PasteJacking: Wenn JavaScript unbemerkt die Zwischenablage kapert

Sicherheit, SemperVideo, Webseiten, JavaScript, Zwischenablage, PasteJacking Sicherheit, SemperVideo, Webseiten, JavaScript, Zwischenablage, PasteJacking
Per JavaScript lässt sich weit mehr beeinflussen, als so mancher Nutzer sich beim Besuch einer Webseite vorstellen will oder kann. Einer der großen Trends der letzten Zeit ist die Manipulation dessen, was beim Kopieren eines markierten Bereiches in die Zwischenablage übernommen wird. Das kann durchaus zu vorteilhaften Funktionen für einige Nutzer führen - ist aber eben auch ein Einfallstor für diverse Probleme.

Unsere Kollegen von SemperVideo zeigen euch einmal im Detail, was im Hintergrund passiert, wenn ihr auf einmal etwas anderes in der Zwischenablage habt, als ihr wolltet. Dafür genügt eine recht simple JavaScript-Funktion, die auf das Auslösen des Copy-Befehls im Browser reagiert und vordefinierte Inhalte in die Zwischenablage schiebt.

Weit verbreitete Funktionsweise

Die meisten Nutzer dürften dies von diversen Webseiten kennen, die den gewünschten Inhalten noch eine Quellenangabe oder eine URL mitgeben. Man bekommt hier zwar beispielsweise den markierten Text geliefert, hinzu kommt aber noch einiges mehr. Das kann durchaus nützlich sein, wenn man den kopierten Textausschnitt beispielsweise in einem Social Network teilen will und nicht extra den Link zur Webseite separat kopieren muss. Störend ist dies hingegen, wenn man einen eigenen Text, ein Zitat oder einen Namen kopieren will und unerwartet zusätzliche Inhalte im Editor auftauchen.

Die Funktion kann aber für den Anwender auch gefährlich sein. Denn was in der Zwischenablage landet, lässt sich nicht ohne Weiteres kontrollieren. So wäre es durchaus denkbar, dass der Nutzer mit einer interessanten Funktion für die Kommandozeile mögliche Opfer anlockt und ihnen hier etwa Code unterschiebt, der die Sicherheit des Systems beeinträchtigt oder Schäden hervorruft. Daher sollte man Inhalte, die aus einer Webseite kopiert wurden, nicht direkt in die Eingabeaufforderung einfügen - sondern zur Sicherheit besser erst einmal in einen Texteditor, wo sich ohne Risiko überprüfen lässt, was in der Zwischenablage landete.
Dieses Video empfehlen
Kommentieren3
Jetzt einen Kommentar schreiben
 
Wer lässt auf einem Browser Java auch einfach so zu? Ne da muss schön gefragt werden ob man darf oder nicht, sonst läuft so etwas nicht einfach von selbst.
 
@JTRch:
JavaScript und nicht Java. Das eine hat mit dem anderen nichts zu tun.

Und zweitens kaum eine Seite wird ohne Javascript vernünftig laufen
 
Nichts neues, hier ist noch ein Beispiel: https://security.love/Pastejacking/

PS: Es ist auch ohne JavaScript möglich.
Kommentar abgeben Netiquette beachten!