Firefox en 2018 : haro sur la pub et l’autoplay, priorité à la vie privée

Mozilla a fait le point sur la feuille de route de son navigateur en 2018. Firefox pourrait se doter de son propre bloqueur de publicités, après l’adoption d’un filtre optionnel contre les publicités intrusives. Sa définition de ces pubs devrait être moins permise que celle de Google sur Chrome.

L’éditeur de Firefox a présenté sa feuille de route pour 2018 avec une ambition inchangée : rendre le web moins intrusif et plus sûr pour les utilisateurs.

Tout d’abord, Mozilla annonce qu’il mettra en œuvre l’expérience menée l’an dernier avec un service d’alertes sur les fuites de données. Ces notifications avertiront les utilisateurs lorsque leurs données d’accès ont été divulguées ou volées suite à une compromission de données. Mozilla vise un déploiement de la nouvelle fonction de sécurité aux environs d’octobre.

Un filtre des pubs réellement intrusives

« Les alertes de violation informeront un utilisateur si un site visité a été piraté et demanderont si l’utilisateur souhaite que son compte soit vérifié afin de déterminer s’il a été compromis. S’il a été compromis, certaines informations utiles seront présentées à l’utilisateur » détaille Asa Dotzler, développeur de Mozilla Firefox.

Le système d’alerte est basé sur le site dédié aux fuites de données du consultant en sécurité Troy Hunt, « Have I Been Pwned. »

Firefox va aussi s’attaquer aux vidéos configurées pour se lancer automatiquement, c’est-à-dire en autoplay. Mozilla s’aligne ainsi sur les navigateurs concurrents puisque Chrome 66 implémentera ce blocage le mois prochain, quand Safari le permet déjà.

Cependant, Firefox pourrait se distinguer sur un point. Dotzler ajoute ainsi que la mise en œuvre de l’anti-autoplay « fournira aux utilisateurs un moyen de bloquer la lecture automatique de vidéos qui ne brisent pas les sites Web. »Cette fonctionnalité devrait faire ses débuts dans Firefox 62, dont la sortie est prévue en mai.

Le retargeting dans le viseur

Après Firefox 62, le navigateur bénéficiera d’un filtre publicitaire optionnel comparable dans le principe à celui de Chrome et de plusieurs fonctionnalités améliorant la confidentialité, similaires cette fois aux évolutions conçues par les développeurs WebKit d’Apple pour l’Intelligent Tracking Prevention de Safari.

Le filtre de Mozilla devrait vraisemblablement présenter des différences notables avec la solution adoptée par le premier navigateur du marché. En tout cas en ce qui concerne les arbitrages permettant de qualifier une publicité d’intrusive. L’éditeur n’a pas fait mystère le mois dernier de son sentiment à l’égard de l’initiative de Google.

« Il est inquiétant de voir ces géants (du Web) vouloir imposer leur définition d’une publicité envahissante, réduite à la question des nuisances visuelles qu’elle peut représenter. Cet aspect est important, mais incomplet pour Mozilla, qui rappelle qu’une publicité qui exploite des données personnelles sans le consentement de l’utilisateur est tout aussi envahissante, voire plus encore qu’une publicité qui nuit à la lisibilité d’un contenu » arguait la fondation.

Firefox pourrait par la suite aller plus loin encore dans le domaine du blocage publicitaire. Au troisième trimestre, le navigateur devrait ainsi bloquer le « reciblage publicitaire » ou  » ad-retargeting » – le coeur de métier de Criteo. Par ailleurs, toutes les options de gestion de la vie privée seront regroupées dans un emplacement unique et offriront plus de granularité dans la protection contre le tracking.

Dotzler précise que Mozilla en est aux premières étapes de sa réflexion sur les catégories de publicités que Firefox devrait bloquer par défaut. CNET signale par ailleurs que Mozilla travaille sur un moyen de bloquer les fenêtres contextuelles intégrées invitant les utilisateurs à participer à une enquête ou à s’abonner.

Protection et rapidité pour Firefox

L’expérimentation est en phase de démarrage, mais plutôt que de recourir à une liste de blocages, Mozilla développe une technologie capable de détecter automatiquement les fenêtres contextuelles et de distinguer du simple désagrément celles qui présentent une utilité pour l’utilisateur

« Les trackers, les publicités intrusives et d’autres mauvais comportements menacent de détourner les individus du web ouvert et c’est préjudiciable aux personnes qui naviguent ou publient » justifie Dotzler.

« Au cours de l’année qui vient, Firefox prendra position contre le suivi, les publicités intrusives et d’autres mauvaises pratiques sur le web en bloquant le pire contenu et en communiquant plus clairement sur la confidentialité et les autres protections offertes par le navigateur. »

Egalement au programme de sa roadmap, une fonctionnalité apparue plus tôt ce mois-ci avec Firefox 59. Une nouvelle fonction d’autorisation globale permettra aux utilisateurs de refuser une fois pour toutes et non plus site par site les demandes l’autorisation d’accès à la localisation, l’appareil photo et le micro, ainsi que les notifications.

Outre la sécurité et la confidentialité, Mozilla prévoit de s’appuyer sur les améliorations permises par Quantum et axées sur la vitesse depuis Firefox 57 pour favoriser un rendu des pages plus fluide.

Source zdnet.fr

Publicités

Firefox 56 est disponible en téléchargement, détails sur ses nouveautés

Comme prévu Mozilla a publié Firefox 56, la dernière itération de son navigateur avant la mise en place de changements majeurs. Ils concerneront Firefox 57 nommé Firefox Quantum.

En attendant sa publication, programmée pour le mois d’octobre prochain, Mozilla se concentre sur les fonctionnalités. Firefox 56 apporte pas mal de changements à ce niveau. Ceci permet d’enrichir le navigateur.

Firefox 56, capture et options

Sur ce point la fonction de capture d’écran évolue avec la présence d’un outil dédié. Son fonctionnement est simple puisqu’il suffit de lancer la fonction en cliquant sur l’icône puis de réaliser l’entourage de zone à copier. Sa validation par un clic sur « enregistrer » permet la capture et l’envoi sur votre compte dans le cloud. La capture sera présente pour une durée de deux semaines.

A noter que cette fonction de capture est capable de reconnaitre la structure de la page. Elle propose ainsi automatiquement la reconnaissance des images, des zones de texte ou encore des champs.

L’équipe de développement a également travaillé sur partie « Options » du navigateur avec désormais un champ de recherche. Cet outil propose de trouver rapidement un paramètre souhaité. A l’image des annonces de Google concernant la lecture automatique des vidéos contenues dans une page, Mozilla prend position.

Firefox 56, sécurité et video

Firefox 56 a la bonne idée de couper automatique le son des vidéos. Elles continuent à être lues mais sans avoir de la musique et des paroles qui peuvent parfois gâcher le surf.

L’aspect multiplateforme s’enrichit avec la possibilité d’échanger des onglets entre différents versions du navigateur (Windows, Android). Enfin la sécurité est renforcée avec la disparition d’Adobe Flash.

Cette nouvelle mouture est proposée pour différents environnements allant de Windows à MacOS en passant par Linux. Si vous êtes un utilisateur de la version, la mise à jour devrait se faire automatiquement. Pour vérifier votre version il suffit de cliquer sur « ? » puis se rendre dans « à propos de Firefox ».

Source ginjfo.com

Firefox 52 s’inspirera de Tor pour renforcer la protection de votre vie privée

Prévu pour mars prochain, Firefox 52 utilisera une nouvelle fonctionnalité tout droit venu de Tor Brower, qui empêche – ou – complique – l’établissement de l’empreinte unique de votre machine.

Naviguer de manière un peu plus anonyme. C’est ce que proposera la version 52 du navigateur Firefox, grâce à une fonctionnalité directement importée de Tor Browser.

Le principe est simple : renvoyer aux sites qui la demandent une liste par défaut des polices de caractères installées sur la machine. De nombreux sites utilisent en effet cette information, combinée à d’autres (extensions, « user agent », contenu du dossier de téléchargements, etc.) pour établir l’empreinte unique de chaque machine.

Empêcher les sites d’établir une empreinte unique

Cette ID permet alors notamment aux régies publicitaires ou aux sites de commerce d’identifier l’internaute de manière précise pour lui proposer des recommandations ou pour analyser son comportement au gré de son historique de navigation.

En fournissant à ces sites une liste blanche de polices de caractères, la même à chaque fois, Firefox 52 les privera donc d’une information permettant d’établir cette ID unique.

En juillet 2016, Mozilla lançait son projet Tor Uplift consistant à implémenter dans Firefox des fonctionnalités de Tor Brower. Firefox 52, encore en bêta, sera disponible le 7 mars prochain. D’ici là, c’est Firefox 51 qu’on verra arriver le 24 janvier prochain et qui devrait apporter la stabilité et la vitesse du multiprocessing au navigateur open source.

Source 01net.com

Mozilla va bloquer certains sites

Mozilla va bloquer les certificats Diffie-Hellman avec des clés de chiffrement inférieures à 1023 bits.

Mozilla vient d’annoncer que le navigateur Firefox va dorénavant bloquer certains sites web. La cause ? Un certificat de chiffrement qui ne serait pas assez sécurisé. C’est le protocole Diffie-Hellman qui est visé, principalement celui utilisant des clés inférieures à 1023 bits. Des chercheurs avaient déjà démontré des failles dans sa sécurité il y a plus d’un an avec la faille Logjam. Mais certains sites continuent tout de même à l’utiliser, dont 7000 parmi les 140 000 les plus visités d’après ComputerWorld. Ceux-ci seront donc bloqués et Firefox affichera un message d’erreur : « ssl_error_weak_server_ephemeral_dh_key ».

Firefox est le premier actuellement à bloquer ces sites, mais certains concurrents devraient certainement lui emboîter le pas prochainement.

Liens :

L’annonce de Mozilla
L’analyse de ComputerWorld

Source toolinux.com

Firefox 49 disponible : Electrolysis s’étend, Hello disparaît

image dediée

Mozilla vient de publier la version 49 de Firefox. Elle comprend de nombreux changements et résout de sérieux problèmes, dont une faille critique signalée récemment. Elle supprime en outre Hello et étend Electrolysis, l’architecture multiprocessus de Firefox.

Electrolysis, ou e10s, est la séparation des processus au sein de Firefox. Jusqu’à présent, le navigateur n’en avait qu’un seul, dans lequel transitaient tous les calculs. Avec Electrolysis, tout ce qui touche au rendu des pages web est calculé à part, les éventuels blocages n’affectant alors plus l’interface. À la clé, des gains importants pour la réactivité générale (pas pour le chargement des pages), et une généralisation des processus séparés pour chaque extension. Il n’est par contre pas prévu de créer un processus par onglet, à l’instar de ce que font Chrome et Edge.

Firefox 48 a été la première version à activer Electrolysis chez une partie des utilisateurs. Firefox 49 va un peu loin, en laissant activée la fonctionnalité en présence d’un petit nombre d’extensions dont la compatibilité a été testée. Pour avoir Electrolysis, il fallait en effet qu’aucune extension ne soit présente, ce que Mozilla appelait la « population idéale » pendant la phase de test. Sur le nouvel échantillon, environ une personne sur deux devrait avoir Electrolysis.

Goodbye Hello

Outre ce changement important, Firefox 49 se débarrasse de Hello, qui regroupait des outils de communication. Des voix s’étaient élevées pour signaler une dérive dans l’évolution, qui perdait son statut de simple navigateur extensible pour devenir une trousse à outils plus complète. Sans doute une décision prise après un point sur les priorités de développement, les travaux restant nombreux.

Des efforts particuliers ont été faits sur les performances de Firefox sur les systèmes disposant des instructions SSE3 dans le processeur, mais sans pour autant avoir d’accélération matérielle. Un constat vrai uniquement pour les versions Windows et macOS. Pour les vidéos par contre, l’amélioration devrait être ressentie aussi sur Linux. Sur macOS, on notera également une amélioration de la lisibilité des polices.

Le mode Lecture se met à parler

Le mode Lecture s’enrichit de deux nouveautés. Les utilisateurs ont d’abord plus de choix dans son paramétrage, en pouvant par exemple modifier l’espacement des lignes ou leur longueur. D’autre part, un texte peut maintenant être dicté par le moteur de synthèse vocale intégré sur le système correspondant, le lien se faisant via l’API Web Speech. Une petite icône en forme d’onde sonore est disponible à gauche et permet de changer notamment la voix et surtout la vitesse de lecture. Dans notre test, la voix butait cependant sur les apostrophes (sous Windows 10).

firefox 49

Entre autres nouveautés, un changement important est intervenu dans le gestionnaire de mots de passe intégré dans Firefox. Il peut désormais réutiliser ceux stockés via des sessions HTTP dans des sessions HTTPS. Une modification qui devrait être utile, selon Mozilla, pour mieux gérer la vague de sites profitant de Let’s Encrypt.

Trois anciennes versions de macOS ne sont plus prises en charge

Côté support, signalons une évolution importante. La prise en charge des versions 10.6, 10.7 et 10.8 de macOS disparaît, soit Snow Leopard, Lion et Mountain Lion. Sous Windows, le navigateur exige maintenant au moins un processeur possédant les instructions SSE2, arrivées initialement avec les Pentium 4. Enfin, Firefox 49 corrige plusieurs failles de sécurité, dont celle critique que nous avions évoquée hier.

Parallèlement, une nouvelle mouture pour Android a été mise à disposition. Elle reprend une partie des modifications apportées par la version classique et ajoute un bonus : la mise en cache automatique des pages récentes visitées, pour une consultation hors-ligne ultérieure. À la différence de Chrome cependant, on ne peut pas choisir quelles pages on souhaite précisément sauvegarder pour plus tard.

Comme d’habitude, l’arrivée d’une nouvelle version se fera de manière transparente chez ceux qui ont déjà Firefox. Pour une nouvelle installation ou pour simplement avoir l’installeur dans un coin, il suffira de cliquer sur l’un des liens suivants :

Source nextinpact.com

Sécurité : Rust s’invite dans le multimédia de Firefox 48

Rust, le langage de programmation de nouvelle génération de Mozilla, arrive dans Firefox. À la clé, une meilleure sécurité.

Firefox 48 proposera le premier composant écrit avec le langage de programmation Rust. Il se chargera de gérer les documents multimédias affichés par la version desktop du navigateur web.

Rappelons que Rust se veut une alternative au classique C++, capable de faciliter la mise en place de code exploitant tous les cœurs d’un processeur, et en mesure d’améliorer la sécurité des applications, via des techniques empêchant les dépassements de tampon et autres erreurs liées à la gestion de la mémoire vive.

1,1 milliard de vidéos déjà lues avec succès

« Chaque fois qu’un navigateur web joue une vidéo apparemment inoffensive, il lit des données livrées dans un format complexe et créé par quelqu’un que vous ne connaissez pas. Et il se trouve que ces formats de médias sont connus pour avoir été utilisés pour tromper les décodeurs en exposant des failles de sécurité qui exploitent les bugs de gestion de la mémoire présents dans les navigateurs web », explique Dave Herman, chercheur principal et directeur de la stratégie au sein de Mozilla Research.

Avec Rust, ces problèmes potentiels s’envolent, sans qu’il soit nécessaire d’utiliser des techniques comme l’ajout d’un bac à sable à l’application. Dave Herman note que le code Rust propose des résultats identiques à ceux obtenus en C++. Les données de télémétrie de la version de test de Firefox 48 montrent que sur plus d’un milliard de lectures de vidéos en MP4, toutes ont été décodées avec succès par ce nouveau composant.

Il est donc déclaré bon pour le service et sera présent dans la mouture définitive de Firefox 48, dont la sortie est programmée pour le 2 août 2016.

Rust 1.10 livré aux développeurs

Sur le front du langage de programmation Rust, une nouvelle version vient d’être présentée, la 1.10. Avec 1276 correctifs intégrés, pour plus de stabilité et de performances.

Quelques nouveautés sont également de la partie. Une option permet de stopper l’application lorsqu’un évènement panic! est rencontré. « Rappelez-vous que panic! est réservé aux problèmes inattendus, rappellent les développeurs. Pour de nombreuses applications, avorter est alors un choix raisonnable. Avec un abandon, moins de code est généré, ce qui signifie que le binaire est plus petit et le temps de compilation plus court. » Le poids du code généré et le temps de compilation sont tous deux réduits d’environ 10 % grâce à cette option.

Autre avancée, le type cdylib, un format de librairie qui permettra de faciliter la création de code Rust destiné à être utilisé par un autre langage de programmation. Un élément qui favorisera la réécriture de pans de code C++ en Rust et qui devrait donc rendre de grands services aux développeurs de Firefox.

Rappelons que Rust 1.0 avait été présenté mi-mai 2015. Voir à ce propos notre précédent article « Rust 1.0 : le langage de programmation des projets critiques ».

Source silicon.fr

Tor, visé par des relais-espions ?

Une étude publiée par deux chercheurs vient remettre en cause l’anonymat conféré par le réseau Tor. Selon l’analyse menée par les auteurs du document, plus d’une centaine de relais-espions chercheraient à activement cartographier les « services cachés » présents sur le réseau.

La DefCon approche et avec elle, les chercheurs en cybersécurité commencent à présenter leurs résultats de recherches avec un peu d’avance. L’un des sujets fréquemment traités à l’occasion de cette conférence sur la cybersécurité est celui de la sécurité du réseau Tor, ce protocole web ayant recours à des outils de chiffrement et d’anonymisation des utilisateurs. Celui-ci a connu plusieurs attaques d’ampleur contre ses systèmes d’anonymisation, mais deux chercheurs américains soupçonnent une nouvelle attaque exploitant des relais-espions.

Guevara Noubir et Amirali Sanatinia présenteront les résultats détaillés de leurs analyses lors de leur conférence prévue à l’occasion de la DefCon, mais ont déjà expliqué une partie de leurs conclusions au site américain MotherBoard. Ces deux chercheurs ont déployé des services cachés sur Tor sous la forme de honeypot afin de détecter d’éventuelles tentatives de percer à jour ces services.

Ce réseau leur a permis de détecter l’existence d’une centaine de relais Tor jugés malicieux : ceux-ci ne se contentent pas en effet de rediriger simplement le trafic, mais sont configurés pour analyser en profondeur les services cachés qu’ils détectent sur le réseau. Ces relais disposent du flag HSdir, qui est utilisé par plus de 3000 relais Tor pour indiquer qu’ils possèdent des informations sur les services cachés et sont en mesure de rediriger les utilisateurs vers ceux-ci. Correctement configurés, ces relais ne sont pas censés collecter de données, mais certains d’entre eux ne jouent pas le jeu.

Relais peu fair play

Dans l’exemple pris par les chercheurs, l’adresse exacte de leurs services cachés restait entièrement confidentielle. En théorie, ces services n’auraient donc pas dû recevoir de visites, mais les chercheurs ont détecté plusieurs tentatives de connexions et estiment qu’environ 110 relais Tor ont été configurés afin de détecter et cartographier les services cachés de ce type.

Ces relais malicieux ne se contentent pas de répertorier les services qu’ils découvrent, mais certains en profitent pour scanner les services afin de découvrir d’éventuelles vulnérabilités dans les sites. Les chercheurs expliquent également que la majorité de ces relais-espions semblent être situés aux États Unis, en Allemagne et en France ainsi que dans d’autres pays européens.

La question des relais-espions n’est pas nouvelle pour Tor : ce type d’attaque est connue depuis 2014 et avait déjà fait l’objet de plusieurs présentations détaillant la façon dont ces machines pouvaient être utilisées pour briser l’anonymat offert par le réseau en oignon. L’étude menée par les chercheurs de l’université Northeastern de Boston vient donc montrer que cette technique est activement utilisée par certains acteurs connectés au réseau.

Les développeurs de Tor expliquent de leur côté connaître ce problème et travaillent activement à développer une nouvelle architecture pour le réseau en oignon afin de couper court à ce type d’attaques.

Source zdnet.fr

bouton_web_soutien_88x31