js_lis 3.0.1 → 3.1.1

package/README.md

@@ -21,6 +21,14 @@ It is intended for high-risk input scenarios where users want an additional defe
 - It is also intended to reduce risk from interception workflows commonly demonstrated with network attack tools such as **bettercap** (for example, injected key-capture scripts in compromised environments).
 - No client-side tool can guarantee complete protection. Security still depends on HTTPS, trusted networks, endpoint hygiene, and browser integrity.
 
+### Key Security Features
+
+- **AES-GCM Memory Encryption**: All keystrokes are buffered and encrypted in-memory using the Web Crypto API (AES-256-GCM). The actual DOM elements never store the plaintext values.
+- **Shadow DOM Isolation**: The keyboard UI is rendered inside a `closed` Shadow DOM to prevent malicious external CSS/JS from sniffing or tampering with the keys.
+- **Anti-Clipboard Sniffing**: Blocks unauthorized `copy`, `cut`, and `execCommand("copy"/"cut")` actions to prevent clipboard hijacking.
+- **IME Reconciliation**: Safely handles Input Method Editors (like Thai or Chinese typing) natively without exposing the secure buffer.
+- **Dynamic Scrambling**: Provides an optional dynamic key scramble to thwart clickjacking or screen coordinate tracking.
+
 ### Installation
 
 ```bash
@@ -91,6 +99,14 @@ window.addEventListener("DOMContentLoaded", () => {
 - รวมถึงสามารถช่วยลดความเสี่ยงจากรูปแบบการโจมตีที่มักสาธิตผ่านเครื่องมือเครือข่ายอย่าง **bettercap** (เช่น การแทรกสคริปต์เพื่อดักรับข้อมูลการป้อนในสภาพแวดล้อมที่ถูกบุกรุก)
 - อย่างไรก็ตาม เครื่องมือฝั่งผู้ใช้เพียงอย่างเดียวไม่สามารถรับประกันการป้องกันได้สมบูรณ์ จำเป็นต้องใช้ร่วมกับ HTTPS, เครือข่ายที่เชื่อถือได้, ความปลอดภัยของเครื่องผู้ใช้ และความน่าเชื่อถือของเบราว์เซอร์
 
+### ฟีเจอร์ด้านความปลอดภัยที่สำคัญ
+
+- **การเข้ารหัสหน่วยความจำด้วย AES-GCM**: ทุกการกดแป้นพิมพ์จะถูกบัฟเฟอร์และเข้ารหัสในหน่วยความจำชั่วคราวด้วย Web Crypto API (AES-256-GCM) ข้อความต้นฉบับจะไม่ถูกเก็บเป็น plaintext ใน DOM elements
+- **การแยกส่วนด้วย Shadow DOM**: หน้าคีย์บอร์ดจะถูกเรนเดอร์อยู่ภายใน `closed` Shadow DOM เพื่อป้องกันไม่ให้ CSS/JS จากภายนอกแอบอ่านหรือแก้ไขปุ่มคีย์บอร์ด
+- **ป้องกันการแอบอ่านคลิปบอร์ด (Anti-Clipboard Sniffing)**: บล็อกการดักจับคำสั่ง `copy`, `cut`, และ `execCommand` ที่ไม่ได้รับอนุญาตเพื่อป้องกันการขโมยข้อมูลจากคลิปบอร์ด
+- **รองรับ IME อย่างปลอดภัย**: จัดการกับการพิมพ์ผ่าน Input Method Editors (เช่น ภาษาไทย) ได้อย่างถูกต้องโดยที่ยังคงแยกบักเฟอร์ข้อมูลอย่างปลอดภัย
+- **การสลับตำแหน่งปุ่ม (Dynamic Scrambling)**: มีฟังก์ชันสลับตำแหน่งปุ่มแบบสุ่มเพื่อป้องกันการติดตามพิกัดการคลิกบนหน้าจอหรือ clickjacking
+
 ### การติดตั้ง
 
 ```bash

package/VirtualKeyboard.js

@@ -1,27 +1,32 @@
 import { layouts } from "./layouts.js";
 import { getCSS, injectCSS } from "./style/kbstyle.js";
 
-//AES-GCM ผ่าน WeakMap
+//AES-GCM ผ่าน WeakMap พร้อม Fallback สำหรับ HTTP
 class SecureBufferStore {
   constructor() {
     this._store = new WeakMap();
+    this.hasCrypto = typeof crypto !== 'undefined' && !!crypto.subtle;
   }
 
   //สร้างกุญแจเข้ารหัส
   async _getEntry(inputEl) {
     if (!this._store.has(inputEl)) {
-      const key = await crypto.subtle.generateKey(
-        { name: "AES-GCM", length: 256 },
-        false, // ไม่ export ออก
-        ["encrypt", "decrypt"]
-      );
-      const iv = crypto.getRandomValues(new Uint8Array(12));
-      const ciphertext = await crypto.subtle.encrypt(
-        { name: "AES-GCM", iv },
-        key,
-        new TextEncoder().encode("")
-      );
-      this._store.set(inputEl, { key, iv, ciphertext });
+      if (this.hasCrypto) {
+        const key = await crypto.subtle.generateKey(
+          { name: "AES-GCM", length: 256 },
+          false, // ไม่ export ออก
+          ["encrypt", "decrypt"]
+        );
+        const iv = crypto.getRandomValues(new Uint8Array(12));
+        const ciphertext = await crypto.subtle.encrypt(
+          { name: "AES-GCM", iv },
+          key,
+          new TextEncoder().encode("")
+        );
+        this._store.set(inputEl, { type: 'crypto', key, iv, ciphertext });
+      } else {
+        this._store.set(inputEl, { type: 'fallback', text: '' });
+      }
     }
     return this._store.get(inputEl);
   }
@@ -29,26 +34,34 @@ class SecureBufferStore {
   //ถอดรหัสชั่วคราว
   async read(inputEl) {
     if (!this._store.has(inputEl)) return "";
-    const { key, iv, ciphertext } = this._store.get(inputEl);
-    try {
-      const plain = await crypto.subtle.decrypt({ name: "AES-GCM", iv }, key, ciphertext);
-      return new TextDecoder().decode(plain);
-    } catch {
-      return "";
+    const entry = this._store.get(inputEl);
+    if (entry.type === 'crypto') {
+      try {
+        const plain = await crypto.subtle.decrypt({ name: "AES-GCM", iv: entry.iv }, entry.key, entry.ciphertext);
+        return new TextDecoder().decode(plain);
+      } catch {
+        return "";
+      }
+    } else {
+      return entry.text;
     }
   }
 
   //เข้ารหัสใหม่
   async write(inputEl, plaintext) {
     const entry = await this._getEntry(inputEl);
-    const iv    = crypto.getRandomValues(new Uint8Array(12));
-    const ciphertext = await crypto.subtle.encrypt(
-      { name: "AES-GCM", iv },
-      entry.key,
-      new TextEncoder().encode(plaintext)
-    );
-    entry.iv         = iv;
-    entry.ciphertext = ciphertext;
+    if (entry.type === 'crypto') {
+      const iv = crypto.getRandomValues(new Uint8Array(12));
+      const ciphertext = await crypto.subtle.encrypt(
+        { name: "AES-GCM", iv },
+        entry.key,
+        new TextEncoder().encode(plaintext)
+      );
+      entry.iv = iv;
+      entry.ciphertext = ciphertext;
+    } else {
+      entry.text = plaintext;
+    }
   }
 
   //ค่าเริ่มต้นให้กับ Input

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "js_lis",
-  "version": "3.0.1",
+  "version": "3.1.1",
   "main": "index.js",
   "scripts": {
     "test": "echo \"Error: no test specified\" && exit 1"
@@ -9,4 +9,4 @@
   "author": "",
   "license": "ISC",
   "description": ""
-}
+}