Discussion :

[Hinault Romaric]

Le web devrait-il se débarrasser des plugins pour offrir une meilleure sécurité aux internautes ?
Firefox 26 les bloque par défaut

La sécurité des utilisateurs de Firefox représente un point important pour la fondation Mozilla. Dans la prochaine version de son navigateur, Firefox 26, qui est actuellement téléchargeable en version bêta, l’organisme a bloqué l’exécution par défaut des plugins.

« Les plugins périmés sont une grande source de failles de sécurité. Ils devront être exécutés désormais uniquement si l’utilisateur est sûr qu’ils fonctionnent bien », note Mozilla dans un billet de blog.

La nouvelle fonctionnalité de sécurité « Click to Play Plugins » du navigateur bloque par défaut l’exécution d’un plugin lors du chargement d’un site, et affiche un message d’avertissement à l’utilisateur qui devra activer manuellement le plugin pour ce site.

Seul le plugin Flash restera activé par défaut, essentiellement à cause de sa forte utilisation sur le Web. Cependant, uniquement la version la plus récente de Flash bénéficie de cette exemption. L’exécution des versions antérieures reconnues comme non sécurisées affiche la fenêtre d’alerte et invite les utilisateurs à mettre à jour Flash.

Dans son opération pour améliorer la sécurité des utilisateurs, Mozilla avait, il y a quelques semaines, marqué le plugin Java comme dangereux dans Firefox 24, avant de revenir sur sa décision suite à la polémique engendrée sur le Web.

Les problèmes de sécurité causés par les plugins sont également une préoccupation pour d’autres éditeurs, notamment Google, qui mettra fin au support des plugins NPAPI dans Chrome d’ici 2014.

En dehors de cette fonctionnalité, Firefox 26 intègre l’outil « Firefox OS App Manager », qui améliore grandement la création et le débogage d’applications sous Firefox OS, que ce soit sur le simulateur ou sur un appareil connecté. Basé sur l’extension de simulation de Firefox OS, Firefox OS App Manager crée un lien entre les outils de développement de Firefox et le simulateur en ligne de Firefox OS, permettant aux développeurs de déboguer et déployer facilement leurs applications sur Firefox OS.

Télécharger Firefox 26 bêta

Source : Mozilla


Et vous ?

Les plugins représentent-ils une menace réelle pour la sécurité des utilisateurs ? Quelle serait la cause de ces problèmes de securité ?

Le web devrait-il se débarrasser des plugins pour offrir une meilleure sécurité aux internautes ?

[ndalaba]

Je n'attends plus que de pouvoir synchroniser mes données(favoris, saisies formulaire..) à la chrome pour adopter Firefox définitivement.

[Uther]

Ca existe déjà depuis Firefox 4.

[CoderInTheDark]

Les plugins du navigateurs sont une portes ouvertes aux menaces.
Mais si on la ferme ils trouveront toujours une autre façon de passer

[Jarodd]

Mozilla avait, il y a quelques semaines marqué le plugin Java comme dangereux dans Firefox 24, avant de revenir sur sa décision suite la polémique engendrée sur le Web.

C'était prévisible mais c'est une décision assez décevante.

[moldavi]

Bonjour.

Seul le plugin Flash restera activé par défaut, essentiellement à cause de sa forte utilisation sur le Web.

C'est un bon argument, mais je n'y crois pas.

On a vraiment l'impression que tout est fait pour que les navigateurs soient des trojans grâce aux plugins. Firefox n'échappe pas à la règle.

[koyosama]

Mouais Microsoft a mis aussi UAC ...
Tout le monde le désactive ou met le niveau le plus bas possible parce qu'ils n'ont toujours pas compris à quoi cela servait.

Mouais ...

[GTSLASH]

Desactiver la souris serait aussi un bon moyen d'amelioré la securité MDR

Et si on desactive internet encore plus.

C'est pas une solution.

[forthx]

La sécurité du web c'est toujours un grand débat ! voici donc mon humble avis :

Les plugins représentent-ils une menace réelle pour la sécurité des utilisateurs ? Quelle serait la cause de ces problèmes de securité ?

OUI ! Le problème c'est que l'on veut déguiser les exécutables .

A mon sens l’exécution de code dans un plugin devrais être traité comme n importe quel exécutable (que nous téléchargeons tous couramment): en 1 clic on autorise ou non l’exécution. C'est ce que propose par exemple flashblock pour flash.
J'ai du mal a comprendre l’intérêt d’effrayer l'utilisateur en marquant des plugins comme dangereux et en les bloquant définitivement, alors que le téléchargement d'un exécutable est aussi, sinon plus, dangereux.


Par ailler, je suis partisan de laisser le choix a l'utilisateur. Si il souhaite que tout les plugins aient le droit d’exécuter du code sans son autorisation systématique (ce qui est le cas pour flash dans firefox actuellement), une option de configuration (désactivée par défaut) devrai exister, tout en avertissant l'utilisateur ignorant que cette option comporte des risques de sécurité. Cela répond en un sens a la question :

Le web devrait-il se débarrasser des plugins pour offrir une meilleure sécurité aux internautes ?

Cet avis concerne une utilisation personnelle d'un ordinateur (cadre dans lequel l'utilisateur est responsable de l'etat de sa machine). Dans le cas d'un poste administré par une entreprise la décision relève de l'administrateur. Et la c'est une autre histoire. Du coup a la place de l'admin, je laisserais pas passer de plugin, sauf besoin exceptionnel.

Pour conclure je reste persuadé qu'il n'y a pas de solution miraculeuse et que le danger est relatif. Le fait d’être connecté comporte des risques (Facebook, google, les virus, ...), comme le fait de vivre en comporte aussi. Désirez vous passer votre vie dans un bac a sable pour limiter ces risque ? Moi non

[nirgal76]

J'suis plus pour la pédagogie que la bête interdiction.
Que le navigateur informe mieux l'utilisateur sur les plugins seraient un bon début.
Et cela dit, l'utilisateur à le droit de s'informer aussi, faudrait qu'il prenne la peine d'être un peu moins assisté et d'aller lui même à la recherche d'information. Internet devrait rendre plus intelligent cultivé, curieux et pas l'inverse comme c'est souvent le cas.

[MacDev]

Les plugins représentent-ils une menace réelle pour la sécurité des utilisateurs ? Quelle serait la cause de ces problèmes de securité ?

Je suis entrain de rédiger un travail de rechercher sur la CRÉATION DE MODULES COMPLÉMENTAIRES POUR FIREFOX. Au cours de ce travail, je vois beaucoup d'opportunité qu'il y a pour les CHAPEAUX NOIRS de s'introduire dans la machine des internautes non avertie. Mais le problème c'est que en les bloquant, on va diminuer les opportunités de se faire un navigateur qu'on veut. C'était une bonne idée les PLUGINS.

[Johnny P.]

La cause de la sécurité est multiples mais je doute que tout le monde se soucient de mettre à jour son navigateur , certains ne voient pas l'importance de mettre à jour ses logiciels... voir s'en contre fichent.

A part ceux dans l'informatique et certaines personnes le reste ne savent pas utiliser un os correctement alors mettre à jour ses plugins/logiciels ...

[berceker united]

J'suis plus pour la pédagogie que la bête interdiction.
Que le navigateur informe mieux l'utilisateur sur les plugins seraient un bon début.
Et cela dit, l'utilisateur à le droit de s'informer aussi, faudrait qu'il prenne la peine d'être un peu moins assisté et d'aller lui même à la recherche d'information. Internet devrait rendre plus intelligent cultivé, curieux et pas l'inverse comme c'est souvent le cas.

En 2013, tu crois en la pédagogie ? Les gens ne lisent pas les pavés. A partir du moment ou il y il y a un message ayant pour titre "A LIRE ATTENTIVEMENT" ils zappent de suite. Je fais partie des ces gens là hélas. Donc tu auras beau informer tu auras toujours des personnes qui vont se plaindre que leur pc est lent, internet ne fonctionne pas bien, qu'il y a plus Google en page d'accueil. Pourquoi ? Parce qu'ils ont pas lu ce qui était marqué noir sur blanc.

[Guilp]

Le web devrait-il se débarrasser des plugins pour offrir une meilleure sécurité aux internautes ?
Firefox 26 bloque par défaut ceux-ci

...

« Les plugins périmés sont une grande source de failles de sécurité. Ils devront être exécutés désormais uniquement si l’utilisateur est sûr qu’ils fonctionnent bien », note Mozilla dans billet de blog.

Le titre fait réagir car il insinue que tous les plugins seront bloqués par défaut. Après, dans la quote de Mozilla, ça dit que seuls les plugins périmés sont concernés. (Ce qui est déjà le comportement actuel).

Quelle est l'info au final? On parle des anciennes versions des plugins ou toutes?

[Uther]

• Actuellement tous les plugins périmés sont verrouillés par défaut.
• A l'avenir tous les plugins seront verrouillés par défaut sauf la toute dernière version du flash player.

Ceci dit comme tous les plugins seront déblocables en deux clics et que l'on peut mémoriser ces autorisations pour chaque site, il n'y a pas vraiment de quoi s'insurger.

[tes49]

Salut

Actuellement tous les plugins périmés sont verrouillés par défaut.

Que les plugins dont la provenance est trouvée.
Et encore, on peut avoir de vieilles versions de Flash non bloquées ! Après, ça dépend de ce que l'on appelle "vieille".. Je dirais plutôt que les plugins bloqués ont surtout de grosses failles de sécurité.
J'ai pu voir des pc utilisant de vieux plugins de Flash et même de Java, non bloqués !

A l'avenir tous les plugins seront verrouillés par défaut sauf la toute dernière version du flash player.

La dernière utilisée selon le système, c'est à espérer ! Car déjà sous Linux, certaines personnes commence à désespérer avec le choix d'Adobe d'avoir stopé Flash en ça version 11.2 !.. Et doivent utiliser Chromium ou Chrome pour aller sur les sites qui ne veulent autoriser cette version !

Ceci dit comme tous les plugins seront déblocables en deux clics et que l'on peut mémoriser ces autorisations pour chaque site, il n'y a pas vraiment de quoi s'insurger.

+1

[Hinault Romaric]

Firefox 26 bloque par défaut le plugin Java
la version pour Android permet une navigation plus fluide

Les utilisateurs de Firefox peuvent télécharger la version 26 du navigateur ou l’installer via le processus de mise à jour automatique sur Windows, Linux et Mac.

Cette nouvelle itération améliore essentiellement la sécurité des internautes avec sa nouvelle fonctionnalité « Click to Play ». Cette fonctionnalité bloque par défaut l’exécution des plugins lors du chargement d’un site, et affiche un message d’avertissement à l’utilisateur qui devra activer manuellement le plugin pour ce site.

Initialement, la fonction « Click to Play » devait afficher le même comportement pour tous les plugins, à l’exception du plugin Flash qui allait rester activé par défaut, essentiellement à cause de sa forte utilisation sur le Web.

Cependant, dans les notes de versions, Mozilla affirme que seul le plugin Java est concerné pour l’instant. Une fonctionnalité pour bloquer un plus grand nombre de plugins est encore en cours de test par la fondation.

En bloquant les plugins, Mozilla espère réduire les risques que les utilisateurs puissent être victimes des attaques qui exploitent les vulnérabilités des plugins, notamment celles du plugin Java, qui avait fait la une de l’actualité pour ses failles.

En dehors de cette nouveauté, sous Windows, les mises à jour pourront désormais se faire sans nécessiter la moindre permission. Le gestionnaire intégré de mots de passe offre une prise en charge des champs générés par les scripts. Le support du MP3 sur Windows XP et du codec H.264 sur Linux sont aussi au rendez-vous.

Les développeurs pourront apprécier la présence de « Firefox OS App Manager », un outil qui améliore grandement la création et le débogage d’applications sous Firefox OS, que ce soit sur le simulateur ou sur un appareil connecté.

En ce qui concerne la version mobile de Firefox 26, elle bénéficie d’une nouvelle page d’accueil baptisée « Home », permettant une navigation rapide et un accès à l’historique de navigation en un seul clic.

Ce nouvel écran apparaît au démarrage de Firefox pour Android, ou encore lorsque l’utilisateur ouvre un nouvel onglet ou clique sur la barre d’URL. Sites favoris, historique et Reading List sont alors disponibles instantanément dans un menu offrant une expérience de navigation plus fluide et intuitive.

Firefox pour Android s’enrichit également des moteurs de recherche Bing et Yahoo!, offrant aux utilisateurs encore plus de choix. Le navigateur est désormais également disponible sur les terminaux utilisant des processeurs Intel x86.

Télécharger Firefox pour Android

Télécharger Firefox 26 pour Windows, Mac et Linux

Source : notes de version

[MacDev]

Eh oui, c'est ça. Java était génial mais manque de chercheurs motivés en sécurité. Je crois que les meneurs de JAVA vont penser à améliorer leur produit afin de prolonger sa durée de vie.

Du reste, félicitation à Firefox qui gagne du terrain.

[Blackhorn]

Initialement, la fonction « Click to Play » devait afficher le même comportement pour tous les plugins, à l’exception du plugin Flash qui allait rester activé par défaut, essentiellement à cause de sa forte utilisation sur le Web.

Donc si j'en conclue c'est qu'il faut mieux être un plugin tout pourris et beaucoup utilisé, que l'inverse? Bien belle initiative. Je trouve qu'ils ont pas forcement bien mesuré l'impact sur les plugins (et les entreprises qui ont investies dedans) qui devront maintenant être activés manuellement. L'alternative est de sortir le code metier du plugin et le mettre comme un service standalone sur le PC de l'utilisteur (donc on deplace le problème, les failles seront potentiellement toujours là). Ce service communiquera avec la page grace aux websockets. Les websockets sont quand à eux autorisés à faire du cross-domain.(Elle est belle la sécurité à géometrie variable). (solution utilisé par driver automatique)

[tes49]

Salut

Donc si j'en conclue c'est qu'il faut mieux être un plugin tout pourris et beaucoup utilisé, que l'inverse?

"pourris" est un mots peut être un peu fort... mais de toutes façons, c'est un peu le cas pour certains plugins ! Java, par exemple avec ses failles à presque chaque versions !!
Quand à Flash, même si perso, il ne m'a jamais posé de problèmes, depuis quelques temps celui-ci pose souvent des problèmes à bien du monde....à cause de son système de sécurité (à partir de Vista).... Vivement le moment venu ou il n'y aura plus besoin de celui-ci.

De touts façons, même si les plugins sont bloqués par défaut, il suffit de les activer via la barre d'adresse (Click to Play), si demandé par une page...

Ou autoriser le plugin en permanence pour un site précis, clic-droit sur une page du site en question > informations sur la pages > permissions.

**********************

Bien belle initiative. Je trouve qu'ils ont pas forcement bien mesuré l'impact sur les plugins (et les entreprises qui ont investies dedans) qui devront maintenant être activés manuellement.

Je vois pas le rapport avec la sécurité des utilisateurs !! Hormis Flash qui sert beaucoup (Java n'étant plus très utile), je vois pas en quoi, il y à tant d'impact ! Et encore, Flash était déjà désactivé par bien du monde avant l'arrivé du blocage par défaut... Souvent grâce à une extension. Donc rien de vraiment nouveau.