Google Chrome erlaubt Webseiten das Schreiben (ohne Nachfrage) in die Windows-Zwischenablage

[English]Vielleicht ist das Thema dem einen oder anderen Blog-Leser bekannt – mir war es neu. Webseiten, die im Google Chrome-Browser aufgerufen werden, können ohne weitere Nutzererlaubnis oder Warnung direkt in die Windows-Zwischenablage schreiben. Das könnte ein Sicherheitsproblem sein, wenn diese Informationen durch Dritt-Anwendungen ausgelesen werden können.


Anzeige

Blog-Leser Robert G. hat mich gerade per Mail auf das Thema hingewiesen (danke dafür), welches gerade auf Hacker News diskutiert wird.

Chrome allows websites to write to the clipboard without the user's permission

Steps to reproduce:

1. Visit https://webplatform.news/ in a Chromium-based browser

2. Inspect your clipboard (paste it somewhere)

Ich habe dies dann mal kurz probiert. Nachfolgender Screenshot zeigt die betreffende Webseite und ich habe dann einen Teil des Texts dieser Webseite zum Test markiert.

Chrome allows websites to write to the clipboard without the user's permission

Die obige Webseite verwendet nachfolgenden JavaScript-Code, um in die Zwischenablage zu schreiben:

try {
  let type = 'text/plain';
  let blob = new Blob(
    [
      'Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user's permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182',
    ],
    { type }
  );
  let item = new ClipboardItem({ [type]: blob });
  navigator.clipboard.write([item]);
} catch (err) {}

Dann habe ich den Windows-Editor Notepad aufgerufen und den Inhalt der aktuellen Zwischenablage mittels Strg+V in dessen Fenster übernommen. Das Ergebnis sieht so aus:

Windows Clipboard Content

Es findet sich die Nachricht, dass der Browser über die Seite Web Platform News etwas in die Zwischenablage geschrieben habe (es wurde zwar nichts vom markierten Text übernommen, da der obige Code nur den nachfolgenden, fest vorgegebenen, Text schreibt).

Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user's permission. Sorry for the inconvenience. For more information about this issue, see github.com/w3c/clipboard-apis/issues/182.

Auf GitHub ist die betreffende Problematik beschrieben. Die Webseite kann im Chrome-Browser mittels navigator.clipboard.write() oder navigator.clipboard.writeText() in die Zwischenablage schreiben, ohne dass der Benutzer davon etwas mitbekommt. Auf Github heißt es, dass sowohl der Safari als auch der Firefox eine entsprechende Benutzergeste (z.B. markieren, und mit Strg+C kopieren) verlangen. Bei meinem Test mit dem Firefox konnte die Webseite nichts in die Zwischenablage schreiben.


Anzeige

Ich habe den Test im Ungoogled-Browser gemacht – wo das Schreiben funktionierte. Das Problem sollte also auch beim Edge oder anderen Chromium-Clones auftreten. Auf Hacker News schreibt ein Teilnehmer dazu:

Aus dem Chrome-Bug[0] geht hervor, dass dies so geändert wurde, dass es ohne Geste funktioniert, weil die neue Registerkarte Text für ein Google-Doodle kopieren muss…

Anstatt also die neue Registerkarte so zu ändern, dass sie wie alle anderen Websites eine Geste erfordert, haben sie beschlossen, jeder Website zu erlauben, Text in die Zwischenablage zu kopieren. Nett.

Ich denke, das Kopieren in die Zwischenablage muss überarbeitet werden – auch mit einer Geste. Hassen Sie es nicht auch, wenn Nachrichtenseiten ein "- von XYZ" in die Zwischenablage einfügen? Das sollte nicht möglich sein. Ich bin mir nicht sicher, wie man das beheben könnte, aber es sollte behoben werden.

[0] crbug.com/1334203

Der Post im Bug-Report stammt wohl von einem Microsoft Mitarbeiter. Das sollte auch bei readText() zum Lesen funktionieren. Auf Hacker News hat sich ein ehemaliger Chrome-Entwickler gemeldet, der angibt, dass das Schreiben in die Zwischenablage eine häufige Forderung gewesen sei.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Edge, Google Chrome, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Google Chrome erlaubt Webseiten das Schreiben (ohne Nachfrage) in die Windows-Zwischenablage

  1. Gui Do sagt:

    Es sind ALLE Chrome/Chromium basierten Browser betroffen, also auch Vivaldi, Opera, Edge etc.

    • Wil Ballerstedt sagt:

      Was bin ich begeistert!

    • Steter Tropfen sagt:

      Das bedeutet auch, dass solche Seiten unversehens den bisherigen Inhalt der Zwischenablage überschreiben – na da kommt Freude auf.
      Das unselige Relikt aus Computer-Urzeiten, dass die Zwischenablage immer nur einen Inhalt haben kann, der ohne Vorwarnung überschrieben wird, ist ja nie richtig angegangen worden. Das hätte Microsoft (und ebenso die Macher anderer Betriebssysteme) in den letzten Jahrzehnten eigentlich längst lösen können. Hat MS Office noch immer die interne Mehrfach-Zwischenablage? Warum haben die das nie direkt in Windows implementiert?

      Richtig heftig wird es aber noch, wenn Webseiten ungefragt Zugriff auf den vorhandenen Inhalt der Zwischenablage kriegen. Ist bei den Chrome-Entwicklern sicher schon in Arbeit…

      • Win-User sagt:

        Schon die Tastenkombination Win+v ausprobiert (Win 10, Win 11)?

        • Steter Tropfen sagt:

          Naja, wow…
          Das schaffen Freeware-Tools schon längst und (selbstredend) erheblich anschaulicher als Win10+x.

          Wobei, auf meinem Test-Win10 tut sich mit Win+V sowieso nichts. Offenbar habe ich es mit einer der diversen Anwenderüberwachungs-Funktionen abgestellt (ist in den Einstellungen ausgegraut mit „Einige dieser Einstellungen sind ausgeblendet oder werden von Ihrer Organisation verwaltet"): Eine vielen gar nicht bewusste Protokollierung der Zwischenablage – die ggf. auch noch auf andere Geräte oder in die Cloud übertragen wird – ist nämlich nicht gerade vertrauenerweckend.
          Warum müssen die bei MS jede klitzekleine Funktionsverbesserung so überfrachten, dass sie zum Teil des Spyware-Overkills wird?

  2. Anonymous sagt:

    > der angibt, dass das Schreiben in die Zwischenablage eine häufige Forderung gewesen sei.

    Eine häufige Forderung vom wem? Von Trackingfirmen? Von Überwachungsfirmen? Von staatlichen Stellen?

  3. MOM20xx sagt:

    das ganze ist platformunabhängig

    microsoft edge letzte stable build macht das auch auf aktuellem macos monterey.

    • Bernd B. sagt:

      Ist denn Edge nicht auch Chromium-basiert?
      Mein FF 104.0 macht es jedenfalls nicht 👍

      • MOM20xx sagt:

        ja edge ist chormium basierend. ich wollte nur aufzeigen, dass es nicht nur die windows version betrifft, denn im artikel wird explizit von der windows zwischenablage gesprochen. auch andere betriebssysteme haben eine zwischenablage und sind betroffen.

  4. Alexander Jacubowsky sagt:

    Auch unter Android 11 mit Edge.

    Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user's permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.

  5. Anonymous sagt:

    Laut https://bugs.chromium.org/p/chromium/issues/detail?id=1334203#c29 wird das Problem erst am 25.10 in der Version 107 beseitigt.

  6. Anonymous sagt:

    In dem Microsoft Edge Version 107.0.1407.0 (Offizielles Build) canary (64-Bit) gab es zu dem Feature eine Anpassung. Der Benutzer erhält eine Information, z.B. "webplatform.news möchte Text und Bilder in der Zwischenablage anzeigen" als Notification.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.