StackOverflowからのコピペをやめろ。今すぐにだ。 - Qiita

Original article:https://dev.to/dotnetsafer/rip-copy-and-paste-from-stackoverflow-trojan-source-solution-4p8f その昔コピペできない文章というものがありました。 実際は単にフォントを変えているだけというものですが、人間の目に見える文字と実際の文字が異なることを利用した攻撃の一種と見ることもできます。 さて、最近になって似たような攻撃に関する論文が公開されました。 人間には見えない文字を織り交ぜることによって、一見問題ないコードが実は脆弱になってしまうというものです。 ただ論文は堅苦しいうえに長くて読むのがつらいので、具体的に何がどうなのかよくわかりません。 平易に解説している記事があったので紹介してみます。 以下はDotnetsafer( Twitter / GitHub / Web

[akahigeg]

意識の高い系の話かと思ったらマジで怖い話だった。うちのVSCodeもなんだか制御文字は赤く表示されるようになってるな

[Fushihara]

文字の向き変えるやつはwindowsのファイル名でも.exe 隠しに使われてた。人間には早すぎたね

[skypenguins]

この手の問題の緩和策としてVSCodeでは制御文字が表示されるようになったよね

[miquniqu]

超迷惑な自動翻訳スパムサイトのことではない、マジなやつだった。あれ、これ転載してるサイトもやばいんじゃ。

[maketexlsr]

このソースをコピペすると制御文字が含まれていて…みたいなオチを想像した。これ微妙に怖いな。

[lenore]

つい最近色んなところで制御文字が見えるようになったのはこのためか。Chromeの検索窓でも

[king-zessan]

「Slackからコピペを辞めて、Discordの信頼できる人のコードをコピペするのがよいね」と言ってる人は、いずれどこかで痛い目にあうんじゃないかと……

[stefafafan]

制御文字表示させる拡張入れて生活してたけどいつの間にかVS Code本体にその機能入ってたらしい

[ys0000]

また一つVSCodeの有能さを実感してしまった。

[burnworks]

制御文字を悪用した攻撃法「Trojan Source」のお話

[rx7]

目に見えない制御文字があるかも、という話。なるほど。

[maraigue]

StackOverflowなどでコード例を貼る人が、「見た目では問題ないが、コピペすると悪意のあるコードとなる」という攻撃ができるという話。これは危ないなあ…

[k-takahashi]

『コンパイラは、一部の目に見えない文字をサポートしているため、アプリケーションをコンパイルしたときに、IDEで人間が見るコードとは異なる内容に解釈してしまう』

[UDONCHAN]

セキュリティの話

[babydaemons]

コピペコーディング、怖い怖い

[nilab]

「人間には見えない文字を織り交ぜることによって、一見問題ないコードが実は脆弱になってしまう」

[progrhyme]

目に見えない制御文字とか入ってたらヤバい

[rizenback000]

VSCodeさまさまやで

[hoppie]

多分Rustが11月に対応してたやつと同じ攻撃 https://blog.rust-lang.org/2021/11/01/cve-2021-42574.html

[sonots]

意識高い話かと思ったらセキュリティの話だった

[golden_eggg]

記事の「コメント欄」でも言及されてるけど、VSCodeならGremlinsは入れておくべきだと思う

[MonMonMon]

制御文字が埋め込まれている場合にコピペで気付けないという話

[mkusunok]

そのうち検索コピペの流れがAIによるコード補完に置き換えられたりするんだろうか？そして辞書汚染が深刻な問題となって学習対象コードの前処理が重要に

[tkmkg8m]

自分のVimでは普通に制御文字が表示されたけど、環境によってはVim/Neovimで表示されないこともあるらしい。VS Codeは大丈夫らしい。みんな自分が使ってるエディタが問題ないか確認しといたほうがよさそう。

[rin51]

制御文字を利用した攻撃だと...

[yoshitsugumi]

このコードをコピペしたら制御文字が埋め込まれていたり…

[yuki_2021]

StackOverflowには制御文字を埋め込めてしまいセキュリティ的な問題が発生してるらしい。

[klim0824]

"目に見えない制御文字を使うことで、見た目のソースコードと実行されるソースコードを違うものにしてしまう"

[koogawa]

“目に見えない制御文字を使うことで、見た目のソースコードと実行されるソースコードを違うものにしてしまうということです”

[momonga_dash]

オモロ

[hatest]

だいぶ前にもはてなのユーザー名に制御文字いれて遊んでたな。

[Cherenkov]

制御文字

[topiyama]

コード表示タグ部分コピーすると非表示制御コードも付いてくるのか

[uyotrace]

これは SO がなんとかする問題だと思うが、そもそも SO の投稿は CC 4.0 BY-SA でライセンスされているので何も考えずにコードだけコピペすると著作権侵害になる

[kobito19]

(本文中にもあるけど) Stack Overflow 関係ないな。 SO はモデレーション機能有るだけまだましちゃうか

[ext3]

Qiitaからのコピペも止めよう

[greenbow]

なるほど。制御文字で方向を変えてコメントの開始位置をごまかすのか。 / 論文のサンプルコードだけ読んだけど面白い https://arxiv.org/pdf/2111.00169.pdf

[choota]

メモ帳含めローカル環境のエディタは制御文字を表示してくれたが、ブラウザ上で開くエディタだと非表示なものがあるため大変危険。 AWSLambdaのエディタは表示、GitHubのREADMEのエディタは非表示だった。

[gabari]

SJISの恐怖再びっで感じだな

[irh_nishi]

これは怖い。自分はコピペしないけど誰かがやるかもしれん。