The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Chrome внесено изменение, допускающее запись в буфер обмена без действий пользователя

27.08.2022 08:50

В выпуске движка Chromium 104 изменено поведение, связанное с записью в буфер обмена. Если в Firefox, Safari и старых выпусках Chrome запись в буфер обмена допускалась только после явных действий пользователя, то в новых выпусках для записи достаточно просто открыть сайт. Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выполнении теста, проверяющего работу заставки Google Doodle на странице открытия новой вкладки. Вместо специфичной обработки данной ситуации, в Chromium просто разрешили всем сайтам обращаться к буферу обмена (читать и записывать) без необходимости предварительных действий со стороны пользователя.

Возможность записи работает при вызове методов navigator.clipboard.write (пример) и navigator.clipboard.writeText (пример), которые теперь не учитывают активность пользователя на странице. Например, для записи в буфер обмена сразу после открытия сайта достаточно выполнить следующий JavaScript-код:


  navigator.clipboard.writeText('Hello from the web page.');


  let type = 'text/plain';
  let blob = new Blob(['Hello from web page'], { type });
  let item = new ClipboardItem({ [type]: blob });
  navigator.clipboard.write([item]);


  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: В Firefox тестируют возможность распознавания текста на изображениях
  3. OpenNews: Arch Linux, Fedora, Debian, Slackware и openSUSE могут отказаться от поставки Chromium
  4. OpenNews: В Chromium добавлена возможность локального запрета просмотра кода web-страниц
  5. OpenNews: Консорциум W3C представил JavaScript API для управления буфером обмена
  6. OpenNews: Использование JavaScript для атаки через манипуляцию с содержимым буфера обмена
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57684-chrome
Ключевые слова: chrome, clipboard
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (113) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:11, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +31 +/
    необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle
     
     
  • 2.4, Аноним (4), 09:31, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Author: Anupam Snigdha <snianu@microsoft.com>

    Зачем майкрософту гугл дудл?

     
     
  • 3.12, EuPhobos (ok), 10:11, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вдруг вы Ctrl+C сделали на своём пароле, что бы ввести в форму на каком ни будь сайте?
    Гугл заботится об этом! Что бы пароль не вводили где попало, гугл просмотрит ваш буфер обмена и теперь предотвратит утечку пароля, перезаписав его своим! Всё ради вашей же "бесАпастности"!
     
     
  • 4.110, Аноним (-), 17:56, 29/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так это... вон там пароль от вашей точки доступа сбэкапали, а от вон того сайта - в "бэкап" не попало. Безобразие!
     
  • 3.51, Всем Анонимам Аноним (?), 13:46, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Какой-то программист отключил это дело чтобы какой-то тест прошел.
    А opennet уже пишет про теорию заговора, что опять нехороший Гугл сеит зло специально.
     
     
  • 4.52, Всем Анонимам Аноним (?), 13:48, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Причем со ссылкой на issue, где как раз эту оплошность и обнаружили.
     
  • 4.115, Michael Shigorin сбоку (?), 23:13, 29/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Понимаете, некоторые не проходят тесты на культурный уровень (а он и кодеру стоящему нужен, не говоря уж о программисте).  А некоторые и этого даже не замечают... :(

    PS: Вы, кстати, откуда взяли эту теорию заговора про опеннет, пишущий про теорию заговора?

     
  • 3.92, microsoft (?), 08:49, 28/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не на что тут смотреть, проходите.
     
  • 2.59, Аноним (59), 15:02, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Они что, бредят, что ли?!
    Буфер обмена превращается в проходной двор.
    И зачем вообще гуглозаставочке доступ к нему? Потому что очень хочется? Зонд вставлен достаточно глубоко, теперь увеличиваем диаметр?
     
     
  • 3.73, ммнюмнюмус (?), 17:37, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Скорее пробная активация зонда. Выявление лиц, склонных к нежелательнм подозрениям.
     
  • 2.105, морталкомбат (?), 21:40, 28/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дык надо PR запилить, который будет обратно запрещать, ну и тест который падает - тоже выпилить.
     

  • 1.2, Hyundai (?), 09:12, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +27 +/
    Ну это уже полный зашквар. Ради заставки разрешили писать в буфер обмена. У них там что, code review отменили, или остались только эффективные менеджеры, которым нужно любой ценой показать Doodle, и плевать, если сломают безопасность?
     
     
  • 2.32, Dzen Python (ok), 11:58, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скорее всего просто вырождение в "я - начальник, ты - дурак", с сопутствующими явлениями.
    Насколько слышал, года до 14го любой кодер мог прямо послать любого менеджера. И если даже минимально аргументировано - то ему за это в принципе ничего не было, а психов, пытавшихся давить на кодеров, выкидывали с волчьим билетом.
     
     
  • 3.40, Аноним (40), 12:14, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Простите, я так понимаю что до 1914 года имелось ввиду?
     
     
  • 4.113, Аноним (-), 21:58, 29/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Простите, я так понимаю что до 1914 года имелось ввиду?

    А гугл что, с тех пор отребрендился? :)

     
  • 2.47, Code Reviewer (?), 13:32, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что не так с кодом-то? Ничего не отменили, три ревьюера, один апрувер, хороший код, стиль корпоративный соблюден, допущен к продакшну.

    А таски да, менеджеры ставят. Мы-то тут причем? Сказали сделать гроб - сделали гроб. Велели переделать в буй - переделываем.

    И все безопастно, наши автоматизированные тесты не выявили никаких переполнений этого буфера.

     
  • 2.107, невсётакоднозначно (?), 10:50, 29/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ради заставки разрешили писать в буфер обмена

    да что там писать? они и читать заодно разрешили:) осторожней со ссылками на порно, а то ведь бигдата зохавает и будет рекламу тудать-сувать

     

  • 1.3, iCat (ok), 09:29, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Мир захватили маркетолухи...
     
     
  • 2.45, Аноним (45), 13:23, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    этом просто политика мегакорпораций, которая гласит что потребителям нечего скрывать которая постепенно с помощью маркетологов в головах народных масс подменяется в - "Мне нечего скрывать".
     
  • 2.94, microsoft (?), 08:53, 28/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мир захватили банкстеры.
     
  • 2.116, Michael Shigorin сбоку (?), 23:15, 29/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как тут выразились недавно -- террористы от маркетинга.
     

  • 1.5, YetAnotherOnanym (ok), 09:37, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle на странице открытия новой вкладки

    Правильно! Если перед открытием новой вкладки пользователь скопировал в буфер сложный пароль, который удобнее не набирать, а скопипастить - мы его сохраним в надёжном месте.

     
     
  • 2.7, Аноним (7), 09:45, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Браузеры вроде не лезут в буфер выделения иксовый. Профессионалы с паролями в текстовом зашифрованном файле не пострадают, а у остальных все пароли и явки и так в облаке.
     
     
  • 3.66, Kuromi (ok), 15:21, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На Линуксе вообще есть странности с буфером обмена, из того же ФФ не всегда вставляется текст в Пиджин и наоборот.
     
     
  • 4.67, Аноним (7), 15:24, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В основном с gtk3 проблемы.
     
  • 4.109, невсётакоднозначно (?), 10:53, 29/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > из того же ФФ не всегда вставляется текст в Пиджин и наоборот.

    или пиджин или его плагин для телеги странно относился к наличию некоторых символов - знаков препинания в тексте

     
  • 2.60, Аноним (59), 15:06, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. А доступ стараниями гугла у любого сайта.
    Плюс отслеживание переходов.
    А потом ой-ой-ой, меня взломали.
    Впрочем, хромогам норм должно быть.
     

  • 1.6, Аноним (6), 09:42, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    И в чем сенсация и опасность? Это же не чтение из буфера
     
     
  • 2.9, Аноним (9), 09:56, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Из первой ссылки статьи:

    > We are disabling the user gesture requirement for read/writeText for now, but we should revisit this.

     
  • 2.36, Dzen Python (ok), 12:06, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Ой, ну даже не знаю.
    Сделать глобальный event loop на странице по таймеру и каждые n секунд выполнять код вида

    navigator.clipboard.writeText('Ставки на спорт! Азино три топора! https://loxkasino777.eu.com');

    ? Готовый путь для рекламы, который пока не блочится ничем? Первое что пришло в голову

     
  • 2.81, qwe (??), 20:57, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Скрипт на сайте может периодически читать буфер обмена и когда обнаружит там номер кошелька, куда вы захотели перечислить пару монет, заменит его своим кошельком. Приколько, правда?
     
     
  • 3.91, all_glory_to_the_hypnotoad (ok), 02:56, 28/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Скрипт и так может это сделать, но потребуется больше изощрений, ибо...

    >  We are disabling the user gesture requirement for read/writeText for now, but we should revisit this.

    эта логика работает на удачу. Скрипты вообще не должны иметь доступа к буферу обмена

     
  • 2.119, Аноним (119), 08:44, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Из того, что ты не прочитал:

    " Вместо специфичной обработки данной ситуации, в Chromium просто разрешили всем сайтам обращаться к буферу обмена (читать и записывать) без необходимости предварительных действий со стороны пользователя."

    _ЧИТАТЬ_ и записывть

     

  • 1.8, Аноним (9), 09:52, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle

    Извините, но где объяснение?

     
     
  • 2.14, Аноним (-), 10:15, 27/08/2022 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 3.15, Бывалый смузихлёб (?), 10:23, 27/08/2022 Скрыто ботом-модератором     [к модератору]
  • +4 +/
     
     
  • 4.46, Аноним (45), 13:32, 27/08/2022 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.49, Аноним (49), 13:35, 27/08/2022 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.53, Всем Анонимам Аноним (?), 13:57, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это перевод такой, не объяснение. Изменение было не для Google Doodle, а потому что программист microsoft что-то сломал и тест Doodle перестал проходить. На что он просто выключил ограничение вместо того, чтобы разобраться что сломалось.
     
     
  • 3.71, Заноним (?), 16:46, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По моему погроммисты из мелкософта этим всегда страдали, а теперь свою "лепту" и в chromium вносят.
     
  • 2.97, Аноним (97), 10:23, 28/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle
    >Извините, но где объяснение?

    Вы не читали а просто скопировали у Аноним(1) и добавили "Изменение поведения в Chrome объясняется"? Иначе как можно объяснить отсутствие "выполнении теста, проверяющего работу" и "на странице открытия новой вкладки"?

    >Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выполнении теста, проверяющего работу заставки Google Doodle на странице открытия новой вкладки.

     

  • 1.10, Аноним (9), 09:59, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И это не недоработка, а ручное (временное) переключение поведения.
     
  • 1.11, Аноним (7), 10:00, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Меня больше всего бесит спам в историю буфера обмена. Если бы мне указали на любого разработчика, который такими вещами занимается, я бы с ним поговорил. Посторонний текст при копировании тоже больная фантазия.
     
     
  • 2.13, Аноним (13), 10:13, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Меня больше бесит что у файерфокс как бы свой буфер обмена, причем со своими шорткатами. Выбрал текст, скопировал - а вот вставится ли он или прежнее содержание буфера определяется методом тыка. Не сработало, попробуй не через шорткаты, попробуй через контекстное меню. А может раскладку на другой язык переключил - попробуй обратно стандартную. Хорошо конечно что отучает копировать из интернета все что ни попадя через браузер - но иногда именно это и надо
     
     
  • 3.18, Аноним (7), 10:29, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я никогда не копирую, только выделяю. Но копирование только через контекстное меню (если его не отключили на сайте, очень часто копирование специально отключают на сайтах). Чаще всего имеет смысл сохранять страницу целиком, толку от копирования? С этими целями могу порекомендовать save page we и print edit we (последнее будет крашить браузер). Вот автор https://addons.mozilla.org/en-US/firefox/user/1236621/ -- куда лучше всех прошлых дополнений, которые пытались сохранять ресурсы на диске или в архиве.
     
     
  • 4.21, Аноним (21), 11:21, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Расширение SingleFile https addons mozilla org firefox addon single-file счит... большой текст свёрнут, показать
     
     
  • 5.26, Аноним (7), 11:50, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Слишком много прав хочет. Зачем фонарику доступ к контактам и СМС? Ну, вообще, каждому своё, конечно. У меня save page we не вызывал нареканий, пользуюсь уже давно.
     
  • 4.82, fuggy (ok), 21:19, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если просто скопировать текст, то необязательно с дополнением возится, достаточно конфиг
    dom.event.clipboardevents.enabled = false
     
  • 2.75, Аноним (75), 19:10, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Когда давным-давно мы были молодыми придурками, не знавшими про IPC, мы тоже использовали буфер обмена в своих целях.
    Но молодое поколение не отстаёт. Особенно рекрутеры, отбирающие лучших из лучших.
     

  • 1.16, Аноним (16), 10:24, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ох уж эти современные формулировки...
    Не проблема или напортачили, а "трудность"
    Не содомит, мужеложец, а "весёлый человек"
    Не спаленный зонд, а "Недоработка"

    Главное же никого не обидеть, и не называть вещи своими именами.

     
  • 1.17, Аноним (-), 10:26, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Как так получается что в гугел набирают олимпиадников алгоритмистов после жёсткого интервью, а в итоге они то буфер обмена позволяют всем исправлять, то ответы в гугл тестах оставляют в джаваскрипте, то ещё что-то?
     
     
  • 2.20, Аноним (13), 10:55, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Потому и получается, что берут в том числе и тех кто вызубрил книжные задачки для интервью. Шаг влево, шаг вправо - полный разброд и шатание, тили-тили, трали-вали, это мы не проходили, это нам не задавали.
     
     
  • 3.34, Sw00p aka Jerom (?), 12:04, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    кек :)))
     
  • 2.22, Аноним (22), 11:25, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По моему мнению - на переусложненном интервью настоящие профи часто прокалываются: проходят только ненормальные.
     
     
  • 3.50, Аноним (49), 13:38, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Профи могут решить проблему 100500 способами, что уже не укладывается в правила тестирования по типу "угадай-ка".
     
  • 2.28, n00by (ok), 11:53, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ответ сразу в жаваскрипте - это же алгоритмическая оптимизация по скорости. :) Плюс снижается углеродный след.
     
  • 2.31, Dzen Python (ok), 11:55, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Олимпиадники - выставочные пудели мира программирования. Тут уже писали.
     
     
  • 3.35, Sw00p aka Jerom (?), 12:06, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    изи, изи, гаражные самоучки:)
     
  • 2.42, Аноним (42), 13:00, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как связаны программисты и их уровень с поставленными им свыше задачами? Ну олимпиадник ты, ну прошёл ты хрен какие сложные интервью, это что как то повлияло на менеджеров? Нет ты пришёл сутра отрыл такс менеджер, взял весла в руки и гребешь. Сказали отрыть запись в буфер обмена, ты открываешь.  Завтра скажут дать доступ к базе сохраненных паролей из JS, да не вопрос. Ты гребешь тебе платят. Перестанешь грести на твое место найдут, того кто тебя заменит. А ты пойдёшь искать другую галеру, с уже не таким удобным стулом, и без гамака.
    Программисты уже давно не решают куда грести, они решают как: веслами или паровой двигатель влепить.
    Но все шишки именно на программистов, а менеджеры которые ставят задачи они как бы не причем.
     
     
  • 3.96, Аноним (22), 10:08, 28/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это норм в внутреннем банковском софте (или аналогичном). Но в продукте такого уровня, на котором хорошо зарабатывают (а Гугл хорошо зарабатывает) такого быть не должно: иначе продукт превращается в сборник костылей без возможности поддержки.
     
     
  • 4.101, гугл (?), 14:51, 28/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ровно наоборот. За такое в банковском софте могут просто заполнить цементом новую нишку на -5м этаже, как раз под деньгохранилищем (полезно что его охраняют еще и духи мертвых).

    А в протухте такого уровня, который еще и раздается забесплатно - только так и принято. Ляп-ляп, впродакшн.

    Денежки гугля не пострадали.

     
  • 3.117, Michael Shigorin сбоку (?), 23:28, 29/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Как связаны программисты и их уровень с поставленными им свыше задачами?

    Ну вообще-то связаны.  Начиная с того, что хороший специалист к идиотам может взять и не пойти (или уйти от оказавшихся/ставших идиотами).

    Если что, моя главная кадровая находка последних лет -- именно олимпиадник.  И именно на опеннете. :)

     
     
  • 4.122, n00by (ok), 11:11, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Если что, моя главная кадровая находка последних лет -- именно олимпиадник.  
    > И именно на опеннете. :)

    Однажды он затруднился построить в уме граф зависимостей. Выдал список прямых зависимостей пакета и сопроводил его заключением вида «вон та библиотека не требуется». Но она в зависимостях у чего-то из упомянутого списка и ebuild её даже находит, если задать нужные ключи. Если надо, найду ссылку, он не так много тут пишет.

     
  • 2.48, Code Reviewer (?), 13:34, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Как так получается что в гугел набирают олимпиадников алгоритмистов после жёсткого интервью

    А что не так с данным алгоритмом? Вроде работает, задачу выполняет.

     
  • 2.61, Аноним (59), 15:08, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Инклюзивность, специальная олимпиада и все такое.
     
  • 2.70, Ананоним (?), 16:46, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да, жосткий тест на полное послушание. Как грится, а для чего вам уборщики с высшим образованием? А для того, что бы была гарантия, что чел может заниматься неинтересной скучной фигнёй годами. Лично знаю уборщицу с юридическим образованием.
     
     
  • 3.123, Аноним (123), 11:33, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, как люди экстраполируют свои предпочтения на других.

    > неинтересной скучной фигнёй

    А то, что кому-то это интересно и он может разглядеть в этом занятии что-то большее? Впрочем, не отвечай, это риторический вопрос.

     

  • 1.19, Bob (??), 10:46, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Не прокатило, вычёркиваем =)
    --
    "Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle на странице открытия новой вкладки" - бхахаха, я такой тупой отмазы даже в средней школе не слышал, у прогульщиков)
    --
    Ага, из-за дудлов Хромимум переписали, так и поверил, сняв тонны лапши с ушей)
     
     
  • 2.98, Аноним (97), 10:41, 28/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >"Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle на странице открытия новой вкладки"

    Еще один! Даже в кавычки взял!!! Ха-ха-ха!!!

     

  • 1.23, penetrator (?), 11:38, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    какое отношение буфер обмена имеет к отображению какой-то копрокартинки?

    разрешить сайту читать буфер обмена (без запроса от пользователя), в котором возможно сейчас хранится пароль к твоему клиент банку, в который ты залогинился 2 минуты назад - очень умно гугл... премию Дарвина выдют компаниям?

     
     
  • 2.76, Аноним (75), 19:19, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вроде как давно уже советуют гонять браузер в виртуалке. Разные браузеры для разных нужд. Но лично я пользуюсь отдельными иксами под разными юзерами. LXC не осилил, впрочем и не нашёл кто осилил запустить иксовый сервер. Qubes тоже пробовал - кака.
     
     
  • 3.79, penetrator (?), 20:47, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    так виртуалка не поможет, твой буфер обмена доступен внутри виртуалки, а также через RDP, NX, VNC и т.д.

    конечно можно это все сознательно выпилить при желании, но по умолчанию в миллионах, если не миллиардах систем именно так

    пока остается только очищать буфер обмена сразу после использования, и само собой не пользоваться таким шлаком как хром и форки

     
     
  • 4.120, Аноним (119), 08:57, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > пока остается только очищать буфер обмена сразу после использования

    так пока ты ctrl+c ctrl+v делал чей-то скрипт может и успеть прочитать сокровенные словеса. Там же не раз в сутки будут буфер проверять.

     
     
  • 5.125, penetrator (?), 10:39, 07/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> пока остается только очищать буфер обмена сразу после использования
    > так пока ты ctrl+c ctrl+v делал чей-то скрипт может и успеть прочитать
    > сокровенные словеса. Там же не раз в сутки будут буфер проверять.

    так не держать в этот момент открытым хром, скопировал вставил почистил, пошел серфить "небезопасный инет"

    маразм, но это то, что нам хром предлагает, идиоты

     

  • 1.24, Шарп (ok), 11:47, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Google Doodle

    Что это за хрень?

     
     
  • 2.33, n00by (ok), 12:04, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Из словаря LingvoUniversal (En-Ru)
    doodle [-]
    [ˈduːdl]
    1. сущ.
    1) болван, дурень, олух
    Syn:
    dolt, blockhead
    2) каракули, черточки (то, что человек непроизвольно и бесцельно рисует, в то время как его мысли заняты совершенно другим)
    2. гл.
    машинально чертить или рисовать
     
     
  • 3.62, Аноним (59), 15:09, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    То есть согласно первому пункту это "гуглолошара". Видимо, подразумевается пользователь хромого поделия.
     
     
  • 4.68, n00by (ok), 15:58, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Раньше думал, что Google произошло от гугол или goggle, а теперь смотрю на:

    google
    ---------  <--- зеркало
    doodle

     
     
  • 5.72, Аноним (72), 16:49, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    qooqle
     
     
  • 6.90, Аноним (49), 23:45, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    alboob
     

  • 1.25, Аноним (25), 11:49, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это уже красная линия какая-то.
     
     
  • 2.29, Dzen Python (ok), 11:53, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Где хакеры, ломающие центры принятия решений гугла?
     
     
  • 3.37, Sw00p aka Jerom (?), 12:08, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    повестки ждут:)
     

  • 1.27, Аноним (27), 11:51, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А всё, альтернативы все заглохли от активной политики Extend & Extinguish гугла, теперь начинается стадия поедания с лопаты. Если конечно второй Столлман не появится...
     
     
  • 2.118, Michael Shigorin сбоку (?), 23:31, 29/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мне, кстати, телеграм в какой-то момент показался экспериментом насчёт "после веба".
     

  • 1.30, AlexYeCu_not_logged (?), 11:53, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    1. С какой версии?
    2. Проброшено ли в chrome://flags?

    В этой статье есть хоть что-то, кроме паники? По первой ссылке, кстати, в комментарии написано, что «это не должно быть поведением по умолчанию, только для тестов».

     
     
  • 2.38, Аноним (9), 12:10, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зато по второй ссылке:

    > Is this on the latest 104 stable build?
    > I tested on 104.0.5112.101, yes.

     
     
  • 3.80, Норм (?), 20:47, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Проверил на 80 версии. Так без ведома запись проходит на тестовом сайте.
     
  • 2.39, Dzen Python (ok), 12:12, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сколько таких
    > «это не должно быть поведением по умолчанию, только для тестов»

    находится прямо сейчас в актуальной кодовой базе, не экранированных #IFDEF'ами, но на которые пока никто не обратил внимания из-за их специфичности или нахождения глубоко в движке?

    Паника тут не сколько из-за такого факта утечки (а утечки ли? Не отмазка ли это перед сообществом?), а сколько из-за того, что это в принципе возможно. И даже не в компании "ООО ИТ-Софт корпорэйтед" на 10 человек реально делающих продукт, а в софтверном гиганте, куда попасть - уже золотой билет.

     
     
  • 3.77, Аноним (77), 19:57, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > уже золотой билет

    В каком месте золотой-то? Понты «я в гугле работал» ничего не стоят, всем пофиг. Платят мало, перспективы карьерного роста никакие. Так где золото?

     
     
  • 4.78, Dzen Python (ok), 20:12, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Полехче, полехче.
    Не стоят они как раз в штатах и у других гигантов в Калифорнии - там каждый первый в гугле работал, не кодером - так сантехником. А вот в других регионах мира...

    Это как строчка в резюме "учился в университете %s, члене "Лиги Плюща". ". В штатах уже не стоит ничего, там местные уже превратили их в рассадник изучения правильности использования гендерастных местоимений и все это знают; но в остальном мире эти универы всё ещё имеют уважаемость к "бренду".

     
     
  • 5.102, Kuromi (ok), 15:00, 28/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Полехче, полехче.
    > Не стоят они как раз в штатах и у других гигантов в
    > Калифорнии - там каждый первый в гугле работал, не кодером -
    > так сантехником. А вот в других регионах мира...
    > Это как строчка в резюме "учился в университете %s, члене "Лиги Плюща".
    > ". В штатах уже не стоит ничего, там местные уже превратили
    > их в рассадник изучения правильности использования гендерастных местоимений и все это
    > знают; но в остальном мире эти универы всё ещё имеют уважаемость
    > к "бренду".

    Ну знаете, "иксперты" сейчас медленно приходят к мнению что пик "повесточки" в общем-то достигнут или даже пройден. Некоторые киностудии скажем тихонечко начали сворачивать "гендернокоррекционные-профеминистические" сериалы. Феминистических режиссеров кое где начали тихонько задвигать назад. Даже среди Тусовки есть некоторая усталость от всего этого, ибо как выяснилось дивиденты с повесточки получают очень конкретные жено-человеки, большинство из которых не бедствовало и раньше.
    Не стоит конечно рвать тельняшку и кричать "мы победили, баб назад на кухню", но что там будет дальше уже не очевидно.

     
  • 4.124, Аноним (123), 11:47, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    kek, "платят мало"
     

  • 1.41, Аноним (41), 12:55, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    заблокировали межсайтовые куки - запилили взаимодействие между вкладками через буфер обмена. Зачем?
     
  • 1.44, Аноним (44), 13:23, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Воспроизвел.

    При попытке чтения из буфера хром показывает запрос на разрешение как и  при микрофоне, записывать можно сразу, без доп разрешения

     
  • 1.55, Аноним (55), 14:39, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хромой просится в контейнер.
     
  • 1.57, th3m3 (ok), 14:53, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гугл всё больше скатывается.
     
  • 1.64, Аноним (64), 15:17, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ладно записывать, но читать это же явная дыра в безопасности
     
  • 1.65, Kuromi (ok), 15:19, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle на странице открытия новой вкладки. Вместо специфичной обработки данной ситуации, в Chromium просто разрешили всем сайтам обращаться к буферу обмена (читать и записывать) без необходимости предварительных действий со стороны пользователя."

    ЛОЛШТО? А в слудующий раз они разрешат сайтам форматировать диски пользователя в связи с необходимостью сайта google.com считывать загрузочный сектор диска?

     
     
  • 2.99, Аноним (97), 10:44, 28/08/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Уже третий!!! Ха-ха-ха!!!
     

  • 1.69, Ананоним (?), 16:41, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я уже давно подозревал что особо хитрая страница браузера может читать содержимое буфера обмена когда захочет. Ну а теперь они даже отмазку придумали. Так что наслаждайтесь защищёнными ОС, и держите всякие сайты во время работы с буфером обмена. Скопировал в буфер, оппааааа, утекло в сеть. Ну телеметрия для улучшения ПО, чо! Помню в лисе "баг" исправляли, который без ведома пользователя сохранённые логин и пароль для домена позволял достать из хранилища без спроса. Я даже такие страницы видел. После торжественного исправления "уязвимости" прошло некоторое время... и я опять увидел такие страницы в действии. Ну а чо! Это ж для удобства ;)

    Браузеры уже давно превратились в суррогаты ОС и работают такими волками в овечьей шкуре. Как ещё не умудрились из JS через сокет к X Server подключаться и скриншоты рабочего стола таскать в сеть, удивляюсь! Даёшь запуск GUI проги в браузере с мордой на текущем X Server!

     
     
  • 2.74, john_erohin (?), 18:06, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Скопировал в буфер, оппааааа, утекло в сеть. Ну телеметрия

    это не телеметрия, а data sampling.

     

  • 1.83, fuggy (ok), 21:43, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Из-за тестов Doodle ломать браузер. Удалили бы свои Doodle и нет проблем. У них разве нет никакой инструкции, что читать и писать можно только после действия пользователя. У них не должен тогда сломать другой тест проверяющий запись в буфер?
    Но многие читающие не поняли суть. Они подумали что теперь гугл сможет их читать, но гугл и так это может делать, потому что он контролируем сам браузер. Google teller прекрасно показала что гугл читает каждый чих. Суть в том что теперь любой сайт может читать их пароли и адреса из буфера и писать в буфер свою рекламу.
     
     
  • 2.87, Kuromi (ok), 22:07, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так и так многие сайты при копировании текста добавляют "скопирована с сайта такого-то". Если сайт не весь на скриптах - помогает отключение скриптов, иначе - Инспектор в  девтулзах
     

  • 1.84, Аноним (84), 21:57, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скрипт существует для решения этой проблемы.
    https://greasyfork.org/ru/scripts/432251-block-clipboard-writing
     
  • 1.85, Kuromi (ok), 22:00, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кстати подумав я даже понял какое будет применение данной фишки. Есть всякие сайты очень не любящие когда у них копипастят контент. Вероятнее всего они будут в цикле затирать буфер пустотой. Гадить можно было и раньше, а теперь будет просто сказочно просто.
     
  • 1.86, Kuromi (ok), 22:06, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В ФФ первым прмиер дает Uncaught ReferenceError: ClipboardItem is not defined, а второй Uncaught (in promise) DOMException: Clipboard write was blocked due to lack of user activation.
     
  • 1.88, Аноним (88), 22:21, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это можно отключить в chrome://settings/content/clipboard
    Don't allow sites to see text or images on your clipboard
     
     
  • 2.89, Аноним (49), 23:43, 27/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это можно отключить

    fixed: Это пока можно отключить

     
  • 2.104, pavlinux (ok), 19:11, 28/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Это можно отключить в ...

    Ты веришь, что оно отключается?

     
     
  • 3.114, Аноним (-), 22:01, 29/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты веришь, что оно отключается?

    Кроме веры это еще и проверить можно, повебмакачив немного.

     

  • 1.111, истина в последней инстанции (?), 18:46, 29/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот это правильно. вот это одобряю. Вот это отличная новость. 2 года ждал.

    Теперь я ещё и читать хочу.

     
     
  • 2.121, Аноним (119), 09:05, 30/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Там в серединке новости про "читать", читайте новости внимательно:

    "Вместо специфичной обработки данной ситуации, в Chromium просто разрешили всем сайтам обращаться к буферу обмена (читать и записывать) без необходимости предварительных действий со стороны пользователя"

     

  • 1.112, vitektm (?), 20:56, 29/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я копирую текст автоматом из поле ввода, а в некоторые и вставлять бы автоматом можно,  но все же, хотелось бы запрос для сайта как для микрофона.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру