BlogZiNet

Alors que Firefox 23, qui sortira en version finale le 6 août prochain, n’était pas encore disponible dans le canal Aurora, nous traitions déjà de sa nouvelle fonction phare annoncée un peu en avance par Tanvi, ingénieur sécurité chez Mozilla : le contenu mixte sera bloqué sur les pages HTTPS. « Le bloqueur de contenu mixte est activé par défaut dans Firefox 23 et protège nos utilisateurs des attaques de l’homme du milieu (man-in-the-middle) et des oreilles indiscrètes sur les pages HTTPS. »

Maintenant, passons à un détail pour les utilisateurs mais qui touchera les nostalgiques des temps héroïques du Web, où les sites étaient « optimisés pour Netscape », puisque Firefox 23 Aurora retire complètement l’élément <blink> et abandonne l’effet de clignotement de text-decoration: blink;. Cet élément HTML non standard, que le HTML5 considère comme une fonction non conforme, est un héritage de Netscape Navigator pour qui il a été inventé mais, qu’à part Opera, les autres navigateurs ne prenaient pas en charge : Internet Explorer de Microsoft (le rival) et les navigateur basés sur WebKit comme Apple Safari et Google Chrome. Ça ne vous aura donc pas échappé que le nouveau moteur d’affichage de Chrome, « forké » depuis WebKit, se nomme « Blink » mais ne supporte pas blink.

Alors que Firefox 21 est sorti en version finale pour tout le monde et que les canaux bêta et Nightly ont vu leurs versions progresser d’un cran, le canal Aurora ne devrait pas tarder à rendre disponible Mozilla Firefox 23 dont une fonctionnalité clé ayant des répercussions importantes sur la sécurité et le confort d’utilisation de Firefox est annoncée par Tanvi, ingénieur sécurité chez Mozilla. À partir de Firefox 23 (qui sortira en version finale le 6 août prochain), le contenu mixte sera bloqué sur les pages HTTPS :

Firefox 23 a progressé cette semaine du canal Nightly vers le canal Aurora, fourni avec une nouvelle fonctionnalité de sécurité du navigateur. Le bloqueur de contenu mixte est activé par défaut dans Firefox 23 et protège nos utilisateurs des attaques de l’homme du milieu (man-in-the-middle) et des oreilles indiscrètes sur les pages HTTPS.

Quand une page HTTPS contient des ressources HTTP, les ressources HTTP sont appelées contenu mixte. Avec la dernière version Aurora, Firefox va bloquer certains types de contenu mixte par défaut, offrant une option par page pour que les utilisateurs puissent « désactiver la protection » et outrepasser le blocage.

Quels types de contenu mixte sont bloqués par défaut et quels types ne le sont pas ? La communauté de sécurité du navigateur a divisé le contenu mixte en deux catégories : le contenu mixte actif (tel que les scripts) et le contenu mixte passif (tel que les images). Le contenu mixte actif est considéré comme plus dangereux que le contenu mixte passif parce que le premier peut modifier le comportement d’une page HTTPS et potentiellement voler les données sensibles des utilisateurs. Firefox 23+ bloquera par défaut le contenu mixte actif, mais autorisera le contenu mixte passif sur les pages HTTPS. Pour plus d’informations sur les différences entre contenu mixte actif et contenu mixte passif, voir ce billet.

Le blog des versions futures de Mozilla et Vladimir Vukićević sur son blog présentent une démo jouable dans Firefox (une Nightly est nécessaire pour en titrer le meilleur avantage) d’Epic Citadel portée grâce aux technologies HTML5 et JavaScript. Commençons par la présentation qu’en fait Vladimir Vukićević de Mozilla de cette expérience qui se vit sans plugins :

Alors que Mozilla tarde à proposer Firefox 20.0.1 sur ses pages, cette version mineure de stabilité est déjà disponible par le dispositif de mise à jour automatique interne pour le système d’exploitation de Microsoft, Windows, uniquement. En plus, si on clique sur le bouton de téléchargement de Firefox pour Windows, qui a encore le lien vers Firefox 20.0, c’est bien Firefox 20.0.1 qui est fourni ; pour les autres systèmes c’est toujours Firefox 20.0 qui est délivré.

Les notes de diffusion de Firefox 20.0.1 signalent la correction de l’unique bogue 846 848. Ça ferait de la version du jour une mise à jour uniquement pour Windows pour traiter les problèmes autour de la manipulation des chemins UNC. Les notes de réunion du 10 avril indiquent la correction de trois autres bogues pour Windows également. Le premier règle le problème qui faisait que la liste des moteurs de recherche était vide lorsque le profil était sur un disque en réseau. Le second faisait que la barre d’adresse ne fonctionnait plus après la mise à jour vers Firefox 20. Le troisième et dernier est ainsi intitulé sur Bugzilla : « SPNEGO / MS KRB5 ne fonctionne plus. Essaye d’utiliser NTLM SSP à la place. »

Les utilisateurs de Firefox sur Windows devraient recevoir la mise à jour automatique dans les 24 heures. Ils peuvent aussi l’obtenir manuellement en choisissant « Rechercher des mises à jour… » dans le menu « ? » ou, depuis Firefox 4, ils peuvent l’obtenir manuellement en allant, dans le sous-menu « Aide » du menu unique « Firefox », voir la boîte de dialogue « À propos de Firefox ».

Mozilla sort aussi une version 20.0.1 de Firefox pour Android qui corrige des blocages ANR et des plantages liés au DB-lock sur les plus vieux appareils.

Télécharger Firefox 20.0.1 pour ordinateurs de bureau en français

• Firefox 20.0.1 pour Windows [fr]
• Firefox 20.0.1 pour Mac OS X [fr]
• Firefox 20.0.1 pour Linux [fr]

Mardi, en pleine commémoration virtuelle du 15^ème anniversaire de Mozilla, Firefox 20 paraissait pour ordinateurs de bureau et mobiles Android. Nous vous avons déjà présenté en détails les nouveautés de Firefox 20 lors de son passage dans le canal de développement bêta (il y est entré juste après la sortie de Firefox 19 fin février).

Devant les réactions dans le monde de la publicité provoquées par la décision de Mozilla de changer le comportement par défaut de Firefox vis à vis des cookies tiers, il peut être intéressant de relire la position officielle de Mozilla donnée par Alex Fowler, le directeur de la vie privée et de la politique publique chez Mozilla :

Mozilla a un intérêt de longue haleine à encourager une plus grande transparence, une plus grande confiance et une plus grande responsabilisation concernant la vie privée et les nombreuses pratiques basées sur les cookies que nous voyons de nos jours.

Vendredi, Mozilla a publié un patch pour Firefox dans son canal « Nightly » qui modifie la façon dont les cookies en provenance de sociétés tierces fonctionnent. Les utilisateurs de cette version de Firefox doivent interagir directement avec un site ou une entreprise pour qu’un cookie soit installé sur leur machine. Le patch fournit également un cadre de contrôle supplémentaire sous l’onglet « Vie privée » dans les Préférences de Firefox (voir l’image).

Plusieurs années d’observation de l’approche de Safari des cookies tiers, une rapide augmentation du nombre des entreprises tierces utilisant les cookies pour pister les utilisateurs et un fort soutien des utilisateurs pour davantage de contrôle sont le moteur de notre décision d’aller de l’avant avec ce patch.

Nous avons la responsabilité de faire progresser les fonctionnalités et commandes qui mettent les attentes des utilisateurs en conformité avec la façon dont le Web fonctionne pour eux. Comme notre directeur juridique, Harvey Anderson, a écrit il y a quelques semaines dans un billet sur la reconnaissance de Mozilla comme société Internet la plus digne de confiance pour la protection des renseignements personnels en 2012 :

Nous devons tous poursuivre nos efforts – grands et petits – pour créer un environnement plus fiable de produits en ligne qui intègrent parfaitement la facilité d’utilisation, la transparence et le choix de l’utilisateur.

Dans mon propre usage de cette version ce matin, j’ai suivi un de mes parcours de navigation typiques, à commencer par un coup d’œil aux conditions de surf, puis les nouvelles locales, un site de nouvelles d’envergure nationale et un site populaire couvrant le secteur technologique. (Soit dit en passant, toute l’importante couverture de notre lancement de Firefox OS au Mobile World Congress est vraiment passionnante !)

Voici comment le nouveau patch a modifié la portée avec laquelle j’ai été pisté :

J’ai effacé tous mes cookies avant de visiter ces sites, puis de nouveau effectué cette opération plusieurs fois, parce que je voulais vérifier que, en fait, quatre sites menaient à plus de 300 cookies provenant de plus de 100 entreprises à qui je n’avais pas rendu visite. Afficher des annonces et partager des widgets sur les sites a bien fonctionné, et quand je clique sur eux, les diverses parties concernées ont pu placer des cookies. Les politiques de confidentialité des quatre sites couvrent leurs pratiques relatives aux cookies, y compris en provenance de tiers. Il est intéressant de noter qu’ils m’ont tous indiqué d’utiliser les paramètres dans mon navigateur pour contrôler le comportement de ces cookies sur leurs sites.

Mozilla est passionné par donner la priorité à ses utilisateurs et faire progresser le Web. Cette mission nécessite de prendre un rôle de leadership sur la vie privée, ce que nous avons fait à maintes reprises (par exemple, Do Not Track, API sociale, recherche sécurisée, Persona et Collusion).

Les utilisateurs de Mozilla expriment souvent des préoccupations concernant le pistage sur le Web et nous avons écouté. Nous nous remettons constamment en question pour livrer un navigateur qui correspond aux attentes des utilisateurs, tout en facilitant l’innovation en ligne. Nous passons régulièrement en revue les contributions de la communauté et des partenaires, les standards du Web, les extensions, les pratiques des autres navigateurs et bien plus encore. Le nouveau patch sur les cookies tiers dans Firefox n’est qu’un autre exemple de ces efforts.

La nouvelle valeur par défaut est actuellement uniquement dans ces versions très précoces pour développeurs et il entre dans le processus d’audit habituel de Mozilla. Comme avec les autres fonctionnalités que nous déployons, il faudra plusieurs mois d’évaluation des apports techniques de nos utilisateurs et de la communauté avant que la nouvelle politique n’entre dans nos versions bêta et finale de Firefox. La politique sur la façon dont nos versions actuelles de Firefox traitent les cookies peut être trouvée ici et là.

Mozilla aime à entendre de nos utilisateurs comment il peut rendre Firefox encore meilleur. Nous encourageons toutes les personnes intéressées à fournir des commentaires par le biais du groupe de discussion mozilla.dev.privacy.

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

Voici les nouvelles options concernant les cookies tiers dans les nocturnes de Firefox en français :

Alors que nous en sommes à la quatrième version bêta de Firefox 20 et que la cinquième ne devrait pas tarder à pointer le bout de son nez, il est grand temps de jetez un œil aux nouveautés qui se retrouveront sûrement (mais pas obligatoirement) dans la prochaine version majeure du navigateur de Mozilla (programmée pour le 2 avril prochain). La fondation met l’accent sur la navigation privée par fenêtre. Ainsi, en cliquant, par exemple, sur le nouvel item du menu contextuel des liens « Ouvrir le lien dans une fenêtre de navigation privée », il est possible d’afficher une page Web en mode de navigation privée tout en continuant à surfer en mode normal dans l’autre fenêtre.

Mozilla démontre encore une fois sa réactivité en matière de sécurité. Cette année, Firefox a de nouveau été battu, comme les autres navigateurs majeurs et technologies de plugins, lors du concours Pwn2Own. La vulnérabilité découverte et rapportée dans Firefox sur Windows 7 par la société française VUPEN Security, qui a aussi percé les dispositifs de sécurité d’IE10 sur Windows 8, de Java sur Windows 7 et de Flash sur Windows 7, rapporté 8 failles zero-day et gagné 250 000 $, permet l’exécution de code arbitraire. Elle a été comblée en moins de 24 heures par Firefox 19.0.2, première mise à jour mineure de sécurité de Firefox 19. La faille critique concerne l’éditeur HTML et sera aussi comblée dans les autres logiciels utilisant Gecko, le moteur d’affichage de Mozilla : Thunderbird 17.0.4 et SeaMonkey 2.16.1 (ainsi que les versions ESR de Firefox et Thunderbird).

Les utilisateurs de Firefox devraient recevoir la mise à jour automatique dans les 24 heures. Ils peuvent aussi l’obtenir manuellement en choisissant « Rechercher des mises à jour… » dans le menu « ? » ou, depuis Firefox 4, ils peuvent l’obtenir manuellement en allant, dans le sous-menu « Aide » du menu unique « Firefox », voir la boîte de dialogue « À propos de Firefox ».

Télécharger Firefox 19.0.2 en français

• Firefox 19.0.2 pour Windows [fr]
• Firefox 19.0.2 pour Mac OS X [fr]
• Firefox 19.0.2 pour Linux [fr]

Mardi, comme de coutume désormais toutes les six semaines, Mozilla a sorti une nouvelle version majeure de son navigateur Web. Firefox 19 dispose désormais, et c’est la grande nouveauté, d’un lecteur de fichiers PDF intégré. En test depuis plusieurs versions déjà, PDF.js sert désormais par défaut à afficher ce format standardisé de documents. Comme le rappelle Tristan Nitot de Mozilla, ce projet open source mené par la communauté a été partiellement développé en France. Relisez ma traduction du billet de Bill Walker et Brendan Dahl au moment du passage de Firefox 19 dans le canal bêta pour en connaître plus sur l’intérêt du recours à un lecteur PDF natif, notamment en matière de sécurité et de rapidité d’exécution.

Mais ce n’est pas tout. Cette version améliore les performances au démarrage (bogues 715402 et 756313). En plus de la prise en charge de nouveaux standards (dont de nouvelles parties de CSS), les développeurs se réjouiront de l’ajout de nouvelles fonctionnalités aux outils de développement. Ainsi, Firefox 19 offre la possibilité de mettre en pause le débogueur en cas d’exception ou de cacher les propriétés non énumérables. Il y a aussi dorénavant un débogueur du navigateur disponible pour les développeurs du navigateur et de modules complémentaires (c’est encore expérimental : il faut alors régler la préférence cachée « devtools.chrome.enabled » sur « true »). Une console Web à distance est désormais disponible pour se connecter à Firefox sur Android ou Firefox OS (c’est aussi expérimental : réglez donc « devtools.debugger.remote-enabled » sur « true »). Enfin et toujours au sein des outils pour développeurs, les liens CSS de la console Web s’ouvrent maintenant dans l’éditeur de styles.

En plus d’être une version de stabilité (correction de 2 751 bogues), Firefox 19 est aussi une version de sécurité. En effet, cette version majeure corrige 8 vulnérabilités de sécurité dont 4 critiques.

Les utilisateurs de Firefox ont dû recevoir la mise à jour automatique dans les 24 heures. Ils peuvent aussi l’obtenir manuellement en choisissant « Rechercher des mises à jour… » dans le menu « ? » ou, depuis Firefox 4, ils peuvent l’obtenir manuellement en allant, dans le sous-menu « Aide » du menu unique « Firefox », voir la boîte de dialogue « À propos de Firefox ».

Télécharger Firefox 19.0 en français

• Firefox 19.0 pour Windows [fr]
• Firefox 19.0 pour Mac OS X [fr]
• Firefox 19.0 pour Linux [fr]