Chrome позволяет сайтам добавлять в буфер обмена всё что угодно без ведома пользователя

Веб-сайты могут осуществлять запись в буфер обмена операционной системы без разрешения пользователя или каких-либо действий с их стороны. Это касается Google Chrome и любого другого браузера на базе Chromium. Такое стало возможным благодаря недавним изменениям, которые были внесены разработчиками для того, чтобы можно было читать и записывать данные из буфера обмена, тем самым позволяя выводить дудлы (Google Doodle) посредством сетевого протокола NTP. Проще говоря, в Chromium разрешили всем сайтам обращаться к буферу обмена без необходимости получать подтверждения действий от пользователя.

Буфер обмена часто используется для временного хранения конфиденциальных данных, поэтому сайты не должны иметь к нему доступ. По крайней мере без разрешения пользователя. Например, Firefox и Safari защищают буфер от несанкционированного доступа, но в Chromium решили пойти другим путём. Там считают, что добавление условий подтверждения для API readText и writeText прерывает вывод дудлов — вариантов логотипов Google на стартовой странице Chrome, связанных с определёнными событиями или людьми в том или ином регионе. Поэтому разработчики ослабили эту проверку.

Чтобы протестировать свой браузер, достаточно зайти на сайт Webplatform News, после чего проверить содержимое буфера обмена. Если в нём содержится следующее сообщение, значит браузер уязвим для различных манипуляций с буфером обмена:

«Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see github.com/w3c/clipboard-apis/issues/182».