Blocage des plugins dans Firefox : liste blanche temporaire
Depuis toujours les plugins sont une source de problèmes pour les éditeurs de navigateurs, pour leurs utilisateurs et le Web lui même. Ils ont été introduits par Netscape pour permettre d’afficher au sein du navigateur des contenus particuliers souvent propriétaires et traités par des logiciels tiers installés sur le système de l’utilisateur. La Netscape plugin application programming interface (NPAPI), une architecture multiplateforme, a été adoptée par les autres navigateurs. Cependant, Microsoft a préféré « améliorer » le système pour Windows avec l’utilisation dans Internet Explorer des contrôles ActiveX.
Ces plugins (à ne pas confondre avec les extensions) affichent des jeux, des animations et des vidéos comme le très populaire Flash Player d’Adobe ou des applications complexes comme le très problématique Java d’Oracle. Voyez cette étude de Christian Sonne de fin mars 2013 : Plugins : utilisation, distribution et avenir dans Firefox.
Dans Firefox, comme dans les autres navigateurs, les plugins posent des problèmes au navigateur qui les accueille. Ils ne sont pas sous le contrôle de l’éditeur du navigateur. Les contenus incluent dans les pages Web gérés par les plugins ne peuvent pas dialoguer avec le reste du contenu et même avec le navigateur (par exemple Firefox n’arrive pas actuellement à savoir si un onglet avec du contenu en Flash émet du son).
Stabilité et sécurité
Mais surtout, les plugins posent des problèmes de stabilité et de sécurité aux navigateurs qui sont tenus pour responsables de leurs défaillances. Vladan Djeric a confirmé en avril 2013 que les plugins étaient la cause numéro un des blocages de Firefox. Pour éviter que les blocages et plantages des plugins ne bloquent ou fassent planter le navigateur en entier, Mozilla en 2010 avait isolé les plugins dans des processus séparés (projet Lorentz faisant partie du projet plus large Electrolysis récemment relancé).
La fonction Cliquer pour activer (click-to-play) avec liste de blocage des plugins qui combine contrôle par l’utilisateur et intervention à distance de Mozilla est la réponse de Mozilla introduite dans Firefox 17 fin 2012 au défi des vulnérabilités de sécurité des plugins fragilisant l’utilisateur de Firefox tout en lui conservant une bonne expérience de navigation et un confort d’utilisation.
Ces deux contraintes ont déterminé la gestion du problème des plugins par Mozilla en 2013 (voyez le paragraphe de la rétrospective Vie privée et sécurité pour Mozilla en 2013 sur les plugins pour l’histoire et le point où en sont arrivés les plugins dans Firefox). Il n’est pas étonnant d’y voir que c’est principalement sur le blog sécurité de Mozilla qu’on été faites les annonces des plans de Mozilla concernant les plugins.
Aujourd’hui, c’est encore sur ce blog que Chad Weiner, directeur de la gestion du produit pour Firefox, annonce une nouvelle étape vers l’objectif de se débarrasser des plugins.
Le cas Chrome
Google pour Chrome a aussi annoncé un plan pour l’extinction des plugins NPAPI en 2014 (également par la voix d’un ingénieur sécurité). En janvier, Chrome, qui, rappelons-le, embarque le plugin Flash mais sans utiliser NPAPI, bloque les plugins par défaut sauf les plus populaires (plus de 5 % des utilisateurs) qui n’avaient pas été eux-mêmes bloqués pour des raisons de sécurité (Silverlight, Unity, Google Earth, Java (déjà bloqué pour raison de sécurité), Google Talk et Facebook Video). La prise en charge des plugins NPAPI devrait finalement être complètement expurgée de Chrome avant la fin de l’année selon un calendrier qui dépendra des rapports d’usage et des réactions des utilisateurs.
Google appelle les développeurs à utiliser plusieurs alternatives à NPAPI. Au cas où les technologies Web standard ne sont pas encore suffisantes, les développeurs et les administrateurs peuvent utiliser NaCl, Apps, Native Messaging API et Legacy Browser Support pour la transition depuis NPAPI. Pour aller de l’avant, [son] objectif est de faire évoluer la plateforme Web basée sur les standards pour couvrir les cas d’utilisation autrefois couverts par NPAPI.
La plateforme Web
Bien sûr, pour Mozilla la réponse est la plateforme Web. Pour s’assurer que les développeurs vont se tourner vers les standards du Web de nouvelle génération dores et déjà pris en charge par Firefox (souvent regroupés sous l’appellation générique de HTML5) et qui seront améliorés à chaque nouvelle version, Mozilla n’accepte de mettre dans sa liste blanche de plugins non bloqués par défaut que les plugins dont les auteurs feront la preuve qu’ils ont un projet clair de migration de leur technologie basée sur NPAPI vers une basée sur les standards du Web. Voyez la traduction suivante pour les détails :
Nouvelles de l’activation des plugins
Pour offrir une meilleure et plus sûre expérience du Web, nous travaillons à éloigner Firefox des plugins.
Après beaucoup de tests et d’itération, nous avons déterminé que Firefox ne devrait plus activer la plupart des plugins par défaut et opté plutôt pour laisser les gens choisir le moment d’activer les plugins sur les sites qu’ils visitent. Nous appelons cette fonctionnalité de Firefox cliquer pour activer (click-to -play) les plugins.
Nous encourageons fortement les auteurs de site à mettre un terme progressivement à leur utilisation des plugins. La puissance du Web lui-même, en particulier avec les nouvelles technologies comme emscripten et asm.js, rend les plugins beaucoup moins essentiels que par le passé. De plus, les plugins présentent de réels coûts pour les utilisateurs de Firefox. Bien que les gens ne s’en rendent pas toujours compte, nous savons que les plugins sont une source importante de mauvaises performances, de plantages et de vulnérabilités de sécurité.
Les développeurs pourront trouver de plus en plus ce dont ils ont besoin dans la plateforme Web, mais nous reconnaissons aussi qu’il leur faudra un certain temps pour migrer vers de meilleures options. En outre, nous savons qu’il y a des plugins sur lesquels nos utilisateurs comptent pour des tâches essentielles et voulons fournir aux auteurs et développeurs de plugins une exemption à court terme de notre approche de cliquer pour activer par défaut. Aujourd’hui, nous annonçons la création d’une liste blanche de plugins temporaire.
N’importe quel auteur de plugin peut soumettre une demande afin d’être pris en considération pour inscription sur la liste blanche en suivant les étapes décrites dans notre politique de liste blanche des plugins. Plus important encore, nous demandons aux auteurs de manifester une intention crédible de s’éloigner des plugins basés sur la NPAPI et de s’orienter vers des solutions basées sur des les standards du Web.
Aujourd’hui marque le début d’une fenêtre de soumission qui se fermera le 31 mars 2014. Toute demande reçue avant la date limite sera examinée et traitée avant que les plugins soient bloqués par défaut dans Firefox. Les inscriptions sur la liste blanche seront accordées pour quatre versions consécutives de Firefox et les auteurs pourront présenter une nouvelle demande pour poursuivre la dérogation alors que la fin de la période de grâce approche.
Notre vision est claire : un Web puissant et ouvert qui fonctionne partout sans avoir besoin de plugins pour chaque tâche. Les étapes décrites ici, vont nous rapprocher de cette vision, tout en conciliant les réalités d’aujourd’hui.
- Chad Weiner, directeur de la gestion du produitLe document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.
Contexte
Sur BlogZiNet :
- Testez Firefox Lorentz, avec des plugins dans des processus séparés (10 avr. 2010)
- Mozilla Firefox 3.6.4 avec isolement des plugins incluant Lorentz (23 juin 2010)
- Firefox 17 bêta : fonction click-to -play avec liste de blocage des plugins traduit David Keeler (13 oct. 2012)
- Mozilla Firefox 17 introduit la fonction cliquer pour activer (click-to-play) avec liste de blocage des plugins (24 nov. 2012)
- Mozilla Firefox 19 traduit Bill Walker et Brendan Dahl : Mozilla teste un lecteur PDF intégré et sécurisé dans Firefox bêta exploitant la puissance du HTML5
- Désactivation des plugins dans Firefox sauf la dernière version de Flash traduit Michael Coates, directeur de l’assurance sécurité chez Mozilla (31 janv. 2013)
- (Dés)activation des plugins dans Firefox traduit Benjamin Smedberg (26 sept. 2013)
Sur MozillaZine-fr : Vie privée et sécurité pour Mozilla en 2013 – Plugins.
Sources et références
- Mozilla Security Blog :
- Update on Plugin Activation, 28 fév. 2014, Chad Weiner
- Putting Users in Control of Plugins, 29 janv. 2013, Michael Coates
- Click-to-Play Plugins, Blocklist-Style, 11 oct. 2012, David Keeler
- Future Releases, Plugin Activation in Firefox, 24 sept. 2013, Benjamin Smedberg
- Assistance de Mozilla : Les modules complémentaires qui causent des problèmes de stabilité ou de sécurité sont mis dans une liste de blocage
- Geeks By Nature, Plugins: usage, distribution and future in Firefox, 28 mars 2013, Christian Sonne
- Vladan Djeric’s blog, Current state of Firefox chrome hangs, 9 avr. 2013
- Chromium Blog, Saying Goodbye to Our Old Friend NPAPI, 23 sept. 2013, Justin Schuh, Security Engineer and Plug-in Retirement Planner
- The Chromium Projects : Getting Started: Background and Basics – Pepper Plugin API (PPAPI)