staging.inyokaproject.org

Das mit sudo ist natürlich ein Problem, doch viel größer ist doch eigentlich die Gefahr, dass auch ganz ohne Root-Rechte Dateien im persönlichen Ordner gelöscht/entwendet werden (xkcd 1200).

@1: Bei Desktoprechnern stimmt das, was der Angreifer davon hat deine Fotosammlung zu löschen, ist mir aber nicht klar. (Außerdem hat man ja Backups…). Gut, ein im Hintergrund arbeitendes Kopierprogramm könnte einiges an privaten Daten sammeln, das ist natürlich auch problematisch. Und wenn du ein Shellskript schreibst, dass mit dem Trick unbemerkt eine offene Paypalsitzung erkennt und eine Überweisung tätigt, bekommst du einen virtuellen Kuchen von mir. 😉

„Schlimmer“ ist das ganz m. M. n. aber eher bei Servern. Der Trick funktioniert nämlich natürlich auch in einer SSH-Sitzung bei einem „How to install $foo in five minutes“-Tuturial. Und da braucht man für die meisten bösen Absichten schon mal Root-Rechte.

Und ich hatte mich immer geärgert, dass man bei meinem Standard-Terminalemulator Xterm nichts Kopiertes einfügen kann

Ein unerwartetes Paradebeispiel dafür, wie sich Sicherheit und Komfort gegenseitig ausschließen 😬

@3: Du kannst aber Text markieren und mit dem Mausrad reindrücken

Hmmm....

Find die Idee mit dem Texteditor zum prüfen auf "versteckten Code" garnet so übel. *denk*

Werde das nur noch so machen, wenn da Unklarheiten sein sollten. ☺

Wenn man nicht extra ein Editor nutzen möchete: Einfach den Text markieren. Rechts-Klick drauf und die Google-Suche anschmeißen. Der versteckte Text wird hier dann auch angezeigt.

@3: @4: Copy&Paste geht auch im Terminal! Strg-Shift-C und Strg-Shift-V funktionieren. Zumindest bei mir ☺

Alternativ kann man auch den Seitenquelltext anguggen 😉

@3: Oh, das wusste ich gar nicht 😲

@4: Klappt zumindest bei meiner uralt Version 217 nicht

Hoppala, falsche Kommentarnummern (3=4, 4=7). Hier kann man ja gar nicht editieren 😠

Das Problem mit sudo verstehe ich nicht. Es wird eine Session für 15 Minuten eröffnet? Das scheint aber nur für das jeweilige Programm zu gelten. Wenn ich z.B. "sudo apt-get ..." dann kann ich in folgenden Befehlen apt-get ohne weitere Passwortabfrage verwenden. Aber ein "sudo cp ..." oder "sudo rm ..." fragt mich wiederum erst mal nach einem Passwort!

@11: Das Passwortverhalten kann man einstellen. Richtig. Im Defaultfall bei Ubuntu ist es aber so, dass das Passwort abgespeichert wird und nicht nochmal innerhalb dieser 15 Minuten eingegeben werden muss. (Gerade nochmal in meiner nicht-angepassten 12.04.2 Version überprüft in der Virtuellen Maschine überprüft.)

@Artikel Der Wikipedia-Link "CSS-Befehl" führt nur auf eine Übersichtsseite von Wikipedia.

@13: Gefixt.

@11: Eben bei mir im xfce4-terminal getestet. Dort wird sudo gespeichert und wirkt die nächsten 15 Minuten auf jeden Befehl oder aus jedem Skript heraus.

Alles was ich mit Copy&Paste einfüge packe ich mir in Keepnote. Da ich der Meinung bin alles was ich heute nicht einfach im Terminal frei per Hand eingebe, werde ich auch in Zukunft nicht tun. Selbst nach gefühlten 100 Brother Drucker Installationen, schlägt Alzheimer gnadenlos zu. Daher habe ich eine schöne Sammlung an Befehlen und der Hack geht bei mir zumindest so nicht, da der echte Befehl zum Vorschein kommt.

da fällt mir doch glatt noch was schönes ein: http://xkcd.com/1168/

@16: schön das ich nicht der einzige bin dem es so geht

@1: Deswegen sollte man sich ein reflexartiges Strg-Alt-L (ScreenLock) bei auch nur minutenlangem Verlassen des Rechners angewöhnen.

Hmmm... ich frage mich ja vielmehr, ob es sich dabei nicht vielmehr um ein (vermeidbares) Verhalten des Browsers handelt? Ich meine, müsste (oder wäre es nicht zumindest ohne Einschränkungen möglich), dass Firefox und co auch wirklich nur das dem Benutzer Angezeigte kopieren? Denn so handelt es sich ja fast schon um eine Sicherheitslücke, an der scheinbar niemand ein Interesse hat, sie zu schließen. Und mal ehrlich: Jedes Mal den Zwischenschritt über einen Texteditor gehen? Da käme mir wirklich das Kotzen 😕 dann ginge abtippen ja nachher bald noch schneller...

Zumindest bei KDE kann man sich den Umweg über einen Texteditor sparen. Einfach im Systemabschnitt auf die Schere (Klipper) zeigen oder klicken und der Inhalt der Zwischenablage wird angezeigt.

Ein Kumpel von mir hat neulich diesen kleinen Workaround gebastelt:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

#!/usr/bin/python
import gtk, pynotify

def notify_me(*args):
    text = args[0].wait_for_text()
    if text:
        msg = pynotify.Notification("text added in clipboard", text)
        msg.set_timeout(3000)
        msg.show()

clip = gtk.Clipboard()
clip.connect('owner-change', notify_me)
pynotify.init("ClipboardNotify")
gtk.main()

Einfach in einen Texteditor kopieren und als *.py speichern, wer mag als Startprogramm hinzufügen und schon gibts eine Notification mit dem aktuellen Inhalt. 😉

gibt es kein wo man den Text vor der Ausführung bestätigen muss?

@22: Das Problem ist ja, dass Befehle durch die Enter-Taste ausgeführt werden. Aber diese "Bestätigung", also den Zeilenumbruch kann man ja direkt mitkopieren lassen und schon wird der Befehl beim einfügen ausgeführt...

@21: Oh, danke, das ist die bisher eleganteste Lösung, die ich für das Problem gesehen habe.

@21: Ein geiler kleiner Hack!

@21: Ich sage einfach Danke für diese sehr ellegante Lösung! Habe mir erlaubt die Anzeigedauer etwas zu erhöhen.

@12: hmm... vermutlich gilt das dann nur für die Server-Version. Aber da macht man ja eher selten Copy & Paste ☺

@22: zsh hat "safe copy" eingeführt, auch bei Zeilenumbrüchen wird der Befehl (wenn nur kopiert) nicht ausgeführt. Bis das im Repo ist braucht es aber noch etwas ☺