注意不可见的Unicode,可能会有极大风险。

最新推荐文章于 2024-03-13 19:09:39 发布
最新推荐文章于 2024-03-13 19:09:39 发布
阅读量1k 收藏 1
点赞数 1
文章标签: macos windows Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43090594/article/details/128561820
版权

眼见为实?也许并不那么简单。

在数字世界里,你的一切行为,可能都不简单,甚至危机四伏!

通过下面的例子,我们看看,最简单的文字信息可能会有怎样的风险,我们展示对话双方微信的截屏:

左面是苦主小冤大头的手机截屏(iPhone): 右面是黑心借款人的手机截屏(华为):

双方显示的金额是不一样的!!

神奇吗?恐怖吗?你眼中的28000 在人家的手机上就是 82000.

要说明的是:这不是PS,这不是魔术!也不是手机鄙视链!100%可以再现!

你看见的东西,也许并不是那么真实,或者说,它是100%真实的,不过不是你理解的那样

我们说眼见为实,就是我们应该只相信看见的东西,但实际上,你看见了吗?诚然,你的眼睛没问题,但是你的(善良而简单的)眼睛看不见所有的东西。

上面的例子里面,你觉得是哪里出了问题?

  1. 手机系统问题,

  1. 微信做了过滤、替换(和谐?);

  1. 眼睛(脑子)坏了

偶然发现这个现象的时候,我们的反应是跟您一样的,一定是小概率的错误,甚至怀疑是程序员的玩笑或者彩蛋。

我们求证的过程是:

1.把发生错误的文字拷贝到notepad(一个最简单的编辑软件),再重新黏贴出来,通常这样能去掉一些不可见的格式和非文本(比如颜色、字体,这些在notepad里面都没有)。结果依然没有变化。

更诡异的事情是:

你只要把这段话贴在微信的编辑区,即使没有发送,内容就已经不一样了!

QQ上也是如此。

2.继续尝试,换掉文中发生错误的文字,(实际上用你输入的任何其他文字)都没发生这个现象,只是和原来的那一段(有毒)的文字有关,那么再来审视这句神奇的文字吧。

贴到Word、Excel中,发现显示不正常,在Word中几乎不能编辑,真有毒:

只能再进一步,用码农利器VSCode看看:

这下秒懂了!

这里面原来藏着两个不可见的Unicode字符 U+202E和U+202C(准确地说是UTF-8,至于UTF-8请自行度娘),我们先去去看看这个U+202E和U+202C 是何方神圣?

关于Unicode,可移步:

统一码_百度百科 (baidu.com)

这两个码是在Unicode 的官方文档里面有说明:

Unicode - Unicode 字符百科 (unicode-table.com)

What?这个202E能够让字符从右向左排?ABC 变成 CBA?

更可笑(幽默)的是,网站上自己直接做了个示范:

而202C是取消这个格式,恢复原来的从左向右,防止一直从右向左。

脑补一下:Unicode是一个非常严格的字典(对照表),它几乎把所有目前各国的语言文字中的字、字母、常用符号都编了码,(但是东亚的古文字应该不在其中),如果不是各国各地各种软件普遍接受Unicode字典,全球不同语言环境下的沟通是不可能的。

比如:中文的“一”是Unicode中第一个中文字,其代码是:4E00,差不多是第19968个字符。

只有普遍接受这个Unicode字符集,我们才能轻易地从中文电脑上写出泰国人能看懂的泰文信,老外电脑也能显示我们的中文字符。甚至常见的表情符号(emoji),都是在Unicode里面定义的(ὠ0是1F600)。Unicode每年都会吸收新的字(符号)进去,因为Unicode可以容纳114112个字符,至少现在看起来是足够了。

但是真的所有人都明白上面这个淘气鬼(U+202E),从右向左强制格式符吗?为什么会有这个错误呢?

这个错误的出现,就是因为大家(各种软件和系统)没有达成一致。显然,windows、安卓、苹果的操作系统对Unicode的支持和容忍(所谓容忍:是说,我虽然看不懂你,但是我不清除你)是不一致的。

我们的分析,Windows和安卓是按照Unicode的本意进行了格式化,也就是进行了从右向左的排列,但是苹果完全忽略了这个格式符。可以想象,其他的操作系统和软件(是的,软件可能会有自己的过滤机制,比如word和excel就不一样),都可能出现不一样的处理方式。

那么问题就来了。

如果我从安卓手机发送的一条:“2万8“的信息中暗藏了格式符,其转义的意思应该是8万2,而在接收方的苹果手机上,由于忽略了格式符,显示出来就可能变成了“2万8”,苹果手机用户发送回这一条时,安卓手机上又变成了8万2。而且,由于发送手机的截屏和接收手机的截屏是不一样的(虽然信息是同一条),这就可能被坏人利用。这时,单方的截屏作为法律证据就完全不可信了。

是否还有更危险更隐蔽的方式?也许,我就不能在这里示范了,你懂的。

基于这个发现,我们有几点建议:

  1. 建议和各厂商统一对Unicode的处理方式;

  1. 对即时通信类应用,应约束对不可见Unicode的支持。毕竟超出了大部分人的应用场景。

  1. 向法律界提醒,单方的截屏作为证据,其可信度存疑。甚至云端的记录也不可信。

  1. 对普通用户来说,提高风险意识,在网络上不要无脑复制黏贴转发。

更深一步的思考:在数字世界里,存在不同的认识层次。文字看起来最直白,但是这个例子表明了,文字也可能不那么简单。

推广到语音、图片和视频,牵涉到更多话题:语音和图片是否经过篡改?是否侵犯了他人的知识产权?其复杂性又是文字所不能比拟的。这正是我们团队正在进行的研究方向之一:数字水印技术。我们研究的目的就是保护原作者的知识产权、防止篡改和侵权,同时让使用者留下痕迹,防止抵赖。

如果帖子中技术成分有点多,或者技术上有偏颇,都请谅解。我通过这个例子只为了说明:眼见并不为实。

在简单的文字下面,可能是个陷阱。同样在网上转来转去的视频和图片中,又有多少是真实的呢?

原帖:眼见并不为实!注意你的聊天记录! - 知乎 (zhihu.com)

weixin_43090594
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Qt开发经验总结
草上爬的博客
12-02 8176
增加了很多轮子,同时原有模块拆分的也更细致,估计为了方便拓展个管理。把一些过度封装的东西移除了(比如同样的功能有多个函数),保证了只有一个函数执行该功能。把一些Qt5中兼容Qt4的方法废弃了,必须用Qt5中对应的新的函数。跟随时代脚步,增加了不少新特性以满足日益增长的客户需求。对某些模块和类型及处理进行了革命性的重写,运行效率提高不少。有参数类型的变化,比如 long * 到 qintptr * 等,更加适应后续的拓展以及同时对32 64位不同系统的兼容。
大数据分析案例-基于决策树算法构建银行客户流失预测模型
m0_64336780的博客
02-07 1万+
银行客户流失是指银行的客户终止在该行的所有业务并销号。但在实际运营中,对于具体业务部门,银行客户流失可以定位为特定的业务终止行为。商业银行的客户流失较为严重,流失率可达20%。而获得新客的成本是维护老客户的5倍。因此,从海量客户交易数据中挖掘出对流失有影响的信息,建立高效的客户流失预警体系尤为重要。时代与技术的发展使得数据的获取与挖掘成为可能,本实验将通过python对用户做特征分析和顾客流失分析,帮助银行发现并改善顾客体验,以及确定挽留的目标顾客并帮助银行制定方案。
解决复制时带有Unicode不可见字符
weixin_41544866的博客
04-16 1627
解决复制时带有Unicode不可见字符 onblur="$(this).val(this.value.replace(/[^\u4e00-\u9fa5a-zA-Z0-9-']/, ''))"
利用 Unicode 不可见字符简单解决 contenteditable 自动生成 font 标签的问题
supertsubasa的博客
12-03 411
利用 Unicode 不可见字符,可以简单解决 contenteditable 自动生成 font 标签的问题
不可见的unicode字符
深海微澜
05-22 2393
项目中执行到代码如: x = x.encode(encoding) 报错:'latin-1' codec can't encode character u'\u202d' in position 0: ordinal not in range(256)。 可见是编码问题。报错信息显示这个x字符串中含有异常的字符u'\u202d',奇怪的是这个x对应到我代码中只是一个简短的数字而已,此处为mem后的数字98304,并没有u'\u202d'字符,奇怪了... mem: 98304 于是查了下原来.
[432]Unicode不可见字符
周小董
11-22 5644
不可见字符”\u200b”为 Unicode Character ‘ZERO WIDTH SPACE’ (U+200B),可用于内容标识,不占位数。 value = str_replace("\xe2\x80\x8b", '', value); value = str_replace("\xe2\x80\x8c", '',&nb...
Unicode不可见字符的显示
u011317250的博客
01-09 1万+
Unicode的学名是”Universal Multiple-Octet Coded Character Set”,简称为UCS 不可见字符”/u200b”为 Unicode Character ‘ZERO WIDTH SPACE’ (U+200B),可用于内容标识,不占位数。 echo $LANG可以显示出Linux系统的编码方式,一般默认为UTF-8。 在Linux终端中”/u200b”为不可
golang处理0x08不可见unicode字符
小知识折射大智慧
03-03 4346
golang An invalid XML character (Unicode: 0x8) was found
从0开始,设计研发一个全功能通用大数据系统
热门推荐
GitChat
04-12 6万+
在计算机产业发展的70年时间里,每一次的 IT 革命,无不带来:更低廉的价格、更完善的功能、更便捷的使用、更广阔的市场! 大数据经过10年发展,现在已经到了一个重要的分水岭阶段:通用性和兼容性能力成为大数据发展主流,运行的稳定可靠和使用的简捷、易开发、易维护成为产品发展的驱动力,而这正是 Hadoop/Spark 这类积木式模块框架无法满足的。 本 Chat 讲述这样一个通用大数据系统:系从0开始...
计算机考研考博经典考题汇总(一次刷新世界观-我相信VIP总是有原因的)
weixin_44077556的博客
07-17 4万+
操作系统 操作系统的特点? – 共享:资源可被多个并发执行的进程使用 – 并发:可以在同一时间间隔处理多个进程,需要硬件支持 – 虚拟:将物理实体映射成为多个虚拟设备 – 异步:进程执行走走停停,每次进程执行速度可能不同,但OS需保证进程每次执行结果相同 进程的三个组成部分? 程序段、数据段、PCB(Process Control Block) 并发与并行区别? 并发:同一间隔 并行:同一时刻 进程切换的过程? 保持处理机上下文 -> 更新PCB -> 把PCB移入相应队列(就绪、阻塞) -&g
自用JAVA基础面试八股文(简单易记不踩坑)
最新发布
weixin_53805188的博客
03-13 937
java基础易懂的实时更新知识点,自用!!!!
out-of-character:删除不可见的unicode字符
05-09
从文本中删除不可见的unicode字符 npm install out-of-character ( 和( Unicode有字符,它们故意不呈现任何内容。 对于历史语言的文化特质而言,这很酷。 但是,更经常地,它们的使用是无意的(或 ) ,并且这些字符最终导致解析文本格式时出现问题。 这些有时称为“零宽度” , “可忽略”或“标签字符”。 该库可帮助发现并删除这些小伙子,以免造成麻烦。 请记住,某些文本应具有高棉语元音或Kaithi-字母字符。 命令行界面 npm install -g out-of-character 检测目录中所有文件中的不可见字符 out-of-character ./path/to/dir 从目录中的所有文件中删除它们 out-of-character ./path/to/dir --replace 检测文件中的不可见字符 out-of-chara
特殊字符Unicode
03-01
博文链接:https://qualenac.iteye.com/blog/154970
各个国家 不同字符集的unicode 编码范围
04-07 7560
<br />0000-007F:C0控制符及基本拉丁文 (C0 Control and Basic Latin)<br />0080-00FF:C1控制符及拉丁文补充-1 (C1 Control and Latin 1 Supplement)<br />0100-017F:拉丁文扩展-A (Latin Extended-A)<br />0180-024F:拉丁文扩展-B (Latin Extended-B)<br />0250-02AF:国际音标扩展 (IPA Extensions)<br />02B0-0
特殊不可见字符Unicode编码
Admans的专栏
12-06 711
【代码】特殊不可见字符Unicode编码。
看不见的Unicode码让敏感词轻松逃过审核,谷歌IBM都中招
量子位
08-11 424
丰色 发自 凹非寺量子位 报道 | 公众号 QbitAIUnicode码作为全世界文字的统一编码,使用范围广,用它去对NLP模型做对抗攻击,可谓中招一大片。就比如下面这个谷歌翻译:文字部分...
unicode字符大全可复制_说说Excel不可见字符的那些事
weixin_39562615的博客
12-09 1787
今天小伙伴问了个问题看上去啥也没有,为什么黏贴到记事本上前面那么多空白呢?典型的不可见字符惹出来的麻烦,这个往往是公司软件导出数据造成的我们今天就来细说说不可见字符的那些事拿上面的例子说明大部分不可见字符,这一步就能看出原型,上图是前面不可见下面图为后面不可见字符鼠标放过去,看到后面也有一段不可见字符这里介绍一个函数CODE函数,它是返回一个文本字符串在本机字符集代码这里我们拿第一个字符出来,看...
UniCode编码表
weixin_30654419的博客
08-20 6309
Unicode编码则是采用双字节16位来进行编号,可编65536字符,基本上包含了世界上所有的语言字符,它也就成为了全世界一种通用的编码,而且用十六进制4位表示一个编码,非常简结直观,为大多数开发者所接受,特别是十六进制编码后,可以解决汉字在js再编码过程中出现乱码问题,提高解释速度,我们建议在js脚本中使用十六进制unicode编码。 UniCode汉字转换,网上很多,但相对比较好使的比较少,...
中文空格字符与英文空格字符怎么区分_清除工作表中的空格/非打印字符?TRIM与CALEN都无法清除时怎么办...
weixin_39667452的博客
12-03 2642
你好,我是小必,感谢与你在这里相遇。我的第299篇原创Excel文章今日内容:Excel工作表中打打印字符或空格。今天有位小伙伴问了一个关于工作表单元格中的空格与非打印字符。但是常规的替换,使用TRIM函数与CALEN常规函数是无法删除。如图所示,是待清除的字符串的内容。每个姓名的前面或者末尾都有一个空格或者非打印字符。对于上面的字符串的长度使用LEN函数测一下,看看与实际的长度对比:先使用常规的...
ios开发删除不可见的unicode字符
09-03
iOS开发中删除不可见的Unicode字符可以通过以下步骤实现: 步骤1:获取字符串中的Unicode字符 ...注意:上述代码仅演示了删除不可见的Unicode字符的基本思路,具体的实现可能根据你的需求而有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值