• # À l’essai

    Posté par  . Évalué à 6 (+4/-0).

    J’ai fait un copier‐coller depuis Firefox sous Linux avec X.org dans un éditeur de texte (je fais toujours les copier‐coller dans un éditeur de texte, parce que ce n’est pas le premier avertissement qu’on a eu à propos des copier‐coller depuis le web) et j’ai obtenu… la chaîne affichée. Pourtant, j’ai autorisé les scripts avant (j’utilise NoScript).

    Frаnсе : 49232, Allеmаgnе : 14361. Масrоn : 34871.

    • [^] # Re: À l’essai

      Posté par  (site Web personnel) . Évalué à 5 (+3/-0).

      Sur Firefox j’ai aussi bien uniquement la chaîne affichée. Ce qui est peut-être lié à l’option de configuration dom.event.clipboardevents.enabled qui est ici désactivée.

      • [^] # Désactivez dom.event.clipboardevents.enabled

        Posté par  . Évalué à 4 (+2/-0). Dernière modification le 21/10/20 à 00:45.

        Effectivement, je l’ai désactivée aussi (j’ai modifié un certain nombre d’options, je ne me rappelle pas de toutes…). Ce n’est pas le réglage par défaut (il apparaît en gras et quand on clique sur réinitialiser, ça revient à enabled).

        Donc le conseil pour les utilisateurs de Firefox, c’est de désactiver cette option. Manifestement, ça évite des surprises potentiellement mauvaises.

        Frаnсе : 49232, Allеmаgnе : 14361. Масrоn : 34871.

        • [^] # Pas tous les presse‐papiers

          Posté par  . Évalué à 4 (+2/-0).

          En réactivant l’option, le presse‐papier correspondant à Ctrl‐C Ctrl‐V est affecté, mais pas celui correspondant à la sélection et le clic du milieu.

          Frаnсе : 49232, Allеmаgnе : 14361. Масrоn : 34871.

          • [^] # Re: Pas tous les presse‐papiers

            Posté par  (site Web personnel) . Évalué à 4 (+2/-0).

            Je confirme que j’ai déjà observé ce comportement, il semble que le presse-papier copiant la sélection courante par un clic milieu ne déclenche pas les événements JavaScript, contrairement au presse-papier "standard".

            Mais ce n’est que suite à notre échange ici-même que je comprends enfin cette différence de comportement qui me questionnait, merci donc de m’avoir poussé à réfléchir un peu plus sur ce sujet ;)

      • [^] # Re: À l’essai

        Posté par  . Évalué à 3 (+1/-0). Dernière modification le 21/10/20 à 11:19.

        Merci pour cette option, je ne la connaissais pas.

        D'ailleurs, est ce qu'il existe un site sympa qui référence les options utiles et cachés de firefox.
        Pas la doc officielle qui les a certainement toutes, mais une pré-sélection judicieuse pour l'utilisateur moyen ou avancé.

    • [^] # Re: À l’essai

      Posté par  . Évalué à 3 (+1/-0).

      Effectivement, j'utilise quasi-exclusivement le « Sélection - clic-molette », et du coup, je suis hors du cadre de cette attaque. J'ai en plus deux protections supplémentaires :
      - Fish shell qui n'exécute pas les commandes sur des collage de \n
      - Tilix qui avertit lorsqu'on colle des commandes su ou sudo

      • [^] # Re: À l’essai

        Posté par  . Évalué à 2 (+0/-0). Dernière modification le 21/10/20 à 18:36.

        Tilix qui avertit lorsqu'on colle des commandes su ou sudo

        Effectivement ça le fait chez moi, pourtant je n'étais jamais tombé sur cette alerte. Faut croire que je ne colle pas souvent de sudo su.
        Par contre ils devraient le rajouter aussi pour tout ce qu'on veut coller dans un terminal où on est déjà est root (donc sans sudo su).

  • # Test

    Posté par  . Évalué à 3 (+3/-0).

    Information intéressante : je n'avais jamais pensé à ça et malheureusement, je fais régulièrement des copier-coller de commandes. En revanche,

    Note that you don't even have to press ENTER in your terminal after pasting for the exploit to happen. The payload conveniently contains a trailing newline that does that for you!

    ne marche pas chez moi, avec zsh : il y a bien une nouvelle ligne, mais la commande n'est pas lancée tant que je n'appuie pas sur Enter. Avec bash, en revanche, ça marche.

  • # Intérêt ?

    Posté par  . Évalué à 7 (+6/-0).

    Je me demande pourquoi l'API JavaScript permet cela

    • [^] # Re: Intérêt ?

      Posté par  (site Web personnel) . Évalué à 4 (+2/-0). Dernière modification le 21/10/20 à 09:05.

      Un exemple d’utilisation légitime qui me semble basé sur ce système (je n’ai pas vérifié comment ça fonctionne) :
      Quand on copie le texte d’un ticket/commentaire sur GitLab, formaté en Markdown, puis qu’on le colle ailleurs sur cette instance GitLab, c’est la source en Markdown qui est copiée. Ça permet donc d’en conserver le formatage.

      Il y a une particularité intéressante : si je colle le texte ailleurs qu’au sein de cette même instance GitLab, c’est bien uniquement le texte affiché qui est collé, pas la source en Markdown.

      • [^] # Re: Intérêt ?

        Posté par  . Évalué à 6 (+4/-0).

        Il me semble quand même que c'est une source non négligeable de problèmes, qui mériterait largement un popup de confirmation, comme cela est fait pour la géolocalisation ou les notifications.

        On nous bassine tous les jours avec la sécurité sur Internet, et là on a une sorte de "phishing" officiel activé par défaut sur tous les navigateurs…

        • [^] # Re: Intérêt ?

          Posté par  . Évalué à 5 (+3/-0).

          Alors en fait cette remarque a déjà été faite: https://bugzilla.mozilla.org/show_bug.cgi?id=1591698

        • [^] # Re: Intérêt ?

          Posté par  . Évalué à 2 (+1/-0).

          activé par défaut sur tous les navigateurs…

          Pas sur Qupzilla, même si on coche prefs/privacy/JS options/Access clipboard (qui est décoché chez moi, je ne me souviens plus si c'est par défaut ou par config). La chaîne cachée n'apparaît ni avec Ctrl-V ni avec clic-milieu. Avec TOR-browser, par contre, si, ils auraient pu changer la config par defaut de FF, quand même.

          • [^] # Re: Intérêt ?

            Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

            Étonnant, ici j’ai bien la chaîne cachée qui est copiée, pourtant je suis sur Falkon (la version à jour de QupZilla). Cette option est bien désactivée.

            • [^] # Re: Intérêt ?

              Posté par  . Évalué à 2 (+1/-0). Dernière modification le 21/10/20 à 20:43.

              Damnation ! C'est l'âge mon p'tit gars, tu verras quand t'en seras là… [voix chevrotante]

              Alors moi aussi j'ai Falkon, en fait, j'ai mis qupzilla à jour il y a quelques mois et j'ai gardé l'habitude du vieux nom (c'est un peu comme les anciens francs, hein ? [voix chevrotante]).

              Alors devine quoi ? Chez moi aussi ça copie la chaîne cachée, il suffit juste que…. j'active le javascript (désactivé par défaut ici). ^o^

              D'où mon commentaire en tête de ce message… :-)

              • [^] # Re: Intérêt ?

                Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

                Damnation ! C'est l'âge mon p'tit gars, tu verras quand t'en seras là… [voix chevrotante]

                Pfff, m’en cause pas, j’entame une nouvelle décade dans un mois ;P

                Alors devine quoi ? Chez moi aussi ça copie la chaîne cachée, il suffit juste que…. j'active le javascript (désactivé par défaut ici). ^o^

                Au moins ça confirme les comportements qu’on observe ailleurs dans cette discussion, tout va bien donc.

  • # On arrête pas les malware

    Posté par  (site Web personnel) . Évalué à 2 (+1/-1).

    Je ne connaissais pas du tout, je suis vraiment content de l'apprendre bien que je ne copie jamais des choses du style curl http://install-my-stuff | bash. Mais ça peut toujours être pratique quand vous suivez des documentations qui vous donne des commandes à taper.

    Je crains le jour (à moins que ce soit déjà possible) de pouvoir exécuter des scripts malveillants juste en accédant à une page web et sans aucune intéraction avec l'utilisateur.

    l'azerty est aux dispositions ce que subversion est aux SCMs

    • [^] # Re: On arrête pas les malware

      Posté par  (site Web personnel) . Évalué à 6 (+4/-0).

      Je crains le jour (à moins que ce soit déjà possible) de pouvoir exécuter des scripts malveillants juste en accédant à une page web et sans aucune intéraction avec l'utilisateur.

      Mince, ne te renseigne pas trop sur JavaScript ou tu vas vite être terrifié ;P

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.