5834

RIGHT-TO-LEFT OVERRIDE и почему он опасен

В мобильном приложении пост отображается некорректно


Для начала вот вам безобидный пример его использования


Half Life 3 слили на торренты

https://youtu.be/dQw4w9WgXcQ#tnerrot/gro.yabetaripeht


Вот уже не настолько безобидный пример

RIGHT-TO-LEFT OVERRIDE и почему он опасен Безопасность, Unicode, Rlo, Длиннопост

Одна из этих картинок на самом деле не картинка, а исполняемый файл

Методом внимательного (очень-очень внимательного) вглядывания вы сможете найти что тут не так, но в 99% случаев вы не заметите подвоха


Как это работает


RIGHT-TO-LEFT OVERRIDE - это управляющий символ Unicode который указывает что все следующие за ним символы должны отображается справа налево (как арабский текст)

Нужна эта вещь как раз для того чтобы выводить арабский (и т.д.) текст

Так как это управляющий символ сам по себе он не отображается


Но то что текст выводится в обратном порядке означает что программы будут анализировать текст не в таком порядке в каком его видим мы

Вот где то так мы можем видеть текст

87654321

А так его будет воспринимать система

*12345678 ( * - это тот самый символ RIGHT-TO-LEFT OVERRIDE )


Таким образом ссылка вида

https://youtu.be/dQw4w9WgXcQ#tnerrot/gro.yabetaripeht

видна системе как *https://youtu.be/dQw4w9WgXcQ#tnerrot/gro.yabetaripeht (что абсолютно нормально воспринимается пикабу как ссылка на ютуб)


Также можно сделать и посреди имени файла превратив asdhkjbnasgnp.exe

в asdhkjbnas‮gnp.exe

но опять же система воспринимает его как asdhkjbnas*gnp.exe

и хоть мы видим что расширение png на самом деле система запустит его как exe файл


Таким образом вы можете случайно перейти не на тот сайт или открыть вместо картинки\документа\и т.д. exe или любой другой файл

Из моего опыта могу сказать что все вышеперечисленное работает на:

Windows любой версии (по крайней мере начиная с 7й так точно)

Большинстве браузеров (работает вариант со ссылкой, если попытаетесь скачать исполняемый файл браузер вас предупредит что это опасно)

Но не работает в архиваторах (там вместо управляющего символа выводиться прямоугольник, и направление текста не изменяется, хотя я очевидно не во всех архиваторах тестил)


Мораль сего поста такова:

Внимательно смотрите на каком сайте вы вводите пароли и есть ли шифрование

Внимательно смотрите какие файлы вы открываете на компьютере

@moderator @admin надеюсь на этот раз вы это увидите и все таки запретите использовать этот символ на пикабу

Дубликаты не найдены

+182

Спасибо за еще одну частичку паранойи.

раскрыть ветку 11
+177

Носи на здоровье.exe

раскрыть ветку 9
+149
Иллюстрация к комментарию
+182

на_здоровьеxe.png

раскрыть ветку 7
+1
Иллюстрация к комментарию
+78

У меня тут антирикролл зашкалил чутка

Иллюстрация к комментарию
раскрыть ветку 4
+115

То есть кто-то написал мод для браузера, отлавливающий рикроллы?

Этот мир ебанулся.

раскрыть ветку 1
+18

Почему бы и да?

0

Можешь скинуть?

0

Я только благодаря этому рикролу понял что мой детектор сломался

+582
Ух ты, вот это и вправду интересно и важно. Но первая мысль - надо над кем-то постебаться.

И да, если тетенек бухгалтеров не могут заставить exe не открывать, то объяснить чем новый_бланк_запись_свехе.doc опасен - вообще невозможно
раскрыть ветку 99
+234
Ну потому информационная безопасность и существует

Ставить запреты на открывание exe файлов никто не мешает

Другой вопрос в том что многие не знают что так можно

раскрыть ветку 91
+162
Я так и знал что нужно было на Windows ХР остановится
раскрыть ветку 21
+14
Есть простой и эффективный способ запретить запуск ехе, но чтобы нужные программы запускались, и примерно на 50 ПК. Желательно уложиться в один рабочий день¿
раскрыть ветку 28
+7

@bestdark‮‮


интересная вещь :)

раскрыть ветку 2
+2
А ещё файлы редактирования реестра и прочие "дырки" в системе. И по идее ведь есть ключи "не читать то что далее" и подобные? Плюс куча пустых символов и exe уже не видно (ну это самый казуальный способ).

И да, можно ли сделать так образ системы? Например многие оставляют приоритет запуска системы с флешки. Присылается куча файлов, один из них замаскированный образ. Сказано что-то вроде "записать на флешку бла бла бла".
В результате система запускается с флешки и мы получаем полный доступ к данным без ограничений и подозрений антивируса. Или это уже моя фантазия разыгралась?
раскрыть ветку 14
+1
В 10 по дефолту стоит контроль уч записей, его не придётся ставить.
раскрыть ветку 19
-1

Спасибо большое за информацию, она правда полезна.

-7

Позабавило)
Слышал о таком методе и когда вы написали про 99%, это прозвучало как вызов, сразу же начал подробно вглядываться и нашел картинку с "exe", но спрятали вы ее не очень сильно, по отношению к остальным, выделяется сильно)

ещё комментарий
+60
Православная версия: Жизнь_во_грехе.doc
+16

Нам счёт пришёл в формате js, но он не открывается. Памаги!

+1

я дяденька- бухгалтер и у нас сисадмины заблочили любое открытие экзешников и пр. нечисти

раскрыть ветку 4
+3

как будто исповедь трансвестита прочитал

раскрыть ветку 3
+61

а халва то третья где?

раскрыть ветку 9
+35
В эротических фантазиях фанатов.
раскрыть ветку 3
+37
Иллюстрация к комментарию
раскрыть ветку 2
+11

Да как так-то?

Иллюстрация к комментарию
раскрыть ветку 4
+9

Переезжай из Ингрии назад в Питер.

раскрыть ветку 3
+79
раскрыть ветку 11
+21

@moderator

тут твой ник каверкают

раскрыть ветку 6
+9
ьтакревок кин йом илабеаЗ
+9

‮ тюакревак кин йовт тут ,@rotaredom

раскрыть ветку 4
+12

А вот интересно, такой призыв работает?

раскрыть ветку 2
+63

Да:)

раскрыть ветку 1
0
Молодец, чотко)
+225

Всё из-за чертовых арабов. Если бы они писали как нормальные люди, проблем бы не было.

раскрыть ветку 30
+97

Страшный сон верстальщика UI

Иллюстрация к комментарию
раскрыть ветку 8
+120

Ещё бы цифры свои придумали!!! (шутка)

ещё комментарии
+2
Короче история. Года два назад я работал в одной компании, там был отдел андроид разработки. И им зачем-то надо было сделать в приложении опцию для арабских шрифтов. По-простому сделать не получалось, пришлось им всю вёрстку, дублировать для этих шрифтов (2 режима получалось). Делали неделю, когда почти закончили, один из них решил порыться в настройках телефона. Нашёл, что надо было просто включить арабский вариант и начальная вёрстка встала как надо.😀
+109
Если бы их не было, то проблем бы не было... :) Извиняюсь за тавтологию.
раскрыть ветку 11
+64
Иллюстрация к комментарию
раскрыть ветку 5
+7

Действительно и прогресса бы не было бы во времена Темных веков.

раскрыть ветку 3
+3
И цифр бы нормальных не было.
+2

Но ведь евреи вроде так же пишут как и арабы.

раскрыть ветку 1
+3
Неужели у этого вопроса нет окончательного решения?
+4

Где ты видел араба, который может в кодинг? Наверняка это евреи для своего перевёрнутого иврита придумали

-6

https://blackbiz.ws/threads/right-to-left-override-i-pochemu...

Вы бы хоть источник указали, @moderator,

раскрыть ветку 5
+7
хуйня ваш источник, и блекбиз хуйня (пригорело)

Как же достали супер форумы по заработку, когда половина их сделана для развода школьников на покупку привилегий\цветных ников.

Как же достало когда каждый второй форум предлагает купить gt1080 за 30 процентов от цены,когда администрация кидает людей ради своей наживы, когда используют администраторов форума только ради бесплатной работы, а сами администраторы ученики 6-8 класса, пишущие с ошибками, ведь они не на экзамене.

На что люди не пойдут ради шильдика Администратор\Друг форума

раскрыть ветку 1
+7

Фигасе источник.

+2

Источник чего я должен был указать?

+1

А почему в "Источнике" написано:

(что абсолютно нормально воспринимается пикабу как ссылка на ютуб)

Причем тут пикабу, если это изначально писалось не для пикабу?

ещё комментарии
+32

Отлично, создал целый пост, чтобы зарикроллить, мощно)

+28
Ничего не понял. Но спасибо что предупредили pikabupoznavatelexe.doc
+21
Указание на формат .exe может быть не только перед .png как в данном примере, но и в самом начале названия, так-что лучше быть вообще осторожным с файлами которые открываешь.
раскрыть ветку 6
+26
Ну тогда нужно чтобы в файле было несколько точек
Иногда может быть подозрительно
раскрыть ветку 1
+6
Если этого торрент с фильмом, то ничего подозрительного
0
Можно пример с началом
раскрыть ветку 3
+3
На вид было бы что-то типа такого
Об.успexe.и.достатке.pdf
Только это версия без ниндзя символа
С телефона геморно его вставлять
раскрыть ветку 2
+251

классная тема, мы так с другом одной стримерше донатили на твиче)

Иллюстрация к комментарию
раскрыть ветку 37
+143
Ахаахах
И че как сработало?
Судя по интерфейсу это было очень давно
раскрыть ветку 4
+180

это был самый разгар хайпа карины - январь 2016


ну чат бомбило жоско, потому что обычно данаты были тупые вида

100000 RUB! - 25 RUB!

а Карина вместо алерта смотрела в табличку свою, там нормально было видно, что 25 рублей) один раз подыграла чуть-чуть


а потом какой-то стример малоизвестный украл фишку, донатил так другим стримерам, сам собирал донаты, у друга бомбануло и он в саппорт donation alerts написал, они пофиксили)

раскрыть ветку 3
+49

что там блять вообще происходит? https://www.youtube.com/watch?v=Ifp3-jS7gSw

раскрыть ветку 13
+171

Зарабатывание денег на тупоголовых малолетках.

раскрыть ветку 10
+1

Как это можно смотреть?  Мои глаза вытекли, уши отвалились.

0

а потом меня спрашивают почему с приходом доты 2, я в неё не играю

потому что это как раз игра для вот таких вот представителей биомусора, как в видео

раскрыть ветку 3
+9
Пиздос паренёк противный.
+3
во! да, я про этого стримера
кстати да, от !BUR 52 потом получилось избавиться и выглядело вообще почти как настоящий донат, только цифры в нике палили чуть чуть.
на твоем видосе видно, как натурально выглядит донат
я даже вспомнил, как он фишку украл) ему мой друг (собственно он эту херню придумал) задонил 500к и чувак просто ник скопировал)
раскрыть ветку 1
-2
!
-15

какая симпатичная стримерша

раскрыть ветку 10
+7

Только мозг не найдешь.

раскрыть ветку 9
-27

Йа ламповаааая няяяяша!

раскрыть ветку 1
-1

сап двач, мур-мур-мур-мур, я ламповая тян!

ещё комментарии
+59

https://pikabu.ru/story/mozhno_li_verit_svoim_glazam_3619804

Эта тема уже поднималась. Баян это или нет пусть решают другие, но на что стоит обращать внимание:

#comment_52480153

раскрыть ветку 12
+59
Ну у меня ещё и про использование в браузере
Что самое смешное это то что мне казалось что я уже видел подобное на пикабу
Но ни баянометр ни поиск в гугле мне не помогли найти что-то подобное
А теперь мне кидают ссылку на пост которому я поставил оценку
+109
Пусть будет. Пост очень полезный. Не то что тонны блядских говноартов.
ещё комментарии
+8
Да кстати
Не у всех окно из того комента появится
+3

Эта тема поднималась до того, как это тема уже поднималась.

http://pikabu.ru/story/bezopasnosti_post_3587311

+2

тому посту времени очень дохуя, даже если кто то его и читал тогда, то мог забыть. Да и тема поднятая автором должна быть в топе, чтобы лишний раз напомнить пользователям, что надо следить за каждой мелочью!

+17

Получается это недоработка в Пикабу, верно? У нас тут вряд ли сидят арабы и можно спокойно переворачивать их тексты.

Но пока можно и поиграться:

https://youtu.be/dQw4w9WgXcQ#3574035/yrots/ur.ubakip//:sptth

раскрыть ветку 12
+14
Кто боится открывать
Иллюстрация к комментарию
раскрыть ветку 4
+7

Не понял, блядь..!!!
Ах ты ж сука рыжая..

Иллюстрация к комментарию
раскрыть ветку 3
+4

А расскажите глупому человеку, как так поиграться? Как Вы добавили "#3574035/yrots/ur.ubakip//:sptth" к ссылке на видео, чтобы все равно попадать, куда нужно? С другими ссылками у меня не получается, памагити.

раскрыть ветку 6
+6
После решётки в адресе страницы идёт метка на странице (типа перейти к главе, как в Википедии - сверху содержание, кликаешь - страница не перезагружается, а прокручивается). Если такой метки на странице нет, то страница просто загрузится, как будто этой решётки и всего, что за ней в адресе следует (включая этот Юникод символ), не было вовсе.
раскрыть ветку 2
+2

Как это сделал я. Берём этот текст(ctrl+c и в блокнот):

‮hh

Он уже со встроенным арабским символом.


Потом ,берём ссылку НА которую хотите отправить пользователя: В этом случае Рикролл(https://youtu.be/dQw4w9WgXcQ). Вставляем в строку с Текст. Ссылка должна перевернуться.


Добавляем в конец(начало для нас) строки символ # В итоге она должна принять такой вид ( #QcXgW9w4wQd/eb.utuoy//:sptth )


После выбираем ссылку\текст которую будет видно пользователю. (В моём случае https://pikabu.ru/story/5304753 )

Переворачиваем её с помощью любого онлайн-конвертера ( Я использовал https://ciox.ru/reverse-text ) И так же добавляем в "конец" нашей строки.

Напоследок убираем буквы hh которые у нас были при первом шаге и Готово!

раскрыть ветку 2
+7
А ещё, если внимательно посмотреть, на картинке с примером ехе-шник тень не отбрасывает, в отличии от остальных картинок🤔
раскрыть ветку 1
+3

Perception 10

+7
И тут арабы виноваты.
+5

Чё? Half Life 3 вышел?

раскрыть ветку 1
+7
Ну наконец то хоть 1 комментарий человека который на это повелся
+23

Проблемы виндохолопов.


Линуксобоярин.

Иллюстрация к комментарию
раскрыть ветку 6
+7

Не линуксбоярин, а король ГНУ. Проблем не будет, если ты не будешь открывать что попало под админом. А если под su открывать что попало в линухе, то проблемы могут быть и похуже.

раскрыть ветку 5
+6
Ну тык, не стой под стрелой, не работай под рутом
+3

Как говорится, самая большая угроза для Линукса называется "root".

раскрыть ветку 2
0
Проблем не будет, если ты не будешь открывать что попало под админом

Очень хотелось бы, чтобы люди перестали распространять это заблуждение. Для доступа к данным пользователя права админа не нужны. Именно эти данные и важны. Данные, которые на пользовательском ПК доступны только под админом, почти никому вообще нахер не нужны.

+2

Резюмирую:
Очередная проблема, вызванная блядскими арабами.
мимо-азиат

+2

А если вместо проводника консоль использовать?

раскрыть ветку 6
+6
Да просто totalcommander или Проводник в табличном виде использоватт и в отображении файлов поставить Тип, чтобы экзешники сортировались с экзешниками, а картинки с картинками
+2
А какая разница?
раскрыть ветку 4
+2
Консоль, вродь, в windows-1251 работает, не?
раскрыть ветку 3