WYSINWYC = What you see is not what you copy. Prozaiczna operacja wklejenia skopiowanego tekstu może okazać się w niektórych okolicznościach bardzo niebezpieczna. Np. gdy wykonany ją w konsoli, szczególnie z uprawnieniami superużytkownika. Jak z tego widać, zagrożenie może być poważne i dotyczy głównie „bezpiecznych” sytemów – linuksów i uniksów, bowiem w Mac OS, czy Windows rzadko kto korzysta z konsoli.

Problem nie jest nowy i nie jest podatnością wynikającą z niedopracowanego kodu. To raczej coś z zakresu niespodziewanych konsekwencji niekonwencjonalnego użytku z narzędzia jakim jest konsola. Mimo to, warto o tym przypominieć, bowiem pokusa skorzystania z dobrodziejstw oferowanych przez GPM (występuje tylko w linuksach), czy nawet przez nieco mniej wygodne klawiszowe skróty (ctrl+c & ctrl+v) jest duża i łatwo narobić sobie kłopotów, chcąc np. uniknąć kłopotliwego przepisywania długich poleceń, których czasem nawet nie bardzo rozumiemy (tego lepiej w ogóle nie robić).

Problem pojawia się, kiedy kopiujemy tekst, który nie pochodzi z pliku tekstowego, ale został sformatowany przy pomocy jakiejś aplikacji, czy – najczęściej – w HTML. Ten ostatni przypadek, to chleb powszedni, czyli kopiowanie tekstu z wyświetlonej strony www. Taki tekst wygląda zupełnie niewinnie, wiadomo jednak, że za ten niewinny widok odpowiada kod formatujący, który dość łatwo można wzbogacić o dodatkowy, już nie tak niewinny. Kiedy trafi on do schowka, a z niego do procesora poleceń, może się wydarzyć coś, czego nie oczekiwaliśmy. Jak to działa w konsoli uniksa czy linuksa (może również w widowsowym PowerShell albo zwykłej konsoli tekstowej) moża sobie bezpiecznie sprawdzić np. tu: Copy&Paste Tricks.

W artykule
Old tricks are new again: Dangerous copy & paste, z którego pochodzi ta wiadomość, są dalsze odnośniki. Miłej zabawy!

Warto przeczytać

  • o_O

    Zwykły bug w przeglądarkach. Nie można kopiować czegoś, czego nie widać. Skoro użytkownik nie mógł tego zobaczyć, to nie wyraził zgody na skopiowanie tego. Dobrze widział co kopiuje, a przeglądarka zrobiła coś innego.

    • J_G

      > Skoro użytkownik nie mógł tego zobaczyć, to nie wyraził zgody na skopiowanie tego …

      Proponuję to zapisać w jakimś kodeksie i jak kto nam shakuje w taki sposób (czyli naszymi rękoma) maszynę, wzywać policję.

      > Zwykły bug w przeglądarkac …

      Poważniej zaś – to nie takie proste; jeśli już, to należałoby użyć w tym zdaniu liczby mnogiej. Pech polega na tym, że perspektywa usunięcia tych "bugów" jest raczej mizerna. Zresztą pozostają jeszcze inne atrakcje – słyszałem, że np. "otwarty" RTF też się do tego nadaje. A co jeszcze?

      • o_O

        > Proponuję to zapisać w jakimś kodeksie i jak kto nam shakuje
        > w taki sposób (czyli naszymi rękoma) maszynę, wzywać policję.

        Możesz rozwinąć swoją myśl, bo nie za bardzo rozumiem o czym mówisz i do czego pijesz.

        • J_G

          > … bo nie za bardzo rozumiem o czym mówisz i do czego pijesz

          wydawało mi się, że to wyraźnie wynika z zapisu. Chyba, że preferujesz windzianą konwencję dyskusji (tekst odpowiedzi powyżej tekstu, na który się odpowiada), to wtedy zaznaczam, że w tym przypadku tekst, na który odpowiadałem (czyli Twój) jest powyżej.

© OSnews.pl 2016. All rights reserved.