Názory k článku
Pozor při kopírování příkazů z webu do terminálu
-
FíkZlatý podporovateltak on to tam odkazuje: "It should also be noted, for some time similar attacks have been possible via html/css ..."
-
xxxxx (neregistrovaný)
U mne (Pale Moon) nehraje roli NoScript (vyjde na stejno, pokud mám vypnuto i zapnuto). Pomáhá mi RequestPolicy částečně tím, že sice vidím "ls -lat", ale při označení vidím, že se mi označuje i něco dalšího vedle, jakoby mimo obrazovku - ale kusem na ní. Pokud povolím externí zdroje, tak se nachytám (nevidím tu špatnost).
Takže "neumi pouzivat html a styly" je částečně správně, ale ne protože js, ale využívá styly definované z css z jiné domény (asi něco v class "malicious"). Zbytečná chyba.
-
NULL (neregistrovaný)
A zkoušel jsi i ten první?
http://lifepluslinux.blogspot.cz/2017/01/look-before-you-paste-from-website-to.html
-
peter (neregistrovaný)
Win vista, FF
echo "not evil" (ctrl+c)
echo "evil" (ctrl+v)odkaz1
ls -lat (ctrl+c)
ctrl+v
ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'
ls -latAle nechapu, co autor sleduje prispevkem. Preci, kdyz zkopiruji prikaz, tak vidim text a vyraznejsi rozdil si vsimnu. Jeste se mi nestalo, ze bych si nevsiml rozdil a neco mi to udelalo spatneho.
-
Ale nechapu, co autor sleduje prispevkem. Preci, kdyz zkopiruji prikaz, tak vidim text a vyraznejsi rozdil si vsimnu. Jeste se mi nestalo, ze bych si nevsiml rozdil a neco mi to udelalo spatneho.
No, u toho prikladu s ls -lat je prdel v tom, ze tam je zaroven vlozen newline, takze po kopii do terminalu to rovnou jede a vy uz si treba nemate ceho vsimat, protoze jste prave prisel o pul systemu. Napriklad takove dd v prikazu se sudo nebo pod rootem umi divy a jede to dost rychle.
-
FíkZlatý podporovatel
ono součástí toho prvního i druhého (myslím) je i enter, takže se to hned po ctrl-v provede a nemáte šanci si ničeho všimnout, dokud není pozdě
-
Prezdivka (neregistrovaný)
On nekdo tohle dela, aby kopiroval text z webu a daval ho primo do terminalu? Nejsem nejaky security expert, ale uz od devadesatch let cokoliv, co zkopiruji na internetu vzdycky prozenu notepadem a ani to neni zbytecny samoucelny krok, protoze -> Jestlize na internetu hledam neco, co sam nevim, tak si to pred spustenim v terminalu logicky nejprve ulozim do svych poznamek, pripadne upravim pro svou potrebu a teprve pak to hodim do terminalu.
Tohle "prohnani notepadem" pouzivam nejen pro prikazy, skripty apod, ale i pro obycejny text, ktery bych chtel pouzit treba ve wordu, protoze tim mam zaruceno, ze formatovani budu mit takove, jake chci ja a zbavim se tak i neviditelnych znaku, nebo rovnou celych textu jako v tomto pripade.
Pomalu sam sobe zacinam pripadat jako zkuseny informatik, kdyz vidim kolik drobnosti, ktere jsou tak nejak samozrejme, se nezohlednuje v bezne populaci. :-)
-
Ondra Satai NekolaZlatý podporovatelDalsi alternativa je vynechat editor a v terminalu pouzit pbpaste nebo ekvivalent...
-
Hobit (neregistrovaný)
Sorry, ale ne každý tohle ví.
Osobně neznám nikoho kdo by text z webu kopíroval přes notepad.
Ani já jsem toto neznal a to si myslím že v počítačích nejsem neodbornik.Stejně tak věřím, že ani vy takový velký odborník a machr neví všechno a neví spousty dalších chyb, bugu a exploitu, které se dají zneužít. Určitě jde toho spousta.
A kdyby se člověk chtěl chovat bezpečně tak se může stát že ani notepad nepomůže. Například tam může být změněno jen jedno písmeno, kterého si nevšimne ani v notepadu.
Jediné chování které je bezpečně je nepoužívat počítač nepoužívat internet, mobil, tablet a pro jistotu nedýchat a najíst!
Potom budete dlouho živ a zdráv.
-
Prezdivka (neregistrovaný)
Prave ze jsem tim prispevkem nemyslel, ze jsem "velky odbornik a machr". Jen jsem se podivoval, jak takova malickost, ktera mi ale pripada naprosto samozrejma, neni tak nejak automaticky pouzivana bezne. Chtel jsem rict, ze kvuli takove "blbosti", me nektera rizika minou, prestoze jsem jen jednookym mezi slepymi. To "prohnani notepadem" pouzivam automaticky podobne jako treba zkopirovani tohoto prispevku do schranky pred jeho odeslanim. Neni to nic odborneho, je to uplna nicotnost, jen je s podivem jak malo staci, aby se predeslo pripadnemu problemu, ktery je tak primitivne jednoduche obejit.
-
Prezdivka (neregistrovaný)
A jeste technicky dodatek. "Prohnanim notepadem" myslim nasledujici postup: 1) zkopiruji text z webu 2) vlozim text do notepadu 3) kdyz je zmeneny, upravim a zkopiruji, kdyz neni zmeneny a vypada uplne stejne jako na webu, presto jej znovu zkopiruji do schranky z notepadu 4) teprve pak s tim textem jakkoliv dale pracuji. Toto delam uz od devadesatych let minuleho stoleti, kdy o nejakem pastejackingu nebyla ani potucha, jen me zkusenost proste naucila, ze takhle se odstrani jakekoliv formatovani ci dalsi prilepky.
Mimochodem napriklad Technet (a dalsi servery z idnes rodiny) takove prilepky delaji uz roky. Zkuste si treba zkopirovat do schranky cast textu z jejich clanku, uvidite sam.
-
Vlado (neregistrovaný)
Tento konkrétny príklad s ls -lat mi príde vyslovene ako chyba prehliadača. Prečo prehliadač zahrnie do výberu niečo, čo s výberom vizuálne vôbec nesúvisí (span position: absolute; left: -100px; top: -100px;) ?
Zahrnie to tam iba preto, že zdrojový kód toho span-u sa nachádza medzi zdrojovým kódom "ls" a "-lat" !
