Chrome 104权限设置bug让网站无需询问即可写入内容到剪贴板

Chrome104权限设置bug让网站无需询问即可写入内容到剪贴板开发人员JeffJohnson在一篇博客文章中指出，Google在Chrome104中意外引入了一个bug。由于一个权限设置失误，导致网站无需获准用户许可、即可将相关内容写入系统剪贴板。虽然Safari和Firefox也有类似的功能，但至少Apple和Mozilla有设置相应的防护措施。据悉，剪贴板是操作系统上的一个临时存储空间。但由于常用于复制/粘贴的中转站，剪贴板很可能涉及银行账号、加密货币钱包字符串、以及密码等敏感信息。当用户选择从网页上复制一段文本时，某些网站可能会加上额外的内容——比如当前页面的网址（URL）——而没有任何可见的指示或交互。若被任意内容覆盖这个临时存储空间，用户将面临较高的风险，导致其成为潜在恶意活动的受害者。JeffJohnson在博客文章中强调——所有支持剪贴板写入的Web浏览器，都具有较差且不充分的防护措施。举个例子，攻击者可能引诱用户访问冒充合法加密货币服务的特制网站。当用户尝试付款、并将钱包地址复制到剪贴板时，该bug或导致相关信息被篡改。（viaBleepingComputer）虽然许多剪贴板API交互都是通过Ctrl+C这样的快捷键实现的，但在许多情况下，网站交互可以做到更加神不知鬼不觉。Johnson在Safari和Firefox上的测试表明，即使按了向下↓箭头、或使用鼠标滚轮在网站上导航，都可被授予当前加载页面的剪贴板写入权限。要确定该问题是否影响您的Web浏览器，可移步至webplatform.news示例站点，看相关操作是否会将内容注入到用户系统的剪贴板里、然后尝试将内容‘粘贴’到Windows记事本。目前Chrome开发团队已经意识到了这个问题，但尚未立即修复。庆幸的是，它对当前版本的移动/桌面版Chrome浏览器的影响并不大。PC版：https://www.cnbeta.com/articles/soft/1311313.htm手机版：https://m.cnbeta.com/view/1311313.htm

剪贴板项目 0.7.0 发布。 ​​​

剪贴板项目0.7.0发布。​​​从输出中删除所有表情符号CLIPBOARD_NOEMOJI添加--no-confirmation标志以禁用确认消息通过管道显示所有复制文件的原始文件路径cbshow使用信息查看剪贴板的最后更改日期（目前不适用于Windows）如果CB在自身的管道中，则添加文件锁定异常适用于更多可用的GUIMIME类型大量新的GitHubActions以更彻底地测试CB使用交换操作交换剪贴板内容使用导出操作导出剪贴板（目前处于Beta状态）仅在X11失败时使用Wayland通过添加指定自定义MIME类型以从GUI请求--mime(mime)在信息中查看可用的MIME类型信息现在有一个漂亮的边框将许多地方不受支持的Unicode方框绘图字符替换为到处都受支持的类似字符通过管道输出以JSON格式从Info中获取信息#工具

[图]Android 13新特性：1小时后自动清理剪贴板内容

[图]Android13新特性：1小时后自动清理剪贴板内容昨日，Google面向Pixel设备推出了Android13稳定版，自然引入了很多新的改进。其中在隐私方面一个值得关注的改进是，Android13在“经过一段时间”之后将会自动清理剪贴板的内容，从而确保恶意应用无法访问这些内容。用户保存在剪贴板中的敏感信息，包括信用卡账号、密码、手机号码等等，在Android13中这些信息的保存时间并不会太长。Google解释道：“此举是为了阻止预期之外的剪贴板访问。如果你在设备上复制了诸如邮件地址、手机号码、登录凭证等敏感数据，Android将会在一段时间之后自动清理你的剪贴板历史”。事实上某些密码管理应用已经提供了相同的功能。例如Enpass就会在用户设定的时间之后清理复制到剪贴板的内容，这对于密码等敏感信息的处理来说是非常有意义的。但是您的剪贴板可以保留其内容多长时间？国外科技媒体9to5Google的DylanRoussel做了一些挖掘，发现在Android13中，剪贴板一个小时后自动清除——具体来说是3,600,000毫秒。而且目前这个时间是系统预设的，用户无法进行更改。PC版：https://www.cnbeta.com/articles/soft/1305293.htm手机版：https://m.cnbeta.com/view/1305293.htm

AI 赋能剪贴板：微软 PowerToys 新增“高级粘贴”功能

AI赋能剪贴板：微软PowerToys新增“高级粘贴”功能微软正为PowerToys加入一项名为“高级粘贴”的新功能，其利用人工智能的强大功能，可以实时转换剪贴板内容。这项新功能能够帮助用户提升工作效率，例如将一种编程语言的代码复制粘贴成另一种语言的代码。不过，要使用高级粘贴功能的一些更高级特性，需要OpenAIAPI。如果在“高级粘贴”设置中启用了“使用人工智能粘贴”，用户还可以看到一个OpenAI提示框，用于输入所需的转换类型，例如摘要文本、翻译、生成代码、将内容从休闲风格重写为正式风格，甚至是以尤达大师的语气说话等等，只要你能想到的都可以尝试。关注频道@ZaiHuaPd频道投稿@ZaiHuabot

法院明确App未经许可读取手机剪贴板系侵权行为

法院明确App未经许可读取手机剪贴板系侵权行为近日，广州互联网法院宣判了两起案件，均认定App未经用户同意即读取“剪贴板”内容侵犯了用户隐私权。有专家向《财经》E法表示，这两起案件的判决起到合规指引作用，也符合《个人信息保护法》确立的个人信息处理的相关原则。用户李某发现，她与朋友聊天时经常会收到朋友分享的萌推App分享口令，口令里写着“复制这句话后打开萌推App。李某发现，打开萌推App后不用进行粘贴，就会自动弹出一个“帮他/她砍一刀”字样的页面。李某认为，口令分享与系统“剪贴板”有关，是萌推App自动收集用户复制在“剪贴板”的信息，跳过用户对“剪贴板”进行了操作。但是萌推App在她安装时从来没有提示过该程序要收集“剪贴板”信息。...最终，法院判令，突进公司向李某公开致歉。——cnBeta

匿名加密的网络剪贴板和聊天平台

匿名加密的网络剪贴板和聊天平台在不支持剪贴板的主机和虚拟机之间复制和粘贴文本/文件将文本/文件复制并粘贴到远程桌面中，例如VMWareHorizon，RDP和其他剪贴板不起作用或禁用的位置（我个人开始创建此工具只是为了解决客户VMWareHorizon上禁用剪贴板共享的问题）发送有价值的数据，例如密码或某些安全密钥和令牌，而不会有被拦截的危险在服务器可能是邪恶的敌对环境中交换信息，但不给它解密消息的机会无需注册即可完成所有这些工作特征：服务器上的匿名授权，无需注册使用存储在客户端上的非对称密钥对数据进行混合RSA+AES加密所有发送的数据都在客户端上加密，服务器无法解密客户端通过使用第三方通道发送其公钥和用户ID将彼此添加到“接收方列表”可以通过扫描QR码添加公钥和用户ID单击按钮可清除所有客户端的数据和密钥并启动新会话#工具