Mozilla a publié la version 93 de son navigateur Firefox. Celle-ci active par défaut le support des images au format AVIF (AV1 Image Format) qui s'appuie sur le codec libre de droits AV1 pour la compression. Ce support devait initialement être d'actualité avec Firefox 92, mais un bogue avait repoussé son arrivée. L'éditeur note qu'AVIF offre d'importantes économies de bande passante pour les sites par rapport aux formats d'images existants. Il prend également en charge la transparence et d'autres fonctionnalités avancées.
Firefox comprend une visionneuse PDF intégrée qui permet de visualiser la majorité des fichiers PDF trouvés sur le Web sans recourir à une application externe (les fichiers PDF dont le type MIME est incorrectement paramétré font exception). La visionneuse PDF intégrée est activée par défaut. Quand vous cliquez sur un lien vers un fichier PDF ou en ouvrez un depuis le panneau des téléchargements, il est restitué par la visionneuse PDF intégrée.
Certains fichiers PDF contiennent des champs interactifs à remplir par des données (à la façon des formulaires). Si vous utilisez la visionneuse PDF intégrée à Firefox, vous pouvez remplir des champs textuels, cocher des cases et des boutons radio, etc. Après avoir saisi des données dans ces champs, vous pouvez enregistrer le fichier pour disposer de la version complétée dans votre ordinateur.
Dans cette version, la visionneuse Firefox PDF prend désormais en charge le remplissage de plus de formulaires (formulaires basés sur XFA, utilisés par plusieurs gouvernements et banques).
Lorsque la mémoire système disponible est extrêmement faible, Firefox sur Windows déchargera automatiquement les onglets en fonction de leur dernière heure d'accès, de l'utilisation de la mémoire et d'autres attributs. Cela devrait aider à réduire les plantages de Firefox à court de mémoire. Le passage à un onglet déchargé le recharge automatiquement.
Pour éviter la perte de session pour les utilisateurs de macOS qui exécutent Firefox à partir d'un fichier .dmg monté, ils seront désormais invités à terminer l'installation. Cette invite d'autorisation n'apparaît que la première fois que ces utilisateurs exécutent Firefox sur leur ordinateur.
Firefox bloque désormais les téléchargements qui reposent sur des connexions non sécurisées, protégeant ainsi contre les téléchargements potentiellement malveillants ou dangereux.
Compatibilité Web améliorée pour la protection de la vie privée avec SmartBlock 3.0.
Protection améliorée contre les téléchargements non sécurisés
Le téléchargement de fichiers via une connexion HTTP non sécurisée expose généralement un risque de sécurité majeur car les données transférées par le protocole HTTP standard ne sont pas protégées et transférées en texte clair, de sorte que les attaquants peuvent visualiser, voler ou même altérer les données transmises. En d'autres termes, le téléchargement d'un fichier via une connexion non sécurisée permet à un attaquant de remplacer le fichier par un contenu malveillant qui, lorsqu'il est ouvert, peut finalement conduire à une compromission du système entier.
Firefox 93 avertissant l'utilisateur final d'un « risque de sécurité potentiel » lors du téléchargement d'un fichier à l'aide d'une connexion non sécurisée.
Comme illustré dans la figure ci-dessus, si Firefox détecte un tel téléchargement non sécurisé, il bloquera initialement le téléchargement et vous invitera à signaler le risque de sécurité potentiel. Cette invite vous permet soit d'arrêter le téléchargement et de supprimer le fichier, soit de vous donner la possibilité d'annuler la décision et de télécharger le fichier quand même, bien qu'il soit plus sûr d'abandonner le téléchargement à ce stade.
Blocage des téléchargements dans les iframes de sandbox
Selon Mozilla, l'attribut sandbox Inline Frame est le moyen préféré pour verrouiller les capacités du contenu tiers intégré. Actuellement, même avec l'ensemble d'attributs sandbox, le contenu malveillant peut initier un téléchargement intempestif, invitant l'utilisateur à télécharger des fichiers malveillants. À moins que le contenu du bac à sable ne soit explicitement annoté avec l'attribut « allow-downloads », Firefox vous protégera contre de tels téléchargements intempestifs. Autrement dit, les téléchargements lancés à partir de contextes sandbox sans cet attribut seront annulés silencieusement en arrière-plan sans aucune interruption de navigation de l'utilisateur.
Déchargement des onglets dans Firefox 93
À partir de Firefox 93, Firefox surveillera la mémoire système disponible et, si jamais elle devenait si faible qu'un plantage était imminent, Firefox réagirait en déchargeant les onglets gourmands en mémoire mais pas activement utilisés. Cette fonctionnalité est actuellement activée sur Windows et sera également déployée ultérieurement pour macOS et Linux. Lorsqu'un onglet est déchargé, l'onglet reste dans la barre d'onglets et sera automatiquement rechargé lors de sa prochaine sélection. La position de défilement de l'onglet et les données du formulaire sont restaurées comme lorsque le navigateur est redémarré avec l'option de restauration du navigateur Windows précédent.
Sous Windows, les situations de manque de mémoire (OOM pour out-of-memory) sont responsables d'un nombre important de plantages du navigateur et du processus de contenu signalés par les utilisateurs. Le déchargement des onglets permet à Firefox d'économiser de la mémoire, ce qui réduit les plantages et évite l'interruption associée à l'utilisation du navigateur.
Mozilla pense que cela peut particulièrement profiter aux personnes qui effectuent un travail de navigation intensif avec de nombreux onglets sur des machines aux ressources limitées. Ou peut-être que ces utilisateurs essaient simplement de jouer à un jeu gourmand en mémoire ou utilisent un site Web qui devient un peu gourmand en ressources. Et bien sûr, il y a les thésauriseurs d'onglets. Firefox est maintenant meilleur pour survivre à ces situations.
Lorsque la mémoire système est extrêmement faible, Firefox commencera à décharger automatiquement les onglets. Le déchargement des onglets pourrait perturber les sessions de navigation des utilisateurs. L'approche vise donc à décharger les onglets uniquement lorsque cela est nécessaire pour éviter les plantages. Sous Windows, Firefox reçoit une notification du système d'exploitation (configuration à l'aide de CreateMemoryResourceNotification) indiquant que la mémoire physique disponible est faible.
Haik Aftandilian de Mozilla explique :
« Nous avons expérimenté le déchargement des onglets sur Windows dans le passé, mais l'un des problèmes que nous n'avons pas pu surmonter était de trouver un équilibre entre la diminution de l'utilisation de la mémoire du navigateur et l'ennui de l'utilisateur (car il y a un léger retard lorsque l'onglet est rechargé). C'est un exercice plutôt difficile exercice et nous n'avons jamais obtenu de résultats satisfaisants.
« Nous avons à nouveau abordé le problème en affinant notre algorithme de détection de mémoire faible et de sélection d'onglets et en limitant l'action au cas où nous sommes sûrs d'offrir un avantage à l'utilisateur : si le navigateur est sur le point de planter. Récemment, nous avons mené une expérience sur notre canal Nightly pour surveiller comment le déchargement des onglets affecte l'utilisation du navigateur et le nombre de plantages rencontrés par nos utilisateurs. Nous avons vu des résultats encourageants avec cette expérience. Nous continuerons à surveiller les résultats au fur et à mesure que la fonctionnalité sera livrée dans Firefox 93.
« Avec notre expérience sur le canal Nightly, nous espérions voir une diminution du nombre de plantages OOM rencontrés par nos utilisateurs. Cependant, après l'expérience d'un mois, nous avons constaté une diminution globale significative des plantages du navigateur et des plantages du processus de contenu. Parmi ces plantages restants, nous avons constaté une augmentation du nombre de plantages OOM. Plus encourageant, les personnes qui avaient activé le déchargement des onglets ont pu utiliser le navigateur pendant de plus longues périodes. Nous avons également constaté que l'utilisation moyenne de la mémoire du navigateur a augmenté.
« Ce dernier peut sembler très contre-intuitif, mais s'explique facilement par le biais de survie. Tout comme dans l'exemple archétypal des bombardiers alliés de la Seconde Guerre mondiale avec des impacts de balles, les sessions de navigateur qui avaient une telle utilisation de la mémoire se seraient écrasées et brûlées dans le passé, mais sont maintenant capables de survivre en déchargeant des onglets juste avant d'atteindre le seuil critique.
« L'augmentation des crashs OOM, également très contre-intuitive, est plus difficile à expliquer. Avant l'introduction du déchargement des onglets, Firefox réagissait déjà à la pression mémoire de Windows en déclenchant un événement interne de pression mémoire, permettant aux sous-systèmes de réduire leur utilisation de la mémoire. Avec le déchargement des onglets, cet événement est déclenché une fois que tous les onglets non chargeables possibles ont été déchargés.
« Cela peut expliquer la différence. Une autre hypothèse est qu'il est possible que notre déchargement d'onglets se déclenche parfois un peu trop tard et trouve les onglets dans un état où ils ne peuvent même plus être déchargés en toute sécurité.
« Par exemple, le déchargement d'un onglet nécessite une passe de récupération de place sur son tas JavaScript. Cela nécessite un stockage temporaire supplémentaire qui n'est pas disponible, ce qui entraîne le blocage de l'onglet au lieu d'être déchargé, tout en évitant que l'ensemble du navigateur ne plante.
« Nous travaillons à améliorer notre compréhension de ce problème et des heuristiques pertinentes. Mais étant donné les résultats nettement améliorés pour les utilisateurs, nous avons estimé qu'il était inutile de retenir la fonctionnalité ».
SmartBlock et nouvelles protections de suivi des référents
SmartBlock 3.0
Dans Private Browsing and Strict Tracking Protection, Firefox met tout en œuvre pour protéger votre activité de navigation Web contre les traceurs. Dans ce cadre, le blocage de contenu intégré empêchera automatiquement le chargement de scripts, d'images et d'autres contenus tiers à partir des sociétés de suivi intersites signalées par Disconnect. Ce type de blocage agressif pouvait parfois apporter de petits désagréments, comme des images manquantes ou de mauvaises performances. Dans de rares cas, cela peut même entraîner un dysfonctionnement de la fonctionnalité ou une page vide.
Pour compenser, Firefox a développé SmartBlock, un mécanisme qui chargera intelligemment des alternatives locales préservant la confidentialité aux ressources bloquées qui se comportent juste assez comme celles d'origine pour s'assurer que le site Web fonctionne correctement.
La troisième itération de SmartBlock apporte une prise en charge considérablement améliorée pour remplacer les scripts Google Analytics populaires et une prise en charge supplémentaire des services populaires tels que Optimizely, Criteo, Amazon TAM et divers scripts publicitaires Google.
Protections des référents HTTP
L'en-tête HTTP Referer [sic] est un signal de navigateur qui révèle à un site Web quel emplacement a « référé » l'utilisateur au serveur de ce site Web. Il est inclus dans les navigations et les demandes de sous-ressources effectuées par un navigateur et est fréquemment utilisé par les sites Web pour l'analyse, la journalisation et l'optimisation du cache. Lorsqu'il est envoyé dans le cadre d'une navigation de haut niveau, il permet à un site Web de savoir quel autre site Web l'utilisateur visitait auparavant.
C'est là que les choses deviennent problématiques. Si le navigateur envoie l'URL complète du site précédent, il peut révéler des données utilisateur sensibles incluses dans l'URL. Certains sites peuvent vouloir éviter d'être mentionnés dans un en-tête de référence.
La politique de référence a été introduite pour résoudre ce problème : elle permet aux sites Web de contrôler la valeur de l'en-tête de référence afin qu'un paramètre de confidentialité plus strict puisse être établi pour les utilisateurs. Dans Firefox 87, Mozilla est allé plus loin et a décidé de définir la nouvelle politique de référence par défaut sur strict-origin-when-cross-origin, ce qui coupera automatiquement les parties les plus sensibles de l'URL de référence lorsqu'elle est partagée avec un autre site Web. En tant que tel, il empêche les sites de divulguer sans le savoir des informations privées aux trackers.
Cependant, les sites Web peuvent toujours remplacer le rognage par défaut introduit du référent, et donc désactiver efficacement cette protection et envoyer quand même l'URL complète. Cela inviterait les sites Web à s'entendre avec les traqueurs en choisissant une politique de référencement plus permissive et, en tant que tel, reste un problème majeur de confidentialité.
Avec la sortie de la version 93, Firefox ignorera les politiques de référencement moins restrictives pour les requêtes intersites, telles que "no-referrer-when-downgrade", "origin-when-cross-origin" et "unsafe-url" et donc rend ces violations de la vie privée inefficaces. En d'autres termes, Firefox coupera toujours le référent HTTP pour les requêtes intersites, quels que soient les paramètres du site Web.
Source : note de version
Et vous ?
Quel navigateur utilisez-vous en entreprise ? Pour vos besoins personnels ?
Que pensez-vous des améliorations et nouveautés apportées par Firefox 93 ? Lesquelles suscitent le plus votre intérêt ?
Voir aussi :
L'utilisation de Firefox est en baisse de 85 % malgré une augmentation de 400 % de la rémunération du PDG de Mozilla. Cal Paterson analyse les échecs de Mozilla
Après Chrome, Firefox va bloquer les téléchargements « non sécurisés » lancés depuis les pages en HTTPS à partir de Firefox 92, dont la sortie est prévue pour septembre 2021