Chrome 版本 104 意外引入了一个错误,该错误删除了用户在他们访问的网站上批准剪贴板写入事件的要求。
此功能不仅限于 Google Chrome。Safari 和 Firefox 还允许网页写入系统剪贴板,但它们具有基于手势的保护。
Chrome 开发人员已经发现了这个问题,但尚未修复,因此它仍然存在于当前版本的移动和桌面谷歌 Chrome 浏览器中。
有什么大不了的?
系统剪贴板是操作系统上的临时存储位置。它通常用于复制粘贴,并且可能涉及敏感信息,例如银行帐号、加密货币钱包字符串或密码。
用任意内容覆盖这个临时存储空间会使用户面临风险,因为他们可能成为恶意活动的受害者。
威胁行为者可能会引诱用户访问冒充合法加密货币服务的特制网站。当用户尝试付款并将钱包地址复制到剪贴板时,网站可以将威胁参与者的地址写入剪贴板。
在某些网站上,当用户选择要从网页复制的文本时,附加内容会附加到剪贴板(通常是页面 URL)。但是,在这种情况下,剪贴板会填满任意内容,而没有任何可见的指示或用户交互。
是什么保护我免受这种伤害?
开发人员 Jeff Johnson 在一篇探讨该主题的博客文章中强调,所有支持剪贴板书写的 Web 浏览器都具有较差且不充分的保护措施。
允许网页使用剪贴板 API 的用户手势包括用于复制内容的键盘快捷键 (Ctrl+C),但在许多情况下,只需与网站进行任何交互就足够了。
Johnson 在 Safari 和 Firefox 上进行了测试,发现按下向下箭头键或使用鼠标滚轮在网站上导航会授予对加载网页的剪贴板写入权限。
考虑到这些操作的常见程度,此权限具有足够的风险,值得修复。
“当您浏览网页时,该页面可以在您不知情的情况下删除系统剪贴板的当前内容,这可能对您很有价值,并用页面想要的任何内容替换它们,这可能对您很危险下次粘贴时。为什么网络浏览器供应商允许这样做?-杰夫约翰逊
得庆幸的是,约翰逊的测试证实,网站不能滥用此权限来读取剪贴板内容,这将损害用户隐私。
我受到影响了吗?
要确定此问题是否会影响您的 Web 浏览器,您可以访问“ webplatform.news ”,然后将剪贴板内容“粘贴”到文本应用程序中,例如 Windows 记事本。
如果您看到以下消息,则您的浏览器容易受到权限滥用。
通过访问 Chrome 上的网页覆盖剪贴板
通过访问 Chrome 上的网页覆盖剪贴板
不过,并非所有基于 Chromium 的浏览器都会受到此问题的影响。在 BleepingComputer 的测试中,Brave 没有授予测试站点覆盖剪贴板的权限。
但是,Johnson 的嵌入式测试框在所有浏览器上都可以使用网站导航操作来填充访问者的剪贴板,因此差异的原因尚不清楚。
约翰逊说,过度担心这个问题的用户可以使用他的“ StopTheMadness ”扩展程序,但警告他们在任何情况下仍不能 100% 地受到任意剪贴板覆盖的保护。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Google Chrome网站出现无需询问即可写入剪贴板的严重错误
