- コメント
【追記あり】またもや、秘匿されていた脆弱性を指摘されました
owl483件-またもや、秘匿されていた脆弱性を指摘されました。
https://www.ghacks.net/2022/08/27/websites-may-write-to-the-clipboard-in-chrome-without-user-permission/
Chrome(Chromium)では、
ユーザーの許可なく「ウェブサイトがクリップボードを読み書きする」ことができる
クリップボード (コンピューティング) - Wikipedia
https://en.wikipedia.org/wiki/Clipboard_(コンピューティング)
どうやら、これは下記の問題と関連しているようだ。
Google Chrome は、パスワードや機密データを平文でメモリに保存している - gHacks Tech News
www.ghacks.net/2022/06/12/your-browser-stores-passwords-and-sensitive-data-in-clear-text-in-memory/
要約すると
Google Chrome(および Chromiumブラウザ、Vivaldi Mail)は、
新しいタブしか開いていない Chrome プロセスであっても、
「ログイン情報のすべてを平文に復号」と
「セッションクッキーなどの固有の機密データをすべて」を、
ブラウザを閉じるまで常にメモリ上に展開する。
セキュリティ研究者が「セッションハイジャックの脆弱性」をGoogleに指摘したが、Googleは「セッションハイジャックのリスク対策はエンドユーザーの責任であり、ブラウザの開発元には責任はない。修正することはない」と回答している。
文言の修正(下記は、その修正後です)
「ログイン情報のすべてを平文に復号化したデータ」と
「セッションクッキーなどの固有の機密データのすべて」を、
ブラウザを閉じるまで、常にメモリ上に展開する。7人が参考になったと回答しています。このレビューは参考になりましたか?
owl483件クリップボードハイジャックは、
ユーザーのクリップボードの内容が、悪意のある Web サイトへのリンクなど、悪意のあるデータに置き換えられるエクスプロイトである。
JavaScript API は、
「ペーストジャッキング」と呼ばれる攻撃によって、クリップボードの内容を変更するために依然として悪用されている。
ウェブページがクリップボードのデータを取得するエクスプロイトの存在まで確認されている。
JavaScript では、
ユーザーのクリップボードを変更するセキュリティ上の問題が懸念されているため、すべてのブラウザでサポートされているわけではありません。
Issue #182 - w3c/clipboard-apis - GitHub
https://github.com/w3c/clipboard-apis/issues/182
Naleksuh 氏は「これは以前から問題になっています。この問題のため、闇雲にウェブサイトが要求する JavaScript を有効にすべきではありません」とコメントしましたが、このコメントはオフトピックと判定されました。