Aller à la recherche

Blocage du contenu mixte dans Mozilla Firefox 23 Aurora

Alors que Firefox 21 est sorti en version finale pour tout le monde et que les canaux bêta et Nightly ont vu leurs versions progresser d’un cran, le canal Aurora ne devrait pas tarder à rendre disponible Mozilla Firefox 23 dont une fonctionnalité clé ayant des répercussions importantes sur la sécurité et le confort d’utilisation de Firefox est annoncée par Tanvi, ingénieur sécurité chez Mozilla. À partir de Firefox 23 (qui sortira en version finale le 6 août prochain), le contenu mixte sera bloqué sur les pages HTTPS :


Firefox 23 a progressé cette semaine du canal Nightly vers le canal Aurora, fourni avec une nouvelle fonctionnalité de sécurité du navigateur. Le bloqueur de contenu mixte est activé par défaut dans Firefox 23 et protège nos utilisateurs des attaques de l’homme du milieu (man-in-the-middle) et des oreilles indiscrètes sur les pages HTTPS.

Quand une page HTTPS contient des ressources HTTP, les ressources HTTP sont appelées contenu mixte. Avec la dernière version Aurora, Firefox va bloquer certains types de contenu mixte par défaut, offrant une option par page pour que les utilisateurs puissent « désactiver la protection » et outrepasser le blocage.

Quels types de contenu mixte sont bloqués par défaut et quels types ne le sont pas ? La communauté de sécurité du navigateur a divisé le contenu mixte en deux catégories : le contenu mixte actif (tel que les scripts) et le contenu mixte passif (tel que les images). Le contenu mixte actif est considéré comme plus dangereux que le contenu mixte passif parce que le premier peut modifier le comportement d’une page HTTPS et potentiellement voler les données sensibles des utilisateurs. Firefox 23+ bloquera par défaut le contenu mixte actif, mais autorisera le contenu mixte passif sur les pages HTTPS. Pour plus d’informations sur les différences entre contenu mixte actif et contenu mixte passif, voir ce billet.

L’interface utilisateur du contenu mixte

Concevoir une interface utilisateur pour la sécurité est toujours délicat. Comment informer l’utilisateur d’une menace de sécurité potentielle sans le gêner ni interrompre sa tâche ?

Larissa Co (@lyco1) de l’équipe d’expérience utilisateur de Mozilla aspirait à résoudre ce problème. Elle a créé un framework UX de sécurité avec un ensemble de principes fondamentaux qui ont motivé le design UX pour le bloqueur de contenu mixte.

Lorsqu’un utilisateur visite une page HTTPS avec du contenu mixte actif bloqué, il verra une icône en forme de bouclier dans la barre d’adresse :

Icône de panonceau de bouclier affiché sur une page HTTPS avec contenu mixte actif

Crédit Mozilla

En cliquant sur le bouclier, l’utilisateur verra les options pour « En savoir plus », « Continuer à bloquer » ou « Désactiver la protection sur cette page » :

Interface déroulante de panonceau de bouclier

Crédit Mozilla

Si un utilisateur décide de « Continuer à bloquer », la notification dans la barre d’adresse disparaîtra :

Si l'utilisateur décide de conserver le blocage, le bouclier disparaîtra.

Crédit Mozilla

En revanche, si un utilisateur décide de « Désactiver la protection sur cette page », tout le contenu mixte sera chargé et l’icône du cadenas sera remplacée par un panneau d’avertissement jaune :

Le triangle jaune d'avertissement apparaît après qu'un utilisateur désactive la protection.

Crédit Mozilla

Lorsqu’un utilisateur visite une page HTTPS avec un contenu mixte passif, Firefox ne bloquera pas le contenu passif par défaut. Mais étant donné que la page n’est pas entièrement chiffrée, l’utilisateur ne verra pas l’icône du cadenas dans la barre d’adresse :

Une page avec du contenu mixte passif affichera l'icône du globe à la place de l'icône du cadenas.

Crédit Mozilla

Compatibilité

Nous avons un bogue de suivi maître pour les sites Web qui sont dégradés quand du contenu mixte actif est bloqué dans Firefox 23+. En plus des sites Web que nos utilisateurs nous ont signalés, nous menons des tests automatisés sur les sites du Top d’Alexa à la recherche des pages avec du contenu mixte actif. Si vous rencontrez un problème de compatibilité avec un site Web comportant un contenu mixte, veuillez nous le faire savoir dans le bogue maître ou faites un pas de plus et contactez le site pour le leur faire savoir. Il y a fort à parier que leur site Web est également dégradé dans Chrome et/ou dans Internet Explorer. Chrome et Internet Explorer ont aussi des bloqueurs de contenu mixte, mais leurs définitions du contenu mixte actif et du contenu mixte passif diffèrent légèrement de la définition de Firefox.

Vous voulez en savoir plus ?

Toujours curieux et souhaitant en savoir plus sur le bloqueur de contenu mixte dans Firefox ? Découvrez ce billet de blog plus détaillé ou n’hésitez pas à nous poser des questions sur mozilla.dev.security.


Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

License Creative Commons

Télécharger Firefox 23 Aurora pour ordinateurs de bureau en français

Télécharger Firefox Aurora

Commentaires

1. Le mercredi 21 août 2013, 09:44 par Coldfuzion

Astuce pour désactiver cette fonction de façon permanente .

Taper about:config dans la barre d’adresse et chercher la valeur security.mixed_content.block_active_content , double cliquer dessus pour la passer à false et c’est bon .

2. Le mercredi 21 août 2013, 09:53 par Mozinet

@Coldfuzion : Merci pour l’astuce, mais ce n’est pas pour tout le monde. Pour désactiver cette fonction de sécurité pour tous les sites, il faut vraiment savoir ce qu’on fait là.

3. Le jeudi 14 janvier 2016, 22:53 par Nicolas

The Kangertech Evod Mega Starter Kit now in stock

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

La discussion continue ailleurs

URL de rétrolien : http://blogzinet.free.fr/blog/index.php?trackback/614

Fil des commentaires de ce billet

Page top