Наскільки безпечний буфер обміну Windows?

Я використовую буфер обміну Windows як метод отримання паролів від Lastpass у настільних додатках.

Мені було цікаво, наскільки це безпечно? Не можете жодна програма отримати доступ до буфера обміну в будь-який час?

windows security clipboard

— кірі
джерело

Я пам’ятаю, що доступ до буфера обміну був включений за замовчуванням у деяких (старих) версіях IE (можливо, IE6). Я знайшов це посилання, де MS ставила вікно попередження кожного разу, коли веб-сайт намагався отримати доступ до буфера обміну, але здається, що раніше його не було. Отже, якщо ви використовуєте IE <= 6 (чи не так, правда?), Ви можете мати додатковий ризик.

— Карлос Кампдеррос

Запуск буфера обміну на старому спільному програвачі VMWare в офісних умовах відкриває багато цікавого про ваших колег. Я завжди повинен був бути обережним, відповідаючи людям на моїй старій роботі, тому що є хороший шанс, якби я вирізав і вставив, він загорнеться в буфер обміну начальника.

— Пітер Тернер

@ CarlosCampderrós Я думаю, що спалах все ж дозволяє це.

— CodesInChaos

У KeePass є параметр у налаштуваннях "Пам'яті": "Поведінка дошки на дошці: Покращено: дозволяють один раз вставляти та захищати від шпигунів буфера обміну"

— DBedrenko

superuser.com/questions/412083/…

— випадковий

Відповіді:

Це не безпечно.

Дивіться це запитання та відповідь на Security.stackechange.com , цитується нижче:

Буфер обміну Windows не захищений.

Це цитата зі статті MSDN .

Буфер обміну може бути використаний для зберігання даних, таких як текст та зображення. Оскільки буфер обміну є спільним для всіх активних процесів, його можна використовувати для передачі даних між ними.

Це, мабуть, має стосуватися і машин Linux.

Це турбота? Ні. Для того, щоб хтось цим скористатися, йому доведеться мати на вашій машині зловмисне програмне забезпечення, здатне читати дані з буфера обміну. Якщо у нього є можливість отримати зловмисне програмне забезпечення на вашій машині, ви можете турбуватися про набагато більші речі, оскільки він може робити багато інших речей, включаючи кейлоггери тощо.

— Кельтарі
джерело

Хоча читати дані у буфері обміну, але як банально, - пояснює Келтарі, факт, що у вас в першу чергу зловмисне програмне забезпечення читає буфер обміну, викликає більшу стурбованість. Це причина копіювання та вставлення пароля в поле пароля не впливає на захист вашого пароля, можливість цього зробити - переконання. Не вводити безпечний випадковий пароль 20-30 символів.

— Рамхаунд

Звичайно, поріг значно нижчий для зловмисного програмного забезпечення, яке читає буфер обміну (цілком "законний" фрагмент JavaScript, вбудованого у веб-сторінку), порівняно зі зловмисним програмним забезпеченням, яке використовує процес браузера або зчитує пам'ять іншого процесу, або встановлює гак для захоплення натискання клавіш тощо

— Деймон

@Damon З того, що я розумію, JS не має випадкового доступу до буфера обміну саме з цієї причини.

— Полковник тридцять два

@Damon Згідно з MDN , програма повинна мати дозвіл на використання команди вставки, тому випадкові сторінки не можуть нюхати ваш буфер обміну за допомогою цього.

— Полковник тридцять два

@zzzzBov - І що не дозволить комусь додати кнопку в Javascript під назвою "Безкоштовні гроші - натисніть тут!", але кнопка насправді копіює ваш буфер обміну, а не дає вам гроші безкоштовно?

— Yay295

Пам’ятайте лише про те, що отримати доступ до буфера обміну можуть не лише програми, а насправді це не лише зловмисне програмне забезпечення.

Також є користувачі, які можуть випадково або спеціально розкрити вміст буфера обміну після отримання фізичного доступу до комп'ютера. Звичайно, тоді вони можуть завдати великої шкоди в будь-якому випадку, але отримати фактичний пароль (а не лише доступ до веб-сайтів / програм) важко (якщо ви не маєте його в буфері обміну ...)

Тож переконайтесь, що буфер обміну очищено (і це не на 100% надійно, оскільки деякі програми знову дозволяють отримати старі значення буфера обміну), або використовуйте якесь шифрування (це не банально, але навіть легко захистить від випадкового витоку пароля)

— мікус
джерело

Шифрування для цього не допоможе. Атака не проти пам’яті, в якій зберігається буфер обміну (або історія буфера обміну). Атака - це пошук вмісту буфера обміну за допомогою стандартного API буфера обміну (або запущена програма, що читає його, або інший користувач, що отримує тимчасовий доступ та ініціює вставку) .

— Пітер Кордес

Не зовсім Петро, ми не знаємо архітектури оригінального рішення, але якщо ваша програма спочатку помістить вміст у буфер обміну, а потім отримає його, він може змінити дані таким чином, щоб він був зрозумілий лише собі. Отже, коли хтось або навіть ви, хтось випадково розглядає вміст, ще не очевидно, що було всередині і як ним користуватися. Будь-який спосіб виявити звичайний текстовий пароль - це на мій погляд найвищий можливий порушення безпеки. Я б чесно ніколи не думав копіювати його в буфер обміну або текстовий файл, etx. Є кращі способи комунікації між додатками :)

— mikus

@mikus, хоча це правда, зазвичай це буфер обміну, як правило. Буфер обміну насправді корисний лише для обміну вмістом з однієї програми в іншу. Один додаток може просто зберігати зашифрований вміст у пам'яті для подальшого пошуку та уникати буфера обміну взагалі.

— trlkly

Дійсно, я ніколи не говорив інакше, але поки я не думаю, що будь-яке комерційне додаток, як LastPass, залишає щось у буфері обміну, я думаю, автор має контроль над обома програмами. Тоді він може вибрати будь-яке кодування чи шифрування, що хоче, правда? та інші способи спілкування :) Якщо його останнє збереження паролів прямого тексту в буфер обміну, то його просто неправильне додаток для використання IMO.

— mikus

Як всі згодні, буфер обміну, як правило, не є безпечним. Отже, наступне питання очевидний: як отримати складні паролі / паролі від менеджера паролів туди, де вони потрібні, не виставляючи їх по дорозі.

Шукайте менеджера паролів, який має можливість "ввести свій пароль у наступне вікно, яке ви натискаєте" або подібне. Я не знаю жодного прикладу, тому що я не параноїк щодо більшості паролів. (І я фактично запам'ятовую дуже мало паролів високої безпеки, які я використовую, як-от мій приватний ключ GPG.)

Вікі спільноти: редагуйте назви програм, які мають цю функцію:

KeePassX

Моя версія KeepassX, 0.4.3, пропонує очищення буфера обміну через X секунд (за замовчуванням до 20, але 8 добре)

— Пітер Корд
джерело