Est-ce une bonne idée de proposer une fonctionnalité permettant de modifier du code JavaScript directement depuis un navigateur web ? C’est ce que propose le navigateur Brave avec la fonction custom scriptlet (script personnalisé).
On peut ainsi modifier le comportement d’un site web directement depuis cette fonctionnalité en injecter du code pour forcer le mode sombre ou modifier le comportement d’une zone texte, etc.
Quid de la sécurité des sites web ? Elle est aussi simpliste qu’imprécise : “Cependant, cette puissance (offerte par la fonctionnalité) nécessite une extrême prudence. Seuls les scripts confirmés comme sûrs doivent être injectés, et pour cette raison, la fonctionnalité est « verrouillée » derrière un indicateur de mode développeur dans Shields > Filtrage de contenu.”
Bref, Brave se lave les mains de tous les problèmes de sécurité potentiels et qu’il faut utiliser la fonction de la bonne manière avec prudence…
Oui la fonctionnalité est en préversion, oui, elle est masquée dans le mode développeur mais les équipes de Brave ne proposent pas garde-fous contre une utilisation illicite, juste un timide avertissement. Le problème est que cette fonction est potentiellement illimitée dans son usage. Il deviendra possible d’injecter du code illicite.
Ce n’est pas un simple avertissement au niveau de la fenêtre d’injection d’un scriplet qui va dissuader un hacker ou même éviter une mauvaise manipulation.
