Το ανοιχτό Clipboard του Internet Explorer

Συζητήσεις και νέα σχετικά με την ασφάλεια των υπολογιστών και των virus που τους προσβάλουν...

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
skeftomilos
Script Master
Δημοσιεύσεις: 2888
Εγγραφή: 07 Ιαν 2005 07:22
Τοποθεσία: Αθήνα

Το ανοιχτό Clipboard του Internet Explorer

Δημοσίευση από skeftomilos » 25 Μάιος 2005 16:19

Δεν ξέρω πόσοι χρήστες του Internet Explorer γνωρίζουν ότι τα περιεχόμενα του Clipboard είναι προσβάσιμα στον οποιονδήποτε όταν συνδέονται στο Internet. Φαντάζομαι πολύ λίγοι. Υποθέτω επίσης ότι οι περισσότεροι εκ των υπολοίπων χρησιμοποιούν ταχτικά το Clipboard ως ενδιάμεσο αποθηκευτικό χώρο για passwords και κάθε είδους ευαίσθητες πληροφορίες. Αν διαβάζοντας αυτές τις γραμμές σας έχει ήδη περιλούσει κρύος ιδρώτας, είστε ένας απ' αυτούς!

Είναι άγνωστος ο λόγος για τον οποίο οι άνθρωποι της Microsoft αποφάσισαν να προσθέσουν στον browser ένα τόσο επικίνδυνο χαρακτηριστικό. Δεν πιστεύω πάντως ότι πρόκειται για αβλεψία, καθώς σε αυτή την περίπτωση θα είχαν την ευκαιρία στο SP2 να τη διορθώσουν. Το γεγονός πάντως είναι ότι εδώ και τουλάχιστον έξι χρόνια (από την εμφάνιση του IE5), το Clipboard της πλειοψηφίας των χρηστών του Internet είναι στη διάθεση οποιουδήποτε έχει τη διάθεση να το διερευνήσει. Οι τεχνικές γνώσεις που απαιτούνται δεν είναι ιδιαίτερα δυσεύρετες. Τέλος για να μεταδοθούν τα δεδομένα στον server υπάρχουν πολλοί και διάφοροι τρόποι, χωρίς μάλιστα να καταλάβει το παραμικρό ο χρήστης.

Η εντολή που διαβάζει το Clipboard είναι πολύ απλή:

Κώδικας: Επιλογή όλων

clipboardData.getData("text")
Για να το διαπιστώσετε με τα μάτια σας, σώστε τον παρακάτω κώδικα σε αρχείο με κατάληξη .htm και ανοίξτε το με τον IE. Θα εμφανιστεί ένα message box που θα περιέχει το τρέχον περιεχόμενο του Clipboard:

Κώδικας: Επιλογή όλων

<script>
  alert&#40;clipboardData.getData&#40;"text"&#41;&#41;
</script>
Η αρχική μου υπόθεση ήταν ότι τα επίπεδα ασφάλειας των ζωνών του IE θα ήταν διαφορετικά. Για παράδειγμα θα ήταν λογικό να επιτρέπεται η ανάγνωση του Clipboard στο Local Intranet και να απαγορεύεται στο Internet. Όμως δεν υπάρχει τέτοια διάκριση αλλά οι πληροφορίες είναι διαθέσιμες παντού και πάντα. Επομένως το συμπέρασμα είναι απλό: Χρήστες του Internet Explorer προσέχετε τι βάζετε στο Clipboard σας, και που βάζετε το ... ταμπεραμέντο σας! Εναλλακτικά αλλάξτε browser. Τόσο ο Firefox 1.0.4 όσο και ο Opera 8.0 είναι ανοιχτοί και σας περιμένουν, και βέβαια σέβονται την ανάγκη σας να είστε στο Internet ασφαλείς.

Σχετικά κείμενα:
- Clipboard Exploit
- Copy a text από Flash στο system clipboard
Τελευταία επεξεργασία από το μέλος skeftomilos την 26 Μάιος 2005 03:31, έχει επεξεργασθεί 2 φορές συνολικά.
The pure and simple truth is rarely pure and never simple. Ο μη νους δε σκέπτεται μη σκέψεις για το τίποτα.

Άβαταρ μέλους
KGP
Honorary Member
Δημοσιεύσεις: 5857
Εγγραφή: 18 Ιούλ 2002 01:50
Τοποθεσία: Mr Wonderful

Το ανοιχτό Clipboard του Internet Explorer

Δημοσίευση από KGP » 25 Μάιος 2005 18:20

ego pantos pou to dokimasa etsi opos les...kai apo periergia den eicha kanena apolitos issue.
*Στην Ελλάδα δεν χρειάζεται να σκέφτεσαι...χάνεις πολύτιμο χρόνο!
*"The power of accurate observation is frequently called cynicism by those who don't have it." -George Bernard Shaw (1856-1950)
*The purpose of argument should not be victory, but progress.

Άβαταρ μέλους
agrippas
Script Master
Δημοσιεύσεις: 494
Εγγραφή: 18 Ιούλ 2002 14:52
Τοποθεσία: Υπερπέραν
Επικοινωνία:

Το ανοιχτό Clipboard του Internet Explorer

Δημοσίευση από agrippas » 25 Μάιος 2005 21:07

Άξιος ο Σκερτσόμυλος.

Ίσως το γεγονός ότι ο "Internet Explorer" είναι στην ουσία ο "Windows Explorer" (το default Windows shell) να εξηγεί την παραπάνω συμπεριφορά, όπως και το ότι δε γίνεται να απεγκατασταθεί εντελώς.

Τυπικά το iexplore.exe είναι διαφορετικό από το explorer.exe, όμως στην πράξη το framework τους είναι κοινό. Όσοι δυσπιστούν μπορούν να δοκιμάσουν να γράψουν ένα URL http στον windows explorer, ή ακόμα και ftp σε κάποιο server που έχουν αποθηκεύσει το password και το username.

Όσο για το clipboard, εννοείται πως κάποιος αποθηκεύοντάς το με javascript σ' ένα cookie που διαβάζεται μετά server-side-wise μπορεί να ανοίξει ολόκληρη υπηρεσία κατασκοπείας των επισκεπτών του και να κάνει χρυσές δουλειές.

Well done Σκωπτόμυαλε! :wink:

Άβαταρ μέλους
skeftomilos
Script Master
Δημοσιεύσεις: 2888
Εγγραφή: 07 Ιαν 2005 07:22
Τοποθεσία: Αθήνα

Το ανοιχτό Clipboard του Internet Explorer

Δημοσίευση από skeftomilos » 26 Μάιος 2005 03:35

Χμ, ωραία η ιδέα για την υπηρεσία κατασκοπίας. Εγώ πάντως είμαι μέσα αν ψάχνεις για μετόχους. Σκέφτηκα και όνομα: Spysoft. Ο KGP μπορεί αν θέλει να αναλάβει το promotion. Τι λέτε για την παρακάτω tagline?
The huge collection of tiny secrets
The pure and simple truth is rarely pure and never simple. Ο μη νους δε σκέπτεται μη σκέψεις για το τίποτα.

Cmg__
Δημοσιεύσεις: 1710
Εγγραφή: 29 Μαρ 2005 22:40

Το ανοιχτό Clipboard του Internet Explorer

Δημοσίευση από Cmg__ » 26 Μάιος 2005 15:51

se emena den leitoyrgei ayto to scriptaki alla sthn selida poy moy eixes dwsei leitoyrgoyse.


Sygekrimena kanei alert olo to (clipboardData.getData("text")).

Άβαταρ μέλους
skeftomilos
Script Master
Δημοσιεύσεις: 2888
Εγγραφή: 07 Ιαν 2005 07:22
Τοποθεσία: Αθήνα

Το ανοιχτό Clipboard του Internet Explorer

Δημοσίευση από skeftomilos » 27 Μάιος 2005 04:52

Cmg__ έγραψε:se emena den leitoyrgei ayto to scriptaki alla sthn selida poy moy eixes dwsei leitoyrgoyse.
Sygekrimena kanei alert olo to (clipboardData.getData("text")).
Λειτουργεί. Κάνει alert το κείμενο που βρίσκεται στο clipboard τη δεδομένη στιγμή. Στη δική σου περίπτωση έκανε alert τον ίδιο τον κώδικα του script, γιατί προφανώς τον είχες κάνει copy-paste!
:D
The pure and simple truth is rarely pure and never simple. Ο μη νους δε σκέπτεται μη σκέψεις για το τίποτα.

Cmg__
Δημοσιεύσεις: 1710
Εγγραφή: 29 Μαρ 2005 22:40

Το ανοιχτό Clipboard του Internet Explorer

Δημοσίευση από Cmg__ » 28 Μάιος 2005 00:07

PWWWWWWWWWWWWW myalo o atimos!!!!!!
poy to skeftikes? :)
me geia kai to avatar!

Άβαταρ μέλους
KGP
Honorary Member
Δημοσιεύσεις: 5857
Εγγραφή: 18 Ιούλ 2002 01:50
Τοποθεσία: Mr Wonderful

Το ανοιχτό Clipboard του Internet Explorer

Δημοσίευση από KGP » 05 Ιουν 2005 21:07

skeftomilos έγραψε:Χμ, ωραία η ιδέα για την υπηρεσία κατασκοπίας. Εγώ πάντως είμαι μέσα αν ψάχνεις για μετόχους. Σκέφτηκα και όνομα: Spysoft. Ο KGP μπορεί αν θέλει να αναλάβει το promotion. Τι λέτε για την παρακάτω tagline?
The huge collection of tiny secrets
to promotion oi tis apiles kai tous ekviasmous...i plironete kai ola stin espresso aurio to proi...auta den ta kanoun ta lamogia...ta kanoun oi anthropoi ton lamogion .....

opote echoume kai leme tha valoume esena gia tis psilodoulies....kai ego tha se epivlepo kai tha se sinvouleuo an tis kanei sosta....
*Στην Ελλάδα δεν χρειάζεται να σκέφτεσαι...χάνεις πολύτιμο χρόνο!
*"The power of accurate observation is frequently called cynicism by those who don't have it." -George Bernard Shaw (1856-1950)
*The purpose of argument should not be victory, but progress.

Cmg__
Δημοσιεύσεις: 1710
Εγγραφή: 29 Μαρ 2005 22:40

Το ανοιχτό Clipboard του Internet Explorer

Δημοσίευση από Cmg__ » 06 Ιουν 2005 00:23

heh....

spysoftx
Δημοσιεύσεις: 1
Εγγραφή: 23 Ιουν 2005 19:53

Το ανοιχτό Clipboard του Internet Explorer

Δημοσίευση από spysoftx » 23 Ιουν 2005 19:58

skeftomile to exo skefti to onoma 3 xronia prin apo esena :D ke malista exo ke site me thema tous ipologistes. to opio to anakenizo tora ke an kapios endiaferete na voithisi emena ke ta alla atoma pou douleuoume pano se auto gia tin oloklirosi tou, ke an exete kapia idea pou tha thelate na ilopiisoume pite mou. email ssxwebmaster@gmail.com

chiao.

Άβαταρ μέλους
skeftomilos
Script Master
Δημοσιεύσεις: 2888
Εγγραφή: 07 Ιαν 2005 07:22
Τοποθεσία: Αθήνα

Το ανοιχτό Clipboard του Internet Explorer

Δημοσίευση από skeftomilos » 23 Ιουν 2005 22:59

Ουπς! Τι ατυχία, όποτε έχω μια καλή ιδέα έρχομαι πάντα δεύτερος :(. Βασικά τρίτος έρχομαι γιατί κατά τα λεγόμενα του Google υπάρχει ήδη εταιρία με αυτό το όνομα: SpySoft.
The pure and simple truth is rarely pure and never simple. Ο μη νους δε σκέπτεται μη σκέψεις για το τίποτα.

Απάντηση

Επιστροφή στο “Security, antiVirus & antiSpyWare”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες