JavaScript entführt Zwischenspeicher – Clipboard Hijacking

Favorit

https://youtu.be/m8c9yuRwYas

In diesem Video wird gezeigt, wie Webseiten ganz einfach den Zwischenspeicher manipulieren können.

Vielen Dank für Ihre Unterstützung: http://amazon.sempervideo.de

http://www.firstpost.com/politics/volunteers-or-vigilantes-the-perils-of-aaps-anarchic-politics-1328297.html




43 Antworten zu „JavaScript entführt Zwischenspeicher – Clipboard Hijacking“

  1. Avatar von max9076
    max9076

    Wie heißt dieses Browsertheme?

  2. Avatar von fliesenfuzzi
    fliesenfuzzi

    Danke für den Tipp!

  3. Avatar von Lukas0120
    Lukas0120

    Gibt es auch so was wie aboud config in chrome?

  4. Avatar von Neptun776
    Neptun776

    War interessant. Ich denke ich lasse alles beim alten :)

  5. Avatar von Marc Gerrit Langer
    Marc Gerrit Langer

    Da fällt mir kein sinnvolles Angriffsszenario ein, bei dem jemand davon
    profitieren könnte, dass die Zwischenablage verändert wurde. Immer wenn es
    an das Thema Javascript geht, wird unser Sprecher leicht paranoid. Dabei
    überwiegen in der Regel die Vorteile die Nachteile. Ganz selten ist es auch
    das reine JS welches eine Sicherheitslücke darstellt, sondern Eigenheiten
    des Browsers oder seltsame Plugins.

  6. Avatar von TheByteLP
    TheByteLP

    Die Funktion vom IE könnte aber sicherer sein, da man mit dieser Funktion
    „nur“,an das schon kopierte, anhängen kann. Oder? :D (Klar wenn man will
    kann man auch den anderen Kram im IE anwenden, aber der IE wird immer
    schlechter gemacht als er eigentlich ist!)

  7. Avatar von Tuzak Kara
    Tuzak Kara

    Bester kanal EVER danke für die infos

  8. Avatar von asbestinuS
    asbestinuS

    Ich habe in about:config den Eintrag „noscript.allowClipboard;false“, also
    NoScript ist sowieso an. Heißt das nun, dass der Eintrag
    „dom.event.clipboardevents.enabled;true“ nun nicht mehr relevant ist? Oder
    kann ich beides sowieso deaktivieren, um ganz sicher zu sein? Mir gehts nur
    darum zu wissen, ob der Noscript-Befehl das genau so macht.

  9. Avatar von Peter94686
    Peter94686

    DADD – Dads Against Daughter Dating – Shoot the first one and the world
    will spread.

  10. Avatar von derMulk
    derMulk

    Ich bin Webdeveloper und der Trend geht zu immer mehr und mehr Javascript,
    allein schon wegen Jquery. Wer jetzt wegen so nem Blödsinn sein Java Script
    gleich deaktiviert wird schnell feststellen dass 90% der Webseiten nicht
    mehr richtig funktionieren.

  11. Avatar von Combobreaker
    Combobreaker

    Was auch eine Erwähnung wert ist ist, dass CORS (Cross-Origin Resource
    Sharing) es nun tatsächlich geschafft hat in den W3C-Standard zu kommen.
    http://www.heise.de/newsticker/meldung/Browserkommunikation-ueber-Domaingrenzen-hinweg-2089651.html

    Im Firefox habe ich noch keine Einstellmöglichkeit gefunden, das Zeug wird
    sicher auch noch für eine „Überraschung“ sorgen. Aber seit die MPAA im W3C
    ist, brauchen wir da eh ganz dringend einen kompetenten Ersatz für dieses
    Konsortium.

  12. Avatar von TEAR
    TEAR

    Wie kann man sich dann auf Chrome schützen?

  13. Avatar von Piratekiller99
    Piratekiller99

    ähm wieso bleibt denn dann vorm kopieren der Original Text markiert?
    Ist das ein Browserbug in der selection function?

  14. Avatar von Emeraldy
    Emeraldy

    Bei meinem komentar unter diesem hier mehranzeigen drücken bitte!!!

  15. Avatar von Emeraldy
    Emeraldy

    Hallo SemperVideo, ich habe ein kleines problem mit meinem Notebook(mit
    windows 8.1). Jedesmal wenn ich mein Notebook starte, kriege ich folgende
    meldung:

    (Überschrift) RunDLL

    (Text) Problem beim Starten von
    C:\Users\Emaraldy\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll

    Das angegebene Modul wurde nicht gefunden.

    Semper Video, ich bitte dich sehr um hilfe.
    Dein Emaraldy!

  16. Avatar von Sidney Kuyateh
    Sidney Kuyateh

    Im Internet Explorer kann der skriptgesteuerte Zugriff auf die
    Zwischenablage ebenfalls deaktiviert werden.
    Tools -> Internetoptionen -> Sicherheit -> bei Internet auf Stufe anpassen
    klicken -> unter Scripting bei „Programmatischen Zugriff auf die
    Zwischenablage erlauben“ auf Deaktivieren klicken.

  17. Avatar von Mangahome
    Mangahome

    Ich bin mir relativ sicher das es sowas wie einen angriff durch diese
    „schwachstelle“ schon gibt….

  18. Avatar von Schlaibi
    Schlaibi

    Gibt es die Funktion des Firefox das clipbord befehle zu deaktivieren auch
    im Google Chrome ?

  19. Avatar von Waterfront_xD
    Waterfront_xD

    Also ganz steig ich da jetzt nicht durch, wen meint er jetzt mit „Kollegen“
    ? Ich denke er ist alleiniger Channelinhaber oder macht er diese Tutorials
    unter anderem für seine Kollegen auf der Arbeit? ^^

  20. Avatar von ElefantenEsser1
    ElefantenEsser1

    Hey Leute, wollte ein Handy über den Sempervideo-Amazon Link kaufen, hat
    den mal jemand? In der Beschreibung komm ich ja nur zu zwei eingebetteten
    Videos…

  21. Avatar von jangxx
    jangxx

    Hier wird ja überhaupt nichts im Clipboard verändert, lediglich der
    markierte Text wird abgeändert. Und neu ist das auch nicht, oder? Schon vor
    einiger Zeit wurde davor gewarnt Linux Terminalbefehle von Webseiten zu
    kopieren, weil die dann verändert und sofort ausgeführt werden können. Naja
    trotzdem informatives Video, danke :)

  22. Avatar von PlayLikeApple
    PlayLikeApple

    Im Firefox gibt es unter Inspector n Würfelknopf, damit kommt man in ne 3D
    Ansicht von der Seite, ist vieleicht hilfreich anstatt im Quellcode zu
    suchen ;)

  23. Avatar von Mikosch2
    Mikosch2

    Mensch da denk ich zwei Drittel vom Video „kenn ich, wegen unter anderem
    genau dem biste GMX weg“ und dann… „zuletzt haben das die Benutzer von
    JaHuh erfahren dürfen.“…

    /§%&§/

  24. Avatar von Peter Lustig
    Peter Lustig

    4:38 – 4:54

    Blödsinn.. der Internet Explorer kann natürlich genausowenig den
    Zwischenspeicher ansprechen wie der Chrome oder Firefox.

    Der Unterschied zum Chrome oder Firefox ist lediglich der, dass man den
    Event-Handler nicht in document.body.oncopy registriert, sondern direkt in
    document.oncopy.

    Das ist fast so, als würde man eine Variable von „hans“ in „peter“
    umbenennen.

    Also nächstes mal etwas genauer lesen oder nochmal einen JavaScript-Kurs
    zum Thema: Event-Handler belegen.

  25. Avatar von djdede
    djdede

    Gibt es oder kommt noch ein Video zu dieser Yahoo Sache?

  26. Avatar von djdede
    djdede

    lol bei mir wird in den zwischenspeicher nur de rkram der seite kopiert
    nicht das was ich kopiert habe ?! Wer denkt sich so etwas aus wenn es
    anscheinend nicht richtig funktioniert?

  27. Avatar von Conankun88
    Conankun88

    Gibt es dieses Verfahren nicht schon seit Ewigkeiten?
    Ich meine mich zu erinnern, dass man früher auf diversen Lyrics-Seiten
    jedes mal, wenn man den Liedtext dort kopieren wollte und dann eingefügt
    hat immer wieder die Webseiten-Url zwischen den einzelnen Strophen hatte,
    ohne dass die im kopierten Text drin standen. Und das ist viele viele Jahre
    her :D
    Oder ist mein Beispiel nicht mit dem hier zu vergleichen? Zumindest musste
    ich da grad ganz stark dran denken, weil mich das immer übelst genervt hat,
    dann noch per Hand die einzelnen Url-Texte wieder rauszulöschen xD

  28. Avatar von cal0x
    cal0x

    Was ist wenn man den Bildschirm auf eine riesige Leinwand übertragen lässt?
    Z.b. diese Autokinos :)
    Das würde doch reichen, oder?

  29. Avatar von Florian Oellerich
    Florian Oellerich

    Ziemlich ins Klo gegriffen und das gleich mehrfach +SemperVideo

    *Punkt 1* Die IE Weiche ist sehr viel einfacher als im Video *geraten*
    wird. Der Internet Explorer hat das *oncopy* event auf *document.body*,
    alle anderen Browser haben dieses Event direkt unter *document*. Gleiches
    Event, nur das Parent ist ein anderes.
    *Punkt 2* Nichts wird da irgendwo in den Arbeitsspeicher geschrieben, das
    Javascript hat mit dieser Methode *keine Möglichkeit* irgendwas in den RAM
    (der Zwischen *speicher* mit dem das Video hier nichts zu tun hat) oder die
    Zwischenablage (was hier gezeigt wird) zu schreiben/zu manipulieren. Alles
    was das Script macht ist den selektierten Text zu kopieren, zu erweitern
    und den neuen erweiterten Text zu selektieren, sobald das copy-Event
    abgefeuert wird.
    Was hier verändert wird ist der Inhalt der Selektion, purer ASCII-Inhalt,
    in die Zwischenablage wird das ganze weiterhin durch den *Copy*-Befehl des
    Betriebssystems geschrieben, wie bei jedem anderen Programm auch. Also hat
    weiterhin nur das OS die Schreibrechte auf die Zwischenablage. *1
    *Punkt 3* Da wird kein *Fenster* erstellt, das wäre der Befehl *window.open*.
    Da wird einfach ein HTML-Element erstellt um einen Text zu selektieren.

    Aber Javascript Bashing ist ja nach wie vor in, besonders bei Leuten die
    nie Javascript geschrieben haben und nicht einmal den Grund der hier
    gezeigten Browserweiche verstehen können. Insofern stempel ich das hier
    einfach als *inhaltloses Basching* ab mit der Bemerkung dass ich es sehr
    schade finde, dass sich eine solch gute und informative Seite zu soetwas
    herab lässt. Irgendwo eine Halbwahrheit aufgeschnappt und ohne Recherche
    rausgehauen. Das könnt ihr besser, viel besser.
    Eigentlich kennt ihr doch auch den Unterschied zwischen der *Zwischenablage*
    und dem *Zwischenspeicher*, der Einleitungstext ist also plumpe Panikmache
    mit falschen Tatsachen.
    Das Javascript beim Internet Explorer direkt in den Arbeitsspeicher
    schreibt ist so falsch, das will ich am liebsten wieder vergessen, das ich
    so einen völligen Blödsinn bei euch gehört habe.

    *1 Deswegen hat Google Translate einen *alles makieren* Button und keinen
    *kopieren* Button, denn das kopieren kann Javascript nicht. Nur makieren. *Strg
    + C* muss man nach wie vor selber drücken. Einige Seite wie Github umgehen
    das mit Flash, DAS wiederrum hat scheinbar Zugriff auf die Zwischenablage.

  30. Avatar von Heinz Böttjer
    Heinz Böttjer

    Danke, gleich geändert.

  31. Avatar von Wagga Vanilo
    Wagga Vanilo

    Ich finde die Funktion eigentlich sehr praktisch, damals in der Schule
    musste man ja auch Referrate halten und damals hat man mühsam die Quelle
    nochmals extra kopiert, das würde hier wegfallen, und auch jetzt wäre es
    praktisch weil man wenn man zu dem Thema wo man sich was kopiert hat
    weitere Infos hat man die Quelle nicht mühsam suchen muss, es hat nicht nur
    Nachteile diese Funktion.

    Was mir aufgefallen ist, viele Seiten nutzen noch gar nicht die
    2-Clicklösung von heise um die Datenübertragung erst zu aktivieren wenn es
    der Besucher möchte.

  32. Avatar von Brotcrunsher
    Brotcrunsher

    Ich verstehe das Problem nicht. Könnte der Browser den Zwischenspeicher
    auslesen wäre es natürlich problematisch, da dann eventuell Passwörter etc.
    ausgelesen werden könnten. Wenn die Seite aber nur schreiben kann, dann…
    who cares?
    Ein Buffer Overflow mit dem andere RAM Inhalte überschrieben werden sollte
    vom Betriebssystem auch nicht möglich sein. Also, wo liegt das Problem? Wie
    sollte man soetwas denn abusen können?

    MfG

  33. Avatar von NanobyteOnline
    NanobyteOnline

    03:55 „Hier wird ein Fenster erstellt“ … sorry aber HTML-Elemente sind
    keine Fenster. Der Zwischenspeicher wird im übrigen nicht angefasst es wird
    „lediglich“ bei dem Event „oncopy“ ein anderer Text Markiert der dann vom
    Besucher Kopiert wird.

  34. Avatar von Jaguntra
    Jaguntra

    0:21 NoScipt?
    0:34 Yay

  35. Avatar von Polpkorn Fishman
    Polpkorn Fishman

    Wird die config übertragen wenn ich meinen firefox mit dem meines handys
    synchronisiere?

  36. Avatar von yourbabyscorpse
    yourbabyscorpse

    Was genau regelt denn dieses dom.event.clipboardevents.enabled?

  37. Avatar von Snake74147
    Snake74147

    30 Min und noch keiner der diesen Sicherheitsverstoß als harmlos
    bezeichnet? Sind die Leute schlauer geworden!?

Schreibe einen Kommentar

de_DEGerman