IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Firefox 115 peut désactiver à distance n'importe quelle extension sur n'importe quel site Web,
Une initiative controversée qui suscite la colère de certains développeurs d'extensions

Le , par Mathis Lucas

10PARTAGES

17  0 
La fonctionnalité "Quarantined Domains" (domaines en quarantaine) introduite par Mozilla dans Firefox 115 continue de faire des vagues sur la toile et suscite diverses inquiétudes. Cette fonctionnalité est censée empêcher certaines extensions de fonctionner sur certains sites Web pour "diverses raisons", y compris des préoccupations de sécurité, mais beaucoup ont du mal à comprendre ce qui justifie cette fonctionnalité et la considèrent comme "dangereuse". En outre, le terme "diverses raisons" est flou et très peu informatif, ce qui, selon les critiques, est contraire à la politique de Mozilla consistant à promouvoir un Internet libre et ouvert. Jusque-là, Mozilla n'a pas réagi.

"Quarantined Domains" empêche certains modules complémentaires de s'exécuter sur certains sites Web. Lorsque cela arrive, l'utilisateur de Firefox reçoit le message : « certaines extensions ne sont pas autorisées ». Les prochaines versions de Firefox incluront des options supplémentaires pour gérer ces limites pour chaque module complémentaire particulier. Mais la fonctionnalité fait l'objet de controverses depuis l'annonce de Firefox 115. L'équipe de Firefox dit avoir conçu cette fonctionnalité dans le but d'améliorer la sécurité et garantir que seules des extensions sélectionnées, et surveillées par Mozilla, peuvent fonctionner sur certains sites Web.

« À partir de la version 115 de Firefox, nous avons introduit une nouvelle fonctionnalité en arrière-plan pour n’autoriser que certaines extensions surveillées par Mozilla à fonctionner sur des sites Web spécifiques pour diverses raisons, notamment des préoccupations de sécurité », explique Mozilla sur une page d’aide. Cela suggère que Mozilla peut désactiver à distance n'importe quelle extension sur n'importe quel site Web. Cependant, l'explication de Mozilla, en particulier le terme "diverses raisons", reste totalement incomprise par une grande partie de la communauté. Ces utilisateurs demandent une définition plus large des raisons justifiant la fonctionnalité.


« Pour diverses raisons. C'est assez peu informatif et mystérieux. Je suis tout à fait favorable à ce que les utilisateurs puissent contrôler les extensions et choisir celles qui peuvent s'exécuter sur un site Web donné. Safari dispose déjà de cette fonctionnalité sur macOS et iOS. Mon inquiétude ne porte pas sur le contrôle de l'utilisateur - qui n'existe même pas dans Firefox 115, comme je le montrerai plus loin - mais plutôt sur le contrôle à distance que Mozilla s'est maintenant donné », a écrit Jeff Johnson, un ingénieur logiciel. Mozilla a livré Firefox 115 avec une liste des domaines vide et donne la possibilité à l'utilisateur lui-même de définir les domaines concernés.

Cela dit, un rapport Bugzilla mentionne ceci : « nous devons avoir la possibilité de définir la liste des domaines en quarantaine à distance. La préférence doit être une chaîne au même format que extensions.webextensions.restrictedDomains. La préférence sera extensions.webextensions.quarantinedDomains, et elle aura une valeur par défaut définie dans un correctif pour le bogue 1745823 (pour inclure quelques sous-domaines réels, mais "tests" de badssl.com). Classé comme confidentiel pour l'instant, jusqu'à ce que nous livrions le module d'extension du système ». Là encore, la confidentialité évoquée par Mozilla inquiète certains utilisateurs de Firefox.

« On peut se demander pourquoi un projet open source exige la confidentialité à ce sujet. Incidemment, ni Safari, ni Chrome, ni aucun autre navigateur à ma connaissance, ne disposent d'un tel bouton d'arrêt à distance spécifique à un domaine pour les extensions, on peut donc se demander pourquoi il était nécessaire dans Firefox. Je pense que Mozilla avait déjà la capacité de désactiver à distance une extension individuelle, s'il s'avérait qu'il s'agissait d'un logiciel malveillant. Après tout, chaque extension Firefox doit être téléchargée vers Mozilla pour être analysée et signée par un code cryptographique avant de pouvoir être installée dans Firefox », note Johnson.


« Compte tenu de cette capacité préexistante, on ne voit pas pourquoi il devrait y avoir une liste de domaines où toutes les extensions, à l'exception de quelques heureux élus, sont désactivées, indépendamment du fait que les extensions désactivées aient montré des signes d'inconduite », a-t-il déclaré. L'ingénieur a réalisé une expérience en ajoutant le domaine "www.youtube.com" à la liste des domaines en quarantaine pour montrer comment la fonctionnalité se comporte en pratique. Après avoir relancé Firefox, l'avertissement s'est affiché dans la fenêtre contextuelle des extensions et se rapportait à une extension développée par Johnson lui-même.

« Ma propre extension StopTheMadness, qui n'est pas "surveillée par Mozilla", est "non autorisée par Mozilla" sur YouTube. (Cet avertissement est inexact, bien sûr, puisque c'est moi, et non Mozilla, qui ai ajouté YouTube à la liste des domaines). Apparemment, uBlock Origin est "surveillé" par Mozilla, car il est autorisé sur YouTube malgré ma liste de domaines en quarantaine. C'est bien d'être grand, je suppose », a écrit Johnson. Il rapporte que l'avertissement s'affiche dans le popup Extensions plutôt que sur l'icône des extensions, donc vous ne sauriez pas quelle extension, ici StopTheMadness, a été désactivée sur YouTube à moins d'ouvrir le popup.

Que se passe-t-il si vous épinglez une extension dans la barre d'outils pour accéder facilement à ses paramètres ? « Il s'avère que lorsque vous épinglez une extension à la barre d'outils, elle n'apparaît plus dans la fenêtre contextuelle des extensions. Par conséquent, l'avertissement relatif aux domaines en quarantaine n'apparaît plus non plus dans la fenêtre contextuelle des extensions. En fait, il n'y a plus de fenêtre contextuelle des extensions : en cliquant sur l'icône Extensions de la barre d'outils, on ouvre simplement la page about:addons, qui n'affiche nulle part l'avertissement relatif aux domaines en quarantaine », rapporte Johnson.


Selon l'ingénieur, il s'agit d'une conception d'interface utilisateur terrible pour la nouvelle fonctionnalité dite de "sécurité", qui désactive silencieusement les extensions tout en cachant l'avertissement à l'utilisateur. « Et n'oubliez pas que la liste des domaines en quarantaine peut être modifiée à distance à tout moment par Mozilla, sans qu'une mise à jour du logiciel Firefox soit nécessaire », rappelle Johnson. Par ailleurs, l'on n’a actuellement aucune idée de la manière dont Mozilla compte utiliser la liste des domaines en quarantaine. Dans les commentaires, l'on peut remarquer que certaines personnes spéculent, sans aucune preuve, sur les "banques".

Cependant, il existe d'innombrables banques dans le monde. « Qu'est-ce que Mozilla est censé faire ? Établir et maintenir une liste de tous les sites Web bancaires dans le monde ;? S'il est logique que les utilisateurs aient la possibilité d'exclure manuellement leurs propres sites bancaires de l'accès à l'extension s'ils le souhaitent, quel sens cela a-t-il pour Mozilla de sélectionner arbitrairement certains domaines de sites Web en vue d'une exclusion générale ? Autre question : est-il impossible pour l'utilisateur d'exclure délibérément les extensions qui sont "surveillées par Mozilla" et bénéficient d'un traitement spécial par Firefox ? », s'interroge Johnson.

« Ma propre extension StopTheMadness empêche les sites Web de désactiver les fonctions intégrées de collage et de remplissage automatique de votre navigateur, une sorte de folie communément mise en œuvre par des sites qui ont une notion erronée et ignorante de ce qui rend un formulaire de connexion "sûr". Ainsi, Mozilla ne rendrait pas service aux utilisateurs en désactivant à distance les extensions des utilisateurs sur certains sites bancaires arbitrairement sélectionnés », a-t-il ajouté. Mozilla n'est pas encore intervenu dans le débat intense autour de cette fonctionnalité, mais en attendant, il est possible de la désactiver dans les paramètres.

Les instructions ci-dessous vous aideront à désactiver la fonctionnalité "Quarantined Domains" et à réactiver les extensions restreintes par Firefox :

  • lancez Firefox et entrez about:config dans la barre d'adresse. Un message d'avertissement s'affiche ; cliquez sur l'option "Accepter le risque et continuer" pour continuer. La page about:config, qui est la page de configuration avancée cachée et secrète de Firefox, s'ouvre alors ;
  • collez le code suivant dans le champ du filtre de recherche : extensions.quarantinedDomains.enabled ;
  • cette préférence n'étant pas forcément présente par défaut, établissez-la manuellement ;
  • pour créer la préférence, sélectionnez l'option booléenne et cliquez sur le bouton (+) ;
  • double-cliquez ou cliquez sur l'icône de basculement devant le paramètre extensions.quarantinedDomains.enabled. (L'état de la fonctionnalité passe alors de true à false) ;
  • redémarrez Firefox pour appliquer les changements.


Bien que certains utilisateurs de Firefox affirment ne pas comprendre les remous suscités par la fonctionnalité et défendent la raison de sécurité avancée par Mozilla, de nombreuses questions demeurent. Mozilla ne précise pas la portée de cette restriction ni les critères utilisés pour sélectionner les sites et les extensions concernés. Selon les critiques, c'est une décision unilatérale qui peut limiter la liberté des utilisateurs et des développeurs d'extensions. En outre, il est important de rappeler que la fonctionnalité "Quarantined Domains" est apparue dans le cadre du passage à Firefox 115 ESR, la nouvelle base de la version à support étendu du navigateur.

Johnson écrit : « en tant que petit développeur indépendant de logiciels, je suis déçu et irrité que Mozilla - un petit développeur comparé à ses concurrents, les géants des navigateurs Apple, Google et Microsoft - choisisse de créer un système à deux vitesses dans lequel seuls les plus gros développeurs d'extensions bénéficient d'un accès exclusif et d'exemptions. Je sais que les gens adorent uBlock Origin, mais je déteste l'idée d'un monde où uBlock Origin serait la seule extension autorisée. Firefox et Mozilla sont censés lutter contre cette centralisation des consommateurs et du pouvoir. Je n'aime pas plus le monopole des extensions que celui des navigateurs ».

Source : billet de blogue

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la fonctionnalité "Quarantined Domains" de Firefox 115 ?
Selon vous, cette fonctionnalité était-elle nécessaire ? Pourquoi ?
Pensez-vous qu'il s'agit d'une atteinte aux libertés des utilisateurs de Firefox ?
Selon vous, quels impacts cela pourrait-il avoir sur les développeurs d'extension ?

Voir aussi

Mozilla impose des restrictions aux extensions qu'il ne surveille pas sur Firefox 115 : elles ne fonctionneront pas sur certains sites. Cette décision suscite déjà la controverse

Firefox 109 inaugure l'activation par défaut de Manifest V3 de Chrome pour les développeurs et dispose d'un bouton Extensions unifiées pour une meilleure gestion des addons

Extensions Chrome : Google retarde de six mois la transition vers l'API limitant les bloqueurs de publicité Manifest V3, après la colère d'organisations comme l'EFF

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Kulvar
Membre éclairé https://www.developpez.com
Le 06/07/2023 à 23:17
C'est scandaleux. Quelle extension est active sur quel site ne regarde que l'utilisateur.

Ça devrait être à l'utilisateur de pouvoir dire sur quels sites sont autorisés quelles extensions.
Comme ça le site de la banque et des impôts on autorise aucun addon par exemple.

Mais certainement pas à distance et en douce.
3  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 07/07/2023 à 14:34
Citation Envoyé par Fagus Voir le message
C'est peut être moi qui ne suis pas assez méfiant, mais on leur ferait pas un procès d'intentions ?
Ils écrivent aussi :

Peut être qu'ils font juste des tests sur la fonction en ce moment.
Dans ce cas, pourquoi d'abord mettre la fonctionnalité en production puis seulement ensuite travailler sur la possibilité de laisser leurs utilisateurs avoir le contrôle?? Pourquoi ne pas mettre la fonctionnalité en production une fois qu'elle serait terminée?

Ça sent très mauvais, tout ça. Il vaut mieux être trop méfiant que trop naïf.

Citation Envoyé par Fagus Voir le message
En plus, je ne vois pas trop en quoi ça arrangerait les services (à part désactiver les charges des services ennemis...), bien au contraire. Les extensions peuvent souvent lire et écrire arbitrairement toute la page sur tous les domaines, sans surveillance active. On a vu mieux en sécurité.

À la limite, désactiver Noscript sur www.nsa-remote-rootkit-installer.com pourquoi pas, mais ce serait pas très discret. (et noscript est peut être installé sur un PC sur 10 000). En général, les services ajoutent un p'tit dépassement de tampon, un générateur de hasard vérolé, un bug dans l'initialisation du chiffrage... et mettent pas l'option de le désactiver dans about:config avec un billet de mise à jour mystérieux.
Il n'y a pas que les services secrets. Il y a aussi les GAFAM, comme Google, qui rêve de pouvoir forcer la pub. C'est franchement beaucoup plus simple, comme objectif, quand tu n'as qu'à faire un deal avec les quelques extensions mainstream ainsi qu'avec Mozilla, plutôt que de se battre avec toutes les extensions et leurs forks possibles.
3  0 
Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 07/07/2023 à 0:15
Citation Envoyé par Kulvar Voir le message
C'est scandaleux. Quelle extension est active sur quel site ne regarde que l'utilisateur.

Ça devrait être à l'utilisateur de pouvoir dire sur quels sites sont autorisés quelles extensions.
Comme ça le site de la banque et des impôts on autorise aucun addon par exemple.

Mais certainement pas à distance et en douce.
Si Microsoft ou Apple ou Google s'étaient permis cela...
L'aspect complètement opaque, dissimulé et arbitraire est plus que surprenant : j'ai de très grosses interrogation sur l'intervention de services secrets US.
1  0 
Avatar de smarties
Membre expert https://www.developpez.com
Le 07/07/2023 à 10:45
Je veux pouvoir garder mon adblocker activé.
J'avais essayé uMatrix qui bloquait tout par défaut mais c'était quand même contraignant à l'usage.
1  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 07/07/2023 à 10:56
Citation Envoyé par TotoParis Voir le message
j'ai de très grosses interrogation sur l'intervention de services secrets US.
C'est peut être moi qui ne suis pas assez méfiant, mais on leur ferait pas un procès d'intentions ?
Ils écrivent aussi :
Our team is working continuously to develop this functionality and to provide users the ability to manage these restrictions for each individual add-on in the future.
Peut être qu'ils font juste des tests sur la fonction en ce moment.

En plus, je ne vois pas trop en quoi ça arrangerait les services (à part désactiver les charges des services ennemis...), bien au contraire. Les extensions peuvent souvent lire et écrire arbitrairement toute la page sur tous les domaines, sans surveillance active. On a vu mieux en sécurité.

À la limite, désactiver Noscript sur www.nsa-remote-rootkit-installer.com pourquoi pas, mais ce serait pas très discret. (et noscript est peut être installé sur un PC sur 10 000). En général, les services ajoutent un p'tit dépassement de tampon, un générateur de hasard vérolé, un bug dans l'initialisation du chiffrage... et mettent pas l'option de le désactiver dans about:config avec un billet de mise à jour mystérieux.
0  0