BlogZiNet

Dans un billet sur son blog personel, Brendan Eich, CTO de Mozilla, expliquait que la découverte de faux positifs et de faux négatifs avait conduit Mozilla à retarder l’activation par défaut dans Firefox de la fonctionnalité qui avait beaucoup fait parler d’elle dans la presse spécialisée, à savoir l’acceptation par défaut des seuls cookies tiers des sites déjà visités. Aujourd’hui, Brendan Eich nous annonce que le patch de blocage des cookies en se basant sur les sites visités dans Firefox Aurora sera retenu jusqu’à la mise en place du mécanisme d’exception basé sur des listes que développe le Center for Internet and Society de Stanford sous le nom de Cookie Clearinghouse (CCH).

Cette initiative est aussi soutenue pour Opera Software qui fait partie du comité consultatif du CCH qui comprend Sid Stamm, le directeur de l’ingénierie de la vie privée chez Mozilla. La Phase I de conceptualisation devrait être achevée dans quelques mois (à l’automne 2013). La mise en place effective dans un navigateur Web devrait prendre du temps et des extensions pourraient être disponibles plus tôt. Apprenez en plus dans le communiqué de presse sur cette initiative libre qui espérons-le ne tournera pas à l’usine à gaz :

Alors que Firefox 23, qui sortira en version finale le 6 août prochain, n’était pas encore disponible dans le canal Aurora, nous traitions déjà de sa nouvelle fonction phare annoncée un peu en avance par Tanvi, ingénieur sécurité chez Mozilla : le contenu mixte sera bloqué sur les pages HTTPS. « Le bloqueur de contenu mixte est activé par défaut dans Firefox 23 et protège nos utilisateurs des attaques de l’homme du milieu (man-in-the-middle) et des oreilles indiscrètes sur les pages HTTPS. »

Maintenant, passons à un détail pour les utilisateurs mais qui touchera les nostalgiques des temps héroïques du Web, où les sites étaient « optimisés pour Netscape », puisque Firefox 23 Aurora retire complètement l’élément <blink> et abandonne l’effet de clignotement de text-decoration: blink;. Cet élément HTML non standard, que le HTML5 considère comme une fonction non conforme, est un héritage de Netscape Navigator pour qui il a été inventé mais, qu’à part Opera, les autres navigateurs ne prenaient pas en charge : Internet Explorer de Microsoft (le rival) et les navigateur basés sur WebKit comme Apple Safari et Google Chrome. Ça ne vous aura donc pas échappé que le nouveau moteur d’affichage de Chrome, « forké » depuis WebKit, se nomme « Blink » mais ne supporte pas blink.

Mardi, en pleine commémoration virtuelle du 15^ème anniversaire de Mozilla, Firefox 20 paraissait pour ordinateurs de bureau et mobiles Android. Nous vous avons déjà présenté en détails les nouveautés de Firefox 20 lors de son passage dans le canal de développement bêta (il y est entré juste après la sortie de Firefox 19 fin février).

Devant les réactions dans le monde de la publicité provoquées par la décision de Mozilla de changer le comportement par défaut de Firefox vis à vis des cookies tiers, il peut être intéressant de relire la position officielle de Mozilla donnée par Alex Fowler, le directeur de la vie privée et de la politique publique chez Mozilla :

Mozilla a un intérêt de longue haleine à encourager une plus grande transparence, une plus grande confiance et une plus grande responsabilisation concernant la vie privée et les nombreuses pratiques basées sur les cookies que nous voyons de nos jours.

Vendredi, Mozilla a publié un patch pour Firefox dans son canal « Nightly » qui modifie la façon dont les cookies en provenance de sociétés tierces fonctionnent. Les utilisateurs de cette version de Firefox doivent interagir directement avec un site ou une entreprise pour qu’un cookie soit installé sur leur machine. Le patch fournit également un cadre de contrôle supplémentaire sous l’onglet « Vie privée » dans les Préférences de Firefox (voir l’image).

Plusieurs années d’observation de l’approche de Safari des cookies tiers, une rapide augmentation du nombre des entreprises tierces utilisant les cookies pour pister les utilisateurs et un fort soutien des utilisateurs pour davantage de contrôle sont le moteur de notre décision d’aller de l’avant avec ce patch.

Nous avons la responsabilité de faire progresser les fonctionnalités et commandes qui mettent les attentes des utilisateurs en conformité avec la façon dont le Web fonctionne pour eux. Comme notre directeur juridique, Harvey Anderson, a écrit il y a quelques semaines dans un billet sur la reconnaissance de Mozilla comme société Internet la plus digne de confiance pour la protection des renseignements personnels en 2012 :

Nous devons tous poursuivre nos efforts – grands et petits – pour créer un environnement plus fiable de produits en ligne qui intègrent parfaitement la facilité d’utilisation, la transparence et le choix de l’utilisateur.

Dans mon propre usage de cette version ce matin, j’ai suivi un de mes parcours de navigation typiques, à commencer par un coup d’œil aux conditions de surf, puis les nouvelles locales, un site de nouvelles d’envergure nationale et un site populaire couvrant le secteur technologique. (Soit dit en passant, toute l’importante couverture de notre lancement de Firefox OS au Mobile World Congress est vraiment passionnante !)

Voici comment le nouveau patch a modifié la portée avec laquelle j’ai été pisté :

J’ai effacé tous mes cookies avant de visiter ces sites, puis de nouveau effectué cette opération plusieurs fois, parce que je voulais vérifier que, en fait, quatre sites menaient à plus de 300 cookies provenant de plus de 100 entreprises à qui je n’avais pas rendu visite. Afficher des annonces et partager des widgets sur les sites a bien fonctionné, et quand je clique sur eux, les diverses parties concernées ont pu placer des cookies. Les politiques de confidentialité des quatre sites couvrent leurs pratiques relatives aux cookies, y compris en provenance de tiers. Il est intéressant de noter qu’ils m’ont tous indiqué d’utiliser les paramètres dans mon navigateur pour contrôler le comportement de ces cookies sur leurs sites.

Mozilla est passionné par donner la priorité à ses utilisateurs et faire progresser le Web. Cette mission nécessite de prendre un rôle de leadership sur la vie privée, ce que nous avons fait à maintes reprises (par exemple, Do Not Track, API sociale, recherche sécurisée, Persona et Collusion).

Les utilisateurs de Mozilla expriment souvent des préoccupations concernant le pistage sur le Web et nous avons écouté. Nous nous remettons constamment en question pour livrer un navigateur qui correspond aux attentes des utilisateurs, tout en facilitant l’innovation en ligne. Nous passons régulièrement en revue les contributions de la communauté et des partenaires, les standards du Web, les extensions, les pratiques des autres navigateurs et bien plus encore. Le nouveau patch sur les cookies tiers dans Firefox n’est qu’un autre exemple de ces efforts.

La nouvelle valeur par défaut est actuellement uniquement dans ces versions très précoces pour développeurs et il entre dans le processus d’audit habituel de Mozilla. Comme avec les autres fonctionnalités que nous déployons, il faudra plusieurs mois d’évaluation des apports techniques de nos utilisateurs et de la communauté avant que la nouvelle politique n’entre dans nos versions bêta et finale de Firefox. La politique sur la façon dont nos versions actuelles de Firefox traitent les cookies peut être trouvée ici et là.

Mozilla aime à entendre de nos utilisateurs comment il peut rendre Firefox encore meilleur. Nous encourageons toutes les personnes intéressées à fournir des commentaires par le biais du groupe de discussion mozilla.dev.privacy.

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

Voici les nouvelles options concernant les cookies tiers dans les nocturnes de Firefox en français :

DownThemAll! est une extension pour Firefox et SeaMonkey qui sort dans une version millésimée 2.0. Cette nouvelle version comprend de nombreuses nouvelles fonctionnalités, améliorations et correctifs de bogues. Les nouveautés les pus remarquables sont la prise en charge de Firefox 4 (dont la dernière version bêta), des limites de téléchargement, la gestion des miroirs et une meilleure intégration au système d’exploitation. Voir les notes de diffusion de DownThemAll! 2.0 pour plus de détails et la liste complète des nouveautés. Il est à noter que cette nouvelle version n’est pas encore disponible en français. DTA 2.0 n’est pas disponible pour Thunderbird (comme il l’était jusqu’à la version 1.1.7).

Ce gestionnaire de téléchargement totalement intégré au navigateur se vante d’augmenter la vitesse des téléchargements de 400 %. Vous pouvez télécharger tous les liens d’une page ou les images et fichiers multimédia contenus dans une page. Vous pouvez ne télécharger que les liens et contenus d’une sélection, et réduire les téléchargements en utilisant des critères entièrement personnalisables.

Safari 5 qui vient de sortir offre la possibilité d’ajouter des extensions. Il faut activer les extensions dans le menu « Développement » lui-même activable dans les options (menu des réglages généraux > Préférences… > Avancées > cocher Afficher le menu Développement dans la barre des menus). Apple annonce que les extensions sont développées à partir des standards du Web HTML5, CSS3 et JavaScript. C’est le même principe que celles de Google Chrome et Jetpack pour Firefox.

L’auteur de ScribeFire, l’extension de blogage intégrée au navigateur, sorti le 16 mai dernier pour Chrome, déclare qu’il a mis moins de 90 minutes pour porter son extension de Chrome à Safari.

Comme la version pour Chrome, dont elle reprend l’interface, l’extension pour Safari est beaucoup moins intégrée au navigateur et beaucoup beaucoup moins pratique que celle pour Firefox quand on saisit son billet en mode texte (directement en code HTML) comme je l’explique dans le billet sur ScribeFire pour Chrome.

ScribeFire 1.0 dans Apple Safari 5

Contrairement à mon aventure avec Google Chrome où mon billet avait purement et simplement été supprimé, ScribeFire a ici seulement modifié le code HTML, rendant le billet illisible. Heureusement, j’avais sauvegardé le code en prévision de ces bogues de ScribeFire pour Safari 5. Pour Dotclear 2 et une expérience de blogage performante préférez ScibFire dans Firefox.

Une vulnérabilité critique affecte les versions 10.0.42.34 et antérieures d’Adobe Flash Player sur toutes les plateformes. Dans son bulletin de sécurité, Adobe indique que cette faille touche le système de sandbox qui gère l’accès des fichiers .swf à des domaines extérieurs. La mise à jour 10.0.45.2 qui corrige aussi un potentiel déni de service est à appliquer immédiatement (n’oubliez pas qu’il en existe sur Windows une version pour les navigateurs modernes Firefox, Safari et Opera et une version pour Internet Explorer).

Pour faire bonne mesure Adobe recommande aussi de mettre à jour Adobe AIR, versions 1.5.3.1920 et antérieures, vers la version 1.5.3.1930.

Mise à jour critique d’Adobe Acrobat Reader le 16 février

Adobe émet une autre alerte concernant cette fois Adobe Reader et Adobe Acrobat (versions 9.3 et antérieures) pour toutes les plateformes. Les problèmes de sécurité critiques identifiés (y compris le problème de Flash Player décrit ci-dessus) ne seront corrigés que mardi prochain, 16 février. Selon Brad Arkin, directeur sécurité d’Adobe, conseille « aux utilisateurs craignant une attaque sous Reader de réduire les menaces en ouvrant leurs documents uniquement hors de leur navigateur ». Il est donc recommander de désactiver le plugin d’Adobe Reader. Dans Firefox, allez dans le menu « Outils », cliquez sur « Modules complémentaires », cliquez sur l’onglet « Plugins » et cliquez dans la liste des plugins sur « Adobe Acrobat » puis sur « Désactiver ».

Peut-être serait-il temps de changer de lecteur de fichiers PDF ?

Microsoft a émis une alerte concernant son navigateur Internet Explorer qui s’applique à toutes ses versions sur tous ses systèmes d’exploitation encore supportés. La faille en cause permet à une personne malintentionnée d’accéder à l’ensemble des fichiers présents sur le PC qui visite une page Web spécialement construite avec Internet Explorer. L’attaquant doit uniquement connaître l’emplacement et le nom des fichiers sur le disque dur de la victime.

Internet Explorer sous Windows XP est particulièrement à risque car il ne s’exécute pas en mode protégé qui empêche l’exploitation de cette vulnérabilité. Microsoft, qui n’a pas connaissance d’attaques utilisant cette vulnérabilité, promet un correctif rapide, si nécessaire hors cycle mensuel de mise à jour (le premier est programmé pour mardi prochain*). En attendant, une solution de contournement est proposée sous la forme d’un fix it qui active le verrouillage des protocoles réseau d’Internet Explorer.

Microsoft continue d’encourager ses clients à mettre à niveau leur navigateur vers Internet Explorer 8. Je les encourage ensuite à changer de navigateur Web pour un navigateur moderne : Mozilla Firefox 3.6, Safari 4, Google Chrome 4 ou Opera 10.1. Ces navigateurs cohabitent tous très bien avec Internet Explorer qui ne peut pas être lui désinstallé et dont le moteur est utilisé par nombre d’applications pour afficher du contenu HTML.

(*) MÀJ : Microsoft ne prévoit pas d’inclure de mise à jour pour ce problème dans le bulletin normal de février.

Deux études récentes de l’AT Internet Institute (ex-Xiti Monitor), société d’analyse du trafic Web, viennent attester des événements récents qui se sont produits dans le monde des navigateurs. On a vu dernièrement Internet Explorer perdre du terrain en Allemagne et en France suite aux recommandations de leur gouvernement d’utiliser un navigateur alternatif en attendant la sortie d’un correctif à une faille critique touchant le navigateur de Microsoft. Internet Explorer perd du terrain en Europe au point d’y descendre sous la barre des 60 % de parts de marché. Google Chrome profite plus que Firefox des pertes récentes d’Internet Explorer.

Mozilla Firefox tire profit de la faille d’Internet Explorer

D’après l’étude de l’AT Internet Institute réalisée du 4 au 22 janvier 2010, la perte estimée pour Internet Explorer en Allemagne est de 2,7 points de part de visites sur la semaine du lundi 18 au vendredi 22 janvier 2010. Sur cette même semaine, le gain de part de visites pour Firefox est estimé à 2,2 points.

Crédit AT Internet Institute

En France, la perte est estimée à 0,7 point sur la semaine du lundi 18 au vendredi 22 janvier 2010. Sur cette même semaine, le gain de part de visites pour Firefox est estimé à 0,7 point.

Crédit AT Internet Institute

Internet Explorer tombe sous les 60 % en Europe

La seconde étude de l’AT Internet Institute a été réalisée du 1^er au 31 décembre 2009 sur 23 pays européens. La barre des 60 % de parts de marché est largement franchie par un Internet Explorer qui ne représente plus que 58,6 % du trafic des sites Web européens en décembre 2009. Il perd 3,6 points depuis juin 2009. En 9 mois, Internet Explorer a même vu sa part de marché chuter de 6 points.

Ses concurrents en profitent et à ce jeu là c’est Chrome qui prend le plus de parts de marché. Le navigateur de Google progresse en 6 mois de 1,8 points pour atteindre en décembre 2009 4,1 % de parts de marché. Firefox, le challenger d’IE, gagne 1,1 point depuis juin 2009 pour atteindre en décembre une part de marché de 29,4 %. Les 30 % ne sont pas loin au niveau européen alors qu’ils avaient été dépassés en France en avril 2009. Safari, le navigateur d’Apple, toujours troisième en Europe, dépasse les 5 % en passant en 6 mois de 4,2 % à 5,1 %, soit un gain de 0,9 point de juin à décembre 2009.

On notera aussi qu’Opera n’entre toujours pas dans la danse avec un gain marginal de 0,1 point en 6 mois pour atteindre les 2,3 % en décembre 2009.

Crédit AT Internet Institute

L’institut s’est intéressé aux 4 pays européens dans lesquels IE a perdu le plus de terrain entre juin et décembre 2009. En Irlande, au Royaume-Uni, en Grèce et en République Tchèque Internet Explorer enregistre le plus fort recul de sa part de marché. Citons l’étude (en y mettant un peu les formes) :

En Irlande, la part de visites d’Internet Explorer se retrouve en-dessous de la moyenne européenne avec 56,9 % des visites en décembre 2009 (-7,8 points vs juin 2009) :

• Google Chrome renforce sérieusement sa 3^ème position derrière Mozilla/Firefox : 10,5 % des visites en moyenne sur décembre 2009, soit un gain de près de 5 points en 6 mois,
• Safari, 4^ème, est également gagnant avec une part qui atteint 8,5 % (+3,3 points en 6 mois).

Même constat en Grèce où Internet Explorer perd 6,5 points pour descendre à 55,8 % des visites :

• Mozilla/Firefox en profite pour accroître sa part de 3,5 points entre juin et décembre 2009 et atteindre 35,6 %,
• Google Chrome (3^ème) et Safari (4^ème) progressent respectivement de 1,9 et 1,1 point.

Au Royaume-Uni, la part moyenne d’Internet Explorer est en recul de 7 points entre juin et décembre 2009 mais reste néanmoins supérieure à la moyenne européenne :

• En moyenne, 68,2 % des visites au Royaume-Uni sont effectuées en décembre avec Internet Explorer vs 75,2 % en juin 2009,
• Mozilla/Firefox, second, est en progression mais ce sont surtout Safari (+2,2 points avec 7,2 % des visites) et Google Chrome (+2,6 points avec 5 % des visites) qui tirent leur épingle du jeu.

En République Tchèque, la part de visites d’Internet Explorer est toujours en-dessous de la moyenne européenne avec 50,7 % des visites en décembre 2009 (-6,3 points vs juin 2009) :

• Bonne performance de Mozilla/firefox qui atteint 35,2 % des visites en décembre 2009 (vs 32,3 % en juin),
• Tout comme Google Chrome dont la part fait plus que doubler (4 % en décembre vs 1,8 % en juin 2009),
• Opera, 3^ème navigateur en visites, est également gagnant avec un gain de 1,2 point en 6 mois (5,9 % en décembre vs 4,7 % en juin 2009).

Crédit AT Internet Institute

Google Chrome en forte progression en Europe s’offre la 3^ème place dans certains pays européens comme il l’a conquise au niveau mondial en janvier selon Net Applications.

La méthodologie est à consulter dans les études.