Google Chrome u otro navegador web basado en Chromium facilita que los sitios web puedan enviar lo que quieran al portapapeles del sistema operativo sin el permiso del usuario, ni siquiera con alguna acción específica del usuario.
Los usuarios utilizan el portapapeles del sistema para almacenamiento temporal, pero esto puede incluir contraseñas para ingresar en sitios web, archivos para mover a otra ubicación o un fragmento de texto.
Los sitios web nunca deben tener acceso al contenido del portapapeles, sin el permiso del usuario. Chrome y otros navegadores basados en Chromium no tienen esta restricción en la actualidad. Los creadores del navegador web Brave consideraron agregar el requisito de gestos del usuario en 2021, pero esto no se ha implementado en el navegador. Mientras tanto, Firefox y Safari sí protegen los portapapeles de los usuarios.
El sitio web Webplatform News cuenta con una herramienta para probar el navegador. Solo es necesario visitar el sitio y verificar el contenido del portapapeles.
Si el navegador resulta vulnerable a la manipulación no autorizada del portapapeles, se recibirá el siguiente mensaje:
«Hola, este mensaje está en su portapapeles porque visitó el sitio web Web Platform News en un navegador que permite que los sitios web escriban en el portapapeles sin el permiso del usuario. Lo siento por los inconvenientes ocasionados. Para obtener más información sobre este problema, consulte https://github.com/w3c/clipboard-apis/issues/182».
Todos los navegadores basados en Chromium que están actualizados se ven afectados por esto. Firefox y Safari requieren un gesto de usuario antes de que los sitios web puedan copiar contenido en el portapapeles del dispositivo. El gesto del usuario en este contexto significa que el usuario está seleccionando contenido en el sitio y usando Ctrl+C u otros medios para realizar la copia en el portapapeles.
Un informe de error en el sitio web de Chromium destaca que se eliminó la restricción de requerir un gesto del usuario antes de leer o escribir en el portapapeles. La razón que dieron es que «rompe el uso compartido de doodles NTP».
«Agregar el requisito de gestos del usuario para las API readtext y writeText rompe el uso compartido de doodles NTP. Estamos relajando esta verificación por ahora, pero debemos corregir esto para que los sitios web no dependan de estas API para llamar sin un gesto del usuario. Consulte la prueba NewTabPageDoodleShareDialogFocusTest.All para obtener más detalles».
NTP se refiere a la página Nueva pestaña del navegador, los doodles de Google, variaciones del logotipo de Google que resaltan eventos o personas.
