Posté par Guillaume Denry (site web personnel) . Évalué à 5.
Incroyable, Firefox dispose d'outil d'inspection du DOM !
[^] # Re: source de la sélection
Posté par Julien Gormotte . Évalué à 10.
Et bien sur, tout le monde vérifie la source html de la page à chaque fois.
[^] # Re: source de la sélection
Posté par rakoo (site web personnel) . Évalué à 2.
Au moins, plus personne n'a d'excuse pour ne plus le faire.
[^] # Re: source de la sélection
Posté par Tony Flow . Évalué à 4.
Personnellement, bien qu'ayant l'habitude d'observer du code html (pratique régulière de "Code source de la sélection", "Examiner l'élément"…) je trouve cette tâche lourde dans ce cas. Je préfère largement rajouter un intermédiaire et coller d'abord dans mon éditeur de texte favori (qu'on a toujours à portée de main). Ca permet au passage d'avoir des notes sur les manipulations effectuées, pratique aussi pour les retoucher et les adapter à ses besoins.
[^] # Re: source de la sélection
Posté par Tony Flow . Évalué à 10.
D'ailleurs, afin de faire une petite démo préventive dans mon entourage, j'ai poussé le vice jusqu'à nommer mon fichier html malicieux avec une extension .txt (avec le .htaccess qui va bien pour qu'il soit tout de même interprété). Dans ces conditions on penserait encore moins à regarder le source html, tellement ça se présente comme un bête fichier texte !
# Visibilité
Posté par Mimoza . Évalué à 3.
Ce qui est le plus dangereux c'est que le texte malicieux n'apparait absolument pas à l'écran.
Si en plus du JS, Flash, Java, … il faut maintenant désactiver les CSS pour naviguer en toute sécurité '
[^] # Re: Visibilité
Posté par Tonton Benoit . Évalué à 10.
Pour moi un navigateur qui copie un texte autre que celui sélectionné, peu importe que ce soit une fonctionnalité officielle qui provoque ça, je considère que c'est un bug.
[^] # Re: Visibilité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
Ah, mais le texte caché est sélectionné ! Ça ne se voit pas parce qu'il est caché, mais il est bien sélectionné !
[^] # Re: Visibilité
Posté par kursus_hc . Évalué à 10.
Ca en devient limite philosophique. J'aurais tendance à dire que si il est caché, il ne peut pas être sélectionné.
[^] # Re: Visibilité
Posté par Maclag . Évalué à 10.
Le texte caché existe et n'existe pas, jusqu'à ce que tu le mesures! Après, mieux vaut le mesurer dans un éditeur de texte que dans ton terminal…
----------->[ ]
[^] # Re: Visibilité
Posté par CrEv (site web personnel) . Évalué à 5.
Ca c'est parce que tu n'as pas compris réellement. Le truc c'est que tu ne sélectionne pas du texte. Tu sélectionne du html, du texte, de la mise en forme, des couleurs, des images, etc. Ca n'a absolument rien d'un bug, sélectionner uniquement le texte serait justement un bug.
[^] # Re: Visibilité
Posté par Tonton Benoit . Évalué à 5.
Perso j'aurait plutôt tendance à être d'accord avec kursus_hc, on ne peut sélectionner ce que l'on ne voit pas. D'ailleurs si je sélectionne cette page c'est bien le texte affiché qui atterrit dan le presse papier, pas le code source de la page.
[^] # Re: Visibilité
Posté par CrEv (site web personnel) . Évalué à 10.
Et non :)
Enfin pas que.
Lorsque tu copies, plusieurs "versions" sont mises dans le presse papier, avec des types mimes différents. Ca peut être du plain/text, ça peut être du texte enrichi, ça peut être des images. Et souvent il y a même plusieurs version différentes en même temps pour un même ajout. Ensuite, lorsque tu vas vouloir le coller, le logiciel va rechercher la version qu'il souhaite, qu'il peut gérer. C'est pour ça que beaucoup ne vont prendre que le texte, mais d'autres vont prendre aussi la mise en forme (par exemple les traitements de texte) ou les images.
Le problème de sélectionner ce qu'on ne voit pas est alors beaucoup plus complexe.
Si je sélectionne le paragraphe, commençant à bla bla, finissant à plop plop, je sélectionne le span, et c'est normal. J'ai sélectionné le paragraphe, pas juste quelques caractères (et encore ça pourrait aussi bien fonctionner), j'ai donc dans mon presse papier le contenu du paragraphe.
[^] # Re: la Visibilité en métaphore
Posté par FantastIX . Évalué à 2.
«Un train peut en cacher un autre»
Certains traversaient sans penser à vérifier. Alors on a inventé les passages à niveau. Puis certains ont traversé avant que le feux passe au blanc. Puis on a enlevé les passages à niveau pour les remplacer par des tunnels ou des ponts…
Moralité: rien n'empêchera la connerie.
Corollaire: rien ne remplacera le bon sens.
# Associé à...
Posté par Zenitram (site web personnel) . Évalué à 4.
Je ne sais pas si c'est faisable sous Linux, mais sous Windows il y a des logiciels qui scannent le buffer et l'utilisent direct. Genre emule (oui, pour les vieux) qui se met à télécharger direct un lien ed2k mis en buffer. Ca peut faire des choses rigolotes :)
[^] # Re: Associé à...
Posté par Tonton Benoit . Évalué à 3.
jdownloader fait ça, mais il ne démarre pas le téléchargement automatiquement.
[^] # Re: Associé à...
Posté par Adrien . Évalué à 4.
sous KDE c'est possible aussi :) Ça pourrait faire de bonnes blaques de premier avril sur linuxfr…
# Comportement du C/C sous OSX ?
Posté par Alex . Évalué à 1. Dernière modification le 08 avril 2013 à 15:59.
J'ai copié cette ligne depuis Firefox/OSX.
Quand je la colle dans mon terminal, c'est bien la commande git qui est affichée (et qui ne veut pas se lancer d'ailleurs, car je n'ai pas git installé).
Je n'ai pas de machine Ubuntu sous la main pour tester, mais j'en déduis que le comportement entre les différents dérivés UNIX varie à ce niveau ?
[^] # Re: Comportement du C/C sous OSX ?
Posté par Gui13 (site web personnel) . Évalué à 3.
C'est moi OSX/FF j'ai bien le caca qui s'affiche…
# Selection X11
Posté par Xaapyks . Évalué à 1.
Bon je peux pas tester tout de suite, car je bosse sous du windows…
Mais je suppose que le buffer de sélection de X n'est peut-être pas touché par ce tour de passe passe ?
Personnllement, pour copier coller des petites commandes comme ça c'est ce que j'utilise, et non le "copier/coller"
Quelqu'un pour tester ?
[^] # Re: Selection X11
Posté par Sam E. (site web personnel) . Évalué à 2.
Pourquoi ne serait-il pas touché ?
[^] # Re: Selection X11
Posté par kursus_hc . Évalué à 2.
Bah bonne question mais c'est effectivement le cas : sélection du texte + clic milieu dans le terminal = collage de la commande affichée et pas de la cachée.
[^] # Re: Selection X11
Posté par netsurfeur . Évalué à 7.
Malheureusement, il l'est.
Je viens de faire le test:
Les trois lignes de commandes sont bien insérées.
[^] # Re: Selection X11
Posté par kursus_hc . Évalué à 3.
Je viens de refaire le test car j'ai le comportement contraire (Debian Sid KDE).
Et ben c'est drôle car si effectivement Konsole et Kate affichent la commande viciée, Yakuake affiche juste la commande affichée (c'est avec lui que j'avais testé en premier lieu).
C'est bizarre car Yakuake est censée utiliser Konsole, non ? En tout cas voilà encore une raison pour utiliser cet excellent outil !!
[^] # Re: Selection X11
Posté par Olivier (site web personnel) . Évalué à 2. Dernière modification le 08 avril 2013 à 17:17.
Et chez moi Yakuake agit comme Konsole et utilise la commande viciée. (Archlinux KDE)
[^] # Re: Selection X11
Posté par jihele . Évalué à 4.
Donc à Yakuake fixé, Debian > Arch. Et par extension…
CQFD
[^] # Re: Selection X11
Posté par gentildemon . Évalué à 2.
Tu peux tester sous windows, ça fonctionne très bien (les commandes cachées sont bien collées).
C'est lié au navigateur, et le pire, c'est que c'est logique si on respecte la norme. Donc tu peux tester avec n'importe quel navigateur, sous n'importe quel OS.
[^] # Re: Selection X11
Posté par Xaapyks . Évalué à 2.
Implicitement je disais avoir testé sous windows, et oui le texte malicieux est collé.
# Plugin safe-paste pour ZSH
Posté par Tony Cheneau (site web personnel) . Évalué à 9.
Pour ZSH (je ne sais pas pour les autres shells), il existe le plugin safe-paste (maintenant inclus dans la collection de plugin oh-my-zsh) qui permet d'éviter cette "attaque".
Avec ce plugin, le bloc de texte n'est plus exécuté ligne par ligne, mais il reste en un seul bloc sur la ligne en cours. Cela laisse ainsi à l'utilisateur le choix de valider (en appuyant sur entré), ce qui laisse le temps de vérifier qu'il s'agit bien d'une commande innocente.
Il est à noter que ça ne fonctionne pas avec tous les terminaux (mais c'est déjà un début).
[^] # Re: Plugin safe-paste pour ZSH
Posté par claudex . Évalué à 10.
Qu'en est-il de ce que dit l'auteur ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Emacs shell
Posté par hocwp (site web personnel) . Évalué à 6.
En utilisant le shell d'Emacs, on voit apparaître les lignes cachées et on a tout le temps de lire la commande complète avant de l'exécuter (ou pas). Il y a sûrement d'autres shell qui ont ce comportement.
# passer par un éditeur de texte, au pire...
Posté par freem . Évalué à 1.
Même si j'admets ne pas le faire.
Quoique, pour une longue liste de commande, si, comme ça je peux enregistrer le fichier.
Enfin, le résultat est impressionnant, et donne a réfléchir, tout de même.
[^] # Re: passer par un éditeur de texte, au pire...
Posté par Sam E. (site web personnel) . Évalué à 1.
On peut aussi détourner autre chose que des commandes.
Je pensais à une URL (non cliquable) par exemple.
# Ubuntu = boulot, Arch = Perso
Posté par Thom (site web personnel) . Évalué à 1.
Alors pour mon cas et plus précisément mes deux cas :
Sur ubuntu 10.10 au boulot, le copy-paste prend le code malicieux que je colle avec la souris ou bien avec CTRL+C / +V.
Chez moi, sur Arhclinux avec bash également, je ne prends que le : git clone git://git.kernel.org/pub/scm/utils/kup/kup.git avec la souris mais les deux avec le CTRL+C / +V.
Bref, ça demande une petite investigation, pour en savoir plus… après, je ne sais pas si ça peut faire vraiment mal : mon rm par dans une poubelle et pour le reste de tendancieux il demande un accès sudo.
La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick
[^] # Re: Ubuntu = boulot, Arch = Perso
Posté par hocwp (site web personnel) . Évalué à 1.
Si le script utilise directement '/bin/rm -rf', il contourne la poubelle et détruit tes fichiers, non ? Ou alors tu as modifié /bin/rm ?
[^] # Re: Ubuntu = boulot, Arch = Perso
Posté par Thom (site web personnel) . Évalué à 1.
Yep, j'ai fait un alias vers un script qui en exécute un autre.
Ça vient de là : http://linuxfr.org/users/thom/journaux/100-scripts-shell-unix
La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick
[^] # Re: Ubuntu = boulot, Arch = Perso
Posté par Xaapyks . Évalué à 6.
\rm
# le bookmark
Posté par goeb . Évalué à 10.
Bon, comme ce qui est dit dans le bookmark est intéressant, et qu'un bookmark ça peut disparaître, et aussi pour ceux qui ont peur de clicker sur le lien au cas où ce serait du p0rn et qu'ils pourraient se faire licencier à cause de tel contenu, voici un résumé du sujet :
Il s'agit de tromper l'utilisateur qui copie-colle des commandes shell à partir d'une page web. Il croit copier-coller une commande "git clone …" ou autre, mais en fait ça copie-colle une commande malicieuse qui pourrait lui pourrir son ordinateur.
Le moyen technique de la tromperie est celui-ci :
(la commande malicieuse est affichée hors de l'écran, donc invisible)
Quand l'utilisateur croit copier-coller "git clone …", il copie-colle en fait d'autres commandes, et s'il n'est pas attentif il exécutera dans son shell des commandes malicieuses.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.