Portapapeles transparentes

Hace casi un año expusimos cómo Explorer 6, por defecto, mostraba a los sitios web interesados (sin más que utilizar un poco de javascript) el contenido del portapapeles del usuario. También explicamos entonces cómo configurar Explorer 6 para evitarlo.

Afortunadamente, Explorer 7 -al menos en Windows Vista- adopta una aproximación mejor al problema, solicitando permiso al usuario cuando detecta que un sitio web quiere fisgar su portapapeles. No es ideal (es difícil entender qué sentido tiene permitir eso), pero ya es algo.

Sin embargo, el creciente uso de tecnologías como Ajax ha aumentado los riesgos de exposición del portapapeles, puesto que además permite capturar esa información sin su conocimiento...

En base al código proporcionado por Anurag Agarwal, he preparado una página de demostración en español donde los usuarios de Explorer 6 pueden comprobar si están expuestos.

A diferencia de la demo anterior (que leía una sola vez el portapapeles), ésta realiza automáticamente una lectura nueva cada 30 segundos. Cualquiera puede imaginarse lo que esto representa si un sitio web decide implementarlo y cada medio minuto comprueba si tenemos en nuestro portapapeles alguna nueva información sensible, obteniéndola de forma subrepticia.

Con las estadísticas de Kriptópolis en pantalla, creo no equivocarme demasiado al afirmar que un tercio de nuestros visitantes (es decir, los que aún utilizan Explorer 6 o inferior) son ahora mismo potencialmente vulnerables al problema de privacidad y seguridad que acabamos de comentar.