{"id":272302,"date":"2022-08-28T10:04:31","date_gmt":"2022-08-28T08:04:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272302"},"modified":"2022-09-18T21:16:14","modified_gmt":"2022-09-18T19:16:14","slug":"google-chrome-erlaubt-webseiten-das-schreiben-ohne-nachfrage-in-die-windows-zwischenablage","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/28\/google-chrome-erlaubt-webseiten-das-schreiben-ohne-nachfrage-in-die-windows-zwischenablage\/","title":{"rendered":"Google Chrome erlaubt Webseiten das Schreiben (ohne Nachfrage) in die Windows-Zwischenablage"},"content":{"rendered":"

[English<\/a>]Vielleicht ist das Thema dem einen oder anderen Blog-Leser bekannt – mir war es neu. Webseiten, die im Google Chrome-Browser aufgerufen werden, k\u00f6nnen ohne weitere Nutzererlaubnis oder Warnung direkt in die Windows-Zwischenablage schreiben. Das k\u00f6nnte ein Sicherheitsproblem sein, wenn diese Informationen durch Dritt-Anwendungen ausgelesen werden k\u00f6nnen.<\/p>\n

<\/p>\n

\"\"Blog-Leser Robert G. hat mich gerade per Mail auf das Thema hingewiesen (danke daf\u00fcr), welches gerade auf Hacker News diskutiert<\/a> wird.<\/p>\n

Chrome allows websites to write to the clipboard without the user's permission<\/strong><\/p>\n

Steps to reproduce:<\/p>\n

1. Visit https:\/\/webplatform.news\/ in a Chromium-based browser<\/p>\n

2. Inspect your clipboard (paste it somewhere)<\/p><\/blockquote>\n

Ich habe dies dann mal kurz probiert. Nachfolgender Screenshot zeigt die betreffende Webseite und ich habe dann einen Teil des Texts dieser Webseite zum Test markiert.<\/p>\n

\"Chrome<\/a><\/p>\n

Die obige Webseite verwendet nachfolgenden JavaScript-Code, um in die Zwischenablage zu schreiben:<\/p>\n

try {\r\n  let type = 'text\/plain';\r\n  let blob = new Blob(\r\n    [\r\n      'Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user's permission. Sorry for the inconvenience. For more information about this issue, see https:\/\/github.com\/w3c\/clipboard-apis\/issues\/182',\r\n    ],\r\n    { type }\r\n  );\r\n  let item = new ClipboardItem({ [type]: blob });\r\n  navigator.clipboard.write([item]);\r\n} catch (err) {}\r\n<\/code><\/pre>\n
Dann habe ich den Windows-Editor Notepad aufgerufen und den Inhalt der aktuellen Zwischenablage mittels Strg+V in dessen Fenster \u00fcbernommen. Das Ergebnis sieht so aus:<\/p>\n
\"Windows<\/p>\n
Es findet sich die Nachricht, dass der Browser \u00fcber die Seite Web Platform News etwas in die Zwischenablage geschrieben habe (es wurde zwar nichts vom markierten Text \u00fcbernommen, da der obige Code nur den nachfolgenden, fest vorgegebenen, Text schreibt).<\/p>\n
Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user's permission. Sorry for the inconvenience. For more information about this issue, see github.com\/w3c\/clipboard-apis\/issues\/182<\/a>.<\/p><\/blockquote>\n
Auf GitHub ist die betreffende Problematik beschrieben<\/a>. Die Webseite kann im Chrome-Browser mittels navigator.clipboard.write() oder navigator.clipboard.writeText() in die Zwischenablage schreiben, ohne dass der Benutzer davon etwas mitbekommt. Auf Github hei\u00dft es, dass sowohl der Safari als auch der Firefox eine entsprechende Benutzergeste (z.B. markieren, und mit Strg+C kopieren) verlangen. Bei meinem Test mit dem Firefox konnte die Webseite nichts in die Zwischenablage schreiben.<\/p>\n
Ich habe den Test im Ungoogled-Browser gemacht – wo das Schreiben funktionierte. Das Problem sollte also auch beim Edge oder anderen Chromium-Clones auftreten. Auf Hacker News <\/a>schreibt ein Teilnehmer dazu:<\/p>\n
Aus dem Chrome-Bug[0] geht hervor, dass dies so ge\u00e4ndert wurde, dass es ohne Geste funktioniert, weil die neue Registerkarte Text f\u00fcr ein Google-Doodle kopieren muss…<\/p>\n
Anstatt also die neue Registerkarte so zu \u00e4ndern, dass sie wie alle anderen Websites eine Geste erfordert, haben sie beschlossen, jeder Website zu erlauben, Text in die Zwischenablage zu kopieren. Nett.<\/p>\n
Ich denke, das Kopieren in die Zwischenablage muss \u00fcberarbeitet werden – auch mit einer Geste. Hassen Sie es nicht auch, wenn Nachrichtenseiten ein \"- von XYZ\" in die Zwischenablage einf\u00fcgen? Das sollte nicht m\u00f6glich sein. Ich bin mir nicht sicher, wie man das beheben k\u00f6nnte, aber es sollte behoben werden.<\/p>\n
[0] crbug.com\/1334203<\/a><\/p><\/blockquote>\n
Der Post im Bug-Report stammt wohl von einem Microsoft Mitarbeiter. Das sollte auch bei readText() zum Lesen funktionieren. Auf Hacker News <\/a>hat sich ein ehemaliger Chrome-Entwickler gemeldet, der angibt, dass das Schreiben in die Zwischenablage eine h\u00e4ufige Forderung gewesen sei.<\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Vielleicht ist das Thema dem einen oder anderen Blog-Leser bekannt – mir war es neu. Webseiten, die im Google Chrome-Browser aufgerufen werden, k\u00f6nnen ohne weitere Nutzererlaubnis oder Warnung direkt in die Windows-Zwischenablage schreiben. Das k\u00f6nnte ein Sicherheitsproblem sein, wenn diese … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4461,1356,426],"tags":[406,4328],"class_list":["post-272302","post","type-post","status-publish","format-standard","hentry","category-edge","category-google-chrome-internet","category-sicherheit","tag-chrome","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272302","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272302"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272302\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272302"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}