Сайты могут записывать данные в буфер обмена Chrome без разрешения пользователя

Пользователи ПК могут использовать буфер обмена ОС для временного хранения различных данных, например пароля для сайта, файла, который нужно переместить в другое место в файловой системе или фрагмента текста, найденного на веб-ресурсе для его последующей вставки в текстовый документ или поисковую систему.

По идее, сайты никогда не должны иметь доступа к содержимому буфера обмена, по крайней мере, без разрешения пользователя. В настоящее время в Chrome и других браузерах на кодовой базе Chromium такого ограничения нет. Создатели веб-браузера Brave рассматривали возможность добавления требования жестов пользователя в 2021 году, но это так и не было реализовано в браузере. Два других популярных браузера, которые не основаны на Chromium — Firefox и Safari — защищают буфер обмена своих пользователей.

Протестировать свой браузер можно на сайте Webplatform News. Просто зайдите на этот сайт, а затем проверьте содержимое буфера обмена.

Если в нем содержится следующее сообщение, то браузер является уязвимым к несанкционированному изменению буфера обмена:

Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.

Перевод: Здравствуйте, это сообщение находится в вашем буфере обмена, потому что вы посетили сайт Web Platform News в браузере, который позволяет веб-сайтам записывать данные в буфер обмена без разрешения пользователя. Извините за беспокойство. Дополнительные сведения об этой проблеме доступны на странице https://github.com/w3c/clipboard-apis/issues/182.

Проблема затрагивает все современные браузеры на основе Chromium. Firefox и Safari требуют взаимодействия со стороны пользователя, прежде чем веб-сайты смогут копировать контент в буфер обмена устройства. Пользовательское взаимодействие в этом контексте означает, что пользователь выбирает контент на сайте и с помощью Ctrl + C или других средств копирует его в буфер обмена.

В отчете по ошибке на сайте Chromium подчеркивается, что ограничение на требование жеста пользователя перед чтением или записью в буфер обмена было снято намеренно из-за нарушения обмена «дудлами» на странице новой вкладки.

Добавление требования жестов пользователя для API readText и writeText прерывает обмен дудлами на странице новой вкладки (NTP doodle sharing). Сейчас мы ослабляем проверку, но планируем исправить это поведение, чтобы сайты не полагались на вызов этих API без пользовательского жеста. Дополнительные сведения см. в разделеNewTabPageDoodleShareDialogFocusTest.All

«Дудлы» или Google Doodles — варианты логотипа Google, которые выделяют ключевые события или людей.

На отдельной странице GitHub сделано предположение, что требование жестов пользователя может нарушить удаленную синхронизацию буфера обмена в браузерах.

А ваш браузер является уязвимым?