IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mozilla impose des restrictions aux extensions qu'il ne surveille pas sur Firefox 115 : elles ne fonctionneront pas sur certains sites.
Cette décision suscite déjà la controverse

Le , par Stéphane le calme

2PARTAGES

19  0 
Mozilla a introduit une nouvelle fonctionnalité dans Firefox 115 qui empêche certaines extensions de fonctionner sur certains sites web pour diverses raisons, notamment des préoccupations de sécurité. Cette fonctionnalité, appelée « Quarantined Domains », affecte les extensions qui ne sont pas surveillées par Mozilla et qui peuvent présenter des risques pour les utilisateurs ou les sites visités.

Les utilisateurs de Firefox 115 peuvent recevoir une notification indiquant que « certaines extensions ne sont pas autorisées » et ils ont été bloqués sur le site en question. Mozilla explique sur une page d’aide : « À partir de la version 115 de Firefox, nous avons introduit une nouvelle fonctionnalité en arrière-plan pour n’autoriser que certaines extensions surveillées par Mozilla à fonctionner sur des sites web spécifiques pour diverses raisons, notamment des préoccupations de sécurité ».

Mozilla ne précise pas la portée de cette restriction ni les critères utilisés pour sélectionner les sites et les extensions concernés. Il s’agit d’une décision unilatérale qui peut limiter la liberté des utilisateurs et des développeurs d’extensions.

Toutefois, les utilisateurs qui souhaitent réactiver les extensions bloquées peuvent le faire en modifiant un paramètre avancé dans la page about:config. Il suffit de rechercher le paramètre extensions.quarantinedDomains.enabled et de le mettre à FALSE, puis de redémarrer Firefox. Cependant, cette manipulation comporte des risques potentiels et n’est recommandée qu’aux utilisateurs avertis.

Cette fonctionnalité est apparue dans le cadre du passage à Firefox 115 ESR, la nouvelle base de la version à support étendu du navigateur. Firefox 115 ESR inclut tous les changements apportés à Firefox depuis la sortie de Firefox 102 ESR il y a un an. C’est également la dernière version du canal stable pour Windows 7, Windows 8 et 8.1, ainsi que pour plusieurs versions de macOS. Les utilisateurs de ces systèmes d’exploitation seront automatiquement migrés vers Firefox 115 ESR pour rester pris en charge jusqu’en septembre 2024.


La réaction des utilisateurs

Cette décision de Mozilla n'a pas fait l'unanimité auprès des utilisateurs. Certains se sont insurgés contre la capacité de Mozilla à désactiver les extensions en lieu et place de l'utilisateur :

C'est fou. Mozilla peut désactiver à distance les extensions sur n'importe quel domaine choisi par Mozilla ?

Apparemment, ils incitent tout le monde à accepter cette abomination en commençant par une liste vide, mais quelle est la motivation de cette fonctionnalité, et quels domaines ont-ils l'intention d'ajouter ? « Nous ne savons pas, nous avons juste pensé que ce serait une bonne idée » n'est pas une explication ou une justification.

Les gens vont parler de « sécurité » et de « banque », mais c'est de la merde. Attendez simplement que votre banque désactive le remplissage et le collage automatiques du mot de passe sur son site, et aucune extension ne pourra le remplacer.

Je n'ai aucun problème à laisser l'utilisateur contrôler les domaines auxquels une extension peut accéder, mais donner le contrôle à distance à Mozilla ? Certainement pas.
Un autre sur les dangers potentiels d'une telle décision. Un passage sur BugZilla déclare :

Citation Envoyé par BugZilla
Nous devons avoir la possibilité de définir la liste des domaines mis en quarantaine à distance. La préférence doit être une chaîne au même format que extensions.webextensions.restrictedDomains.

La préférence sera extensions.webextensions.quarantinedDomains, et elle aura une valeur par défaut définie dans un correctif pour le bogue 1745823 (pour inclure quelques sous-domaines réels, mais "tests" de badssl.com).

Dépôt en tant que confidentiel pour l'instant, jusqu'à ce que nous expédions l'addon système.

En citant ce passage, l'internaute s'interroge :

Quelques questions :
  • pourquoi cela serait-il confidentiel ? Était-ce obligatoire ? Est-ce lié à un accord commercial ?
  • si vous livrez une installation comme celle-ci, cela abaisse-t-il la barre pour recevoir l'ordre de l'utiliser ? (Pas d'excuse que ce serait difficile/long/coûteux à faire, car c'est déjà là, et la liste peut être mise à jour facilement ?)
  • les modifications de cette liste peuvent-elles être effectuées discrètement ou avec moins de contrôle que les modifications de code ? Et par qui ?
  • cela peut-il être utilisé d'une manière qui cible des personnes individuelles ?

D'autres ne comprennent pas ce qui suscite la colère des utilisateurs. Par exemple, cet internaute déclare :

Étant donné que vous pouvez simplement remplacer Firefox et activer les extensions désactivées, je ne suis pas sûr de comprendre l'indignation. Là encore, Mozilla semble attirer un niveau remarquable de vitriol bien qu'il soit l'un des véritables gardiens d'un Internet ouvert...
Ce à quoi un utilisateur a répondu :

Non, vous pouvez simplement remplacer Firefox et activer les extensions désactivées. L'utilisateur moyen ne peut pas faire cela.

Je peux aléser un V-8 de 0,030, choisir une came appropriée, faire correspondre tous mes jeux de roulement, assembler la chose équilibrée, puis régler 30 % de puissance en plus par rapport à celle fournie par l'usine. Mais tous les automobilistes ne peuvent pas le faire.
Mais il a rétorqué :

Je parie que de loin la majorité des personnes qui seront réellement affectées ou indignées par cela ont les moyens techniques de cliquer sur une petite icône d'engrenage et de réactiver une extension.

Tout le monde utilise peut-être uBlock et une extension de confidentialité que leur enfant a installée pour eux, et ceux-ci seront sur liste blanche.

C'est une tempête dans une théière, comme toutes les autres « controverses » dans lesquelles Firefox se retrouve impliqué.
Autres améliorations apportées par cette version

Les versions officielles de Mozilla Firefox 115.0 sont désormais disponibles pour cette mise à jour notable de ce navigateur Web open source tout en marquant également la nouvelle série Extended Support Release (ESR).

Les utilisateurs de Linux avec des GPU Intel seront ravis d'apprendre que Mozilla Firefox 115 prend enfin en charge le décodage vidéo matériel par défaut. La plupart des appareils équipés de matériel graphique Intel bénéficieront de la fonctionnalité qui, comme vous l'avez déjà supposé, est alimentée par l'API d'accélération vidéo open source (VA-API).

Ceux qui utilisent des appareils ne prenant pas en charge la plate-forme pour le décodage vidéo H264 bénéficieront d'un recours au plug-in OpenH264 de Cisco lors de la lecture de contenu compatible dans cette version et les versions ultérieures.

Les utilisateurs de Linux peuvent également cliquer avec le bouton central sur le bouton Nouvel onglet pour ouvrir le contenu du presse-papiers (s'il s'agit de texte) dans un nouvel onglet. Les URL stockées dans le presse-papiers se chargent immédiatement, tandis que les formulaires de texte standard lancent une recherche en utilisant n'importe quel moteur de recherche configuré. Si le contenu dans le presse papier est une URL, il ouvrira cette URL, sinon il enverra le contenu au moteur de recherche par défaut. Firefox 115 permet également d'annuler et de rétablir les actions sur les champs de mot de passe - c'est plutôt chouette !

Firefox 115.0 ajoute également la prise en charge de la migration des méthodes de paiement enregistrées dans Chrome vers Firefox, des améliorations de l'interface utilisateur pour l'importation de données à partir d'autres navigateurs et diverses autres améliorations de la convivialité.

Sources : Mozilla, BugZilla

Et vous ?

Que pensez-vous de la décision de Mozilla de restreindre les extensions sur certains domaines ?
Utilisez-vous des extensions qui ont été bloquées par cette fonctionnalité ?
Avec quels commentaires des internautes êtes-vous le plus d'accord ?
Préférez-vous utiliser Firefox 115 ESR ou une autre version du navigateur ?
Quelles sont les extensions que vous utilisez le plus souvent sur Firefox ?
Quels sont les sites web que vous visitez régulièrement avec Firefox ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de steel-finger
Membre confirmé https://www.developpez.com
Le 05/07/2023 à 14:48
C'est dommage, l'idée en soi n'est pas mauvaise si l'utilisateur final aurait le contrôle sur les noms de domaines et non Mozilla.
4  0 
Avatar de Kulvar
Membre éclairé https://www.developpez.com
Le 06/07/2023 à 23:17
C'est scandaleux. Quelle extension est active sur quel site ne regarde que l'utilisateur.

Ça devrait être à l'utilisateur de pouvoir dire sur quels sites sont autorisés quelles extensions.
Comme ça le site de la banque et des impôts on autorise aucun addon par exemple.

Mais certainement pas à distance et en douce.
3  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 07/07/2023 à 14:34
Citation Envoyé par Fagus Voir le message
C'est peut être moi qui ne suis pas assez méfiant, mais on leur ferait pas un procès d'intentions ?
Ils écrivent aussi :

Peut être qu'ils font juste des tests sur la fonction en ce moment.
Dans ce cas, pourquoi d'abord mettre la fonctionnalité en production puis seulement ensuite travailler sur la possibilité de laisser leurs utilisateurs avoir le contrôle?? Pourquoi ne pas mettre la fonctionnalité en production une fois qu'elle serait terminée?

Ça sent très mauvais, tout ça. Il vaut mieux être trop méfiant que trop naïf.

Citation Envoyé par Fagus Voir le message
En plus, je ne vois pas trop en quoi ça arrangerait les services (à part désactiver les charges des services ennemis...), bien au contraire. Les extensions peuvent souvent lire et écrire arbitrairement toute la page sur tous les domaines, sans surveillance active. On a vu mieux en sécurité.

À la limite, désactiver Noscript sur www.nsa-remote-rootkit-installer.com pourquoi pas, mais ce serait pas très discret. (et noscript est peut être installé sur un PC sur 10 000). En général, les services ajoutent un p'tit dépassement de tampon, un générateur de hasard vérolé, un bug dans l'initialisation du chiffrage... et mettent pas l'option de le désactiver dans about:config avec un billet de mise à jour mystérieux.
Il n'y a pas que les services secrets. Il y a aussi les GAFAM, comme Google, qui rêve de pouvoir forcer la pub. C'est franchement beaucoup plus simple, comme objectif, quand tu n'as qu'à faire un deal avec les quelques extensions mainstream ainsi qu'avec Mozilla, plutôt que de se battre avec toutes les extensions et leurs forks possibles.
3  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 05/07/2023 à 23:14
Citation Envoyé par Stéphane le calme Voir le message

Que pensez-vous de la décision de Mozilla de restreindre les extensions sur certains domaines ?
C'est une décision affreuse, et sous couvert de sécurité!

Pour ceux qui parlent Anglais, vous trouverez peut-être ce lien très instructif même si je trouve que l'auteur est un peu trop tendre dans ses conclusions:

Voici une ptite mise en bouche:
Firefox version 115.0 was released on July 4, but I'm not celebrating. I'm concerned about a new "feature" in the release notes.

Certain Firefox users may come across a message in the extensions panel indicating that their add-ons are not allowed on the site currently open. We have introduced a new back-end feature to only allow some extensions monitored by Mozilla to run on specific websites for various reasons, including security concerns.

For various reasons. That's quite uninformative and mysterious.

I'm all in favor of giving users control over which extensions are allowed to load on which sites. Safari already has this feature on both macOS and iOS. My concern is not about user control—little of which even exists in Firefox 115, as I'll show later—but rather about the remote control that Mozilla has now given itself, as mentioned in a Bugzilla report.

We need to have ability to set the list of quarantined domains remotely. The pref should be a string with the same format as extensions.webextensions.restrictedDomains.

The pref will be extensions.webextensions.quarantinedDomains, and it will have a default value set in a patch for bug 1745823 (to include a couple real but "test" subdomains from badssl.com).

Filing as confidential for now, until we ship the system addon.

You have to wonder why an open source project required confidentiality about this. Incidentally, neither Safari nor Chrome, or any other browser as far as I know, has such a remote domain-specific kill switch for extensions, so you have to wonder why it was necessary in Firefox.

I believe that Mozilla already had the capability to remotely disable an individual extension, if it turned out to be malware. After all, every Firefox extension needs to be uploaded to Mozilla for analysis and cryptographically code signed before it can be installed in Firefox. [Edit: I've now confirmed that Mozilla has an extensions blocklist.] Given this preexisting capability, it's unclear why there should be a list of domains where all except a lucky few chosen extensions are disabled, regardless of whether the disabled extensions have shown signs of misbehavior.

The Firefox quarantined domains list is currently empty. Mozilla hasn't said which domains it intends to add, or even why a domain-specific list is required. I find this troubling. It's a feature with no apparent motivation, supposedly for "security concerns"—among other "various reasons"—but what are the specific security concerns here, that would be addressed by a remotely controlled domain list? Mozilla's opacity and vagueness feels almost deliberate, undermining our trust.
2  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 05/07/2023 à 17:40
C'est bien. D'après ce qu'ils écrivent, ça a l'air d'être un travail en cours.

J'imagine le casse tête de gérer des listes d'URL,
  • par extension
  • incluant des URL connues comme malicieuses à pousser
  • incluant des URL perso des utilisateurs
  • le tout avec une GUI conviviale.


Perso, j'essaie de taper les mots de passe en mode privé, parce que les extensions ont beaucoup de droits et ce qu'elles font vraiment n'est pas audité.
1  0 
Avatar de ovh
Rédacteur https://www.developpez.com
Le 06/07/2023 à 13:36
Citation Envoyé par steel-finger Voir le message
C'est bien pire au premier abord que je ne le pensais. Merci kain_tn pour le lien. Sur YouTube, Ublock se retrouve bloqué aussi certaine extension de protection de vie privée.
Euh je viens de tester avec FF 115 sur YT et uBlock Origin n'est absolument pas bloqué...
Sur quelle(s) URL(s) as-tu constaté le problème ?
1  0 
Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 07/07/2023 à 0:15
Citation Envoyé par Kulvar Voir le message
C'est scandaleux. Quelle extension est active sur quel site ne regarde que l'utilisateur.

Ça devrait être à l'utilisateur de pouvoir dire sur quels sites sont autorisés quelles extensions.
Comme ça le site de la banque et des impôts on autorise aucun addon par exemple.

Mais certainement pas à distance et en douce.
Si Microsoft ou Apple ou Google s'étaient permis cela...
L'aspect complètement opaque, dissimulé et arbitraire est plus que surprenant : j'ai de très grosses interrogation sur l'intervention de services secrets US.
1  0 
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 07/07/2023 à 10:45
Je veux pouvoir garder mon adblocker activé.
J'avais essayé uMatrix qui bloquait tout par défaut mais c'était quand même contraignant à l'usage.
1  0 
Avatar de steel-finger
Membre confirmé https://www.developpez.com
Le 06/07/2023 à 9:50
C'est bien pire au premier abord que je ne le pensais. Merci kain_tn pour le lien. Sur YouTube, Ublock se retrouve bloqué aussi certaine extension de protection de vie privée.
1  1 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 07/07/2023 à 10:56
Citation Envoyé par TotoParis Voir le message
j'ai de très grosses interrogation sur l'intervention de services secrets US.
C'est peut être moi qui ne suis pas assez méfiant, mais on leur ferait pas un procès d'intentions ?
Ils écrivent aussi :
Our team is working continuously to develop this functionality and to provide users the ability to manage these restrictions for each individual add-on in the future.
Peut être qu'ils font juste des tests sur la fonction en ce moment.

En plus, je ne vois pas trop en quoi ça arrangerait les services (à part désactiver les charges des services ennemis...), bien au contraire. Les extensions peuvent souvent lire et écrire arbitrairement toute la page sur tous les domaines, sans surveillance active. On a vu mieux en sécurité.

À la limite, désactiver Noscript sur www.nsa-remote-rootkit-installer.com pourquoi pas, mais ce serait pas très discret. (et noscript est peut être installé sur un PC sur 10 000). En général, les services ajoutent un p'tit dépassement de tampon, un générateur de hasard vérolé, un bug dans l'initialisation du chiffrage... et mettent pas l'option de le désactiver dans about:config avec un billet de mise à jour mystérieux.
0  0