谁窃取了你的剪贴板中的内容？

Who’s stealing your clipboard contents?
谁窃取了你的剪贴板中的内容？

Blogger: Tom Olzak
英文来源：http://blogs.techrepublic.com.com/security/?p=137&promo=102&tag=nl.e102&cval=TR_today&ctype=default

翻译：endurer
2007-01-21 第1版

Category: Security, Microsoft, Threats, Windows, It Management, IE, vulnerability, data theft
分类：安全，微软，威胁，视窗，IT管理，IE，漏洞，数据窃取

Windows Clipboard data is at risk when using IE to surf the web.  Unless an organization modifies default IE security settings for versions 4 thru 6, information copied to the Windows clipboard can be easily retrieved by an unscrupulous webmaster.
在使用IE在网上冲浪时，Windows剪贴板数据处于危险中。除非组织机构修改版本为4-6的IE的默认安全设置，拷贝到Windows剪贴板中信息可能会轻易地被无道德的网络管理员获取。
A demonstration of this “feature” is provided at scriptmagic.com.  When I first visited this site, my clipboard was empty.  Not to be deterred from discovering just how vulnerable my IE 6 implementation system is, I followed the instructions and copied information to my clipboard.  The results appear below:
在scriptmagic.com提供了一个这个“特性”的演示。当我第一次访问这个网站时，我的剪贴板是空的。发现正是我易受伤害的,有弱点的IE 6工具系统是如此脆弱，我按着指令并拷贝信息到剪贴板。结果如下：
《endurer注：deter from:阻止》

I typed the text shown in the red box into Microsoft Word.  Once I selected and copied the sentence into my clipboard, it immediately appeared on the web site.
我把红框中显示的文本输入微软字处理程序。当我选择并拷贝句子到剪贴板，它立即显示在网站上。
By default, IE 7 asks the user if she wants to honor the web site request for the contents of the clipboard.  At least that's what's supposed to happen.  My IE 7 installation locked.  Opera and Firefox don't give up your clipboard information without your knowledge.
在默认情况下，如果IE 7想批准网站对剪贴板内容的请求，她要询问用户，至少我认为这是应该有的。我的IE安装锁定了。Opera 和 Firefox不会背着你放弃剪贴板信息。
《endurer注：without sb's knowledge:背着某人，不告诉某人》

Microsoft does provide instructions in Article 224993 for either turning off the transparent retrieval or prompting the user when a request for the clipboard information is made.  Be sure to properly configure the Allow paste operations via script security settings in IE to protect data leaks due to normal system operation.  Organizations with hundreds or thousands of IE users are at significant risk of leaking bits and pieces of ePHI, PII, or intellectual property.
微软在文献224993中提供了指令，关闭透明回应或在要求剪贴板内容出现时提示用户。一定要在IE的安全设置中正确地配置“允许通过脚本进行粘贴操作”《endurer注：要配置“允许通过脚本进行粘贴操作”，可以这样进行：开始->设置->控制面板->Internet选项，选择[安全]选项卡->点击[自定义级别]按钮，在“设置”项目里找到。》来保护由于正常系统操作造成的数据泄漏。有成百上千的IE用户的组织处于漏洞字节和ePHI（Environmental Public Health Indicators (EPHIs) ，电子健康信息）片段，PII（personally identifiable information，个人可标识信息），或知识产权的严峻险境。

《endurer注：1、Be sure to:必定,一定
2、due to:因为,由于
3、at risk:处境危险
4、intellectual property:知识产权》