Skip to main content

Веб-сайты могут записывать данные в буфер обмена операционной системы без разрешения пользователя или каких-либо действий с его стороны. Это относится к Google Chrome и любым другим браузерам на базе Chromium. Это стало возможным благодаря недавним изменениям, внесенным разработчиками в возможность чтения и записи данных буфера обмена, что позволило Google Doodle выводить данные по сетевому протоколу NTP. В двух словах, Chromium разрешил всем сайтам обращаться к буферу обмена без необходимости получать подтверждение действий пользователя.

Буфер обмена часто используется для временного хранения конфиденциальных данных, поэтому сайты не должны иметь к нему доступ. По крайней мере, без разрешения пользователя. Например, Firefox и Safari защищают буфер от несанкционированного доступа, а Chromium решил пойти другим путем. Они считают, что добавление условий подтверждения в API readText и writeText нарушает отображение волнистых линий, вариантов логотипов Google на домашней странице Chrome, связанных с определенными событиями или людьми в определенном регионе. Поэтому разработчики ослабили этот контроль.

Чтобы проверить свой браузер, просто перейдите на сайт новостей веб-платформы и проверьте содержимое буфера обмена. Если он содержит следующее сообщение, то браузер уязвим для различных манипуляций с буфером обмена:

«Здравствуйте, это сообщение находится в вашем буфере обмена, потому что вы посетили веб-сайт новостей веб-платформы в браузере, который позволяет веб-сайтам записывать в буфер обмена без разрешения пользователя. Извините за беспокойство. Дополнительные сведения об этой проблеме см. на странице github.com/w3c/clipboard-apis/issues/182″.

Оставить комментарий