जेएस में क्लिपबोर्ड पर लिखना क्यों एक सुरक्षा छेद माना जाता है?

Question

ऐसा लगता है कि वर्तमान में अधिकांश आधुनिक ब्राउज़र का उपयोग करके सिस्टम क्लिपबोर्ड तक पहुंचने के लिए कोई शुद्ध जावास्क्रिप्ट विधि नहीं है, इंटरनेट एक्सप्लोरर अपवाद है। कई अन्य स्टैक ओवरफ़्लो प्रश्नों पर (उदा।, Clipboard access using Javascript - sans Flash?) यह समझाया गया है कि यह सीमा क्लिपबोर्ड से पासवर्ड या अन्य संवेदनशील डेटा पढ़ने वाली वेबसाइटों के विरुद्ध सुरक्षा के लिए एक जानबूझकर सुरक्षा उपाय है।

हालांकि यह स्पष्ट है कि क्लिपबोर्ड से पढ़ने एक बहुत बड़ा सुरक्षा जोखिम होगा लगता है, यह स्पष्ट नहीं है मेरे लिए क्यों क्लिपबोर्ड लेखन होगा। क्या परिदृश्य, यदि कोई है, तो जेएस को क्लिपबोर्ड पर डेटा कॉपी करने की क्षमता को अस्वीकार कर ब्राउज़र की रक्षा कर रहे हैं?

Answer 1

क्लिपबोर्ड पर लिखना मैलवेयर फैलाने के लिए उपयोगकर्ताओं को धोखा देने के लिए दुर्भावनापूर्ण वेबसाइट्स (या साइट के भीतर चल रहे अन्य कोड, जैसे फ्लैश-आधारित विज्ञापनों) के लिए एक तरीका है। यह कुछ साल पहले फ्लैश-आधारित विज्ञापनों के साथ हुआ था, जिसने क्लिपबोर्ड पर एक मैलवेयर यूआरएल की प्रतिलिपि बनाई थी, उम्मीद है कि जब उपयोगकर्ता कुछ और पेस्ट करना चाहते हैं तो उपयोगकर्ता इसे पेस्ट करेंगे, इस प्रकार फेसबुक पोस्ट, फ़ोरम और ई-मेल जैसी चीजों को प्रदूषित करेंगे। चाची टिली की बिल्ली की तस्वीर के लिंक के बजाय, आप कुछ ड्राइव-मैलवेयर द्वारा एक लिंक पेस्ट करेंगे। आम तौर पर ये "आप वायरस से संक्रमित हो गए हैं, हमें हटाने सॉफ्टवेयर के लिए $ 50 का भुगतान करें" नकली एंटीवायरस घोटाले। मैंने इस पर कुछ शोध किया, क्योंकि मेरे बहुत सारे क्लिपमैट ग्राहक पूछ रहे थे कि इन बुरा यूआरएल अचानक क्लिपपेट में क्यों दिखाई दे रहे थे। शोध करते समय, एमएसएनबीसी और डीआईजीजी पर फ्लैश-आधारित विज्ञापनों द्वारा मुझ पर हमला किया गया था। क्लिपबोर्ड को बाद में फ्लैश 10 में बंद कर दिया गया है। आप यहां मेरी गाथा के बारे में अधिक पढ़ सकते हैं: http://www.clipboardextender.com/defective-apps/clipboard-virus-not-exactly-but-still-dangerous

मुझे उम्मीद है कि जावास्क्रिप्ट प्रतिबंध समान चीजों को होने से रोकने के लिए है।

Answer 2

क्या होगा यदि उपयोगकर्ता नहीं चाहता कि उसका क्लिपबोर्ड अधिलेखित हो?

Answer 3

यदि उपयोगकर्ता को उम्मीद है कि उनके क्लिपबोर्ड में एक चीज है, लेकिन गुप्त रूप से इसे किसी अन्य चीज से बदल दिया गया है, यहां तक ​​कि यह एक संभावित सुरक्षा समस्या है, न सिर्फ एक परेशानी है। उपयोगकर्ता को समझाने लक्ष्य संसाधन पर एक पासवर्ड फ़ील्ड में छिपकर बदल जानकारी चस्पा करने के लिए:

हालांकि एक अप्रत्याशित हमले वेक्टर, है ना अनुचित लगता है के लिए कुछ सपना देखा जा सकता है कि सोशल इंजीनियरिंग शामिल है। उस संसाधन को तब हमलावर को ज्ञात पासवर्ड से सुरक्षित किया जाएगा।

Answer 4

उपरोक्त भेद्यता के मुद्दों के अलावा कम से कम एक परिदृश्य है जहां जावास्क्रिप्ट क्लिपबोर्ड एपीआई के अपर्याप्त अपूर्णता कुछ सुरक्षा चिंताओं को बढ़ा सकती है।

आजकल हम postMessage, MessageChannel या, कहते हैं, हाल ही में BroadcastChannel फ़ायरफ़ॉक्स के लिए शुरू की तरह सर्वर साइड लागू बिना अलग-अलग विंडो के बीच संबंध स्थापित करने, के लिए नए एपीआई की है। इन एपीआई में ब्राउज़र समर्थन के विभिन्न स्तर हैं लेकिन उनमें से सभी क्रॉस-मूल मुद्दों पर विचार कर रहे हैं। यही है, एक खिड़की से एक अलग मेजबान पर एक संदेश प्राप्त करना असंभव होना चाहिए जबतक कि यह विंडो वास्तव में स्पष्ट रूप से इसकी अनुमति नहीं देती है।

यह क्लिपबोर्ड एपीआई के साथ नहीं है। कल्पना करें कि पृष्ठ पर कुछ कोड क्लिपबोर्ड पर कोड चिपकाते हैं और यह क्लिपबोर्ड किसी अन्य विंडो द्वारा स्कैन किया जाता है। कुछ अजीब और विदेशी मान्यताओं के आधार पर यह कुछ बहुत ही अजीब और अत्यधिक हाइपोटेटिकल परिदृश्य है, लेकिन इसका उल्लेख करना उचित है।