Google Chrome дозволяє сайтам записувати дані з буфера обміну без відома користувача

Веб-сайти можуть здійснювати запис із буфера обміну операційної системи без дозволу користувача або будь-яких дій з їхнього боку.

Це стосується Google Chrome та будь-якого іншого браузера на базі Chromium. Таке стало можливим завдяки недавнім змінам, внесеним розробниками для того, щоб можна було читати та записувати дані з буфера обміну, тим самим дозволяючи виводити дудли (Google Doodle) за допомогою мережевого протоколу NTP. Простіше кажучи, Chromium дозволили всім сайтам звертатися до буфера обміну без необхідності отримувати підтвердження дій від користувача.

Буфер обміну часто використовується для тимчасового зберігання конфіденційних даних, тому сайти не повинні мати доступу до нього. Принаймні без дозволу користувача. Наприклад, Firefox і Safari захищають буфер від несанкціонованого доступу, але Chromium вирішили піти іншим шляхом. Там вважають, що додавання умов підтвердження для API readText та writeText перериває виведення дудлів — варіантів логотипів Google на стартовій сторінці Chrome, пов'язаних із певними подіями чи людьми у тому чи іншому регіоні. Тож розробники послабили цю перевірку.

Щоб протестувати свій браузер, достатньо зайти на веб-сайт Webplatform News, після чого перевірити вміст буфера обміну. Якщо в ньому міститься наступне повідомлення, значить браузер вразливий для різних маніпуляцій із буфером обміну:

«Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see github.com/w3c/clipboard-apis/issues/182».