Opera werkt aan klembordbescherming voor browserversie 84

Opera werkt aan een beveiligingsfunctie voor de Operabrowser waarmee informatie die werd opgeslagen op het klembord, beschermd wordt tegen aanpassingen van derde applicaties. De functie, Paste protection, is momenteel te testen in developerupdate 84.0.4274.0 van de browser.

Het ontwikkelteam achter de Opera-browser schrijft op een blogpagina dat ‘gevoelige data’ op het klembord ‘tijdelijk’ zal worden gecontroleerd op veranderingen. De monitoring stopt volgens Opera van zodra de ‘gevoelige data’ wordt geplakt. Als de opgeslagen data door een derde applicatie wordt gewijzigd, verschijnt er een waarschuwingsmelding in de browser.

Het is niet duidelijk welke criteria Opera hanteert om data als ‘gevoelig’ aan te duiden. BleepingComputer probeerde de functie uit en merkte op dat IBAN-nummers en cryptowalletadressen de functie konden activeren. Kredietkaartnummers, lange wachtwoorden en e-mailadressen deden vooralsnog geen melding verschijnen.

Opera Past protection

Door Jay Stout

Redacteur

Feedback • 23-12-2021 15:2422

23-12-2021 • 15:24

22 Linkedin

Lees meer

Opera 88 bevat ingebouwde knop die reclame voor webwinkels toont Nieuws van 9 juni 2022
Opera brengt Crypto Browser uit voor iOS Nieuws van 15 april 2022
Opera-browser ondersteunt URL's met alleen emoji's Nieuws van 14 februari 2022
Opera brengt Web3-cryptobrowser uit voor Windows, Mac en Android Nieuws van 19 januari 2022
Testbuild Windows 11 haalt belemmeringen omtrent wijzigen standaardbrowser weg Nieuws van 4 december 2021
Mozilla Firefox is nu ook beschikbaar in de Microsoft Store Nieuws van 9 november 2021
Russische waakhond verbiedt gebruik OperaVPN en VyprVPN voor particulieren Nieuws van 17 juni 2021
Meer producten en artikelen
Browsers Opera Beveiliging cryptocurrency Phishing

Reacties (22)

-Moderatie-faq
22
21
11
1
0
9
Wijzig sortering
NanoSector
23 december 2021 16:50
Wat heeft dit voor meerwaarde om door een browser te laten doen? Lijkt me dat dit soort dingen beter in een clipboard manager binnen het OS geregeld kunnen worden.

Liever had ik gezien dat ze de mogelijkheid hadden gegeven om clipboardtoegang op sites uit te schakelen, of een warning als een site dat doet. Hoe minder sites bij onderdelen van mijn systeem kunnen, hoe beter, imho.
cruysen
@NanoSector23 december 2021 17:54
Wat heeft dit voor meerwaarde om door een browser te laten doen? Lijkt me dat dit soort dingen beter in een clipboard manager binnen het OS geregeld kunnen worden.
Daar heb je een punt. Alles wat in het clipboard komt is door elk programma te lezen en eventueel te loggen naar een eigen server.
Het zou een taak zijn voor de OS om eventueel dit te herkennen en aan te geven of een app deze 'gevoelige' data van jou mag gebruiken. Daar zou ik meer vertrouwen in hebben.

[Reactie gewijzigd door cruysen op 23 december 2021 17:55]

SirLenncelot
@cruysen23 december 2021 18:08
Werkt dat echt zo makkelijk? Vanuit een wachtwoordmanager worden nogal eens wat geheime gegevens gekopieerd.
larssieboy18
@SirLenncelot23 december 2021 18:25
Moet je voor de gein maar is kijken hoevaak er apps gegevens opvroegen van het klemboard toen iOS net de melding hiervoor had geïntroduceerd.
robvanwijk
@NanoSector23 december 2021 21:49
Wat heeft dit voor meerwaarde om door een browser te laten doen? Lijkt me dat dit soort dingen beter in een clipboard manager binnen het OS geregeld kunnen worden.
Dan moet je wel een OS gebruiken met dat soort functionaliteit. Bij mijn weten zit dat in elk geval niet in Windows. Op Linux is het een beetje lastig te zeggen (veel smaakjes mogelijk), maar onder Ubuntu ben ik het niet tegengekomen. Als een browser denkt dat deze functionaliteit cruciaal is op een systeem dat een browser draait (waar, tot op zekere hoogte, iets voor te zeggen is), dan hebben ze weinig andere keuze dan het zelf te implementeren.

De exacte werking is me echter niet helemaal duidelijk. Hun blog zegt:
When you copy sensitive data in Opera, the data is monitored for changes for some time or until you paste the data. If the data is changed by an external application, a warning is displayed.
Wat ik daarvan maak is dat ze het volgende scenario in gedachte hebben:
  • Ik selecteer, in de browser, een IBAN (bijvoorbeeld in een webshop of in een email)
  • Er draait malware op mijn systeem die het clipboard in de gaten houdt en, zodra ie een IBAN op het clipboard ziet staan, vervangt ie dat door het IBAN van zijn eigenaar, in de hoop dat ik geld naar die rekening overmaak
  • Op de website van mijn bank plak ik het (verkeerde) IBAN in de betaalopdracht
In theorie is het een leuke toevoeging hoor, maar is dat niet een ontzettend niche situatie!? Als ik het IBAN ergens anders vandaan kopieer (de PDF-lezer waarin ik de bestel-bevestiging heb geopend, om maar iets te noemen), dan werkt het al niet. En dit soort malware kan toch nooit lang onopgemerkt blijven? Zelfs zonder virusscanner valt dit ontzettend op.
NanoSector
@robvanwijk23 december 2021 23:35
Ik beweer niet dát er een clipboard manager is die dit kan, maar ik zou het eerder in een programma als dat verwachten. Het voelt een beetje als een feature "omdat het kan" dus dan stoppen we het er maar bij in ons product.

Ik gebruik Unclutter op macOS, deze heeft een Clipboard History functie, maar hierin kun je apps aangeven die gegevens bevatten die niet open en bloot mogen liggen als je je clipboard manager invoked. 1Password bijvoorbeeld. Aangezien ik dat programma ook voor notities gebruik en de interface beiden tegelijkertijd laat zien zou ik tijdens scherm deel sessies al veel wachtwoorden gelekt hebben zonder deze feature :+

Maar logischerwijs zou ik dan verwachten dat juist een programma als dat zoiets op zou pakken. Programma is gemarkeerd als sensitive en heeft iets in het clipboard staan? Geef me een waarschuwing als een ander programma het clipboard uitleest of aanpast. Niet iets voor een browser.

Soms vraag ik me af of we het concept browser niet al ver voorbij zijn en of we daarbij niet eens terug moeten naar de core. Het zijn tegenwoordig applicatieplatformen, tot daar aan toe, maar de meest nutteloze features worden erin gepompt om marktaandeel te winnen; en dan doel ik niet enkel op Opera, maar zelfs grotere spelers als Edge en Firefox.

Rant aside ben ik het met je eens in de notie van "fix het met je bestaande product"; maar net wat je zegt, het voelt dan intens gimmicky aan en niet als iets wat je realistisch tegen zal gaan komen. Voeg daar nog aan toe het stukje "automatische detectie" en je moet dan maar op de gok aannemen dat je browser de juiste keuze maakt, want het algoritme zal niet openbaar worden (I hope to be proven wrong).

[Reactie gewijzigd door NanoSector op 23 december 2021 23:36]

robvanwijk
@NanoSector24 december 2021 02:27
Ik beweer niet dát er een clipboard manager is die dit kan, maar ik zou het eerder in een programma als dat verwachten. Het voelt een beetje als een feature "omdat het kan" dus dan stoppen we het er maar bij in ons product.
"We hebben een feature bedacht (een beveiligingsfeature zelfs), die eigenlijk als losse software geïmplementeerd zou moeten worden... maar dat heeft nog niemand gedaan. Wat doen we; onze gebruikers onbeschermd laten, om feature-creep te voorkomen, of het dan toch maar zelf implementeren?"
Maar logischerwijs zou ik dan verwachten dat juist een programma als dat zoiets op zou pakken. Programma is gemarkeerd als sensitive en heeft iets in het clipboard staan? Geef me een waarschuwing als een ander programma het clipboard uitleest of aanpast. Niet iets voor een browser.
Als in de praktijk nagenoeg niemand dat soort extra software draait (al heb ik geen harde cijfers om die aanname te onderbouwen), dan kun je in theorie wel gelijk hebben, maar daar schiet niemand wat mee op.
niet als iets wat je realistisch tegen zal gaan komen.
Als mijn scenario correct is. En zelfs dan zou er een ander (veel realistischer) scenario kunnen bestaan dat ik over het hoofd heb gezien. Er zijn tot nog toe minder dan twintig reacties op dit artikel, dus er zullen niet heel veel mensen zijn geweest die mijn post gelezen hebben en de kans hadden om te bedenken "nee joh, het gaat juist om X".
Voeg daar nog aan toe het stukje "automatische detectie" en je moet dan maar op de gok aannemen dat je browser de juiste keuze maakt, want het algoritme zal niet openbaar worden
Als je het echt wilt weten dan kun je de boel altijd decompileren. Het is zelfs relatief eenvoudig te vinden, want ze zullen ergens een callback moeten registreren in het OS dat ze het clipboard in de gaten willen houden. Op Windows kun je via AddClipboardFormatListener() aangeven dat je een seintje wilt krijgen elke keer dat het clipboard verandert, dus daar hoef je alleen maar te kijken wat er met die WM_CLIPBOARDUPDATE messages gebeurt. Bij andere OS's zullen de details anders zijn, maar het achterliggende idee zou ruwweg hetzelfde moeten zijn: kijk aan welk stukje code het OS laat weten dat de inhoud van het clipboard is aangepast. Het eerste stuk van die functie (bepalen of ie überhaupt iets moet doen) zou redelijk eenvoudig (en dus, leesbaar) moeten zijn.
Of je kunt op hun support forum vragen wat ze precies doen, wie weet krijg je gewoon antwoord. :)

[Reactie gewijzigd door robvanwijk op 24 december 2021 02:29]

NanoSector
@robvanwijk24 december 2021 14:45
"We hebben een feature bedacht (een beveiligingsfeature zelfs), die eigenlijk als losse software geïmplementeerd zou moeten worden... maar dat heeft nog niemand gedaan. Wat doen we; onze gebruikers onbeschermd laten, om feature-creep te voorkomen, of het dan toch maar zelf implementeren?"
Maar betekent dat dan maar dat in de volgende versie er een PDF scanning programma in moet zitten om te kijken of je PDF wel een PDF is, en de versie daarop een sandbox desktop waarin je alleen Opera kan draaien, en de versie daarop bouwen ze dan maar een Linux virtuele machine erin zodat je host niet geïnfecteerd kan worden, etc etc etc? Want niemand anders heeft dit niveau van beveiliging erin zitten en het los uitbrengen is ook zo'n gedoe.

Mijn punt is niet dat ze het dan maar persé als een apart en extern product hebben moeten uitbrengen, mijn punt is dat dit weer zo'n functie is waarvan je denkt "waarom moet dit er vast in zitten". Maak er een extensie van en installeer die standaard bij een frisse installatie. Zorg ervoor dat ik dit eruit kan slopen als ik het niet wil.
Dan kan je het argument maken dat er een toggle voor is (dat neem ik tenminste aan), maar we weten ook dat meer toggles meer codepaden betekent en vervolgens meer mogelijkheden om dingen te slopen of gebruikers te hinderen. Dan hoef je nog niet GNOME-style alle opties weg te halen maar in het geval van de extensie is de toggle het wel/niet geïnstalleerd hebben hiervan; veel robuuster.

Firefox doet dit ook met bijvoorbeeld Pocket. Kan je wel wegslepen uit je menubalk maar het zit er nog steeds vast in als je niet in de bestanden wil gaan wroeten. (Al zijn daar een aantal functies wel geïmplementeerd als onzichtbare extensies vziw)
Als in de praktijk nagenoeg niemand dat soort extra software draait (al heb ik geen harde cijfers om die aanname te onderbouwen), dan kun je in theorie wel gelijk hebben, maar daar schiet niemand wat mee op.
Miljoenen mensen draaien 'dat soort software' want Windows heeft een ingebouwde clipboard manager :)
En Microsoft heeft meermaals laten zien dat ze erg goed zijn in het irriteren van gebruikers met popups. Ik neem aan dat het popup systeem op Windows dan volwassen genoeg is en deze kan er dan ook nog wel bij. Goed, /zout.

Ik ben het met je eens dat als een ander het niet doet dat je het best zelf kan proberen. En wellicht zorgt dit ook voor een kettingreactie dat OS-makers iets soortgelijks gaan implementeren, wie weet.
Als je het echt wilt weten dan kun je de boel altijd decompileren. Het is zelfs relatief eenvoudig te vinden, ...
Dat is allemaal leuk en aardig maar als je zo technisch onderlegd bent neem ik aan dat je ook wel weet dat internetbankieren gevaarlijk kan zijn en extra oplet. Persoonlijk zou ik niet weten waar ik moest beginnen hiermee en ik ben zelf ook ontwikkelaar.
Of je kunt op hun support forum vragen wat ze precies doen, wie weet krijg je gewoon antwoord. :)
Zeggen en doen zijn twee verschillende dingen. Het bedrijf achter Opera nu heeft niet zo'n super reputatie dus wanneer ik "gevoelige informatie op je clipboard" en "scannen" in één zin zie gaan er bij mij alarmbellen af. Dan kunnen ze nog wel claimen dat er niks verstuurd wordt maar voor hetzelfde geld wordt het ergens in een backlog opgeslagen en encrypted tijdens de telemetry mee verstuurd oid.
robvanwijk
@NanoSector24 december 2021 21:00
Maar betekent dat dan maar dat in de volgende versie er een PDF scanning programma in moet zitten om te kijken of je PDF wel een PDF is, en de versie daarop een sandbox desktop waarin je alleen Opera kan draaien, en de versie daarop bouwen ze dan maar een Linux virtuele machine erin zodat je host niet geïnfecteerd kan worden, etc etc etc? Want niemand anders heeft dit niveau van beveiliging erin zitten en het los uitbrengen is ook zo'n gedoe.
Ik zou inderdaad hopen dat de ingebouwde PDF-renderer controleert of een PDF-bestand dat je probeert te openen ook inderdaad geldig is en niet zomaar aanneemt dat het wel goed zal zijn... en rare dingen begint te doen (lees: exploitable is) als ie een malformed PDF voor zijn kiezen krijgt. Maar goed, elk stuk software zou zijn input moeten valideren natuurlijk.
Voor zover ik weet hebben alle grote browsers al jaren een ingebouwde sandbox om de host te beschermen als iemand een bug vindt in de browser.
Ik zie het voordeel van een Linux virtual machine niet? Dat is (in deze context) toch gewoon een sandbox?

Dus als je je afvraagt "zouden browsers dit toe moeten voegen?" dan lijkt mij het antwoord "dat hebben ze allang gedaan".

Een voorbeeld dat jij niet noemt, maar wat me handig lijkt om mijn redenatie te verduidelijken: het zou me niet handig (én, niet nodig) lijken dat browsers een virusscanner inbouwen. Ja, ze downloaden een heleboel data en ja, daar kan prima malware inzitten, maar iedereen heeft al een losse virusscanner, dus daarom zou ik dat liever niet in de browser stoppen.
Mijn punt is niet dat ze het dan maar persé als een apart en extern product hebben moeten uitbrengen, mijn punt is dat dit weer zo'n functie is waarvan je denkt "waarom moet dit er vast in zitten". Maak er een extensie van en installeer die standaard bij een frisse installatie. Zorg ervoor dat ik dit eruit kan slopen als ik het niet wil.
Dan kan je het argument maken dat er een toggle voor is (dat neem ik tenminste aan), maar we weten ook dat meer toggles meer codepaden betekent en vervolgens meer mogelijkheden om dingen te slopen of gebruikers te hinderen. Dan hoef je nog niet GNOME-style alle opties weg te halen maar in het geval van de extensie is de toggle het wel/niet geïnstalleerd hebben hiervan; veel robuuster.
Van de ene kant zie ik het punt dat je wilt maken, maar van de andere kant denk ik dat je ongelijk hebt. Waar het in essentie op neerkomt is dat het wel of niet installeren van de extensie net zo goed een toggle is en ik zie niet in waarom dat robuuster zou zijn. Als zo'n extensie zijn werk wil kunnen doen, dan moet ie ofwel native code kunnen draaien (zelf een system call doen om een seintje te krijgen als het clipboard is aangepast en een eigen functie registreren als de callback), ofwel moet het overgrote deel van de code die conceptueel in de extensie zou horen toch in de browser zelf zitten (en via een event handler controle doorgeven aan de extensie).
Firefox doet dit ook met bijvoorbeeld Pocket. Kan je wel wegslepen uit je menubalk maar het zit er nog steeds vast in als je niet in de bestanden wil gaan wroeten.
Heb ik ooit gezegd dat ik fan ben van Pocket dan? :+
Miljoenen mensen draaien 'dat soort software' want Windows heeft een ingebouwde clipboard manager :)
Wait, what!? De Windows UI kan me waarschuwen als de inhoud van het clipboard wordt aangepast? Ik kan in WIndows bepaalde applicaties hun toegang tot het clipboard afnemen? Ehm, niet dat ik weet...?
Dat is allemaal leuk en aardig maar als je zo technisch onderlegd bent neem ik aan dat je ook wel weet dat internetbankieren gevaarlijk kan zijn en extra oplet.
Die snap ik even niet; je vroeg je af waarom je de implementatie zou vertrouwen als de exacte werking niet openbaar is. Daarom legde ik uit dat de implementatie (met wat haken en ogen en het kost wat moeite) op zich gewoon openbaar is (en je hoeft niet tientallen megabytes aan code door te spitten, het exacte entry point is relatief eenvoudig te vinden).
Als de vraag is of ik mijn browser vertrouw, dan kan ik niet "extra opletten" zodra ik ga internetbankieren; hoe zou ik dat moeten doen? Het enige wat ik kan bedenken is om helemaal niet in te loggen met een browser die ik niet vertrouw, maar dat is niet echt een nuttig antwoord.
Het bedrijf achter Opera nu heeft niet zo'n super reputatie dus wanneer ik "gevoelige informatie op je clipboard" en "scannen" in één zin zie gaan er bij mij alarmbellen af. Dan kunnen ze nog wel claimen dat er niks verstuurd wordt maar voor hetzelfde geld wordt het ergens in een backlog opgeslagen en encrypted tijdens de telemetry mee verstuurd oid.
Mijn punt was niet "je kunt Opera vertrouwen", mijn punt was "als je Opera vertrouwde voordat ze deze feature aankondigden, dan is er geen reden om ze nu opeens niet meer te vertrouwen". Wat hield ze tegen om aan de hand van het URL van de huidige pagina (en een ingebouwde lijst van inlogpagina's van banken) het volledige form dat je submit (dus inclusief username en password) op te slaan en, verstopt in de telemetry, naar Opera door te sturen? Hetzelfde geldt voor de inhoud van elke email die je leest of verstuurd via je browser. (Hiervoor is geen enkele toegang tot het clipboard nodig. En dan negeren we dat je niet kunt controleren of, wanneer en hoe Opera het clipboard gebruikt.) Als je vorige week Opera gebruikte voor zaken die je niet zou doen op een scherm wat openbaar aan het livestreamen is, dan zie ik niet in waarom je Opera na deze aankondiging opeens niet meer zou vertrouwen.
NanoSector
@robvanwijk24 december 2021 23:29
...

Dus als je je afvraagt "zouden browsers dit toe moeten voegen?" dan lijkt mij het antwoord "dat hebben ze allang gedaan".
Je slaat de plank mis wat betreft mijn punt. Je noemt dat dit een nuttige beveiligingsfeature is, wat misschien zo kan zijn, maar zo veel mogelijke features zijn dit. Een browser kan inderdaad ook een virusscanner toevoegen (doen ze al overigens, maar dan met integratie van het OS), maar ze kunnen ook features toevoegen om bijvoorbeeld je batterij te controleren op fouten om de veiligheid van je fysieke device te waarborgen, ik noem maar wat randoms. Waar leg je de grens? Ik denk dat die grens met deze feature in Opera is overschreden.
Waar het in essentie op neerkomt is dat het wel of niet installeren van de extensie net zo goed een toggle is en ik zie niet in waarom dat robuuster zou zijn.
Minder codepaden in je codebase betekent min of meer automatisch meer robuustheid. Als deze feature zit verweven in allerlei onderdelen moet hier bijvoorbeeld overal gecheckt worden of de feature wel aan staat; als je dit in een extensie stopt dan is het automatisch gedaan wanneer de extensie niet geactiveerd is, want dan laadt de browser het hele ding niet in en draait het er ook geen enkele regel code van. Separation of responsibility. Browser extensies kunnen angstvallig veel.
... ofwel moet het overgrote deel van de code die conceptueel in de extensie zou horen toch in de browser zelf zitten
En de grap is dus dat dat er al heel lang in zit, want browsers hebben al clipboard APIs, zelfs APIs om USB devices te manipuleren (Logitech heeft een tool om je unifying receiver te flashen via Chrome, te zot voor woorden). Er is zelfs een hele interface om events te krijgen vanuit het systeem clipboard: https://w3c.github.io/cli...lipboard-event-interfaces
Volgens spec 5.2.1 geldt dit voor het systeem clipboard. Dus in principe zou iedere extensie met de juiste permissies mee kunnen luisteren, zo ook deze Opera feature. Sterker nog, ik neem aan dat Opera dit ook under-the-hood gebruikt, want waarom zou je een specifieke clipboard implementatie maken voor elk OS als je dit al kan middels je bestaande engine?
Wait, what!? De Windows UI kan me waarschuwen als de inhoud van het clipboard wordt aangepast? Ik kan in WIndows bepaalde applicaties hun toegang tot het clipboard afnemen? Ehm, niet dat ik weet...?
Dat is totaal niet wat ik zeg en ik denk dat je dat zelf ook wel inziet.
Die snap ik even niet; je vroeg je af waarom je de implementatie zou vertrouwen als de exacte werking niet openbaar is. Daarom legde ik uit dat de implementatie (met wat haken en ogen en het kost wat moeite) op zich gewoon openbaar is ...
Met dezelfde logica is de Nvidia driver ook open source en kan Nouveau daar ook een implementatie uit herbouwen. Een programma decompileren om zo "even hun algoritme te checken" is niet zo gedaan en zeker niet voor veel mensen weggelegd.
Als de vraag is of ik mijn browser vertrouw, dan kan ik niet "extra opletten" zodra ik ga internetbankieren; hoe zou ik dat moeten doen? Het enige wat ik kan bedenken is om helemaal niet in te loggen met een browser die ik niet vertrouw, maar dat is niet echt een nuttig antwoord.
Hierbij snap ik niet waar je op reageert. Ik zeg alleen dat je waarschijnlijk niet de doelgroep bent van deze feature, omdat je dan wel weet wat veilig is of niet bij bijvoorbeeld iets als online bankieren, als je technisch genoeg onderlegd bent dat je een programma kan reverse engineeren.
Mijn punt was niet "je kunt Opera vertrouwen", mijn punt was "als je Opera vertrouwde voordat ze deze feature aankondigden, dan is er geen reden om ze nu opeens niet meer te vertrouwen". ...
Ik reageerde op je stukje dat je het ook aan ze zou kunnen vragen, waarbij ik doelde op dat je bij een gesloten project als dit lastig kan achterhalen of ze de waarheid spreken. "Nee we sturen niks op" hebben we vaker gehoord bij een Google, Facebook, Microsoft of Apple en later komt dan toch de aap uit de mouw waarbij er op de meest creatieve mogelijkheden toch data "gelekt" wordt naar hun thuisfront.


Enfin, we dwalen enorm af van het originele topic heb ik het idee, maar ik vind toch het wel interessant om tegenwoord te krijgen aangezien ik redelijk standvast ben in dit soort dingen. Ik ben voor de duidelijkheid niet een die-hard FOSS-supporter of zo (al vind ik het wel een goede richting) maar aangezien browsers zo veel invloed hebben ben ik hier een stuk meer picky mee dan met bijvoorbeeld een muziekspeler.

Ik blijf er wel bij dat ik vind dat dit soort features een grens overschrijdt van wat er wel of niet ingebouwd moet zijn in een browser. Stop het in een extensie; super tof, je bent Chromium-gebaseerd, breng het lekker uit voor de andere WebExtension/Chromium browsers (en vergaar nog meer bankrekeningnummers! :+ ). Kan je ook een apart team/persoon eraan laten werken zonder dat deze in je browser code hoeft te wroeten, en bugs hierin kunnen los opgelost worden van je browser release cycle. Win-win-win in mijn ogen, maar blijkbaar denken bedrijven hier toch fors anders over.

Misschien is het onder water wel een extensie en zit ik me hier "druk te maken" om niks, maar het gaat mij persoonlijk om het algemene principe en ik vind het frustrerend dat ik dit als consument maar universeel op me af moet laten komen, aangezien ik geen keus heb behalve een project als Firefox helemaal rot tweaken/forken en alles eruit slopen.
robvanwijk
@NanoSector25 december 2021 01:27
Je slaat de plank mis wat betreft mijn punt. Je noemt dat dit een nuttige beveiligingsfeature is, wat misschien zo kan zijn, maar zo veel mogelijke features zijn dit. [..] ze kunnen ook features toevoegen om bijvoorbeeld je batterij te controleren op fouten om de veiligheid van je fysieke device te waarborgen
Interactie met clipboard is iets wat in elk geval nog te maken heeft met de browser (dat geldt voor de batterij niet), waarvoor toch al een boel ondersteunende code aanwezig is (ik mag hopen dat dat voor de batterij niet geldt), waar de browser iets aan kan doen als er iets mis gaat (wat bij de batterij ook niet het geval is; de browser kan niet tegen de batterij zeggen dat ie moet stoppen met laden) en waar nog geen andere oplossing voor is (wat bij de batterij juist wel zo is; zowel het OS als de batterij zelf houden de gezondheid van de batterij in de gaten).
Minder codepaden in je codebase betekent min of meer automatisch meer robuustheid. Als deze feature zit verweven in allerlei onderdelen moet hier bijvoorbeeld overal gecheckt worden of de feature wel aan staat; als je dit in een extensie stopt dan is het automatisch gedaan wanneer de extensie niet geactiveerd is, want dan laadt de browser het hele ding niet in en draait het er ook geen enkele regel code van.
Mooie theorie, maar juist door alles in extensies te stoppen gaat de complexiteit omhoog. Overal waar je codepaden bespaart omdat de browser zelf het niet hoeft te doen krijg je nu opeens calls naar event dispatchers. Dat is nog veel complexer. In feite stel je voor om een klein probleem op te lossen met een groot probleem.
En de grap is dus dat dat er al heel lang in zit, want browsers hebben al clipboard APIs [..] Er is zelfs een hele interface om events te krijgen vanuit het systeem clipboard: https://w3c.github.io/cli...lipboard-event-interfaces [..] ik neem aan dat Opera dit ook under-the-hood gebruikt
Dus je bezwaar is dat ze dit niet in de browser zelf zouden moeten doen, maar in een extensie... terwijl je aanneemt dat dat precies is wat ze doen!?
Dat is totaal niet wat ik zeg en ik denk dat je dat zelf ook wel inziet.
Ik vermoed dat je dat niet bedoelt, maar ik heb geen idee wat je dan wel bedoelt. Die formulering was een poging om uit te leggen waar ik dacht dat we het over hadden, in de hoop dat je kon verduidelijken wat je probeerde te zeggen.
Met dezelfde logica is de Nvidia driver ook open source
Ja ho eens even, je quote me daar wel mooi, maar precies het deel waarin ik het verschil met (bijvoorbeeld) een graphics driver uitleg vervang je door puntjes: "en je hoeft niet tientallen megabytes aan code door te spitten, het exacte entry point is relatief eenvoudig te vinden".
Ik zeg alleen dat je waarschijnlijk niet de doelgroep bent van deze feature, omdat je dan wel weet wat veilig is of niet bij bijvoorbeeld iets als online bankieren, als je technisch genoeg onderlegd bent dat je een programma kan reverse engineeren.
Dat ik enig verstand van software development heb betekent nog niet dat ik alle code die op mijn systeem draait nagelopen heb. Als iemand erin slaagt om malware langs Mozilla's code review proces te smokkelen en gereleased te krijgen, dan ben ik (en met mij, talloze anderen) ook gewoon ontzettend hard de sjaak.

Het punt is dat je, voor zover ik kan beoordelen, voor dit nieuwsitem Opera gebruikte (en dus kennelijk Opera vertrouwt), dit nieuwsitem leest (waarvan ik, ook na deze discussie, geen idee heb waarom het je vertrouwen in Opera aan zou tasten) en nu opeens besloten hebt dat je Opera niet meer vertrouwt. Die gedachtegang ontgaat me.
"Nee we sturen niks op" hebben we vaker gehoord
Ik dacht dat we het hier over hadden:
Voeg daar nog aan toe het stukje "automatische detectie" en je moet dan maar op de gok aannemen dat je browser de juiste keuze maakt, want het algoritme zal niet openbaar worden (I hope to be proven wrong).
Dat had ik gelezen als "hoe bepalen ze welke data wel of niet "gevoelig" is en voor deze speciale bescherming in aanmerking komt?". Dat is relatief eenvoudig terug te lezen uit gedecompileerde code (mijn eerste gok: een for-loop die over een aantal regexes itereert om te kijken of er eentje is die matcht) en dat is een vraag waarvan ik geen reden zie waarom ze het geheim zouden willen houden (of waarom ze er over zouden liegen).
aangezien ik geen keus heb behalve een project als Firefox helemaal rot tweaken/forken en alles eruit slopen.
Sorry als het lullig klinkt, maar dit komt op me over als "waarom is er geen project wat exact de keuzes maakt die ik ook zou maken?". Het antwoord daarop is immers simpelweg: omdat je heel specifieke eisen hebt. Als 99% van de Opera-gebruikers het geen hout kan schelen of deze feature wel of niet bestaat, 0,99% er blij mee is en slechts 0,01% er zo faliekant tegen is dat ze overstappen naar een andere browser, dan is het objectief de juiste keuze om dit toe te voegen.

Als je op zoek bent naar een Firefox fork waar een boel "overbodige" code uit gesloopt is dan moet je eens kijken naar het Palemoon project. Ik kan niet garanderen dat het perfect aansluit bij wat jij wil, maar het zou zomaar kunnen.
NanoSector
@robvanwijk25 december 2021 09:44
Even met minder quotes want mobiel.

Re. De batterij status: https://w3c.github.io/battery/#the-batterymanager-interface
Geen idee of dit ook info verstrekt over de gezondheid (lijkt me niet), maar voor zowat alles in je OS en op je apparaat zijn APIs in een browser. Vandaar dat ik het een paar berichten terug een applicatie platform noem.
Dus je bezwaar is dat ze dit niet in de browser zelf zouden moeten doen, maar in een extensie... terwijl je aanneemt dat dat precies is wat ze doen!?
Ik neem aan dat ze voor deze feature (de code van) die API gebruiken, dat is iets anders. Ik hoop dat ze het als extensie hebben geïmplementeerd.

Re. Clipboard manager, Windows heeft er een, maar die heeft deze feature van Opera niet. Ik reageerde op je stelling dat bijna niemand “dat soort software” zou hebben waarbij ik aannam dat je clipboard managers bedoelde.
Mooie theorie, maar juist door alles in extensies te stoppen gaat de complexiteit omhoog. Overal waar je codepaden bespaart omdat de browser zelf het niet hoeft te doen krijg je nu opeens calls naar event dispatchers. Dat is nog veel complexer.
Half eens. Ja het is complex, maar de paden voor deze extensies zijn doorgaans veel meer belopen dan custom paden voor losse features in je normale codebase. Die event dispatchers en andere hooks hebben meer te doen dan alleen jouw code aanroepen. En de tooling om extensies te bouwen is ook volwassen genoeg om debuggen ervan makkelijker te maken. Als extensie is de code ook geïsoleerd en draait het (in het geval van Chrome/Opera althans) in een apart proces; volledig transparant voor de gebruiker en grotendeels ook voor de developer, maar als er iets fout zou gaan heb je én geen toegang tot de inhoud van de tabs als je extensie dat niet aanvraagt én de browser lijdt er niet onder
Het punt is dat je, voor zover ik kan beoordelen, voor dit nieuwsitem Opera gebruikte
Oh als dat zo overkwam dan hebben we een misunderstanding en dat is mijn fout, want ik heb al jaren geen Opera meer gebruikt, ooit een keer om te kijken wat het verschil met Chromium was en naast een veranderde interface en closed source zijn was er niet echt iets unieks vond ik.
Nogmaals het gaat me om het principe. Ik heb Opera nooit vertrouwd, niet voor dit bericht en dit bericht heeft het niet veranderd. We gaan zien of en wanneer er een bericht komt met “Opera lekt gevoelige gegevens van alle gebruikers vergaard via het clipboard”
Sorry als het lullig klinkt, maar dit komt op me over als "waarom is er geen project wat exact de keuzes maakt die ik ook zou maken?".
Het klopt dat ik een ontzettend niche gebruiker ben en dat ben ik ook volledig met je eens, een bedrijf hoeft niet specifiek met mij rekening te houden. Maar het punt is dat ik er best zelf werk in wil steken maar dat het me onnodig moeilijk wordt gemaakt door dit soort features in de core te stoppen, zodanig dat je eigenlijk een fork moet starten om ze weg te poetsen (wat in het geval van Opera zo goed als niet kan tenzij je (het geheugen van) de binary gaat patchen of zo), terwijl een browser zo’n mooie en gestandaardiseerde infrastructuur heeft voor het hosten van extensies. Dan vind ik het eindeloos zonde als je dit soort dingen niet modulair als extensie opbouwt.
Een voorbeeld wat ook jouw punt bevestigd is Safari. Ondersteuning voor moderne APIs is er vaak simpelweg niet; USB apparaten aansturen is er bijvoorbeeld niet voor zover ik weet. Super simpele en strakke browser in mijn ogen, maar developers klagen dat ze er niet alles mee kunnen doen wat ze willen aangezien die ondersteuning er dus gewoon niet is. Ik zie dat persoonlijk als een plus voor Safari.
Als je op zoek bent naar een Firefox fork waar een boel "overbodige" code uit gesloopt is dan moet je eens kijken naar het Palemoon project. Ik kan niet garanderen dat het perfect aansluit bij wat jij wil, maar het zou zomaar kunnen.
Thanks voor de suggestie. Forks en patchsets als Palemoon en Librewolf zijn in mijn ogen inderdaad al een stuk meer “puur”, wat ik wil gaan we waarschijnlijk toch niet volledig krijgen en dat moet ik leren accepteren. Ik kan dan ook alleen maar toejuichen dat protocollen als Gemini iets gaan worden.
Automark
23 december 2021 21:29
Ik wist werkelijk niet dat opera nog bestond, vroeger veel gebruikt, maar sinds jaren op ff. T marktaandeel zal helaas bizar laag zijn, mede door de nieuwe ie; Chrome.
Anoniem: 1532362
23 december 2021 16:13
Fijn dat de browser die in handen is van een Chinees bedrijf mijn clipboard actief monitored op zoek naar "gevoelige data".
lilmonkey
@Anoniem: 153236223 december 2021 16:37
Flauwe reactie. Tenzij je aanwijzingen hebt dat deze functionaliteit de inhoud van je klembord naar China stuurt lijkt er geen reden tot paniek.

Sowieso, los van deze functionaliteit, kan Opera gewoon je klembordinhoud, en zo'n beetje alles wat ze maar willen, naar China sturen natuurlijk. Daar veranderd dit niets aan.
Wolfos
@lilmonkey23 december 2021 19:44
Dit is hetzelfde bedrijf dat uit de Play Store werd getrapt omdat ze hun gebruikers oplichten. Je bent gek als je die vertrouwd.

[Reactie gewijzigd door Wolfos op 23 december 2021 20:45]

lilmonkey
@Wolfos23 december 2021 22:51
Dat zei ik ook niet; ik denk dat er zeker valide redenen zijn om Opera te wantrouwen en aangezien er wat mij betreft betere browsers zijn (zowel qua functionaliteit als qua betrouwbaarheid) gebruik ik persoonlijk Opera dan ook niet.

Dat staat echter los van de functionaliteit die in dit artikel beschreven wordt, is het punt.
Christoxz
@Anoniem: 153236223 december 2021 16:32
Als het gewoon een regex is die alleen maar kijkt naar structuur dan valt het wel mee, uiteraard als die data verder gewoon lokaal blijft uiteraard..
robvanwijk
@Anoniem: 153236223 december 2021 21:33
Diezelfde browser waarin je je webmail leest, je online bankieren regelt en waarin je wachtwoordmanager is geïntegreerd? Wat heb jij ooit op je clipboard staan dat gevoeliger is dan al die dingen!?
Patriot
@Anoniem: 153236223 december 2021 17:09
Als je je daar zorgen om gaat maken als de app die je al hebt geïnstalleerd aankondigt dat ze het klembord in de gaten gaan houden dan snap je ook niet helemaal hoe het werkt.
Patriot
@Slyceth23 december 2021 17:22
Je analogie is verkeerd, want in het geval van Opera hebben ze al toegang tot je klembord. Het is dus alsof iemand al een webcam in jouw slaapkamer heeft hangen en jij je pas zorgen gaat maken over het feit dat ze je kunnen bespieden als ze zeggen dat ze de beelden gaan gebruiken om automatisch de politie te bellen als die camera inbrekers ziet.

Elke app op je computer heeft toegang tot je klembord. Ook de apps met Chinese makers. Of ze hebben aangekondigd dat ze er iets mee doen heeft helemaal niets te maken met of ze inzage hebben (gehad) in die gegevens.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee