[English]Vielleicht ist das Thema dem einen oder anderen Blog-Leser bekannt – mir war es neu. Webseiten, die im Google Chrome-Browser aufgerufen werden, können ohne weitere Nutzererlaubnis oder Warnung direkt in die Windows-Zwischenablage schreiben. Das könnte ein Sicherheitsproblem sein, wenn diese Informationen durch Dritt-Anwendungen ausgelesen werden können.
Anzeige
Blog-Leser Robert G. hat mich gerade per Mail auf das Thema hingewiesen (danke dafür), welches gerade auf Hacker News diskutiert wird.
Chrome allows websites to write to the clipboard without the user's permission
Steps to reproduce:
1. Visit https://webplatform.news/ in a Chromium-based browser
2. Inspect your clipboard (paste it somewhere)
Ich habe dies dann mal kurz probiert. Nachfolgender Screenshot zeigt die betreffende Webseite und ich habe dann einen Teil des Texts dieser Webseite zum Test markiert.
Die obige Webseite verwendet nachfolgenden JavaScript-Code, um in die Zwischenablage zu schreiben:
Anzeige
try {
let type = 'text/plain';
let blob = new Blob(
[
'Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user's permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182',
],
{ type }
);
let item = new ClipboardItem({ [type]: blob });
navigator.clipboard.write([item]);
} catch (err) {}
Dann habe ich den Windows-Editor Notepad aufgerufen und den Inhalt der aktuellen Zwischenablage mittels Strg+V in dessen Fenster übernommen. Das Ergebnis sieht so aus:
Es findet sich die Nachricht, dass der Browser über die Seite Web Platform News etwas in die Zwischenablage geschrieben habe (es wurde zwar nichts vom markierten Text übernommen, da der obige Code nur den nachfolgenden, fest vorgegebenen, Text schreibt).
Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user's permission. Sorry for the inconvenience. For more information about this issue, see github.com/w3c/clipboard-apis/issues/182.
Auf GitHub ist die betreffende Problematik beschrieben. Die Webseite kann im Chrome-Browser mittels navigator.clipboard.write() oder navigator.clipboard.writeText() in die Zwischenablage schreiben, ohne dass der Benutzer davon etwas mitbekommt. Auf Github heißt es, dass sowohl der Safari als auch der Firefox eine entsprechende Benutzergeste (z.B. markieren, und mit Strg+C kopieren) verlangen. Bei meinem Test mit dem Firefox konnte die Webseite nichts in die Zwischenablage schreiben.
Ich habe den Test im Ungoogled-Browser gemacht – wo das Schreiben funktionierte. Das Problem sollte also auch beim Edge oder anderen Chromium-Clones auftreten. Auf Hacker News schreibt ein Teilnehmer dazu:
Aus dem Chrome-Bug[0] geht hervor, dass dies so geändert wurde, dass es ohne Geste funktioniert, weil die neue Registerkarte Text für ein Google-Doodle kopieren muss…
Anstatt also die neue Registerkarte so zu ändern, dass sie wie alle anderen Websites eine Geste erfordert, haben sie beschlossen, jeder Website zu erlauben, Text in die Zwischenablage zu kopieren. Nett.
Ich denke, das Kopieren in die Zwischenablage muss überarbeitet werden – auch mit einer Geste. Hassen Sie es nicht auch, wenn Nachrichtenseiten ein "- von XYZ" in die Zwischenablage einfügen? Das sollte nicht möglich sein. Ich bin mir nicht sicher, wie man das beheben könnte, aber es sollte behoben werden.
Der Post im Bug-Report stammt wohl von einem Microsoft Mitarbeiter. Das sollte auch bei readText() zum Lesen funktionieren. Auf Hacker News hat sich ein ehemaliger Chrome-Entwickler gemeldet, der angibt, dass das Schreiben in die Zwischenablage eine häufige Forderung gewesen sei.
Anzeige
Es sind ALLE Chrome/Chromium basierten Browser betroffen, also auch Vivaldi, Opera, Edge etc.
Was bin ich begeistert!
Das bedeutet auch, dass solche Seiten unversehens den bisherigen Inhalt der Zwischenablage überschreiben – na da kommt Freude auf.
Das unselige Relikt aus Computer-Urzeiten, dass die Zwischenablage immer nur einen Inhalt haben kann, der ohne Vorwarnung überschrieben wird, ist ja nie richtig angegangen worden. Das hätte Microsoft (und ebenso die Macher anderer Betriebssysteme) in den letzten Jahrzehnten eigentlich längst lösen können. Hat MS Office noch immer die interne Mehrfach-Zwischenablage? Warum haben die das nie direkt in Windows implementiert?
Richtig heftig wird es aber noch, wenn Webseiten ungefragt Zugriff auf den vorhandenen Inhalt der Zwischenablage kriegen. Ist bei den Chrome-Entwicklern sicher schon in Arbeit…
Schon die Tastenkombination Win+v ausprobiert (Win 10, Win 11)?
Naja, wow…
Das schaffen Freeware-Tools schon längst und (selbstredend) erheblich anschaulicher als Win10+x.
Wobei, auf meinem Test-Win10 tut sich mit Win+V sowieso nichts. Offenbar habe ich es mit einer der diversen Anwenderüberwachungs-Funktionen abgestellt (ist in den Einstellungen ausgegraut mit „Einige dieser Einstellungen sind ausgeblendet oder werden von Ihrer Organisation verwaltet"): Eine vielen gar nicht bewusste Protokollierung der Zwischenablage – die ggf. auch noch auf andere Geräte oder in die Cloud übertragen wird – ist nämlich nicht gerade vertrauenerweckend.
Warum müssen die bei MS jede klitzekleine Funktionsverbesserung so überfrachten, dass sie zum Teil des Spyware-Overkills wird?
> der angibt, dass das Schreiben in die Zwischenablage eine häufige Forderung gewesen sei.
Eine häufige Forderung vom wem? Von Trackingfirmen? Von Überwachungsfirmen? Von staatlichen Stellen?
Die Gründe würden auch mich interessieren. Die Fachverlage sollten bei Google anfragen und um Auskunft bitten.
das ganze ist platformunabhängig
microsoft edge letzte stable build macht das auch auf aktuellem macos monterey.
Ist denn Edge nicht auch Chromium-basiert?
Mein FF 104.0 macht es jedenfalls nicht 👍
ja edge ist chormium basierend. ich wollte nur aufzeigen, dass es nicht nur die windows version betrifft, denn im artikel wird explizit von der windows zwischenablage gesprochen. auch andere betriebssysteme haben eine zwischenablage und sind betroffen.
Auch unter Android 11 mit Edge.
Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user's permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.
Laut https://bugs.chromium.org/p/chromium/issues/detail?id=1334203#c29 wird das Problem erst am 25.10 in der Version 107 beseitigt.
In dem Microsoft Edge Version 107.0.1407.0 (Offizielles Build) canary (64-Bit) gab es zu dem Feature eine Anpassung. Der Benutzer erhält eine Information, z.B. "webplatform.news möchte Text und Bilder in der Zwischenablage anzeigen" als Notification.