« Ne manipulez pas la technologie du paste à la légère »

 (github.com/aaronraimist)
1 points par GN⁺ 2024-03-09 | 1 commentaires | Partager sur WhatsApp

N’empêchez pas la copie et le collage

  • Il est très agaçant lorsqu’une application web empêche de coller du contenu dans un champ de saisie ou de le copier.
  • Coller une adresse e-mail erronée relève de la responsabilité de l’utilisateur.
  • Utiliser un outil comme 1Password pour mémoriser diverses informations, puis les copier-coller dans un champ de texte, présente moins de risques d’erreur que la saisie manuelle.

Solution

  • Une extension Google Chrome supprime le blocage de la copie et du collage.

Mode d’emploi

  • Le moyen le plus simple d’ajouter un site à la liste noire consiste à cliquer sur l’icône de l’extension, à modifier si besoin le motif généré automatiquement, puis à cliquer sur « Enregistrer ».
  • Ensuite, l’icône de l’extension devient bleue pour indiquer que l’extension est activée dans l’onglet actuel.

Mise à niveau vers la version 2

  • La version 2 est une mise à jour majeure de l’extension : elle ne s’exécute désormais que sur les sites qui interfèrent avec les événements de copie et de collage, et permet de vérifier dans chaque onglet si l’extension est activée ou non.
  • Afin d’offrir l’expérience la plus fluide possible, l’extension doit savoir quand l’utilisateur change d’onglet actif.
  • Pour être informée de cet événement, elle a besoin de l’autorisation tabs, que Chrome décrit comme la capacité à « lire et modifier toutes vos données sur les sites web que vous visitez ».
  • Cette description peut être très inquiétante, mais cette extension ne fait pas cela.
  • Comme il s’agit d’un projet open source, vous pouvez lire le code pour voir comment l’extension fonctionne et comment elle [n’utilise pas] les données.
  • Pour plus de détails sur la mise à niveau vers la version 2, consultez la page du wiki.

Avis de GN⁺

  • Cette extension a été développée pour améliorer le confort d’utilisation et résoudre la gêne ressentie par les utilisateurs face aux sites web qui entravent la fonction copier-coller.
  • Le fait que l’extension demande l’autorisation tabs peut susciter chez certains utilisateurs des inquiétudes en matière de confidentialité, mais la transparence d’un projet open source aide à réduire ces préoccupations.
  • S’il existe d’autres extensions ou outils offrant des fonctions similaires, les utilisateurs peuvent comparer plusieurs options et choisir la solution la mieux adaptée à leurs besoins.
  • Lors de l’adoption de cette technologie, il convient de prendre en compte les données auxquelles l’extension accède réellement, ainsi que sa compatibilité avec la politique de protection des données de l’utilisateur.
  • Cette extension aide les utilisateurs à travailler plus efficacement sur le web, mais les sites peuvent avoir d’autres raisons de sécurité de limiter la copie et le collage ; ignorer ces restrictions n’est donc pas toujours la meilleure approche.

À lire aussi

1 commentaires

 
GN⁺ 2024-03-09
Avis sur Hacker News
  • Désactiver la saisie utilisateur peut en réalité dégrader la sécurité d’une application. Par exemple, si les utilisateurs ne peuvent pas copier leurs mots de passe, ils auront tendance à choisir des mots de passe moins complexes pour éviter la contrainte de les saisir manuellement. De plus, lorsque l’application impose des saisies complexes, l’expérience utilisateur se détériore aussi.
  • Pour offrir une expérience fluide, l’extension doit savoir quand l’utilisateur change d’onglet. Cela nécessite l’autorisation tabs, que Chrome décrit comme la capacité à « lire et modifier toutes vos données sur les sites web que vous consultez ». Cette description fait très peur, mais cette extension, qui est un projet open source, n’utilise pas les données de cette manière. En lisant le code, on peut vérifier comment l’extension fonctionne réellement.
  • Même si l’on lit le code, ou que l’on croit quelqu’un qui l’a lu, rien ne garantit que cela restera vrai dans les futures mises à jour. Les standards éthiques du développeur peuvent baisser, ou l’extension peut être vendue. Les extensions Chrome se mettent à jour automatiquement, mais on ne peut pas supposer que ces mises à jour seront sûres.
  • Les utilisateurs Mac utilisent Hammerspoon pour configurer le raccourci Cmd+Shift+V afin qu’au lieu de coller, il saisisse réellement les caractères. Cette méthode fonctionne chaque fois qu’un site empêche le collage.
  • Les extensions qui contournent les sites empêchant le collage sont bienvenues. Par exemple, lorsqu’on doit confirmer un numéro de compte ou une adresse e-mail, l’impossibilité de coller pose problème pour l’usage des gestionnaires de mots de passe, et des règles de mot de passe complexes finissent par nuire à l’expérience utilisateur au lieu d’empêcher l’usage de mots de passe faibles. Mais il faut malgré tout mettre en œuvre ce type de mesures pour prouver que l’on a passé un audit de sécurité et que l’on applique des mesures de sécurité conformes aux standards du secteur.
  • Quand le collage est impossible, sur Mac on utilise souvent le glisser-déposer du texte vers la barre d’URL ou ailleurs. Désactiver le collage est présenté comme une mesure de sécurité, mais cela semble être une décision extrêmement stupide.
  • Quand il est impossible de coller, on choisit généralement « Inspecter l’élément » avec le clic droit, puis on saisit dans la console $0.value="valeur récupérée depuis le presse-papiers". Cela fonctionne presque partout. Empêcher le collage revient un peu à désactiver l’autocomplétion, et la norme HTML5 précise que cela ne devrait être désactivé que pour des informations extrêmement sensibles (par ex. des codes d’activation d’armes nucléaires) ou des valeurs à usage unique (par ex. une clé jetable pour une connexion bancaire).
  • Ce type de fonctionnalité ne devrait pas dépendre d’un add-on : elle devrait pouvoir être réglée dans le navigateur. Dans Firefox, on peut basculer dom.event.clipboardevents.enabled.
  • Quelqu’un remarque que l’OP a partagé un fork qui n’apporte pas d’améliorations importantes par rapport au dépôt d’origine, et a pourtant obtenu 399 votes positifs.
  • Il est souligné que c’est problématique au même titre qu’intercepter Ctrl-F.
  • Un bookmarklet alternatif déjà publié auparavant sur Hacker News est présenté.