所有现代的Web浏览器都支持零宽度字符。这些字符可能会添加到页面上的文本中,而用户不会知道这些字符,也无法用肉眼识别出文本中包含其他字符。
英国安全研究人员汤姆·罗斯( Tom Ross)描述了零宽度字符如何用于将登录用户的用户名添加到用户复制的文本中。不可见信息包含在粘贴作业中,然后要做的只是运行检查以显示隐藏的字符。
尽管该方法可能根本无法识别用户在Internet上的活动,但可以使用零角字符来显示泄漏源或重要的泄漏信息。
以下文字摘录包含十个零角字符:例如,我已经在这句话中插入了十个零角空格,可以告诉您吗?
这些字符是肉眼看不见的,并且在粘贴复制的文本时也可能不会显示。如果通过拼写检查将文本粘贴到编辑器中,您会注意到拼写检查会标记看起来很正常的单词。
零宽度字符
但这可以通过在单词的开头或结尾而不是单词中间添加字符来轻松避免。
Ross发布了一个概念证明,其中他将用户名转换为二进制(一列零和一个字符),以使用零宽度字符复制该用户名。
因此,如何检测复制的文本是否包含零宽度字符?
您可以将文本粘贴到显示这些字符的编辑器中。转到DiffChecker,然后将文本粘贴到站点的左侧文本字段中。
差异检查器
您会立即注意到,该网站在您粘贴到该网站的文本中显示零宽度字符。如果文本显示正常,则文本是干净的。
您还有另一种选择,就是使用Chrome扩展程序用emojis替换零宽度字符。
扩展程序在激活后会用表情符号替换它在Google Chrome浏览器中访问的网站上检测到的所有零角字符。
零宽度字符指纹
只需安装扩展程序并单击其图标,然后单击“显示我”按钮即可显示页面上所有隐藏的零宽度字符。
如果您不希望粘贴的文本有可能被追溯到您,则在您要复制文本时可能需要激活扩展名。
结束语
零宽度字符只是Internet用户在连接到Web时需要注意的最新内容。(通过Bleeping计算机)