BlogZiNet

Je n’ai pas l’habitude de rédiger un nouveau billet à chaque annonce d’une nouvelle version bêta de SeaMonkey suivant la première bêta et l’annonce des nouveautés à tester et qui devraient figurer dans la version majeure finale suivante. Mais la sortie de SeaMonkey 2.18 bêta 2 coïncide avec la publication par le projet SeaMonkey de détails sur les changements majeurs à attendre et surtout le support (expérimental pour l’instant) de la navigation privée dans les notes de diffusion de SeaMonkey 2.18. Ces notes nous apprennent aussi que parmi les correctifs de la bêta 2 figurent un correctif déjà présent dans la dernière mise à jour mineure de la version majeure précédente : le click-to-play (cliquer pour activer les plugins) de SeaMonkey ne respectait plus les permissions site par site.

Ainsi, les changements majeurs à tester sont documentés :

• Le support basique de la navigation privée a été ajouté (expérimental pour l’instant) :
  • Les fenêtres privées n’affichent jamais d’invite même si des fenêtres normales sont ouvertes (bogue 846 762).
  • Ajout d’une page « about:privatebrowsing » (bogue 837 493).
  • Ajout d’une option de ligne de commande « -private » (bogue 837 496).
  • Ajout d’un item de menu « Fichier/Nouveau/Fenêtre de navigation privée » (bogue 837 510).
  • Ajout d’un item de menu contextuel « Ouvrir le lien dans une fenêtre de navigation privée » (bogue 841 230).
  • Ouvrir un site dispose désormais d’une option « Nouvelle fenêtre de navigation privée » (bogue 841 616).
  • Ajout du support basique de la navigation privée (bogue 837 492).
• Ajout du support de la navigation sécurisée qui bloque potentiellement les sites Web malicieux signalés comme des sites d’attaque (malware) ou des contrefaçons Web (phishing) (bogue 477 718).
• Les informations telles que le texte d’aperçu, le sujet et l’expéditeur peuvent désormais être affichées dans les notifications de nouvel email (bogue 404 580).

SeaMonkey 2.18 bêta 2 est disponible en 26 langues dont toujours le français, gratuitement et librement pour Windows, Mac OS X et Linux.

Télécharger SeaMonkey 2.18 bêta 2 en français

• Installeur pour Windows [fr]
• Mac OS X Universel [fr]
• Linux [fr]

Mardi, en pleine commémoration virtuelle du 15^ème anniversaire de Mozilla, Firefox 20 paraissait pour ordinateurs de bureau et mobiles Android. Nous vous avons déjà présenté en détails les nouveautés de Firefox 20 lors de son passage dans le canal de développement bêta (il y est entré juste après la sortie de Firefox 19 fin février).

Alors que nous en sommes à la quatrième version bêta de Firefox 20 et que la cinquième ne devrait pas tarder à pointer le bout de son nez, il est grand temps de jetez un œil aux nouveautés qui se retrouveront sûrement (mais pas obligatoirement) dans la prochaine version majeure du navigateur de Mozilla (programmée pour le 2 avril prochain). La fondation met l’accent sur la navigation privée par fenêtre. Ainsi, en cliquant, par exemple, sur le nouvel item du menu contextuel des liens « Ouvrir le lien dans une fenêtre de navigation privée », il est possible d’afficher une page Web en mode de navigation privée tout en continuant à surfer en mode normal dans l’autre fenêtre.

Mozilla démontre encore une fois sa réactivité en matière de sécurité. Cette année, Firefox a de nouveau été battu, comme les autres navigateurs majeurs et technologies de plugins, lors du concours Pwn2Own. La vulnérabilité découverte et rapportée dans Firefox sur Windows 7 par la société française VUPEN Security, qui a aussi percé les dispositifs de sécurité d’IE10 sur Windows 8, de Java sur Windows 7 et de Flash sur Windows 7, rapporté 8 failles zero-day et gagné 250 000 $, permet l’exécution de code arbitraire. Elle a été comblée en moins de 24 heures par Firefox 19.0.2, première mise à jour mineure de sécurité de Firefox 19. La faille critique concerne l’éditeur HTML et sera aussi comblée dans les autres logiciels utilisant Gecko, le moteur d’affichage de Mozilla : Thunderbird 17.0.4 et SeaMonkey 2.16.1 (ainsi que les versions ESR de Firefox et Thunderbird).

Les utilisateurs de Firefox devraient recevoir la mise à jour automatique dans les 24 heures. Ils peuvent aussi l’obtenir manuellement en choisissant « Rechercher des mises à jour… » dans le menu « ? » ou, depuis Firefox 4, ils peuvent l’obtenir manuellement en allant, dans le sous-menu « Aide » du menu unique « Firefox », voir la boîte de dialogue « À propos de Firefox ».

Télécharger Firefox 19.0.2 en français

• Firefox 19.0.2 pour Windows [fr]
• Firefox 19.0.2 pour Mac OS X [fr]
• Firefox 19.0.2 pour Linux [fr]

Depuis Firefox 17, Mozilla bloque à distance les versions des plugins obsolètes ou dangereuses grâce à la fonction Cliquer pour activer (Click to Play) avec liste de blocage des plugins. Aujourd’hui, ce sont les versions du plugin Adobe Flash 10.2.* et inférieures qui sont indiquées par le Cliquer pour activer aux utilisateurs qui peuvent ensuite les réactiver explicitement. Michael Coates, directeur de l’assurance sécurité chez Mozilla, nous en dit plus sur les plans de Mozilla concernant la désactivation des plugins :

Donner aux utilisateurs le contrôle des plugins

Mozilla change la façon dont Firefox charge les plugins tiers tels que Flash, Java et Silverlight. Ce changement aidera à accroître les performances et la stabilité de Firefox, et procurera des avantages sécuritaires importants, tout en procurant en même temps plus de contrôle à nos utilisateurs sur leurs plugins.

Auparavant, Firefox chargeait automatiquement un plugin demandé par un site Web. Tirant parti du Cliquer pour activer (Click to Play) (NDT : traduit), Firefox ne chargera les plugins que lorsqu’un utilisateur effectuera l’action de cliquer pour activer un plugin particulier ou lorsque l’utilisateur aura préalablement configuré Cliquer pour activer pour toujours exécuter les plugins sur le site en question.

Crédit Mozilla

Plus de contrôle pour l’utilisateur

Les utilisateurs devraient avoir le choix de quel logiciel et de quels plugins s’exécutent sur leur machine. Cliquer pour activer permet aux utilisateurs de choisir s’ils souhaitent exécuter un plugin sur un site particulier. Les utilisateurs peuvent également configurer des sites pour ne jamais exécuter les plugins ou inversement pour toujours exécuter les plugins. Ce changement donne le contrôle à l’utilisateur.

Performances et stabilité accrues

Les plugins tiers mal conçus sont la première cause de plantages dans Firefox et peuvent sérieusement dégrader l’expérience de l’utilisateur sur le Web. Cela se caractérise souvent par des pauses lorsque les plugins sont chargés et déchargés, une forte utilisation de la mémoire pendant la navigation et de nombreux plantages imprévus de Firefox. En activant seulement les plugins que l’utilisateur souhaite charger, nous aidons à éliminer les pauses, les plantages et autres conséquences des plugins indésirables.

Avantages sécuritaires significatifs

L’un des vecteurs les plus courants d’exploitation à l’encontre des utilisateurs est l’exploitation de type « drive by¹ » des plugins vulnérables. Dans ce type d’attaque, un utilisateur avec des plugins obsolètes ou vulnérables installés dans son navigateur peut être infecté par des logiciels malveillants (malwares) simplement en accédant à un site qui contient un kit d’exploits pour les plugins. Nous avons observé des kits d’exploits pour les plugins sur les deux types de sites Web : des malveillants et aussi au contraire des sites complètement légitimes qui ont été compromis et infectent sans s’en apercevoir les visiteurs avec des logiciels malveillants. Dans ces situations, le site Web ne dispose pas d’une utilisation légitime du plugin autre que d’exploiter le plugin vulnérable de l’utilisateur pour installer des programmes malveillants sur son ordinateur. La fonction Cliquer pour activer protège les utilisateurs dans ces scénarios puisque les plugins ne sont pas chargés automatiquement juste en visitant un site Web.

En plus des avantages sécuritaires procurés par le Cliquer pour activer, Mozilla recommande aussi vivement aux utilisateurs de garder leurs plugins à jour. Le site suivant peut être utilisé pour déterminer si les plugins sont à jour : https://www.mozilla.org/plugincheck/

Mise en œuvre de ce changement

Notre plan est d’activer Cliquer pour activer pour toutes les versions de tous les plugins sauf pour la version actuelle de Flash Player. Cliquer pour activer a déjà été activé pour de nombreux plugins qui présentent des risques importants de sécurité ou de stabilité pour nos utilisateurs. Ceci inclut les versions vulnérables et obsolètes de Silverlight, Adobe Reader et Java.

Plus précisément, les prochaines étapes sont les suivantes :
1. Cliquer pour activer les anciennes versions de Flash (versions <= 10.2.*) et ajouter lentement plus de versions récentes et dangereuses de Flash à la liste de Cliquer pour activer. Note : La version la plus récente de Flash n’aura PAS le Cliquer pour activer.

Après que nous aurons achevé les travaux finals sur l’interface utilisateur :
2. Cliquer pour activer les versions actuelles de Silverlight, Java et Acrobat Reader et toutes les versions de tous les autres plugins.

Pendant ce changement, nous surveillerons les résultats et les retours des nouveaux paramètres et de l’interface utilisateur pour nous assurer que nous fournissons une expérience de qualité et procurons les nombreux avantages de Cliquer pour activer aux utilisateurs de Firefox.

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

Maintenant que Firefox 18 est sorti et que Firefox 19 a glissé dans le canal de développement bêta, c’est au tour de Firefox 20 d’atterrir dans le canal Aurora. Visez un peu les nouveautés annoncées dans les notes de diffusion de Firefox Aurora 20 (elles ne se retrouveront pas forcément par défaut dans la version finale Firefox 20) :

Après la sortie de Firefox 18 en version finale, c’est au tour de Firefox 19 de glisser dans le canal de développement bêta. Cette version comprend des améliorations de performances au démarrage, de nouvelles fonctions des outils pour développeurs et la prise en charge de nouvelles parties des standards HTML5 et CSS. Autre fonctionnalité très pratique : Firefox proposera de réinitialiser le fournisseur de recherche de la barre d’adresse intelligente s’il a été modifié par un logiciel tiers où via about:config. Mais la grande nouveauté est présentée sur le blog des versions futures de Firefox par Bill Walker et Brendan Dahl. Il s’agit de l’inclusion d’un lecteur PDF intégré à Firefox. Découvrez-le plus avant dans la traduction illustrée de leur billet :

Mozilla teste un lecteur PDF intégré et sécurisé dans Firefox bêta exploitant la puissance du HTML5

Crédit Mozilla

Firefox bêta comprend désormais une expérience plus sûre et plus homogène de lecture des documents PDF. Pour ceux d’entre vous qui n’ont pas suivi le projet, voici quelques informations.

Pendant un certain nombre d’années, il y a eu plusieurs plugins pour afficher les PDF dans Firefox. Beaucoup de ces plugins viennent avec un code source propriétaire fermé qui peut potentiellement exposer les utilisateurs à des failles de sécurité. Les plugins de lecture des PDF viennent également avec un code supplémentaire pour faire beaucoup de choses que Firefox fait déjà bien sans code propriétaire, comme dessiner des images et du texte. Ces problèmes et le désir de repousser les limites de la plateforme HTML5 ont conduit Andreas Gal et Chris Jones à lancer un projet de recherche qu’ils ont appelé PDF.js. Le projet a rapidement pris de l’ampleur au sein de Mozilla Labs, où il a mûri en un lecteur de PDF à part entière.

Aujourd’hui, le projet PDF.js montre clairement que HTML5 et JavaScript sont maintenant assez puissants pour créer des applications qui ne pouvaient auparavant être créées que comme des applications natives. Non seulement la majorité des PDF se charge et s’affiche rapidement, mais elle s’exécute en toute sécurité et dispose d’une interface qui suit avec celle du navigateur. Autre avantage de l’utilisation de l’API standard HTML5, le lecteur de PDF est capable de fonctionner sur de nombreuses plateformes (PC, tablettes, mobiles) et même dans différents navigateurs. Enfin, les performances n’en seront que meilleures au fur et à mesure que les moteurs JavaScript et les performances de rendu continueront de s’améliorer dans les navigateurs.

Vous pouvez essayer PDF.js dès maintenant en téléchargeant Firefox bêta et en remplissant ici des rapports pour tous les bogues que vous trouverez. Le lecteur qui fonctionne avec PDF.js dans Firefox bêta est la première étape pour qu’il devienne une fonctionnalité totalement intégrée dans la version finale de Firefox afin que ses avantages puissent être appréciés par tous les utilisateurs de Firefox. L’équipe de PDF.js est toujours à la recherche de contributeurs pouvant aider à améliorer notre projet open source et piloté par la communauté. Voir notre page github pour plus d’informations sur la contribution au projet.

Merci à tous ceux qui contribuent actuellement au projet, sans eux ce projet n’aurait pas été possible.

- Bill Walker, directeur de l’ingénierie & Brendan Dahl, Ingénieur logiciel

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

Télécharger Firefox 19.0 bêta 1 en français

• Installeur pour Windows [fr]
• Mac OS X Universel [fr]
• Linux [fr]

Je vous ai déjà parlé de la fonction click-to-play des plugins avec capture d’écran lors du passage de Firefox 14 dans le canal bêta. Elle est facilement activable par une préférence cachée ou grâce à une extension depuis Firefox 14.0.1. Voici aujourd’hui la présentation par le blog sécurité de Mozilla de cette fonction clic-to-play des plugins combinée avec la liste de blocage, à tester dans Firefox 17 bêta 1 (et suivants certainement) :

Vous avez peut-être entendu parler de la fonction click-to-play des plugins (en bref : ne pas charger les plugins jusqu’à ce qu’on ait cliqué dessus). Vous avez peut-être aussi entendu parler de la liste de blocage (essentiellement une liste de modules complémentaires et de plugins qui sont désactivés pour empêcher les utilisateurs de subir un préjudice : ce qui inclut les versions vulnérables et obsolètes des plugins populaires). Maintenant, apparaissant ensemble pour la première fois dans Firefox bêta, permettez-moi de présenter les plugins sous click-to-play avec liste de blocage !

Voici à quoi ça ressemble en fonctionnement :

Crédit Mozilla

(Notez que la fenêtre de notification ne se montrera pas automatiquement. Cela est intentionnel, afin de ne pas interrompre l’utilisateur. Pour ouvrir le panonceau, cliquez simplement sur l’icône du plugin dans la barre d’URL, comme indiqué ci-dessous.)

Crédit Mozilla

En combinant la sécurité de la liste de blocage avec la flexibilité de click-to-play, nous avons maintenant une méthode encore plus efficace de traiter avec les plugins vulnérables ou obsolètes. Au lieu de choisir entre vulnérable, mais utile (en permettant à un ancien plugin de s’exécuter automatiquement) et sûr, mais moins utile (en désactivant complètement les anciens plugins), plugins sous click-to-play avec liste de blocage donnent à l’utilisateur la possibilité de prendre une décision éclairée en fonction de son activité en cours. Par exemple, lorsque naviguant sur un site Web de partage vidéo réputé, un utilisateur peut se sentir suffisamment en sécurité pour activer un plugin vulnérable afin de voir le contenu du site (en fait, le site de confiance peut être mis en liste blanche en utilisant l’option « Toujours activer les plugins pour ce site » dans le menu déroulant). Bien sûr, il serait préférable que l’utilisateur mette à jour le plugin vers une version sécurisée, mais peut-être qu’il ne peut pas, pour une raison ou pour une autre. Dans un autre scénario, il pourrait ne pas totalement faire confiance à un site sur lequel il arrive après avoir visité un lien envoyé par un ami. Dans ce cas, le plugin en liste de blocage ne fonctionnerait pas automatiquement et l’utilisateur serait protégé.

À l’heure actuelle, plugins sous click-to-play avec liste de blocage est une fonction de sécurité qui protège contre les attaques ciblant les plugins qui sont connus pour être vulnérables. Il n’empêche pas les attaques où un utilisateur est convaincu d’activer un plugin vulnérable sur un site malveillant. Il n’est pas non plus un système universel de gestion des plugins.

Cette fonctionnalité est activée par défaut, ainsi les utilisateurs sont automatiquement protégés. Pour les plus aventureux, la préférence « plugins.click_to_play » d’about:config peut être réglée sur « true » pour activer click-to-play pour tous les plugins, et pas seulement les obsolètes. Toutefois, cet aspect de la fonction est encore en développement.

Cette fonctionnalité est actuellement dans Firefox bêta, alors récupérez-en une copie. Pour plus d’informations sur les plugins spécifiques avec lesquels nous commençons, visitez le blog des modules complémentaires (NDT : traduit). Il y a aussi plus d’informations dans quelques bogues.

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

Ce que ça donne en français dans Firefox 17 bêta 1 :

Télécharger Firefox 17.0 bêta 1 en français

• Installeur pour Windows [fr]
• Mac OS X Universel [fr]
• Linux [fr]

Comme vous le savez sans doute déjà Java est victime d’une faille de sécurité exploitée. Cette vulnérabilité est exploitable en ligne sur tous les navigateurs sur toutes les plateformes. Comme aucun correctif n’est disponible sur le site d’Oracle, il est fortement recommandé de désactiver Java. Si, comme moi, vous disposez de plusieurs navigateurs sur votre machine le processus peut être fastidieux (sans compter que vous pouvez avoir plusieurs profils pour travailler avec plusieurs versions d’un navigateur ou pour différents usage de la même version). Voici la marche à suivre pour les différents navigateurs :

Mozilla Firefox :

Dans le menu unique « Firefox » (ou le menu « Outils »), cliquez sur « Modules complémentaires ». Dans la page qui s’ouvre, cliquez sur « Plugins ». Là cliquez sur « Désactiver » en face de « Java(TM) Pateform ».

Google Chrome :

Saisissez « chrome://plugins/ » dans la barre d’adresse puis tapez sur « Entrée ». Sous « Java(TM) », cliquez sur le lien « Désactiver ».

Apple Safari :

Allez dans le menu des réglages généraux de Safari (menu à roue crantée) et cliquez sur « Préférences… ». Dans le volet « Sécurité », décochez la case « Activer Java ».

Opera :

Saisissez « about:plugins » dans la barre d’adresse et cliquez sur « Désactiver » en face de « Java(TM) Pateform ».

Microsoft Windows Internet Explorer 9 :

Dans le menu « Outils », cliquez sur « Gérer les modules complémentaires ». Sous « Afficher », cliquez sur « Tous les modules complémentaires » dans le menu déroulant. Dans la liste des barres d’outils et extensions qui s’affiche cliquez sur « Oracle America, Inc. » pour sélectionner tous les modules de cette société et en bas cliquez sur « Désactiver tout ».

N.B. : Ne pas confondre Java et JavaScript lui directement interprété par le navigateur.