[MontelLUG] Copia/Incolla dannoso.

Syslac lmezzalira a gmail.com
Mar 31 Maggio 2016 12:31:50 CEST


2016-05-31 12:16 GMT+02:00 Vincenzo Montevecchi via montellug
<montellug a montellug.it>:
>> Dovrebbe essere perché un sistema "sanitizza" la stringa copiata,
>> mentre l'altra no... o in altre parole, con un sistema si include il
>> carattere corrispondente all'"Invio" ("Return" per i più antichi) e lo
>> passa, mentre l'altro non lo gestisce.
>> Ogni tanto accade, ed infatti se il codice da copincollare è tosto,
>> deve andare modificato o potrebbe avere ripercussioni pesanti, io di
>> solito arrivo per sicurezza fino al penultimo carattere, copincollo
>> come mi è più comodo e faccio il resto a manina :-)
>
> Dato che spesso mi capita di copiare/incollare comandi x terminale, potrebbe
> essere utile effettuare un doppio passaggio tipo incollare su editor di
> testo, controllare e poi trasferire su terminale?

Uhm, mi pare di vedere qualcuno che non ha letto l'articolo qui (o non
so, forse questo reporter italiano l'ha macellato, avevo visto
l'originale la settimana scorsa).

* No, il copy/paste con tasto centrale non sanitizza l'input; a questo
particolare attacco via js è immune perché il browser legge proprio
l'evento di copia, o usa la clipboard di copia che in Linux è diversa
da quella di selezione, però al classico attacco via css puro è
altrettanto vulnerabile, provare per credere:
https://thejh.net/misc/website-terminal-copy-paste
* Copiare testo fino al penultimo carattere non salva nessuno, perché
il return malizioso può essere nascosto ben all'interno (letteralmente
terzo paragrafo qui: https://github.com/dxa4481/Pastejacking)
* Copiare su editor è una buona idea, però se l'editor è programmabile
sei di nuovo soggetto all'abuso di macro; sempre qui:
https://github.com/dxa4481/Pastejacking un esempio per vim, però già
hai la sicurezza extra che il sito malizioso deve avere come target
proprio l'editor che usi; probabilmente un buon vecchio editor
ignorante stile blocco note è un'ottima idea se devi usarlo per questo
scopo
* Noscript non è la soluzione; è altrettanto facile nascondere via
css, vedi di nuovo primo link

Bye,

Syslac


Maggiori informazioni sulla lista montellug