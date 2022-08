2022年08月29日 21時00分 セキュリティ

Google Chromeはウェブサイトがユーザーの許可なくクリップボードに書き込みを行うことができる状態にある



Google Chromeで開いたウェブサイトが、ユーザーの許可を得ることなく、クリップボードに任意の文字列を書き込み可能であることが指摘されています。Chromeのバグ管理システムにおいても認識はされているものの、修正はなされていない状態です。



Chrome allows websites to write to the clipboard without the user’s permission | Hacker News

https://news.ycombinator.com/item?id=32614037





ソーシャルニュースサイト・Hacker Newsが示した再現手順を試してみました。まずは以下の「Web Platform News」というサイトにChromeでアクセス。



Web Platform News

https://webplatform.news/





次に、クリップボードの中身をどこかに貼り付けます。実際にテキストエディタに貼り付けたものがコレ。





メッセージの内容は「このメッセージがクリップボードにあるのは、ウェブサイトがユーザーの許可なくクリップボードに書き込みを行えるブラウザでWeb Platform Newsにアクセスしたためです。ご不便をおかけします。この問題に関する追加情報はGitHubをご覧ください」というもの。



Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.



GitHubでtomayac氏が投稿した内容によると、画像をクリップボードにコピーするAPIのメソッド「navigator.clipboard.write()」および文字列をクリップボードにコピーするAPIのメソッド「navigator.clipboard.writeText()」は、FirefoxとSafariではユーザーによる操作が求められるのですが、Chromeではユーザーの操作なしで実行されるとのこと。Naleksuh氏は「これは以前から問題になっていたものです。この問題があるので、ランダムなウェブサイトでJavaScriptを有効にすべきではないのです」とコメントしています。



Interoperability issue: `navigator.clipboard.write()` and `navigator.clipboard.writeText()` user gesture requirement · Issue #182 · w3c/clipboard-apis · GitHub

https://github.com/w3c/clipboard-apis/issues/182



Chromeのバグ報告プラットフォームでは、クリップボードAPIの改良作業を行っていたMicrosoftのAnupam Snigdha氏が2022年6月に「read/writeText時のユーザージェスチャ要求を削除」をコミットしていることが確認されていて、プロジェクトメンバーから「これはプライバシーに関わる大問題です。ページはユーザーの操作なしでクリップボードの読み書きが可能になっていて、ただちに対処する必要があります。この種の後戻りを許可するには、長期的な解決策も必要になってきます」と指摘されています。



1334203 - NewTabPageDoodleShareDialogFocusTest.All test fails when user gesture is enforced. - chromium

https://bugs.chromium.org/p/chromium/issues/detail?id=1334203