IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google supprime le code du protocole de transfert de fichiers FTP du navigateur Chrome dans Chrome 95
Après avoir évoqué des problèmes de sécurité

Le , par Stéphane le calme

0PARTAGES

7  0 
Pendant des années, les éditeurs de navigateurs, notamment ceux de Chrome et Firefox, ont plaidé en faveur de l’élimination pure et simple du support du protocole de transfert de fichier (FTP en anglais) dans leur navigateur respectif. Utilisé par les internautes, le protocole FTP est généralement sollicité sur la toile pour récupérer ou partager des fichiers à distance. En principe, de nombreux logiciels sont disponibles en tant que clients FTP et permettent d’effectuer les mêmes actions comme envoyer ou récupérer des fichiers via ce protocole. Toutefois, certains utilisateurs qui ne souhaitent pas s’embarrasser de l’installation d’un client autonome FTP préfèrent continuer à recourir au navigateur pour récupérer des données sur un serveur FTP. Pour ce faire, une simple saisie de la syntaxe « FTP://adresse_du_serveur » permettait d’afficher dans la page du navigateur l’arborescence des fichiers contenus sur le serveur FTP si l’adresse saisie est correcte.


Mais pour les mainteneurs de Chrome, ce protocole pose des problèmes de sécurité, car les fichiers sont envoyés en clair sur le réseau. Raison pour laquelle Google s'est engagé dans une politique de délestage des fonctionnalités de l’implémentation FTP dans Chrome. Avec Chrome 74, un bogue a conduit Google à supprimer le support de l’accès aux URL FTP via des serveurs proxy HTTP. Avec Chrome 76, la prise en charge du proxy pour FTP a été entièrement supprimée. Dans des versions qui ont été publiées après, le navigateur ne prenait en charge ni les connexions chiffrées ni les proxys. Google avait déjà procédé à la suppression de la prise en charge du rendu des ressources et de la récupération de sous-ressources via FTP. Les fonctionnalités restantes de la mise en œuvre FTP dans Google Chrome étaient limitées à l’affichage d’une liste de répertoires ou au téléchargement d’une ressource via des connexions non chiffrées.

Avec Chrome 78, le support FTP a été désactivé dans les préversions et des contrôles de stratégie ainsi qu’un indicateur pour le contrôle du protocole FTP ont été ajoutés. Dans Chrome 80, la désactivation progressive du support FTP a commencé. Avec Chrome 82, tout le code et les ressources liées à FTP ont été supprimés. Depuis cette étape, Chrome ne parvient plus à traiter ou à reconnaitre les URL ftp://.

Suppression de la base de code

Cette fois-ci, l'équipe Chromium est passé à une autre étape : la prise en charge du protocole de transfert de fichiers (FTP) n'est pas seulement obsolète, mais supprimée de la base de code dans la dernière version stable du navigateur Chrome, la version 95.

Un manque de prise en charge des connexions chiffrées dans l'implémentation FTP de Chrome, associé à un désintérêt général de la majorité des utilisateurs du navigateur et à l'existence d'alternatives tierces plus performantes a provoqué cette situation.

Dans la version 88, il était désactivé pour tous les utilisateurs, mais pouvait toujours être réactivé. Maintenant, le code pour le supporter a enfin été supprimé une fois pour toutes, un peu plus tard que prévu.

« Les capacités restantes de la mise en œuvre FTP de Google Chrome sont limitées à l'affichage d'une liste de répertoires ou au téléchargement d'une ressource via des connexions non chiffrées. Nous aimerions déprécier et supprimer cette fonctionnalité restante plutôt que de maintenir une implémentation FTP non sécurisée », ont expliqué.

Mozilla a définitivement mis fin au support du protocole FTP avec la sortie de Firefox 90

Selon Mozilla, bien que ce protocole standard était pris en charge par tous les principaux navigateurs depuis sa création, il est aujourd'hui l'un des plus anciens protocoles encore utilisés et souffre par la même occasion d'un certain nombre de graves problèmes de sécurité. Dans un billet de blogue publié en juillet, la société a expliqué qu'il s'agit de l'une des raisons soutenant sa suppression de Firefox.

Le plus grand risque pour la sécurité est que le protocole FTP transfère les données en clair, ce qui permet aux cybercriminels de voler, d'usurper et même de modifier les données transmises. À ce jour, de nombreuses campagnes de distribution de logiciels malveillants lancent leurs attaques en compromettant des serveurs FTP et en téléchargeant des logiciels malveillants sur l'appareil d'un utilisateur final à l'aide du protocole FTP. En outre, la position de Mozilla est appuyée par plusieurs noms de l'industrie qui s'accordent à dire qu'à l'origine, le protocole FTP n'a pas été conçu pour être sécurisé.

Il est généralement considéré comme un protocole non sécurisé, car il repose sur des noms d'utilisateur et des mots de passe en clair pour l'authentification et n'utilise pas le chiffrement. Les données envoyées par FTP sont vulnérables aux attaques par reniflage, par usurpation et par force brute, entre autres méthodes d'attaque de base. Dans la pratique, il existe plusieurs approches communes pour relever ces défis et sécuriser l'utilisation de FTP. À titre d'exemple, le protocole FTPS (File Transfer Protocol Secure) est une extension/variante du protocole FTP qui permet de chiffrer les connexions à la demande du client.

Transport Layer Security (TLS), Secure Socket Layer (SSL) et SSH File Transfer Protocol (également connu sous le nom de Secure File Transfer Protocol ou SFTP) sont souvent utilisés comme des alternatives plus sûres à FTP, car ils utilisent des connexions chiffrées. Ainsi, le risque de sécurité élevé, la vieillesse du protocole et les alternatives existantes ont encouragé les fournisseurs de navigateurs tels que Google et Mozilla à abandonner sa prise en charge. Mozilla a confirmé son intention en mars 2020, environ un an après que Google a déclaré qu'il supprimera l'implémentation du protocole FTP de Chrome 82.

De son côté, Mozilla a désactivé en avril le protocole FTP par défaut dans Firefox 88 et Firefox 90, publié en juillet, ne prend plus en charge le protocole FTP. Mozilla explique si vous êtes un utilisateur de Firefox, vous n'avez rien à faire pour bénéficier de cette « avancée » en matière de sécurité. D'après le billet de blogue de Mozilla, lorsque Firefox effectuera automatiquement la mise à jour vers la version 90, les utilisateurs seront protégés contre toute attaque reposant sur le protocole non sécurisé FTP. Ces attaques sont désormais rendues inutiles puisque le protocole FTP n'est plus pris en charge.

« Conformément à notre intention de supprimer le protocole HTTP non sécurisé et d'augmenter le pourcentage de connexions sécurisées, nous avons décidé, comme d'autres grands navigateurs Web, de ne plus prendre en charge le protocole FTP. La suppression de FTP nous rapproche d'un Web plus sécurisé qui est en passe de devenir exclusivement HTTPS. Les mécanismes modernes de mise à niveau automatique tels que HSTS ou le mode HTTPS-Only de Firefox, mettant automatiquement à niveau toute connexion pour qu'elle devienne sécurisée et chiffrée, ne s'appliquent pas à FTP », explique Mozilla.

Par ailleurs, si certains ont bien accueilli la nouvelle, le geste de Mozilla semble n'avoir pas séduit tous les utilisateurs de Firefox. Un commentaire sur le sujet explique que les navigateurs équipés d'un support FTP sont plus utiles et conviviaux que les clients FTP. « Le FTP est lié à la navigation sur le Web depuis le début du Web, il y a 31 ans. Pendant peut-être une décennie, la majeure partie du Web se trouvait sur des serveurs FTP – pas seulement la plupart des téléchargements de logiciels, mais aussi la plupart des pages HTML », a écrit une personne qui n'est pas totalement ravie de la suppression.

« Les navigateurs Web constituent une bien meilleure interface avec les serveurs FTP que les clients FTP dédiés, car vous pouvez cliquer sur un lien dans une page HTML (soit un répertoire généré statiquement, éventuellement sur le serveur FTP lui-même, soit une page de résultats de recherche générée dynamiquement) et obtenir le fichier à partir du serveur FTP », a-t-il ajouté. Selon lui, le client FTP de votre choix est absolument inutile s'il ne peut pas rendre le HTML et que le lien ftp:// renvoie à un fichier HTML. Pour lui, plutôt que de supprimer le support FTP, il fallait envisager des moyens de le sécuriser.

« L'idée fondamentale du Web était en fait de fournir une interface universelle et uniforme à toutes les informations sur Internet, quel que soit le protocole. L'abandon de Gopher était peut-être raisonnable, il n'y a tout simplement pas beaucoup de serveurs Gopher, mais FTP est toujours un protocole largement utilisé. En d'autres termes, il s'agit d'un compromis entre la vision traditionnelle du Web comme une vaste bibliothèque, dans laquelle les connaissances humaines s'accumulent au fil du temps et deviennent accessibles à tous, et la vision du Web comme un moyen de vendre aux gens des choses dont ils n'ont pas besoin ».

Et les autres ?

Quant à Microsoft, bien que son navigateur Edge puisse être basé sur Chromium, il y a toujours Internet Explorer, qui devrait toujours faire l'affaire si vous avez besoin d'un peu d'action de transfert de fichiers rétro basée sur le navigateur.

Des options plus sécurisées existent désormais (comme FTPS et SFTP). Mais il semble que les principaux navigateurs préfèrent que les utilisateurs optent pour une application de transfert dédiée plutôt que de s'embêter à maintenir le code dans le navigateur.

Il reste un bon nombre de sites FTP, bien que beaucoup aient maintenant des alternatives pour le transfert de fichiers. L'éjection finale du code de Chrome, qui revendique une énorme base d'utilisateurs, signifie qu'il est peut-être temps de passer à autre chose

Source : feuille de route

Et vous ?

Qu'en pensez-vous ?

Et vous ?

Google a-t-il bien fait de supprimer de son code la prise en charge du protocole FTP ?
Utilisiez-vous Chrome pour les connexions FTP avant la suppression du support ?
Si oui, avez-vous une objection par rapport à la suppression du support FTP de Chrome ?
Pensez-vous aussi que les navigateurs permettent une meilleure connexion FTP que les clients dédiés ?
Quelles retombées potentielles y voyez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de BakaOnigiri
Membre averti https://www.developpez.com
Le 21/10/2021 à 12:38
J'en pense que si les serveurs fournissent ces fichiers par FTP, et donc en clair, c'est bien parce-que le fait qu'il soient transmis en clair ne pose pas de problème. Donc, à mon avis, c'est juste qu'il ne veulent pas maintenir ce protocole. Par flemme.
7  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 21/10/2021 à 21:56
Citation Envoyé par BakaOnigiri Voir le message
J'en pense que si les serveurs fournissent ces fichiers par FTP, et donc en clair, c'est bien parce-que le fait qu'il soient transmis en clair ne pose pas de problème.
Il est beaucoup plus probable que la raison soit que les admins ne se soient jamais poser la question de la sécurité.
Beaucoup de ces serveurs ne sont pas référencés, et donc accessible (théoriquement) que si l'on en connait explicitement l'adresse.

Bon ok, souvent il suffit de remplacer le http://www.machin.truc, par ftp://ftp.machin.truc . Mais franchement qui pourrait avoir l'idée de tenter un jour une telle manipulation. Faut vraiment avoir un esprit farfelu pour imaginer qu'il suffit de changer l'adresse pour réussir

Ben en fait non, je suis toujours là
Si je me trompe pas, ce n'est pas Chrome qui est touché cette fois, mais bien Chromium. Donc cela impacte aussi bien Chrome que Edge. Mozilla y a déjà mis fin dans Firefox, Safari n'a jamais supporté le protocole, si je me trompe pas.
Quant à Opera, je ne sais pas.

il y a toujours Internet Explorer, qui devrait toujours faire l'affaire si vous avez besoin d'un peu d'action de transfert de fichiers rétro basée sur le navigateur
IE va être éjecté, à priori, manu-militari, de Windows avant l'été prochain normalement (on a pas fini de pleurer avec tout ce qui ne va plus marcher). Donc c'est une mauvaise solution.

Donc on aura plus aucun support FTP dans aucun navigateur .
De toute façon, le protocole FTP en tant que tel, est voué à disparaitre. Il en sera de même sans doute avec le FTPS, car tous les acteurs qui sécurisent leur FTP passent directement sur du SFTP.

Pour le SFTP (comme le FTPS d'ailleurs), ce n'est plus dans le navigateur, il faut des outils spécifiques adaptés. Les plus connus étant certainement Filezilla, WinSCP et CoreFTP
1  0 
Avatar de TotoParis
Membre éclairé https://www.developpez.com
Le 21/10/2021 à 21:15
Next Step : éjecter Chrome tout court.
0  0 
Avatar de smarties
Membre éprouvé https://www.developpez.com
Le 22/10/2021 à 11:23
Il n'y a pas le WebDAV aussi qui est similaire au FTP mais basé sur HTTP ?
0  0 
Avatar de walfrat
Membre expérimenté https://www.developpez.com
Le 22/10/2021 à 11:35
Le WebDAV est un peu plus riche que le FTP, et ou il passe par le HTTP mais ajoute ses propre verbes.
Il permet notamment de gérer le verrouillage des fichiers pour permettre d'éviter une modification concurrente. Après il me semble que c'est spécifique Microsoft.

J'ai eu la joie de fair eun dev pour customiser le WebDAV sur de l'Alfresco 3.x à l'époque, je crois que c'était suite à un bug, je devais gérer une copie de travail au lieu du vrai document.
0  0 
Avatar de weed
Membre éprouvé https://www.developpez.com
Le 25/10/2021 à 0:12
WebDav, je pense que cela doit être un dérivé de CalDav pour synchroniser son calendrier, taches, contacts avec une instance Nexcloud

https://apps.nextcloud.com/apps/calendar
https://apps.nextcloud.com/apps/contacts
https://apps.nextcloud.com/apps/tasks

Ce protocole n'est pas par contre par prêt d'être abandonné à mon avis
0  0