Não mexa com colar

Reação central a “don't fuck with paste”

  • Forte consenso de que bloquear colar é irritante e hostil ao usuário.
  • As pessoas ressentem isso especialmente em formulários de login, cadastro, banco, governo e 2FA, onde isso atrapalha gerenciadores de senha, incentiva senhas mais fracas/memoráveis e força os usuários a expor senhas em texto puro ou anotá-las.
  • Muitos veem isso como teatro de segurança: piora demonstravelmente a segurança no mundo real enquanto satisfaz checklists e auditores.

Motivos alegados para bloquear colar (e críticas)

  • Motivações alegadas:
    • “Segurança” em termos vagos, ou para impedir ataques de malware/área de transferência.
    • Evitar que usuários colem o mesmo erro de digitação nos campos “email” e “confirm email”.
    • Forçar os usuários a digitar com cuidado um nome de projeto antes de ações destrutivas (por exemplo, excluir um repositório).
  • Críticos argumentam:
    • Esses problemas são melhor resolvidos com autocomplete, boas mensagens de erro, desfazer ou fluxos de confirmação.
    • Bloquear colar e impor regras de senha barrocas leva a soluções alternativas previsíveis dos usuários e a menor segurança.

Abusos de UX no navegador além de colar

  • Muitas reclamações sobre sequestrar atalhos padrão: Ctrl/Cmd‑F, Ctrl‑K, clique com o botão direito, rolagem, ou até redefinir Ctrl‑V.
  • Alguns observam casos legítimos limitados (listas virtualizadas, apps web como docs/IDEs), mas ainda preferem uma forma de obter o comportamento nativo do navegador sob demanda (por exemplo, pressionar Ctrl‑F duas vezes).
  • Sugestão: os navegadores deveriam expor opções robustas de “forçar” (forçar copiar/colar, selecionar, botão direito, busca nativa).

Contornos e ferramentas

  • Extensões de navegador: a extensão discutida, sua versão original e alternativas como StopTheMadness, além de recursos do Safari/Orion/Brave e flags do Firefox em about:config.
  • Bookmarklets e user scripts são populares como soluções mais leves, auditáveis e sob demanda.
  • Ferramentas no nível do sistema operacional (Hammerspoon, AutoHotkey, Keyboard Maestro, scripts de “digitar a área de transferência”) contornam as restrições da web simulando pressionamentos de tecla.
  • Métodos mais grosseiros: desativar JavaScript, usar as devtools para definir valores de input, arrastar texto da barra de URL, colar com botão do meio no Linux.

Segurança e permissões de extensões

  • Debate sobre extensões pedindo permissões amplas (“ler e alterar todos os dados”).
  • Preocupações: atualizações automáticas, possível venda do projeto ou comprometimento do mantenedor.
  • Mitigações: carregar extensões descompactadas, usar gerenciadores de pacotes ou preferir bookmarklets.
  • Alguns argumentam que o problema real é o modelo de permissões granulares demais do navegador.

Nome e tom

  • Opiniões mistas sobre a linguagem chula no nome do projeto e no thread.
  • Alguns acham que combina com a raiva dirigida a UIs hostis; outros observam que é difícil recomendar em contextos profissionais ou familiares.