Divers

Pourquoi on ne devrait pas coller directement dans son terminal du code copié sur un site Internet

Via SebSauvage, un article (en anglais) expliquant ce qu'il peut se passer lorsqu'on copie des lignes de codes récupérées sur un site Internet : https://www.bleepingcomputer.com/news/security/dont-copy-paste-commands-from-webpages-you-can-get-hacked/. Qui ne l'a pas déjà fait, confiant⋅e que nous sommes en la nature humaine 😉 ?

C'est très bien fait, subtil et assez simple à mettre en œuvre (avec un retour à la ligne inclus qui fait que lorsqu'on colle la ligne, elle s'exécute automatiquement et qu'il ne reste plus qu'à pleurer). Ça passe par du code JavaScript s'exécutant sur la page web qui détecte la ligne copiée et la remplace dans le presse papier par une ligne malicieuse.
Page sur laquelle on peut tester l'entourloupe expliquée par Gabriel Friedlander (on colle pas dans son terminal ! 😁) : https://www.wizer-training.com/blog/copy-paste.

Du coup, avant de copier/coller du code :

À bon⋅ne entendeur⋅euse, ...

Rajout : le problème n'arrive pas uniquement avec JavaScript car on pourrait avoir le même type "d'attaque" en copiant/collant du texte rendu invisible par formatage Html / CSS (même si c'est plus grossier et plus facilement détectable)...