Copiar y pegar considerados inseguros

Cuando Windows NT era el rey, Microsoft pudo afirmar que cumplía con el estricto certificado de seguridad "Orange Book". ¿La captura? No instale una red y retire los disquetes. Resulta que la mayoría de las cosas que desea hacer con su computadora son las que representan un riesgo para la seguridad. Incluso copiar y pegar.

[Michal Benkowki] tiene un buen resumen de su investigación, que resume el siguiente escenario de ataque:

  • Visita un sitio web malicioso.
  • Copie algo en el portapapeles que le permita al sitio insertar una carga peligrosa.
  • Visite otro sitio con un editor visual del navegador (por ejemplo, Gmail o WordPress)
  • Pega el portapapeles en el editor.
  • La cuestión es que los editores aceptan datos HTML y esto permite que el portapapeles inyecte JavaScript. Si nunca ha trabajado con el portapapeles a nivel de API, es posible que se sorprenda al saber que el portapapeles suele tener más de un elemento a la vez. Por ejemplo, el portapapeles puede tener algo de texto sin formato, algo de HTML y un formato propietario especial al mismo tiempo. Sin embargo, presumiblemente todos estos elementos representan la misma información.

    Los navegadores son conscientes de este problema y están intentando limpiar el texto que han colocado en el portapapeles. [Michal] armar el "Copiar y Pegar Patio de Juegos" para permitir la investigación y demostrar lo que los navegadores aceptarán y no aceptarán.

    El resto de la publicación trata sobre errores corregidos en varios navegadores y sistemas de edición importantes, incluidos GMail y Google Docs. También hay cierta discusión sobre algunos sistemas que permanecen sin nombre porque los errores aún no se han corregido.

    [Michal] fue muy minucioso y, como era de esperar, exigió alrededor de $ 30,000 en precios de errores por su trabajo. Estamos acostumbrados a ver hazañas en los dispositivos de IoT, pero es un poco sorprendente que algo tan común como el portapapeles pueda amenazar. Si usted mismo afirma algún error, tal vez el próximo año pueda intentar piratear un satélite.

    • bosque eterno dice:

      ¡Mejor no intente eliminar la copia y el pegamento entre programas!

      • [EGO] dice:

        ¿Quieren quitárselo a tu ratón muerto?

        • [EGO] dice:

          * tengo *

    • Sykobee dice:

      Las aplicaciones (ya sean locales, remotas o en una página web) no tienen que aceptar los datos proporcionados por un usuario como seguros, deben limpiarse absolutamente. ¡Aquí está una de las reglas básicas!

      Entonces, la cuestión es realmente: ¿qué tan bien encajan los datos pegados en la aplicación?

      Pegar HTML (con JS incrustado) como contenido enriquecido (es decir, no como fuente de texto plano) obviamente debería plantear un problema. Es probable que una aplicación web sea un CMS o Wiki; realmente necesita eliminar el contenido atascado en una representación desnuda (estructura avanzada y formato del núcleo) y reconstruirlo a partir de eso de una manera segura, para que funcione bien en el objetivo. plataforma. necesidades.

      Sí, eso significa trabajo para el desarrollador, probablemente trabajo adicional para la persona que pega, pero eso es un costo de seguridad.

      • Ostraco dice:

        "Sí, eso significa trabajo para el desarrollador, probablemente trabajo adicional para la persona que pega, pero eso es un costo de seguridad".

        Transferido a una tercera biblioteca.

      • Ragnarok700 dice:

        +1
        Creo que es exactamente así. El software debe estructurar los datos de tal manera que no presente una (potencial) amenaza de uso en tijeras (e instalaciones similares, transporte de mensajes, etc.) y cualquier cosa que gestione copiar y pegar (u otras interfaces similares) debe limpiar los datos. en ambas direcciones. . Y sí, eso significa que los datos deben ser curados por lo que sea que los produzca y también por todos los que los consumen antes de que se utilicen.

    • Shannon dice:

      Siempre me resulta muy extraño cuando el formato se copia entre aplicaciones, la única vez que recuerdo haber querido poder copiar el formato fue cuando quise parodiar al autor mostrado de un texto citado en Skype, y realmente ese es exactamente el tipo de explotación, que se discute en este artículo.

      • Max Siegieda (@CampGareth) dice:

        Secundando eso. Por lo general, copio texto de algún lugar en un correo electrónico, encuentro que tiene un tamaño y estilo de fuente extraños, lo deshago y luego lo pego como texto sin formato. ctrl + v, "bleugh", ctrl + z, ctrl + shift + v. Prefiero pegar porque el texto sin formato era el predeterminado.

        • Orlando Hoilett dice:

          Normalmente copio y pego primero en un editor de texto simple para eliminar todos los formatos. Debo admitir que me gusta usar la función de transferencia de Apple (un portapapeles común entre los dispositivos de Apple). Honestamente, simplemente evité pensar en los riesgos potenciales de hacerlo. ¡Grandes frikis!

          • Panq dice:

            Debería ser bastante fácil crear un script AutoHotKey (o cualquier software de macro de teclado que prefiera) para programar automáticamente el texto de todo lo que copie.

      • Pedro dice:

        He tenido algunos casos en los que necesitaba continuar formateando principalmente desde Excel, palabra en ambos sentidos y, a veces, Excel, Word o página web a PowerPoint. Pero es raro y el 99% prefiero el texto sin formato para formatearlo más tarde, por lo que el acceso directo ctrl + vy ctrl + shift + v deben intercambiarse.

    • RW versión 0.0.1 dice:

      Vendedor: "Esta computadora es 100% segura de que usted no podría penetrarla o filtrar datos de ella más de lo que podría hacerlo con esa gran piedra que decora nuestro estacionamiento".
      Cliente: * Hace clic en. * "¿Como ahora?"
      Vendedor: "Errrr ...."

      • Wheedal dice:

        Motor de administración de Intel

    • Jonathan Bennett dice:

      Ha habido ataques de copiar / pegar en los que una página web con un aspecto útil de Linux en realidad coloca un comando malicioso en el búfer de la aplicación. El mejor enfoque es siempre pegar primero en un editor de texto.

      • NdK dice:

        Es por eso que cuando el instalador de un programa dice "solo usa un bucle ... | south bash", lo descarto sin remordimientos.

        • dbtx dice:

          oh, esa obscenidad. Es incluso mejor cuando dices "Loop -k"

    • MXXIV dice:

      Sé que todos los editores enriquecidos convierten el HTML pegado en su marcado. A medida que lo procesan, también capturan imágenes y las agregan a los archivos adjuntos.

    • Eric Chapin dice:

      El Bloc de notas de Microsoft es extremadamente limitado y no puede ejecutar nada malicioso que ingrese al portapapeles copiado. Pegue el bloque allí y, si hay texto adicional, es probable que el sitio web o uno de los anuncios en el sitio web sea malicioso.

      • nuclear dice:

        Utilizo el Bloc de notas todo el tiempo para limpiar el formato y dejar el texto.

    • Anton Kovalenko dice:

      No hace mucho, los navegadores no permitían el acceso a un portapapeles y todos los sitios trabajaban alrededor de eso usando flash.
      ¿Los navegadores de hoy permiten el acceso al portapapeles? ¿Alguien pensó que era una buena idea hacer lo que se hizo?

      • Panq dice:

        Permitirle leer o escribir en el portapapeles sin la confirmación explícita del usuario es un poco loco. Tenerlo como predeterminado es un poco abrumador, sobre todo porque es un enorme agujero de seguridad con muy pocas ventajas posibles.

    • russdill dice:

      Y, por supuesto, los navegadores facilitan esto al permitir que los sitios web jodan con la función de copia, ingresando el texto que deseen.

    • Gregg Eshelman dice:

      Lo que es muy molesto son los sitios web que agregan su URL o algún otro BS promocional al final de cualquier cosa copiada.

      Mucho más común pero aún molesto es cuando se agrega espacio al final de las elecciones. ¿La fuente hizo eso o fue el programa de destino o el programa que se quedó en el espacio? No tenemos conocimiento y es PITA cuando uno necesita copiar y pegar una cadena de texto * exacta *. "¿Un error?" ¡Qué error! Copié y pegué, ¡es * correcto *! ”* Mira más de cerca * # $ ^ # $ ^ @ ^ agregó espacio al final.

      Entonces es como MS Word y algunos otros "ayudan" a seleccionar automáticamente palabras completas cuando desea comenzar o terminar una selección en medio de una palabra, o no elegir una puntuación.

Fernando Román
Fernando Román

Deja una respuesta

Tu dirección de correo electrónico no será publicada.