"Algemeen zou ik dus zeggen dat een app géén datalek is omdat ze het clipboard kunnen uitlezen en dan per ongeluk persoonsgegevens te pakken krijgen, zolang de app maar niets doet met gegevens die niet voor haar bestemd zijn."

Wat een kul is dit. In die gedachtegang hoef ik dus ook verloren USB-sticks niet te zien als datalek, zolang de vinder er maar niets mee doet. En ik kan gewoon veilig mijn username en wachtwoord aan een phishing website geven, zolang de phisher er maar niets meer doet?

Ik heb geen Apple spullen dus misschien kan iemand even uitleggen hoe dit werkt...
Moet ik dat zo zien dat iedere app een soort trigger kan installeren dat als er iets op het clipboard gezet wordt deze app wakker gemaakt wordt om te kijken of die er wat mee kan?
Of is het meer zo dat als je een app opstart hij even kijkt wat er op het clipboard staat omdat je dat misschien aan die app wilt doorgeven?

Als het het 1e is dan lijkt me dat vrij ernstig. Is het het 2e dan kun je zelf nog de beslissing nemen om het clipboard meteen te wissen als je er iets gevoeligs op gezet hebt waarvan je niet wilt dat het later door iedere app die je opent opgepikt wordt.
Maar als alle apps die signaaltjes krijgen dan is dat ernstig want dan kan er een app zijn die gewoon alles wat je op het clipboard plakt doorstuurt naar hun servers....

De vraag is bij welke andere informatie apps kunnen benaderen, of zij dat doen en wat daar vervolgens mee gebeurt. Dat veel software-makers alles van je willen weten, zonder begrijpelijke redenen, lijkt mij duidelijk.

Wellicht vergelijkbaar zijn de risico's die de voortdurende uitbereidingen van web API's met zich meebrengen. Zie bijvoorbeeld de lijst van web API's waarvan Apple, naar verluidt (https://www.zdnet.com/article/apple-declined-to-implement-16-web-apis-in-safari-due-to-privacy-concerns/) heeft besloten om ze niet in Safari te implementeren:

In bovenstaand lijstje staat niet de web API om het clipboard te benaderen. Ik weet niet welke webbrowsers, onder welke omstandigheden, toestaan dat websites lees- en/of schrijftoegang hebben tot het klembord op smartphones, tablets en PC's (afhankelijk van OS). Ik maak me niet alleen zorgen over apps op dit punt.

Ik heb geen idee hoe reëel dat is in de context van iOS "apps" maar aangezien tiktok al twee keer op rij bleken te liegen gok ik veiligheidshalve op "damage control spin". Voor mij als programmeur zou "spam bestrijden met heel vaak in het klipbord kijken" stinken naar incompetentie en geen idee hebben wat je doet. Want hoe zou dat dan werken? Ik zie het niet. Temeer daar de simpelste manier om "spam te bestrijden" zou zijn om helemaal niet in het klipbord te kijken. Dus ik gok een wilde gok en zeg bullshit. Aangezien het tiktok is die de claim maakt, mogen ze ook uitleggen hoe dat dan zou moeten werken. En waarom niet? Een blogje is gauw getikt, tegenwoordig.


Dit is het verschil tussen hoe de techneut ernaar kijkt en hoe de jurist ernaar kijkt. Ik ben het als techneut met je eens hoor, maar tegelijkertijd is dit niet op te lossen met deze blik en dan is alles dat theoretisch toegang heeft tot het klipbord een datalek. Dan moet je dus het klipbord afschaffen en iets anders verzinnen dat stukjes data uitwisselen makkelijk maakt zonder gelijk data te lekken. Want het probleem zit erin dat alles en iedereen zondermeer bij dat klipbord kan.

De jurist is geen iOS-systeemontwerper en moet roeien met de iphones die hij heeft, dus hij zegt "jamaar die apps heb je toch zelf op je telefoon gezet en ze komen uit de apple-store waar apple over de inhoud waakt dus gaan we er maar vanuit dat de 'apps' doen wat ze beloven tenzij duidelijk is dat ze dat niet doen." Van de USB-stick op de bus weet je dat echt niet dus ga je er maar vanuit dat het dus een datalek is. De scheidslijn is technisch gezien volstrekt arbitrair, maar vanuit personen gezien verdedigbaar... hoop je. De juridische wereld is geen exacte wetenschap. De computerwereld trouwens ook niet, al doen ze vaak van wel.

Firefox laat ook toe dat het clipboard gelezen kan worden, maar kan worden uitgezet door in about:config dom.event.clipboardevents.enabled naar FALSE te zetten.

Wat is het verschil tussen het uitlezen van het clipboard of bestanden op mijn PC. Alle apps op mijn PC kunnen in principe ook al mijn bestanden uitlezen. Toch zie ik het niet als datalek als as ik een app op mijn PC installeer.

Een clipboard is er juist voor om te kunnen uitlezen door alle apps. Het wordt pas een datalek als er een kwaadaardige app tussen zit die alle inhoud van het clipboard upload naar een onbekende site.

Je zou ook als eis kunnen stellen aan die apps dat er toestemming gevraagd wordt aan de gebruiker op het moment dat die app het clipboard wil lezen.

Dan kun je het zelf beslissen en eventueel je clipboard cleanen en dan later pas toestemming geven.

Misschien wat minder gebruikersvriendelijk maar dat zou je kunnen oplossen met

[x]/[ ] Altijd om toestemming vragen bij benadering vh clipboard.

Dat heeft alleen zin als je eerst de appmakers op een ander spoor gezet hebt. Als het nu "gebruikelijk" is dat open apps
voortdurend het clipboard pollen op zoek naar info waar ze iets mee kunnen, bijvoorbeeld omdat dit de geadviseerde
methode is om een app te maken die getriggerd wordt door bijvoorbeeld een barcode die in een externe app gescand is,
dan zal jouw idee er voor zorgen dat er voortdurend vragen om toestemming op het scherm staan. En daar mee verliest
het in no-time zijn werking, net als "Are you sure you want to delete this file?" en "U moet toestemming geven voor het
plaatsen van cookies" popups die we allemaal kennen en zonder verdere actie wegklikken.

Google en Apple hebben al geconcludeerd dat het "beveiligings"-model, dat alle software op een "computer" altijd alles mag wat jij mag, niet langer houdbaar is. Temeer daar steeds meer software (steeds vaker "apps" genoemd) in de achtergrond actief blijven. Als het criterium onder iOS en Android is dat apps niet bij elkaars gegevens moeten kunnen, en dus het vertrouwensmodel van de gebruiker daarop is gebaseerd, is elk onverwacht "bruggetje" ongewenst.

Precies om deze reden gebruik ik, op mijn PC's, KeePass i.p.v. Excel om mijn wachtwoorden te onthouden. Elk wachtwoord via het clipboard blijft dan evenwel een risico. Er zou een speciale API moeten bestaan om wachtwoorden tussen wachtwoordmanagers en doelapplicaties zo veilig mogelijk te kunnen overdragen, maar voor zover ik weet bestaat zoiets nog niet.

Een aanvullend risico is dat je in Windows tegenwoordig jouw clipboard met andere devices (en dus wellicht TikTok op een smartphone) kunt delen (RDP ondersteunt clipboard-sharing al veel langer). In Windows 10 heb je tegenwoordig een aantal services draaien o.a. voor dit doel. Die kun je niet allemaal uitzetten via services.msc (simpelweg omdat deze niet alle services toont). Als je deze clipboard services geforceerd uitschakelt via het register, kun je niet meer knippen en plakken in o.a. calculator en de URL- balk van Edge.

Dezelfde anoniem weer. Eens daar heb je gelijk in maar ik en andere security bewuste gebruikers zouden deze vraag wellicht echter wel op prijs stellen.

De meeste cookies sta ik persoonlijk niet toe en websites die het afdwingen ben ik gelijk klaar mee.

Je zou dan in ieder geval de keuze hebben wanneer die eis zou staan en appmakers daar invullling aan geven. Een soort standaard securitysetting die je centraal kan instellen.

PS: ik heb geen last van mijn ego of kinderachtige welles nietes spelletjes. Laat staan OS flaming of op de persoon. Maar probeer een open discussie aan te gaan en de voors en tegens af te wegen.

Grappig, die opmerking herinnert me eraan hoe ik, toen ik begin jaren '90 kennis had gemaakt met Windows for Workgroups 3.11 en dat prachtig vond, bedacht dat zo'n grafisch besturingssysteem eigenlijk bij elke benadering van bestanden, het clipboard en andere resources zou moeten weten wie het initiatief tot die handeling had genomen, de gebruiker of software, en dat dus bestandsdialogen en andere UI-elementen die met die initiatieven samenhingen niet door de applicatie maar door het OS afgehandeld zouden moeten worden. Ik werkte toen als programmeur in een mainframe-omgeving en verbaasde me over de mate waarin toen in de pc-wereld authenticatie, autorisatie en onderlinge afscherming van processen ontbraken, dingen die ik vanuit mijn werkervaring vanzelfsprekend vond.

Autorisatie gekoppeld aan wie of wat het initiatief neemt zou ook voor toegang tot het clipboard moeten gelden. Dat is van oorsprong iets waar de gebruiker door te knippen of te kopiëren iets opzet en door te plakken iets uitleest, het ondersteunt handelingen van de gebruiker, die neemt het initiatief.

Ik heb er alleen een hard hoofd in of het tegenwoordig makkelijk is om dat initiatief weer helemaal bij de gebruiker te leggen en vervolgens de bevoegdheden tot acties aan handelingen van de gebruiker te koppelen. De ontwerprichtlijnen voor ontwikkelaars voor oorspronkelijke desktopomgevingen benadrukten dat alle handelingen het initiatief van de gebruiker moesten zijn en dat applicaties alle mogelijkheden in de pull-downmenu's moesten presenteren zodat ze makkelijk voor gebruikers te ontdekken waren.

Toen applicaties compexer werden en gebruikers steeds minder tot de intelligente voorlopers behoorden bleek steeds meer dat een fors deel van de gebruikers nooit gaat exploreren in de mogelijkheden en menigeen ze zelfs vaak nog niet ontdekt als ze er ongeveer mee in hun gezicht geslagen worden. En dus kreeg je steeds meer dat de interactie ontworpen werd vanuit een "laat mij dit maar voor je doen, dat is te lastig voor jou"-mentaliteit, waarbij het initiatief bij de software gelegd wordt en hooguit de gebruiker nog om bevestiging werd gevraagd.

In mijn ogen werkt dat averechts: in plaats van dat de gebruiker de computer leert te doorgronden worden er juist abstractielagen overheen gelegd die de eigenlijke werking juist verder afdekken. Kennelijk gaat dit bij smartphones (ik slaag er nog steeds in om daar niet aan te beginnen) zo ver dat apps zelf het clipboard monitoren op inhoud die misschien voor hun bedoeld kan zijn en daar spontaan actie op ondernemen. De ultieme "laat mij dit maar voor je doen"-mentaliteit.

Het is mooi als Apple en Google geconcludeerd hebben dat het niet houdbaar is om een programma alle rechten van de gebruiker van het programma toe te vertrouwen, maar het gaat denk ik lijnrecht in tegen heel veel dingen die gedaan zijn om gebruikers die computers moeilijk vinden er toch mee te kunnen laten werken. Ik ben benieuwd hoe ver ze ermee komen.

Als ze als basis kunnen implementeren dat alleen een gebruiker het initiatief kan nemen het clipboard te benaderen, dan kan als uitbreiding van die basis een mechanisme geïmplementeerd worden waarmee apps selectieve toegang tot het clipboard kunnen krijgen. In het manifest (of wat voor term ze ervoor gebruiken) van de app, of via een OS-API, kunnen regular expressions voor clipboard-inhoud worden opgegeven. Het OS monitort het clipboard en "plakt" inhoud die voldoet, al dan niet na bevestiging door de gebruiker, in de app. De volgende vraag is dan natuurlijk wie die regular expressions beoordeelt en goedkeurt.

Ik gebruik KeePassXC op Linux, en net als KeePassX (dat ik daarvoor gebruikte) vult die aanloggegevens niet via het clipboard in maar door toetsaanslagen naar een venster te sturen. Kan KeePass dat niet?

Dat impliceert natuurlijk weer dat applicaties toetsaanslagen naar andere applicaties kunnen sturen en dat heeft ook weer zijn veiligheidsrisico's. Maar ik denk dat er maar heel weinig toepassingen bestaan die toetsaanslagen aan vensters van andere applicaties moeten kunnen sturen (naast wachtwoordmanagers kan ik script- en testtools voor GUI-applicaties bedenken). Als daar een bevoegdheid voor nodig is die alleen aan die bijzondere toepassingen gegeven wordt kom je denk ik een heel eind.

Als een persoon of een bedrijf een app ontwikkelt en je installeert deze op eenig apparaaat of dit nu een computer, tablet, telefoon of horloge is vertrouw je de leverancier dat ze geen misbruik maken en alleen datgene ermee doen wat in het contract (EULA voor juridisch-technisch onderlegden) staat. Niets minder, maar zeker niet meer. Zodra blijkt dat bedrijf T. dit consumentenvertrouwen beschaamd heeft, kunnen ze een heel groot probleem krijgen door imagoschade en gigantische schadeclaims van over de hele wereld, te beginnen met klanten die hun software bovenop de nieuwe IOS draaien.
Android zou wel heel dom zijn als ze deze detectiemogelijkheid niet zo snel mogelijk in hun programmatuur gaan verwerken...