IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Firefox Discussion :

Mozilla : les nouvelles fonctionnalités de Firefox devront être servies sur une connexion HTTPS seulement


Sujet :

Firefox

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2016
    Messages : 701
    Points : 51 811
    Points
    51 811
    Par défaut Mozilla : les nouvelles fonctionnalités de Firefox devront être servies sur une connexion HTTPS seulement
    Mozilla : les nouvelles fonctionnalités de Firefox devront être servies sur une connexion HTTPS seulement
    Sinon elles ne pourront pas fonctionner

    Mozilla continue sa croisade pour pousser l’adoption du HTTPS un peu plus. Après avoir annoncé sa volonté de marquer les sites en HTTP comme étant non sécurisés, la fondation vient d’annoncer qu’elle va restreindre les fonctionnalités web de Firefox pour qu’elles soient servies sur HTTPS seulement.

    « À compter d'aujourd'hui, toutes les nouvelles fonctionnalités qui sont exposées sur le web seront restreintes aux contextes sécurisés. Exposée sur le web veut dire que la fonctionnalité peut être observée à partir d’une page web ou un serveur, que ça soit par JavaScript, CSS, HTTP, les formats média, etc. » a écrit Anne van Kestren, ingénieur de Mozilla et auteur de plusieurs standards ouverts du web.

    Autrement dit, si Firefox ajoute le support d’un nouveau standard ou d’une nouvelle fonctionnalité, les communications entre le navigateur et le serveur externe devront être acheminées par HTTPS, sinon le standard ne fonctionnera pas avec le navigateur.

    Nom : firefox_dock_icon_replacement_by_sacrificials-d6ed9ra.png
Affichages : 15425
Taille : 72,2 Ko

    Cette décision n’est pas une surprise si l’on se rappelle que Mozilla a fait la demande durant mars dernier pour que la géolocalisation sur le web soit ajoutée en tant que contexte sécurisé, toutefois son appel n’a pas eu la résonnance souhaitée par la fondation.

    Le principe de contextes sécurisés est assez simple, il stipule que certaines fonctionnalités puissantes du web et des API (dont les utilisateurs ignorent leur risque) soient forcées à fonctionner avec HTTPS.

    Ces fonctionnalités qui sont pour la plupart cachées sont :

    • la géolocalisation ;
    • Bluetooth ;
    • HTTP/2;
    • notifications Web (API) ;
    • L’accès à la webcam et au microphone ;
    • l’algorithme de compression web Brotli de Google ;
    • Accelerated Mobile Pages de Google (AMP) ;
    • Encrypted Media Extensions (EME) ;
    • requête de paiement (API) ;
    • Service Workers utilisés par la synchronisation en arrière-plan et les notifications.


    (La liste devrait contenir prochainement l’API AppCache, l’orientation de l’appareil et le plein écran.)

    Toutes ces fonctionnalités peuvent fonctionner avec HTTP, mais elles pourraient présenter un risque pour l’utilisateur final si des attaquants arrivent à les exploiter pour dérober des informations, traquer les utilisateurs et intercepter des données en recourant à l’attaque de l’homme du milieu.

    Bien que HTTPS sécurise une connexion du navigateur à un site web, une fonctionnalité non HTTPS pourra toujours fonctionner sur une autre fenêtre sans que l’utilisateur se rende compte de cette insécurité.

    Se rendant compte de la complexité grandissante du web, Google a donné le coup d’envoi de l’initiative de contextes sécurisés en 2014, en ajoutant graduellement les normes requises dans Chrome. Toutefois, Google n’a jamais annoncé une règle formelle qui stipule que tous les nouveaux standards doivent fonctionner via HTTPS, mais les ingénieurs du moteur de la recherche ont toujours implémenté les fonctionnalités récentes pour ne fonctionner que dans des contextes sécurisés.

    Les efforts des ténors du web pour pousser l’adoption du HTTPS ne se sont pas arrêtés là. Plus tard, en août 2017, Google a fait pression sur les développeurs en leur indiquant par courriel que les connexions de leurs sites HTTP qui collectent des mots de passe ou des cartes de crédit seront marquées comme non sécurisés sous la version 62 du navigateur Chrome.

    Mozilla a choisi pour sa part depuis le début de supporter le projet Let’s Encrypt, une initiative qui a donné ses fruits puisque 67 % des pages chargées sur Firefox en novembre 2017 se sont servies du protocole HTTPS, contre 45 % seulement en fin d’année dernière (selon les données de Let’s Encrypt).

    Mozilla ne compte pas épargner les standards actuels

    Mozilla espère dans le futur que toutes les fonctionnalités de Firefox « seront traitées au cas par cas » afin de les migrer (lentement) vers des contextes sécurisés à leur tour, une décision qui risque de ne pas plaire à tout le monde. Pour cette raison, Mozilla a promis de fournir des outils aux développeurs pour faciliter la transition vers les contextes sécurisés et faire des tests sans serveur HTTPS.

    Source : blog Mozilla - Naked Security

    Et vous ?

    Pensez-vous que tous les standards/fonctionnalités de Firefox doivent passer aux contextes sécurisés ?
    Quel effet aura cette décision sur les développeurs web ?

    Voir aussi :

    Firefox se prépare à son tour à marquer les sites en HTTP comme étant non sécurisés, une représentation visuelle est déjà disponible sur la Nightly
    Forum Firefox, Rubrique Développement Web

  2. #2
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 693
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 693
    Points : 20 246
    Points
    20 246
    Par défaut
    C'est bien de sécuriser les navigateurs , mais il semble un peu oublier qu'il y'a aussi bon nombre d'outil "web" qui ne tourne que en local , parfois sans domaine où avoir un certificat valide est impossible.
    On va devoir obligatoirement passer par une génération de certificat auto signé, voir la gestion d'une autorité CA alors qu'au final https n'est pas forcément nécessaire d'un point de vue sécurité (réseau étanche par exemple).

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 604
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 604
    Points : 4 137
    Points
    4 137
    Par défaut
    ils vont tuer Firefox si ils entrent dans cette voie, de vouloir imposer une façon de faire.

  4. #4
    Membre confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Janvier 2011
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Janvier 2011
    Messages : 204
    Points : 511
    Points
    511
    Par défaut
    Citation Envoyé par Aiekick Voir le message
    ils vont tuer Firefox si ils entrent dans cette voie, de vouloir imposer une façon de faire.
    N'oublions pas le RGPD. Celui-ci exige (ou exigera ?) un minimum de sécurité pour la transmission des données personnelles. La géolocalisation, par exemple, est bien une donnée personnelle, donc je ne pense pas que le HTTPS soit de refus.

    Ou alors je suis à côté de la plaque

  5. #5
    Nouveau Candidat au Club
    Homme Profil pro
    Directeur technique
    Inscrit en
    Janvier 2018
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Tarn (Midi Pyrénées)

    Informations professionnelles :
    Activité : Directeur technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2018
    Messages : 1
    Points : 1
    Points
    1
    Par défaut Firefox et son moteur CSS
    Ils feraient mieux de consacrer leur temps à développer un moteur CSS valable, c'est quand même la base pour un navigateur digne de ce nom !

  6. #6
    Membre à l'essai Avatar de jibelito
    Homme Profil pro
    retraité
    Inscrit en
    Juillet 2016
    Messages
    23
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 78
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Transports

    Informations forums :
    Inscription : Juillet 2016
    Messages : 23
    Points : 23
    Points
    23
    Par défaut syncatastrophic's
    Bonjour,
    Voila le probleme très ennuyant? si quelqu'un a chez lui un PC personnel dans lequel fonctionnent les 10 OSs libres différents + W$7 dans les 4 disques dur int. et ext. ...Quand l'installe d'un 11ieme OSs libres, cette personne lance "sync" pour Firefox; la c'est la cata , parce que toutes les marques pages sont doublés triplés voir quadruplé lors du lancement de sync...Ce qui fait qu'il y a +/- 450 pages qui sont replacées dans sync vers la nouvelle installe ... Qu'est-ce que je fais ? Tout simplement je ne lance plus sync et je fais manuellement les marques pages de sites , d'amis ou des sites dont j'ai besoin ...Voila ou ce situe ce bel ennui , merci firefox surtout depuis la sortie de quantum 57...Https non reconnu lors de diffusion de vidéos de chez Youtube , par exemple.... cordialement

Discussions similaires

  1. Google App Engine passe en version 1.2.5, découvrez les nouvelles fonctionnalités
    Par Gordon Fowler dans le forum Plateformes (Java EE, Jakarta EE, Spring) et Serveurs
    Réponses: 0
    Dernier message: 04/09/2009, 18h09
  2. les nouvelles fonctionnalités dans office2007
    Par sky88 dans le forum Microsoft Office
    Réponses: 2
    Dernier message: 13/05/2009, 17h54
  3. RAD Delphi 2009 : les nouvelles fonctionnalités
    Par colfire_dev dans le forum EDI
    Réponses: 5
    Dernier message: 21/11/2008, 17h13
  4. Les hebergeur bloquent t'ils les nouvelles fonctionnalité de Mysql5 ?
    Par berceker united dans le forum SQL Procédural
    Réponses: 3
    Dernier message: 07/09/2007, 11h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo