Je me demande depuis un moment quel est le but de cette fenêtre contextuelle qui apparaît dans à peu près tous les navigateurs modernes en entrant en mode plein écran d'une vidéo ou d'un site Web.
Cela semble être une mesure de sécurité contre une sorte de menace potentielle, mais de quoi s'agit-il exactement? Quels scénarios d'attaque pourraient être exécutés sans cela?
La question est principalement posée pour vous protéger des attaques de phishing. Le site Web peut simuler un système d'exploitation et vous demander de saisir des informations sensibles telles que des mots de passe. Pour citer la spécification :
Les agents utilisateurs doivent s'assurer, par exemple au moyen d'une superposition, que l'utilisateur final sait que quelque chose s'affiche en plein écran. Les agents utilisateurs doivent fournir un moyen de quitter le plein écran qui fonctionne toujours et le signaler à l'utilisateur. Il s'agit d'empêcher un site d'usurper l'utilisateur final en recréant l'agent utilisateur ou même l'environnement du système d'exploitation en plein écran.
Il y a aussi un très bon discussion de ce problème de Feross Aboukhadijeh, qui décrit également les risques pour la sécurité de permettre la saisie au clavier.