JavaScript PasteJacking

Me ndihmën e JavaScript, shfletuesit modernë mund të lexojnë dhe shkruajnë në clipboard të përdoruesit, d.m.th. ata gjithashtu mund ta manipulojnë atë. Teknologjia themelore tashmë është kapelë e vjetër, por vetëm kohët e fundit gjithnjë e më shumë sulme (nën emrin "PasteJacking") po qarkullojnë në rrjet që përfitojnë nga kjo mundësi për përdoruesit e papërvojë. Një zbatim në JavaScript është banal.


Vetëm skenari i mëposhtëm është i integruar në anën e dëmshme:

27670b8ba9840e688369822a3fcfb2d9

Nëse kopjoni ndonjë tekst nga një faqe e tillë, vargu i padëshiruar gjithmonë përfundon në clipboard (në këtë zbatim, pavarësisht nga teksti i kopjuar). Në vend të "komandës së keqe" tani mund të dalësh me shumë gjëra të shëmtuara. E gjithë gjëja bëhet fatale nëse përdoret një ndërprerje e vijës në fund të rreshtit për të ekzekutuar menjëherë kodin:

27670b8ba9840e688369822a3fcfb2d9

Alsoshtë gjithashtu e lehtë të rivendosni prodhimin e konsolës në mënyrë që përdoruesi të mos vërejë menjëherë atë që ka futur. Për shembull, është e mundshme që kur kopjoni një fragment të kodit të padëmshëm, mund të shkrepni ndarjet tuaja duke kaluar.

27670b8ba9840e688369822a3fcfb2d9

Clipboard-i mund të manipulohet (në një formë tjetër) edhe pa JavaScript:

27670b8ba9840e688369822a3fcfb2d9

Nëse zgjidhni tekstin e dëshiruar, për shembull në Firefox-in më të fundit (v. 45.0) nuk është ky teksti por teksti prapa tij që përfundon në kujtesën e fragmenteve.

Të dyja metodat mund të provohen drejtpërdrejt këtu. Këtu varianti JS:

See the Pen Pastejacking #1 by David Vielhuber (@vielhuber) on CodePen.

Si dhe varianti CSS:

See the Pen Pastejacking #2 by David Vielhuber (@vielhuber) on CodePen.

Mbrapa