В недавних выпусках движка Chromium изменено поведение, связанное с записью в буфер обмена. Если в Firefox, Safari и старых выпусках Chrome запись в буфер обмена допускалась только после явных действий пользователя, то в новых выпусках для записи достаточно просто открыть сайт. Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle на странице открытия новой вкладки (вместо специфичной обработки данной ситуации, в Chromium просто разрешили всем сайтам записывать в буфер обмена без активации данной операции пользователем)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57684
необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle
Author: Anupam Snigdha <snianu@microsoft.com>Зачем майкрософту гугл дудл?
Вдруг вы Ctrl+C сделали на своём пароле, что бы ввести в форму на каком ни будь сайте?
Гугл заботится об этом! Что бы пароль не вводили где попало, гугл просмотрит ваш буфер обмена и теперь предотвратит утечку пароля, перезаписав его своим! Всё ради вашей же "бесАпастности"!
Так это... вон там пароль от вашей точки доступа сбэкапали, а от вон того сайта - в "бэкап" не попало. Безобразие!
Какой-то программист отключил это дело чтобы какой-то тест прошел.
А opennet уже пишет про теорию заговора, что опять нехороший Гугл сеит зло специально.
Причем со ссылкой на issue, где как раз эту оплошность и обнаружили.
Понимаете, некоторые не проходят тесты на культурный уровень (а он и кодеру стоящему нужен, не говоря уж о программисте). А некоторые и этого даже не замечают... :(PS: Вы, кстати, откуда взяли эту теорию заговора про опеннет, пишущий про теорию заговора?
Не на что тут смотреть, проходите.
Они что, бредят, что ли?!
Буфер обмена превращается в проходной двор.
И зачем вообще гуглозаставочке доступ к нему? Потому что очень хочется? Зонд вставлен достаточно глубоко, теперь увеличиваем диаметр?
Скорее пробная активация зонда. Выявление лиц, склонных к нежелательнм подозрениям.
Дык надо PR запилить, который будет обратно запрещать, ну и тест который падает - тоже выпилить.
Ну это уже полный зашквар. Ради заставки разрешили писать в буфер обмена. У них там что, code review отменили, или остались только эффективные менеджеры, которым нужно любой ценой показать Doodle, и плевать, если сломают безопасность?
Скорее всего просто вырождение в "я - начальник, ты - дурак", с сопутствующими явлениями.
Насколько слышал, года до 14го любой кодер мог прямо послать любого менеджера. И если даже минимально аргументировано - то ему за это в принципе ничего не было, а психов, пытавшихся давить на кодеров, выкидывали с волчьим билетом.
Простите, я так понимаю что до 1914 года имелось ввиду?
> Простите, я так понимаю что до 1914 года имелось ввиду?А гугл что, с тех пор отребрендился? :)
А что не так с кодом-то? Ничего не отменили, три ревьюера, один апрувер, хороший код, стиль корпоративный соблюден, допущен к продакшну.А таски да, менеджеры ставят. Мы-то тут причем? Сказали сделать гроб - сделали гроб. Велели переделать в буй - переделываем.
И все безопастно, наши автоматизированные тесты не выявили никаких переполнений этого буфера.
> Ради заставки разрешили писать в буфер обменада что там писать? они и читать заодно разрешили:) осторожней со ссылками на порно, а то ведь бигдата зохавает и будет рекламу тудать-сувать
Мир захватили маркетолухи...
этом просто политика мегакорпораций, которая гласит что потребителям нечего скрывать которая постепенно с помощью маркетологов в головах народных масс подменяется в - "Мне нечего скрывать".
Мир захватили банкстеры.
Как тут выразились недавно -- террористы от маркетинга.
> необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle на странице открытия новой вкладкиПравильно! Если перед открытием новой вкладки пользователь скопировал в буфер сложный пароль, который удобнее не набирать, а скопипастить - мы его сохраним в надёжном месте.
Браузеры вроде не лезут в буфер выделения иксовый. Профессионалы с паролями в текстовом зашифрованном файле не пострадают, а у остальных все пароли и явки и так в облаке.
На Линуксе вообще есть странности с буфером обмена, из того же ФФ не всегда вставляется текст в Пиджин и наоборот.
В основном с gtk3 проблемы.
> из того же ФФ не всегда вставляется текст в Пиджин и наоборот.или пиджин или его плагин для телеги странно относился к наличию некоторых символов - знаков препинания в тексте
Ага. А доступ стараниями гугла у любого сайта.
Плюс отслеживание переходов.
А потом ой-ой-ой, меня взломали.
Впрочем, хромогам норм должно быть.
И в чем сенсация и опасность? Это же не чтение из буфера
Из первой ссылки статьи:> We are disabling the user gesture requirement for read/writeText for now, but we should revisit this.
Ой, ну даже не знаю.
Сделать глобальный event loop на странице по таймеру и каждые n секунд выполнять код видаnavigator.clipboard.writeText('Ставки на спорт! Азино три топора! https://loxkasino777.eu.com');
? Готовый путь для рекламы, который пока не блочится ничем? Первое что пришло в голову
Скрипт на сайте может периодически читать буфер обмена и когда обнаружит там номер кошелька, куда вы захотели перечислить пару монет, заменит его своим кошельком. Приколько, правда?
Скрипт и так может это сделать, но потребуется больше изощрений, ибо...> We are disabling the user gesture requirement for read/writeText for now, but we should revisit this.
эта логика работает на удачу. Скрипты вообще не должны иметь доступа к буферу обмена
Из того, что ты не прочитал:" Вместо специфичной обработки данной ситуации, в Chromium просто разрешили всем сайтам обращаться к буферу обмена (читать и записывать) без необходимости предварительных действий со стороны пользователя."
_ЧИТАТЬ_ и записывть
> Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выводе заставки Google DoodleИзвините, но где объяснение?
В смысле? Тебе же объяснили, жиass макакам нужно читать буфер обмена для вывода sjw картинок. Иначе как ты это представляешь? Ох, глупый ещё, ничего не понимаешь о работе гуру-программистов в больших корпорациях с очень строгим отбором кадров.
но если им нужно читать из буфера, то зачем им возможность записывать в него
или это для возможности подстановки правильных ссылок в буфер если пользователь вдруг скопировал неправильную ссылку на некорректный источник, не одобренный корпорацией добра и правды ?
ты смотри, поаккуратнеее с вопросами, а то карточку visa и mastercard отключат
> подстановки правильных ссылок в буферА Вы мыслите в правильном направлении!
Это перевод такой, не объяснение. Изменение было не для Google Doodle, а потому что программист microsoft что-то сломал и тест Doodle перестал проходить. На что он просто выключил ограничение вместо того, чтобы разобраться что сломалось.
По моему погроммисты из мелкософта этим всегда страдали, а теперь свою "лепту" и в chromium вносят.
>> Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle
>Извините, но где объяснение?Вы не читали а просто скопировали у Аноним(1) и добавили "Изменение поведения в Chrome объясняется"? Иначе как можно объяснить отсутствие "выполнении теста, проверяющего работу" и "на странице открытия новой вкладки"?
>Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выполнении теста, проверяющего работу заставки Google Doodle на странице открытия новой вкладки.
И это не недоработка, а ручное (временное) переключение поведения.
Меня больше всего бесит спам в историю буфера обмена. Если бы мне указали на любого разработчика, который такими вещами занимается, я бы с ним поговорил. Посторонний текст при копировании тоже больная фантазия.
Меня больше бесит что у файерфокс как бы свой буфер обмена, причем со своими шорткатами. Выбрал текст, скопировал - а вот вставится ли он или прежнее содержание буфера определяется методом тыка. Не сработало, попробуй не через шорткаты, попробуй через контекстное меню. А может раскладку на другой язык переключил - попробуй обратно стандартную. Хорошо конечно что отучает копировать из интернета все что ни попадя через браузер - но иногда именно это и надо
Я никогда не копирую, только выделяю. Но копирование только через контекстное меню (если его не отключили на сайте, очень часто копирование специально отключают на сайтах). Чаще всего имеет смысл сохранять страницу целиком, толку от копирования? С этими целями могу порекомендовать save page we и print edit we (последнее будет крашить браузер). Вот автор https://addons.mozilla.org/en-US/firefox/user/1236621/ -- куда лучше всех прошлых дополнений, которые пытались сохранять ресурсы на диске или в архиве.
Расширение SingleFile https://addons.mozilla.org/firefox/addon/single-file/ считается лучшим для сохранения страниц. В режиме html + задержка и zoom out в настройках для сохранения кусков страницы подгружающихся на лету. Как вариант можно включить сохранение js, но некоторые страницы это ломает, некоторые наоборот лечит, js при этом модифицируется так, что ему запрещено делать запросы в Интернет, там подставляется заглушка. Только не вздумайте сохранять во что-то кроме html (например SingleFileZ который жмет страницы в архивы), иначе при очередном изменении WebExtension API и урезании например поддержки бинарный файлов рискуете остаться без своего архива страниц (привет от бывшего держателя архивов mht и maff файлов), например в Firefox for Android урезали возможность открытия локальных файлов и это приходиться делать через другие браузеры, а с поддержкой архивов при открытии в Chrome проблемы (по крайней мере были раньше). И еще ассоциации MIME типов под linux требует небольшого танца с бубном вроде "text/xml fb2" >> ~/.mime.types И опять на Android это вряд ли возможно сделать без root, или модификации apk или запуска в изолированных средах типа termux или VirtualXposed.
Слишком много прав хочет. Зачем фонарику доступ к контактам и СМС? Ну, вообще, каждому своё, конечно. У меня save page we не вызывал нареканий, пользуюсь уже давно.
Если просто скопировать текст, то необязательно с дополнением возится, достаточно конфиг
dom.event.clipboardevents.enabled = false
Когда давным-давно мы были молодыми придурками, не знавшими про IPC, мы тоже использовали буфер обмена в своих целях.
Но молодое поколение не отстаёт. Особенно рекрутеры, отбирающие лучших из лучших.
Ох уж эти современные формулировки...
Не проблема или напортачили, а "трудность"
Не содомит, мужеложец, а "весёлый человек"
Не спаленный зонд, а "Недоработка"Главное же никого не обидеть, и не называть вещи своими именами.
Как так получается что в гугел набирают олимпиадников алгоритмистов после жёсткого интервью, а в итоге они то буфер обмена позволяют всем исправлять, то ответы в гугл тестах оставляют в джаваскрипте, то ещё что-то?
Потому и получается, что берут в том числе и тех кто вызубрил книжные задачки для интервью. Шаг влево, шаг вправо - полный разброд и шатание, тили-тили, трали-вали, это мы не проходили, это нам не задавали.
кек :)))
По моему мнению - на переусложненном интервью настоящие профи часто прокалываются: проходят только ненормальные.
Профи могут решить проблему 100500 способами, что уже не укладывается в правила тестирования по типу "угадай-ка".
Ответ сразу в жаваскрипте - это же алгоритмическая оптимизация по скорости. :) Плюс снижается углеродный след.
Олимпиадники - выставочные пудели мира программирования. Тут уже писали.
изи, изи, гаражные самоучки:)
Как связаны программисты и их уровень с поставленными им свыше задачами? Ну олимпиадник ты, ну прошёл ты хрен какие сложные интервью, это что как то повлияло на менеджеров? Нет ты пришёл сутра отрыл такс менеджер, взял весла в руки и гребешь. Сказали отрыть запись в буфер обмена, ты открываешь. Завтра скажут дать доступ к базе сохраненных паролей из JS, да не вопрос. Ты гребешь тебе платят. Перестанешь грести на твое место найдут, того кто тебя заменит. А ты пойдёшь искать другую галеру, с уже не таким удобным стулом, и без гамака.
Программисты уже давно не решают куда грести, они решают как: веслами или паровой двигатель влепить.
Но все шишки именно на программистов, а менеджеры которые ставят задачи они как бы не причем.
Это норм в внутреннем банковском софте (или аналогичном). Но в продукте такого уровня, на котором хорошо зарабатывают (а Гугл хорошо зарабатывает) такого быть не должно: иначе продукт превращается в сборник костылей без возможности поддержки.
Ровно наоборот. За такое в банковском софте могут просто заполнить цементом новую нишку на -5м этаже, как раз под деньгохранилищем (полезно что его охраняют еще и духи мертвых).А в протухте такого уровня, который еще и раздается забесплатно - только так и принято. Ляп-ляп, впродакшн.
Денежки гугля не пострадали.
> Как связаны программисты и их уровень с поставленными им свыше задачами?Ну вообще-то связаны. Начиная с того, что хороший специалист к идиотам может взять и не пойти (или уйти от оказавшихся/ставших идиотами).
Если что, моя главная кадровая находка последних лет -- именно олимпиадник. И именно на опеннете. :)
> Если что, моя главная кадровая находка последних лет -- именно олимпиадник.
> И именно на опеннете. :)Однажды он затруднился построить в уме граф зависимостей. Выдал список прямых зависимостей пакета и сопроводил его заключением вида «вон та библиотека не требуется». Но она в зависимостях у чего-то из упомянутого списка и ebuild её даже находит, если задать нужные ключи. Если надо, найду ссылку, он не так много тут пишет.
> Как так получается что в гугел набирают олимпиадников алгоритмистов после жёсткого интервьюА что не так с данным алгоритмом? Вроде работает, задачу выполняет.
Инклюзивность, специальная олимпиада и все такое.
Да, жосткий тест на полное послушание. Как грится, а для чего вам уборщики с высшим образованием? А для того, что бы была гарантия, что чел может заниматься неинтересной скучной фигнёй годами. Лично знаю уборщицу с юридическим образованием.
Интересно, как люди экстраполируют свои предпочтения на других.> неинтересной скучной фигнёй
А то, что кому-то это интересно и он может разглядеть в этом занятии что-то большее? Впрочем, не отвечай, это риторический вопрос.
Не прокатило, вычёркиваем =)
--
"Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle на странице открытия новой вкладки" - бхахаха, я такой тупой отмазы даже в средней школе не слышал, у прогульщиков)
--
Ага, из-за дудлов Хромимум переписали, так и поверил, сняв тонны лапши с ушей)
>"Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle на странице открытия новой вкладки"Еще один! Даже в кавычки взял!!! Ха-ха-ха!!!
какое отношение буфер обмена имеет к отображению какой-то копрокартинки?разрешить сайту читать буфер обмена (без запроса от пользователя), в котором возможно сейчас хранится пароль к твоему клиент банку, в который ты залогинился 2 минуты назад - очень умно гугл... премию Дарвина выдют компаниям?
Вроде как давно уже советуют гонять браузер в виртуалке. Разные браузеры для разных нужд. Но лично я пользуюсь отдельными иксами под разными юзерами. LXC не осилил, впрочем и не нашёл кто осилил запустить иксовый сервер. Qubes тоже пробовал - кака.
так виртуалка не поможет, твой буфер обмена доступен внутри виртуалки, а также через RDP, NX, VNC и т.д.конечно можно это все сознательно выпилить при желании, но по умолчанию в миллионах, если не миллиардах систем именно так
пока остается только очищать буфер обмена сразу после использования, и само собой не пользоваться таким шлаком как хром и форки
> пока остается только очищать буфер обмена сразу после использованиятак пока ты ctrl+c ctrl+v делал чей-то скрипт может и успеть прочитать сокровенные словеса. Там же не раз в сутки будут буфер проверять.
>> пока остается только очищать буфер обмена сразу после использования
> так пока ты ctrl+c ctrl+v делал чей-то скрипт может и успеть прочитать
> сокровенные словеса. Там же не раз в сутки будут буфер проверять.так не держать в этот момент открытым хром, скопировал вставил почистил, пошел серфить "небезопасный инет"
маразм, но это то, что нам хром предлагает, идиоты
>Google DoodleЧто это за хрень?
Из словаря LingvoUniversal (En-Ru)
doodle [-]
[ˈduːdl]
1. сущ.
1) болван, дурень, олух
Syn:
dolt, blockhead
2) каракули, черточки (то, что человек непроизвольно и бесцельно рисует, в то время как его мысли заняты совершенно другим)
2. гл.
машинально чертить или рисовать
То есть согласно первому пункту это "гуглолошара". Видимо, подразумевается пользователь хромого поделия.
Раньше думал, что Google произошло от гугол или goggle, а теперь смотрю на:
--------- <--- зеркало
doodle
qooqle
alboob
Это уже красная линия какая-то.
Где хакеры, ломающие центры принятия решений гугла?
повестки ждут:)
А всё, альтернативы все заглохли от активной политики Extend & Extinguish гугла, теперь начинается стадия поедания с лопаты. Если конечно второй Столлман не появится...
Мне, кстати, телеграм в какой-то момент показался экспериментом насчёт "после веба".
1. С какой версии?
2. Проброшено ли в chrome://flags?В этой статье есть хоть что-то, кроме паники? По первой ссылке, кстати, в комментарии написано, что «это не должно быть поведением по умолчанию, только для тестов».
Зато по второй ссылке:> Is this on the latest 104 stable build?
> I tested on 104.0.5112.101, yes.
Проверил на 80 версии. Так без ведома запись проходит на тестовом сайте.
Сколько таких
> «это не должно быть поведением по умолчанию, только для тестов»находится прямо сейчас в актуальной кодовой базе, не экранированных #IFDEF'ами, но на которые пока никто не обратил внимания из-за их специфичности или нахождения глубоко в движке?
Паника тут не сколько из-за такого факта утечки (а утечки ли? Не отмазка ли это перед сообществом?), а сколько из-за того, что это в принципе возможно. И даже не в компании "ООО ИТ-Софт корпорэйтед" на 10 человек реально делающих продукт, а в софтверном гиганте, куда попасть - уже золотой билет.
> уже золотой билетВ каком месте золотой-то? Понты «я в гугле работал» ничего не стоят, всем пофиг. Платят мало, перспективы карьерного роста никакие. Так где золото?
Полехче, полехче.
Не стоят они как раз в штатах и у других гигантов в Калифорнии - там каждый первый в гугле работал, не кодером - так сантехником. А вот в других регионах мира...Это как строчка в резюме "учился в университете %s, члене "Лиги Плюща". ". В штатах уже не стоит ничего, там местные уже превратили их в рассадник изучения правильности использования гендерастных местоимений и все это знают; но в остальном мире эти универы всё ещё имеют уважаемость к "бренду".
> Полехче, полехче.
> Не стоят они как раз в штатах и у других гигантов в
> Калифорнии - там каждый первый в гугле работал, не кодером -
> так сантехником. А вот в других регионах мира...
> Это как строчка в резюме "учился в университете %s, члене "Лиги Плюща".
> ". В штатах уже не стоит ничего, там местные уже превратили
> их в рассадник изучения правильности использования гендерастных местоимений и все это
> знают; но в остальном мире эти универы всё ещё имеют уважаемость
> к "бренду".Ну знаете, "иксперты" сейчас медленно приходят к мнению что пик "повесточки" в общем-то достигнут или даже пройден. Некоторые киностудии скажем тихонечко начали сворачивать "гендернокоррекционные-профеминистические" сериалы. Феминистических режиссеров кое где начали тихонько задвигать назад. Даже среди Тусовки есть некоторая усталость от всего этого, ибо как выяснилось дивиденты с повесточки получают очень конкретные жено-человеки, большинство из которых не бедствовало и раньше.
Не стоит конечно рвать тельняшку и кричать "мы победили, баб назад на кухню", но что там будет дальше уже не очевидно.
kek, "платят мало"
заблокировали межсайтовые куки - запилили взаимодействие между вкладками через буфер обмена. Зачем?
Воспроизвел.При попытке чтения из буфера хром показывает запрос на разрешение как и при микрофоне, записывать можно сразу, без доп разрешения
Хромой просится в контейнер.
Гугл всё больше скатывается.
Ладно записывать, но читать это же явная дыра в безопасности
"Изменение поведения в Chrome объясняется необходимостью чтения данных из буфера обмена при выводе заставки Google Doodle на странице открытия новой вкладки. Вместо специфичной обработки данной ситуации, в Chromium просто разрешили всем сайтам обращаться к буферу обмена (читать и записывать) без необходимости предварительных действий со стороны пользователя."ЛОЛШТО? А в слудующий раз они разрешат сайтам форматировать диски пользователя в связи с необходимостью сайта google.com считывать загрузочный сектор диска?
Уже третий!!! Ха-ха-ха!!!
Я уже давно подозревал что особо хитрая страница браузера может читать содержимое буфера обмена когда захочет. Ну а теперь они даже отмазку придумали. Так что наслаждайтесь защищёнными ОС, и держите всякие сайты во время работы с буфером обмена. Скопировал в буфер, оппааааа, утекло в сеть. Ну телеметрия для улучшения ПО, чо! Помню в лисе "баг" исправляли, который без ведома пользователя сохранённые логин и пароль для домена позволял достать из хранилища без спроса. Я даже такие страницы видел. После торжественного исправления "уязвимости" прошло некоторое время... и я опять увидел такие страницы в действии. Ну а чо! Это ж для удобства ;)Браузеры уже давно превратились в суррогаты ОС и работают такими волками в овечьей шкуре. Как ещё не умудрились из JS через сокет к X Server подключаться и скриншоты рабочего стола таскать в сеть, удивляюсь! Даёшь запуск GUI проги в браузере с мордой на текущем X Server!
> Скопировал в буфер, оппааааа, утекло в сеть. Ну телеметрияэто не телеметрия, а data sampling.
Из-за тестов Doodle ломать браузер. Удалили бы свои Doodle и нет проблем. У них разве нет никакой инструкции, что читать и писать можно только после действия пользователя. У них не должен тогда сломать другой тест проверяющий запись в буфер?
Но многие читающие не поняли суть. Они подумали что теперь гугл сможет их читать, но гугл и так это может делать, потому что он контролируем сам браузер. Google teller прекрасно показала что гугл читает каждый чих. Суть в том что теперь любой сайт может читать их пароли и адреса из буфера и писать в буфер свою рекламу.
Так и так многие сайты при копировании текста добавляют "скопирована с сайта такого-то". Если сайт не весь на скриптах - помогает отключение скриптов, иначе - Инспектор в девтулзах
Скрипт существует для решения этой проблемы.
https://greasyfork.org/ru/scripts/432251-block-clipboard-wri...
Кстати подумав я даже понял какое будет применение данной фишки. Есть всякие сайты очень не любящие когда у них копипастят контент. Вероятнее всего они будут в цикле затирать буфер пустотой. Гадить можно было и раньше, а теперь будет просто сказочно просто.
В ФФ первым прмиер дает Uncaught ReferenceError: ClipboardItem is not defined, а второй Uncaught (in promise) DOMException: Clipboard write was blocked due to lack of user activation.
Это можно отключить в chrome://settings/content/clipboard
Don't allow sites to see text or images on your clipboard
> Это можно отключитьfixed: Это пока можно отключить
> Это можно отключить в ...Ты веришь, что оно отключается?
> Ты веришь, что оно отключается?Кроме веры это еще и проверить можно, повебмакачив немного.
Вот это правильно. вот это одобряю. Вот это отличная новость. 2 года ждал.Теперь я ещё и читать хочу.
Там в серединке новости про "читать", читайте новости внимательно:"Вместо специфичной обработки данной ситуации, в Chromium просто разрешили всем сайтам обращаться к буферу обмена (читать и записывать) без необходимости предварительных действий со стороны пользователя"
Я копирую текст автоматом из поле ввода, а в некоторые и вставлять бы автоматом можно, но все же, хотелось бы запрос для сайта как для микрофона.