「Paste(ペースト)技術をむやみに扱わないでください」

 (github.com/aaronraimist)
1 ポイント 投稿者 GN⁺ 2024-03-09 | 1件のコメント | WhatsAppで共有

コピー&ペーストの妨害禁止

  • Webアプリケーションが入力フィールドへの貼り付けやコピーを防止すると、非常に煩わしい。
  • 間違ったメールアドレスを貼り付けるのはユーザーの責任である。
  • 1Passwordのようなツールを使ってさまざまな情報を記憶し、それをコピーしてテキストボックスに貼り付けるほうが、直接入力するよりもミスの可能性が低い。

ソリューション

  • Google Chrome拡張機能でコピー&ペーストのブロックを解除する。

使い方

  • サイトをブラックリストに追加する最も簡単な方法は、拡張機能アイコンをクリックし、自動生成されたパターンを必要に応じて編集してから「保存」をクリックすること。
  • その後、拡張機能アイコンが青色に変わり、現在のタブで拡張機能が有効になっていることを示す。

バージョン2アップグレード

  • バージョン2は拡張機能の大規模アップデートで、コピー&ペーストのイベントを妨害するサイトでのみ拡張機能が動作し、各タブで拡張機能の有効/無効状態を確認できるようにする。
  • 可能な限りスムーズな体験を提供するために、拡張機能はユーザーがアクティブなタブを変更したときにそれを認識する必要がある。
  • イベントを把握するにはtabs権限が必要で、Chromeはこれを「アクセスしたウェブサイト上のすべてのデータの読み取りと変更が可能」と説明している。
  • この説明は非常に恐ろしく感じられるかもしれないが、この拡張機能はそのようなことはしない。
  • オープンソースプロジェクトなので、コードを読めば拡張機能の動作方法や、データをどのように[使用していないか]を確認できる。
  • バージョン2アップグレードの詳細についてはWikiページを参照のこと。

GN⁺の意見

  • この拡張機能はユーザーの利便性を高めるために開発されており、コピー&ペースト機能を妨害するウェブサイトに対する不便さを解消する。
  • 拡張機能がtabs権限を要求することは一部のユーザーにプライバシーへの懸念を抱かせる可能性があるが、オープンソースプロジェクトの透明性はこうした懸念を和らげるのに役立つ。
  • 類似の機能を提供するほかの拡張機能やツールがあるなら、ユーザーは複数の選択肢を比較し、自分のニーズに最も適したソリューションを選べる。
  • この技術を導入する際には、拡張機能が実際にどのデータへアクセスしているのか、そしてユーザーのデータ保護ポリシーとどのように整合するのかを考慮する必要がある。
  • この拡張機能はユーザーがWebでより効率的に作業できるよう支援するが、ウェブサイトがコピー&ペーストを制限することには別のセキュリティ上の理由がある可能性もあるため、それを無視することが常に最善とは限らない。

関連記事

1件のコメント

 
GN⁺ 2024-03-09
Hacker Newsの意見
  • ユーザー入力を無効化すると、かえってアプリケーションのセキュリティが悪化する可能性がある。たとえば、パスワードをコピーできないユーザーは、複雑なパスワードを入力する手間を避けるために、より単純なパスワードを使うようになる。また、アプリケーションが複雑な入力を強制すると、ユーザー体験も低下する。
  • 拡張機能がスムーズな体験を提供するには、ユーザーがタブを切り替えたことを認識する必要がある。そのために tabs 権限が必要だが、Chrome はこれを「アクセスしたウェブサイト上のすべてのデータの読み取りと変更が可能」と説明している。この説明は非常に恐ろしく聞こえるが、オープンソースプロジェクトであるこの拡張機能は、そのようにデータを使用しない。コードを読めば、拡張機能が実際にどのように動作するか確認できる。
  • たとえコードを読んだとしても、あるいは誰かが読んだと信じていたとしても、将来のアップデートでもその内容が引き続き有効だという保証はない。開発者の倫理基準が緩むかもしれないし、拡張機能が売却される可能性もある。Chrome 拡張機能は自動更新されるが、安全に更新されると仮定することはできない。
  • Mac ユーザーは Hammerspoon を使って Cmd+Shift+V ショートカットを設定し、貼り付け機能の代わりに実際に文字を入力させる。これは、サイトが貼り付けを防止するたびに有効な方法だ。
  • 貼り付けを防止するサイトに対抗する拡張機能は歓迎される。たとえば口座番号やメールアドレスを確認する際に貼り付けできないと、パスワードマネージャーの利用に支障が出るし、複雑なパスワード規則も、弱いパスワードの使用を防ぐ意図とは裏腹に、かえってユーザー体験を損なう。しかし、セキュリティ監査を通過し、業界標準のセキュリティ対策を備えていることを証明するために、こうした対策を実装しなければならない。
  • 貼り付けできないとき、Mac ではテキストを URL フィールドや別の場所にドラッグ&ドロップする方法を使う。貼り付けを無効化するのはセキュリティのためという名目だが、非常に愚かな判断に見える。
  • 貼り付けできない場合は、たいてい右クリックで「要素を検証」を選び、コンソールで $0.value="クリップボードから取得した値" を入力する。ほぼどこでも動作する。貼り付けを妨害するのは自動補完を無効にするのと似ており、HTML5 標準では、非常に機密性の高い情報(例: 核兵器の起動コード)や一度しか使わない値(例: 銀行ログイン用のワンタイムキー)に対してのみ無効化すべきだとしている。
  • このような機能はアドオンに依存する必要はなく、ブラウザで設定できるべきだ。Firefox では dom.event.clipboardevents.enabled を切り替えられる。
  • OP が、元のリポジトリと比べて重要なアップグレードのないフォークを共有し、それで 399 件の推薦を得たことに誰かが注目している。
  • Ctrl-F を横取りするのと同じレベルの問題だと指摘している。
  • 以前 Hacker News に投稿された代替ブックマークレットを紹介している。