Não mexa com colar
Reação central a “don't fuck with paste”
- Forte consenso de que bloquear colar é irritante e hostil ao usuário.
- As pessoas ressentem isso especialmente em formulários de login, cadastro, banco, governo e 2FA, onde isso atrapalha gerenciadores de senha, incentiva senhas mais fracas/memoráveis e força os usuários a expor senhas em texto puro ou anotá-las.
- Muitos veem isso como teatro de segurança: piora demonstravelmente a segurança no mundo real enquanto satisfaz checklists e auditores.
Motivos alegados para bloquear colar (e críticas)
- Motivações alegadas:
- “Segurança” em termos vagos, ou para impedir ataques de malware/área de transferência.
- Evitar que usuários colem o mesmo erro de digitação nos campos “email” e “confirm email”.
- Forçar os usuários a digitar com cuidado um nome de projeto antes de ações destrutivas (por exemplo, excluir um repositório).
- Críticos argumentam:
- Esses problemas são melhor resolvidos com autocomplete, boas mensagens de erro, desfazer ou fluxos de confirmação.
- Bloquear colar e impor regras de senha barrocas leva a soluções alternativas previsíveis dos usuários e a menor segurança.
Abusos de UX no navegador além de colar
- Muitas reclamações sobre sequestrar atalhos padrão: Ctrl/Cmd‑F, Ctrl‑K, clique com o botão direito, rolagem, ou até redefinir Ctrl‑V.
- Alguns observam casos legítimos limitados (listas virtualizadas, apps web como docs/IDEs), mas ainda preferem uma forma de obter o comportamento nativo do navegador sob demanda (por exemplo, pressionar Ctrl‑F duas vezes).
- Sugestão: os navegadores deveriam expor opções robustas de “forçar” (forçar copiar/colar, selecionar, botão direito, busca nativa).
Contornos e ferramentas
- Extensões de navegador: a extensão discutida, sua versão original e alternativas como StopTheMadness, além de recursos do Safari/Orion/Brave e flags do Firefox em about:config.
- Bookmarklets e user scripts são populares como soluções mais leves, auditáveis e sob demanda.
- Ferramentas no nível do sistema operacional (Hammerspoon, AutoHotkey, Keyboard Maestro, scripts de “digitar a área de transferência”) contornam as restrições da web simulando pressionamentos de tecla.
- Métodos mais grosseiros: desativar JavaScript, usar as devtools para definir valores de input, arrastar texto da barra de URL, colar com botão do meio no Linux.
Segurança e permissões de extensões
- Debate sobre extensões pedindo permissões amplas (“ler e alterar todos os dados”).
- Preocupações: atualizações automáticas, possível venda do projeto ou comprometimento do mantenedor.
- Mitigações: carregar extensões descompactadas, usar gerenciadores de pacotes ou preferir bookmarklets.
- Alguns argumentam que o problema real é o modelo de permissões granulares demais do navegador.
Nome e tom
- Opiniões mistas sobre a linguagem chula no nome do projeto e no thread.
- Alguns acham que combina com a raiva dirigida a UIs hostis; outros observam que é difícil recomendar em contextos profissionais ou familiares.