Je vous ai déjà parlé de la fonction click-to-play des plugins avec capture d’écran lors du passage de Firefox 14 dans le canal bêta. Elle est facilement activable par une préférence cachée ou grâce à une extension depuis Firefox 14.0.1. Voici aujourd’hui la présentation par le blog sécurité de Mozilla de cette fonction clic-to-play des plugins combinée avec la liste de blocage, à tester dans Firefox 17 bêta 1 (et suivants certainement) :
Vous avez peut-être entendu parler de la fonction click-to-play des plugins (en bref : ne pas charger les plugins jusqu’à ce qu’on ait cliqué dessus). Vous avez peut-être aussi entendu parler de la liste de blocage (essentiellement une liste de modules complémentaires et de plugins qui sont désactivés pour empêcher les utilisateurs de subir un préjudice : ce qui inclut les versions vulnérables et obsolètes des plugins populaires). Maintenant, apparaissant ensemble pour la première fois dans Firefox bêta, permettez-moi de présenter les plugins sous click-to-play avec liste de blocage !
Voici à quoi ça ressemble en fonctionnement :
Crédit Mozilla
(Notez que la fenêtre de notification ne se montrera pas automatiquement. Cela est intentionnel, afin de ne pas interrompre l’utilisateur. Pour ouvrir le panonceau, cliquez simplement sur l’icône du plugin dans la barre d’URL, comme indiqué ci-dessous.)
Crédit Mozilla
En combinant la sécurité de la liste de blocage avec la flexibilité de click-to-play, nous avons maintenant une méthode encore plus efficace de traiter avec les plugins vulnérables ou obsolètes. Au lieu de choisir entre vulnérable, mais utile (en permettant à un ancien plugin de s’exécuter automatiquement) et sûr, mais moins utile (en désactivant complètement les anciens plugins), plugins sous click-to-play avec liste de blocage donnent à l’utilisateur la possibilité de prendre une décision éclairée en fonction de son activité en cours. Par exemple, lorsque naviguant sur un site Web de partage vidéo réputé, un utilisateur peut se sentir suffisamment en sécurité pour activer un plugin vulnérable afin de voir le contenu du site (en fait, le site de confiance peut être mis en liste blanche en utilisant l’option « Toujours activer les plugins pour ce site » dans le menu déroulant). Bien sûr, il serait préférable que l’utilisateur mette à jour le plugin vers une version sécurisée, mais peut-être qu’il ne peut pas, pour une raison ou pour une autre. Dans un autre scénario, il pourrait ne pas totalement faire confiance à un site sur lequel il arrive après avoir visité un lien envoyé par un ami. Dans ce cas, le plugin en liste de blocage ne fonctionnerait pas automatiquement et l’utilisateur serait protégé.
À l’heure actuelle, plugins sous click-to-play avec liste de blocage est une fonction de sécurité qui protège contre les attaques ciblant les plugins qui sont connus pour être vulnérables. Il n’empêche pas les attaques où un utilisateur est convaincu d’activer un plugin vulnérable sur un site malveillant. Il n’est pas non plus un système universel de gestion des plugins.
Cette fonctionnalité est activée par défaut, ainsi les utilisateurs sont automatiquement protégés. Pour les plus aventureux, la préférence « plugins.click_to_play » d’about:config peut être réglée sur « true » pour activer click-to-play pour tous les plugins, et pas seulement les obsolètes. Toutefois, cet aspect de la fonction est encore en développement.
Cette fonctionnalité est actuellement dans Firefox bêta, alors récupérez-en une copie. Pour plus d’informations sur les plugins spécifiques avec lesquels nous commençons, visitez le blog des modules complémentaires (NDT : traduit). Il y a aussi plus d’informations dans quelques bogues.
Ce que ça donne en français dans Firefox 17 bêta 1 :
Télécharger Firefox 17.0 bêta 1 en français
