Blocage du contenu mixte dans Mozilla Firefox 23 Aurora
Alors que Firefox 21 est sorti en version finale pour tout le monde et que les canaux bêta et Nightly ont vu leurs versions progresser d’un cran, le canal Aurora ne devrait pas tarder à rendre disponible Mozilla Firefox 23 dont une fonctionnalité clé ayant des répercussions importantes sur la sécurité et le confort d’utilisation de Firefox est annoncée par Tanvi, ingénieur sécurité chez Mozilla. À partir de Firefox 23 (qui sortira en version finale le 6 août prochain), le contenu mixte sera bloqué sur les pages HTTPS :
Firefox 23 a progressé cette semaine du canal Nightly vers le canal Aurora, fourni avec une nouvelle fonctionnalité de sécurité du navigateur. Le bloqueur de contenu mixte est activé par défaut dans Firefox 23 et protège nos utilisateurs des attaques de l’homme du milieu (man-in-the-middle) et des oreilles indiscrètes sur les pages HTTPS.
Quand une page HTTPS contient des ressources HTTP, les ressources HTTP sont appelées contenu mixte. Avec la dernière version Aurora, Firefox va bloquer certains types de contenu mixte par défaut, offrant une option par page pour que les utilisateurs puissent « désactiver la protection » et outrepasser le blocage.
Quels types de contenu mixte sont bloqués par défaut et quels types ne le sont pas ? La communauté de sécurité du navigateur a divisé le contenu mixte en deux catégories : le contenu mixte actif (tel que les scripts) et le contenu mixte passif (tel que les images). Le contenu mixte actif est considéré comme plus dangereux que le contenu mixte passif parce que le premier peut modifier le comportement d’une page HTTPS et potentiellement voler les données sensibles des utilisateurs. Firefox 23+ bloquera par défaut le contenu mixte actif, mais autorisera le contenu mixte passif sur les pages HTTPS. Pour plus d’informations sur les différences entre contenu mixte actif et contenu mixte passif, voir ce billet.
L’interface utilisateur du contenu mixte
Concevoir une interface utilisateur pour la sécurité est toujours délicat. Comment informer l’utilisateur d’une menace de sécurité potentielle sans le gêner ni interrompre sa tâche ?
Larissa Co (@lyco1) de l’équipe d’expérience utilisateur de Mozilla aspirait à résoudre ce problème. Elle a créé un framework UX de sécurité avec un ensemble de principes fondamentaux qui ont motivé le design UX pour le bloqueur de contenu mixte.
Lorsqu’un utilisateur visite une page HTTPS avec du contenu mixte actif bloqué, il verra une icône en forme de bouclier dans la barre d’adresse :
Crédit Mozilla
En cliquant sur le bouclier, l’utilisateur verra les options pour « En savoir plus », « Continuer à bloquer » ou « Désactiver la protection sur cette page » :
Crédit Mozilla
Si un utilisateur décide de « Continuer à bloquer », la notification dans la barre d’adresse disparaîtra :
Crédit Mozilla
En revanche, si un utilisateur décide de « Désactiver la protection sur cette page », tout le contenu mixte sera chargé et l’icône du cadenas sera remplacée par un panneau d’avertissement jaune :
Crédit Mozilla
Lorsqu’un utilisateur visite une page HTTPS avec un contenu mixte passif, Firefox ne bloquera pas le contenu passif par défaut. Mais étant donné que la page n’est pas entièrement chiffrée, l’utilisateur ne verra pas l’icône du cadenas dans la barre d’adresse :
Crédit Mozilla
Compatibilité
Nous avons un bogue de suivi maître pour les sites Web qui sont dégradés quand du contenu mixte actif est bloqué dans Firefox 23+. En plus des sites Web que nos utilisateurs nous ont signalés, nous menons des tests automatisés sur les sites du Top d’Alexa à la recherche des pages avec du contenu mixte actif. Si vous rencontrez un problème de compatibilité avec un site Web comportant un contenu mixte, veuillez nous le faire savoir dans le bogue maître ou faites un pas de plus et contactez le site pour le leur faire savoir. Il y a fort à parier que leur site Web est également dégradé dans Chrome et/ou dans Internet Explorer. Chrome et Internet Explorer ont aussi des bloqueurs de contenu mixte, mais leurs définitions du contenu mixte actif et du contenu mixte passif diffèrent légèrement de la définition de Firefox.
Vous voulez en savoir plus ?
Toujours curieux et souhaitant en savoir plus sur le bloqueur de contenu mixte dans Firefox ? Découvrez ce billet de blog plus détaillé ou n’hésitez pas à nous poser des questions sur mozilla.dev.security.
Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.
Télécharger Firefox 23 Aurora pour ordinateurs de bureau en français
Sources et références
- Mozilla Security Blog, Mixed Content Blocking in Firefox Aurora, 16 mai 2013, Tanvi
- Tanvi’s Blog, Mixed Content Blocking Enabled in Firefox 23!, 10 avr. 2013, Tanvi
- Bugzilla@Mozilla : Bug 844556 – [tracking] compatibility issues with mixed content blocker on non-Mozilla websites
- Mozilla :
- Wikipédia : Attaque de l’homme du milieu
Commentaires
Astuce pour désactiver cette fonction de façon permanente .
Taper about:config dans la barre d’adresse et chercher la valeur security.mixed_content.block_active_content , double cliquer dessus pour la passer à false et c’est bon .
@Coldfuzion : Merci pour l’astuce, mais ce n’est pas pour tout le monde. Pour désactiver cette fonction de sécurité pour tous les sites, il faut vraiment savoir ce qu’on fait là.
The Kangertech Evod Mega Starter Kit now in stock