Контрабанда данных внутри эмодзи

[impwx]

Практическое применение сомнительно - слишком просто обнаруживается и вырезается, plausible deniability как в случае со стеганографией отсутствует.

[datacompboy]

Практическое применение -- обход проверки на длину строки, чтобы вызвать buffer overflow или просто стриггерить DoS вызванный медленной обработкой данных

[impwx]

Это как должна быть реализована проверка длины строки, чтобы ее можно было таким образом обойти?

[datacompboy]

Использовать длину в символах вместо длины в байтах... :)
Там, чтобы при обрезании не получать поломанных символов...

[impwx]

Не, ну если складывать метры с килограммами, то и не такое можно наворотить. Обычно получить количество байт гораздо проще, чем число видимых символов - из известных мне языков только Python делает наоборот. Другое дело, что с такой логикой всё сломается гораздо раньше - с первым символом, кодируемым более чем одним байтом. Скрытые символы ситуацию не ухудшат.

Ну а с точки зрения DoS или увеличения времени обработки они, кажется, не более опасны, чем если добавить в текст много пробелов.

[iroln]

В Python не прокатит.

[datacompboy]

Собственно, см. ниже :))

[Player17]

Как у мелкомягких, была проблема с длиной строки, после длительного пробела, который весь не отображался в окне, стояло расширение, которое, в свою очередь, тоже не было видно. Визуально вычислить вредоносный файл не было возможности.

[aborouhin]

Удивило, насколько такие экзотические кейсы обработки юникода тем не менее поддерживаются софтом. Покопировал этот смайлик туда-сюда через несколько разных приложений - везде скрытые символы сохраняются. Но не везде остаются скрытыми. Скажем, MS Word показывает смайлик и 4 прямоугольника-плейсхолдера, а WhatsApp Desktop - прямоугольник и два очень длинных пробела.

[NeoCode]

Интересно, Юникод еще не Тьюринг-полный, или уже?

[CitizenOfDreams]

Интересно, Юникод еще не Тьюринг-полный, или уже?

Он уже, кажется, может тест Тьюринга пройти (в отличие от его создателей).

[Rive]

Некоторые медиаторы (мессенджеры, форумы и т. п.) просто вырежут странные внедрения в юникод (возможно, это санация против попыток взлома).

[SergeyNovak]

Проверил в телеге. Отправил и оно даже преобразовало смайлик в анимашку. Выбирал и в режимередактирования и без редактирования полное сообщение копировал. Вставил в декодер - увидел свой текст.

[SquareRootOfZero]

Наверное, чем-то таким занимался бы Ленин вместо письма молоком, если бы тот рассказ написали веком позже.

[akakoychenko]

Ох, как же на днях меня текст с эмодзи выбесил... Делаешь len(text) в python - ровно 255 символов. Вставляешь в Microsoft SQL Server в поле nvarchar(255), и ловишь ошибку переполнения буффера...

[mkmax]

Вставил в пуск-выполнить. Да, очень скрытые символы. Блокнот тоже красиво рисует.

[CitizenOfDreams]

Никогда не думал, что буду с ностальгией вспоминать времена 437, 866, 1251 и 8859, когда с кодировками все было так просто, понятно и безопасно.

[itdude]

Я бы сказал, что РІ те времена РЅРµ РІСЃС‘ РїСЂСЏРј так хорошо было.

[gafaroff77]

:) лучше и не сказать.
Даа, время Shtirlitz минуло с приходом UTF8. Однако, все еще в запасах держу сей инструмент, иногда пригождается.

[ufm]

оХГДЕЖ!

[nesolodov]

Там, на HN, была ещё одна интересная ссылка: https://github.com/KuroLabs/stegcloak
шифрование скрытой полезной нагрузки с помощью AES-256-CTR

[Xobotun]

У вас в https://github.com/KuroLabs/stegcloak  затесался, и ссылка побилась. Или это шутка юмора была?

[Drazd]

Да, но... В Notepad++ "спрятанные" символы видно очень бытсро. Соответственно всякие DLP будут находить подобные утечки