パスワードを忘れた? アカウント作成
13694870 journal
日記

NurseAngelの日記: クリップボードAPIってやばくない? 5

日記 by NurseAngel

JavaScriptにClipboard API and eventsっていうドラフトがあるんだけど、
これ、今まで許されてなかった『クリップボードからの読み込み』をできるようにしようとかいうヤバいやつなんだよね。
デスクトップインストールとか、カメラやカードリーダにアクセスとか、どんどん危険な方向に進みつつある。

まあ、和訳したのでその宣伝ですが。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ktmizugaki (46208) on 2018年08月28日 15時55分 (#3469874) 日記

    > あとユーザアクションでしか起動できないと言ってるけど、ユーザアクションが具体的に指しているものがclickなのかinputなのかmouseoverなのかが書かれていない。

    「ユーザーアクションでしか起動できない」がどこを指しているのか分かりませんが、クリップボードデータが読み取り可能なのは、(5.3.2や9.3で)「ユーザーの操作によりペーストイベントが発生した場合」と書いてあるように思うのですが、違うのでしょうか。

    # 読み取り権限は一律禁止すべきという点については同意。
    # パスワードマネージャを使うなら、コピペではなく、自動入力機能を使いたい。

    --
    svn-init() {
      svnadmin create .svnrepo
      svn checkout file://$PWD/.svnrepo .
    }
  • クリップボードを利用したXSSをどう解決するんでしょうね。
    今もユーザーと認識したとき以外は妨害するポップアップブロッカーを回避するポップアップ広告とか有るからタイミングに関しては信頼できなさそう。

    そして蔓延するメアドのコピペ妨害スクリプトやらコピー禁止スクリプト。
    MTAからコピペした方が誤入力とか有り得ないのにさせてくれないとか、色々な所で流行るだろうなぁ。

    • by Anonymous Coward

      > MTAからコピペ

      サーバー管理者ですか?

      # もしかして: MUA

      • by Anonymous Coward

        はい、マジのサーバー管理者です。
        1サービス1メアドでやってるので、メールサーバーに新規設定したコンフィグからコピってます。

        スペルミスって不着をやらかした事が有ったもので。

  • by Anonymous Coward on 2018年08月28日 13時35分 (#3469789)

    最近のブラウザを考えればこの機能はオプトインになりそうとは思える。
    初回要求時に許可される感じ。
    実際、クリップボード非対応なのは不便といえば不便。
    でも例えばGoogleのような許可しないと極端に困る所で要求され、プライバシー侵害にも使われると考えると困るな。
    どうせChrome使っている人が多いと考えるとむしろGoogle以外か。

    しかしクリップボードってのは古い発明で履歴がないとか不便な点も多い割にブラウザ機能に載せる位に汎用的なものだと認識されてるな。
    クリップボードのOS側のAPIも統一したりすればちょっと便利かもしれない。

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...