Je viens de m'appercevoir d'un truc très pénible, pour des raisons de
sécurité il est impossible de faire un copier coller d'un texte dans un
textarea comme HTML-area
Le message renvoie vers cette page :
http://www.mozilla.org/editor/midasdemo/securityprefs.html
Est-il possible de s'affranchir de cette manip que je trouve très
contraignante et difficile à faire passer auprés d'un nouvel utilisateur ?
On Tue, 15 Nov 2005 19:46:52 +0100, Xavier Robin :
Le risque d'avoir un problème de sécurité sur /ce/ site est véritablement minime ;-)
Le smiley indiquerait-il que tu penses le contraire de ce que tu écris ?
Euh, non, pas vraiment, simplement je suis un peu alergique à la touche "." de mon clavier alors je conclus mes phrases par un smiley :-P
Sérieusement, je ne pense pas que ce soit un problème, à moins que ce site soit particulièrement gigantesque, contienne de nombreux sous-domaines (et encore il est possible voir même incontournable de n'en cibler qu'un seul) ou que sais-je. Le problème est quand ce sont des sites "peu recommandables" (régies publicitaires…). Mais même si la page contient un de leur script, elles n'auront pas accès au contenu du presse-papier je pense.
Peut-être que le smiley indiquait que c'est à chacun de voir ce qu'il est prêt à accepter, s'il fait confiance au système, ou s'il vit dans un bunker par peur de je ne sais quoi. On ne peut pas imposer à quelqu'un d'abaisser son niveau de sécurité. À lui de voir s'il préfère faire Ctrl+C. (Pour ma part le choix serait vite fait, je ne penserais jamais au bouton "coller" donc aucune raison d'abaisser la protection :-P)
Fabien LE LEZ a écrit :
On Tue, 15 Nov 2005 19:46:52 +0100, Xavier Robin
<nco-29fd@myamail.com>:
Le risque d'avoir un problème de sécurité sur /ce/ site est
véritablement minime ;-)
Le smiley indiquerait-il que tu penses le contraire de ce que tu
écris ?
Euh, non, pas vraiment, simplement je suis un peu alergique à la touche
"." de mon clavier alors je conclus mes phrases par un smiley :-P
Sérieusement, je ne pense pas que ce soit un problème, à moins que ce
site soit particulièrement gigantesque, contienne de nombreux
sous-domaines (et encore il est possible voir même incontournable de
n'en cibler qu'un seul) ou que sais-je.
Le problème est quand ce sont des sites "peu recommandables" (régies
publicitaires…). Mais même si la page contient un de leur script, elles
n'auront pas accès au contenu du presse-papier je pense.
Peut-être que le smiley indiquait que c'est à chacun de voir ce qu'il
est prêt à accepter, s'il fait confiance au système, ou s'il vit dans un
bunker par peur de je ne sais quoi. On ne peut pas imposer à quelqu'un
d'abaisser son niveau de sécurité. À lui de voir s'il préfère faire
Ctrl+C. (Pour ma part le choix serait vite fait, je ne penserais jamais
au bouton "coller" donc aucune raison d'abaisser la protection :-P)
On Tue, 15 Nov 2005 19:46:52 +0100, Xavier Robin :
Le risque d'avoir un problème de sécurité sur /ce/ site est véritablement minime ;-)
Le smiley indiquerait-il que tu penses le contraire de ce que tu écris ?
Euh, non, pas vraiment, simplement je suis un peu alergique à la touche "." de mon clavier alors je conclus mes phrases par un smiley :-P
Sérieusement, je ne pense pas que ce soit un problème, à moins que ce site soit particulièrement gigantesque, contienne de nombreux sous-domaines (et encore il est possible voir même incontournable de n'en cibler qu'un seul) ou que sais-je. Le problème est quand ce sont des sites "peu recommandables" (régies publicitaires…). Mais même si la page contient un de leur script, elles n'auront pas accès au contenu du presse-papier je pense.
Peut-être que le smiley indiquait que c'est à chacun de voir ce qu'il est prêt à accepter, s'il fait confiance au système, ou s'il vit dans un bunker par peur de je ne sais quoi. On ne peut pas imposer à quelqu'un d'abaisser son niveau de sécurité. À lui de voir s'il préfère faire Ctrl+C. (Pour ma part le choix serait vite fait, je ne penserais jamais au bouton "coller" donc aucune raison d'abaisser la protection :-P)
Damien Hardy
Steph.K a écrit :
Damien Hardy a écrit :
Steph.K a écrit :
Effectivement ca fonctionne avec un textarea tout simple mais ce n'est pas ce que je veux.
[...]
Il ne te reste plus qu'a faire une extention XUL ...
Où à marquer "Optimisé pour Internet Explorer"
Jusqu'à ce qu'ils corrigent le trou de sécurité ...
Dam
Steph.K a écrit :
Damien Hardy a écrit :
Steph.K a écrit :
Effectivement ca fonctionne avec un textarea tout simple mais ce n'est
pas ce que je veux.
[...]
Il ne te reste plus qu'a faire une extention XUL ...
Où à marquer "Optimisé pour Internet Explorer"
Jusqu'à ce qu'ils corrigent le trou de sécurité ...
Effectivement ca fonctionne avec un textarea tout simple mais ce n'est pas ce que je veux.
[...]
Il ne te reste plus qu'a faire une extention XUL ...
Où à marquer "Optimisé pour Internet Explorer"
Jusqu'à ce qu'ils corrigent le trou de sécurité ...
Dam
Fabien LE LEZ
On Tue, 15 Nov 2005 21:00:28 +0100, Xavier Robin :
ou que sais-je.
Je vois au moins deux façons[*] d'utiliser ce qu'il faut bien appeler une faille : - profiter d'une faille du serveur web, d'un script, etc., pour modifier les pages en question, de façon à envoyer le contenu du presse-papier vers un endroit où je pourrais le récupérer ; - bidouiller les DNS pour que la requête HTTP arrive sur mon serveur, pour le même résultat.
Le danger, même s'il est faible, existe. Reste à décider si le confort dû à l'ajout de cette fonctionnalité dangereuse compense le risque. Et AMHA, quelqu'un qui n'est pas capable de modifier un fichier user.js, n'est pas non plus capable d'évaluer le risque.
Quant à moi, j'effectue souvent des copier-coller de mots de passe ou autres données sensibles. C'est déjà passablement dangereux ; je ne tiens pas à ajouter du danger en autorisant du Javascript à lire le contenu du presse-papier.
[*] Note : je ne suis pas spécialiste, j'en ai donc certainement oublié quelques-unes. Cf fr.comp.securite pour plus d'idées.
On Tue, 15 Nov 2005 21:00:28 +0100, Xavier Robin
<nco-29fd@myamail.com>:
ou que sais-je.
Je vois au moins deux façons[*] d'utiliser ce qu'il faut bien appeler
une faille :
- profiter d'une faille du serveur web, d'un script, etc., pour
modifier les pages en question, de façon à envoyer le contenu du
presse-papier vers un endroit où je pourrais le récupérer ;
- bidouiller les DNS pour que la requête HTTP arrive sur mon
serveur, pour le même résultat.
Le danger, même s'il est faible, existe.
Reste à décider si le confort dû à l'ajout de cette fonctionnalité
dangereuse compense le risque.
Et AMHA, quelqu'un qui n'est pas capable de modifier un fichier
user.js, n'est pas non plus capable d'évaluer le risque.
Quant à moi, j'effectue souvent des copier-coller de mots de passe ou
autres données sensibles. C'est déjà passablement dangereux ; je ne
tiens pas à ajouter du danger en autorisant du Javascript à lire le
contenu du presse-papier.
[*] Note : je ne suis pas spécialiste, j'en ai donc certainement
oublié quelques-unes. Cf fr.comp.securite pour plus d'idées.
On Tue, 15 Nov 2005 21:00:28 +0100, Xavier Robin :
ou que sais-je.
Je vois au moins deux façons[*] d'utiliser ce qu'il faut bien appeler une faille : - profiter d'une faille du serveur web, d'un script, etc., pour modifier les pages en question, de façon à envoyer le contenu du presse-papier vers un endroit où je pourrais le récupérer ; - bidouiller les DNS pour que la requête HTTP arrive sur mon serveur, pour le même résultat.
Le danger, même s'il est faible, existe. Reste à décider si le confort dû à l'ajout de cette fonctionnalité dangereuse compense le risque. Et AMHA, quelqu'un qui n'est pas capable de modifier un fichier user.js, n'est pas non plus capable d'évaluer le risque.
Quant à moi, j'effectue souvent des copier-coller de mots de passe ou autres données sensibles. C'est déjà passablement dangereux ; je ne tiens pas à ajouter du danger en autorisant du Javascript à lire le contenu du presse-papier.
[*] Note : je ne suis pas spécialiste, j'en ai donc certainement oublié quelques-unes. Cf fr.comp.securite pour plus d'idées.
Fabien LE LEZ
On Tue, 15 Nov 2005 22:10:13 +0100, Damien Hardy :
Où à marquer "Optimisé pour Internet Explorer"
Jusqu'à ce qu'ils corrigent le trou de sécurité ...
Yep, faut mettre "Optimisé pour Internet Explorer 6.0".
On Tue, 15 Nov 2005 22:10:13 +0100, Damien Hardy
<damien.a_surpimer_hardy@laposte.net>:
Où à marquer "Optimisé pour Internet Explorer"
Jusqu'à ce qu'ils corrigent le trou de sécurité ...
Yep, faut mettre "Optimisé pour Internet Explorer 6.0".
Cette page dis que ce sont les scripts qui ne peuvent pas faire de copier/coller et que donc les boutons ont été désactivés... Puisque c'est une page sur MIDAS je suppose que vous parlez d'une zone d'édition de cet éditeur Wysiwyg ? Parce que le copier/coller dans un textarea html tout simple fonctionne sans prb...
Effectivement ca fonctionne avec un textarea tout simple mais ce n'est pas ce que je veux. Pour des mises à jour (ajout d'articles) les utilisateurs (pas informaticiens) auront à leur disposition un mini éditeur wisiwig (HTML-area) leur permettant de mettre en page leur article. Le dit article est pratiquement tjrs un copier/coller de Word et il ne leur reste qu'à ajouter les images, les titres etc. Je pourrais mettre en place un textarea simple avec une syntaxe wiki mais c'est beaucoup moins convivial.
Oui c'est compris Par contre je ne vois toujours pas qu'est-ce qui ne fonctionne pas, ce n'est pas clair : est-ce que c'est la commande edition - coller qui est bloquée ? D'après la page que vous citiez, j'insiste, ce ne sont que les scripts pour lesquels cette action est bloquée - l'utilisateur doit toujours pouvoir effectuer cette action de son fait.
Cette page dis que ce sont les scripts qui ne peuvent pas faire de
copier/coller et que donc les boutons ont été désactivés... Puisque
c'est une page sur MIDAS je suppose que vous parlez d'une zone d'édition
de cet éditeur Wysiwyg ? Parce que le copier/coller dans un textarea
html tout simple fonctionne sans prb...
Effectivement ca fonctionne avec un textarea tout simple mais ce n'est
pas ce que je veux.
Pour des mises à jour (ajout d'articles) les utilisateurs (pas
informaticiens) auront à leur disposition un mini éditeur wisiwig
(HTML-area) leur permettant de mettre en page leur article. Le dit
article est pratiquement tjrs un copier/coller de Word et il ne leur
reste qu'à ajouter les images, les titres etc.
Je pourrais mettre en place un textarea simple avec une syntaxe wiki
mais c'est beaucoup moins convivial.
Oui c'est compris
Par contre je ne vois toujours pas qu'est-ce qui ne fonctionne pas, ce
n'est pas clair : est-ce que c'est la commande edition - coller qui est
bloquée ? D'après la page que vous citiez, j'insiste, ce ne sont que les
scripts pour lesquels cette action est bloquée - l'utilisateur doit
toujours pouvoir effectuer cette action de son fait.
Cette page dis que ce sont les scripts qui ne peuvent pas faire de copier/coller et que donc les boutons ont été désactivés... Puisque c'est une page sur MIDAS je suppose que vous parlez d'une zone d'édition de cet éditeur Wysiwyg ? Parce que le copier/coller dans un textarea html tout simple fonctionne sans prb...
Effectivement ca fonctionne avec un textarea tout simple mais ce n'est pas ce que je veux. Pour des mises à jour (ajout d'articles) les utilisateurs (pas informaticiens) auront à leur disposition un mini éditeur wisiwig (HTML-area) leur permettant de mettre en page leur article. Le dit article est pratiquement tjrs un copier/coller de Word et il ne leur reste qu'à ajouter les images, les titres etc. Je pourrais mettre en place un textarea simple avec une syntaxe wiki mais c'est beaucoup moins convivial.
Oui c'est compris Par contre je ne vois toujours pas qu'est-ce qui ne fonctionne pas, ce n'est pas clair : est-ce que c'est la commande edition - coller qui est bloquée ? D'après la page que vous citiez, j'insiste, ce ne sont que les scripts pour lesquels cette action est bloquée - l'utilisateur doit toujours pouvoir effectuer cette action de son fait.
Steph.K
Pierre Goiffon a écrit : [...]
Oui c'est compris Par contre je ne vois toujours pas qu'est-ce qui ne fonctionne pas, ce n'est pas clair : est-ce que c'est la commande edition - coller qui est bloquée ? D'après la page que vous citiez, j'insiste, ce ne sont que les scripts pour lesquels cette action est bloquée - l'utilisateur doit toujours pouvoir effectuer cette action de son fait.
Après de nouveaux essais je viens de constater que le coller avec Ctrl V ne marche pas (message d'erreur et renvoi vers la page sus-mentionnée) mais par contre si je fais "Edition" "Coller" ca marche.
Oui c'est compris
Par contre je ne vois toujours pas qu'est-ce qui ne fonctionne pas, ce
n'est pas clair : est-ce que c'est la commande edition - coller qui est
bloquée ? D'après la page que vous citiez, j'insiste, ce ne sont que les
scripts pour lesquels cette action est bloquée - l'utilisateur doit
toujours pouvoir effectuer cette action de son fait.
Après de nouveaux essais je viens de constater que le coller avec Ctrl V
ne marche pas (message d'erreur et renvoi vers la page sus-mentionnée)
mais par contre si je fais "Edition" "Coller" ca marche.
Oui c'est compris Par contre je ne vois toujours pas qu'est-ce qui ne fonctionne pas, ce n'est pas clair : est-ce que c'est la commande edition - coller qui est bloquée ? D'après la page que vous citiez, j'insiste, ce ne sont que les scripts pour lesquels cette action est bloquée - l'utilisateur doit toujours pouvoir effectuer cette action de son fait.
Après de nouveaux essais je viens de constater que le coller avec Ctrl V ne marche pas (message d'erreur et renvoi vers la page sus-mentionnée) mais par contre si je fais "Edition" "Coller" ca marche.
Si je désactive le javascript je n'ai plus l'interface de HTMLarea
Je sens bien un abus éhonté de Javascript dans ce code. J'ai l'impression que les auteurs de sites web on bien compris qu'on pouvait faire plein de choses avec Javascript... mais ne se sont pas rendu compte qu'on pouvait faire plein de choses sans Javascript. <http://www.meyerweb.com/eric/css/edge/>
On Wed, 16 Nov 2005 12:13:20 +0100, "Steph.K"
<kupecky.stephane@free.fr.invalid>:
Si je désactive le javascript je n'ai plus l'interface de HTMLarea
Je sens bien un abus éhonté de Javascript dans ce code.
J'ai l'impression que les auteurs de sites web on bien compris qu'on
pouvait faire plein de choses avec Javascript... mais ne se sont pas
rendu compte qu'on pouvait faire plein de choses sans Javascript.
<http://www.meyerweb.com/eric/css/edge/>
Si je désactive le javascript je n'ai plus l'interface de HTMLarea
Je sens bien un abus éhonté de Javascript dans ce code. J'ai l'impression que les auteurs de sites web on bien compris qu'on pouvait faire plein de choses avec Javascript... mais ne se sont pas rendu compte qu'on pouvait faire plein de choses sans Javascript. <http://www.meyerweb.com/eric/css/edge/>
