Firefox 37 vient de sortir !

Posté par (page perso) . Édité par cbri, palm123, BAud, Nils Ratusznik, Benoît Sibaud, M5oul, StyMaar, obpt et ariasuni. Modéré par Nils Ratusznik. Licence CC by-sa
36
31
mar.
2015
Mozilla

Une nouvelle version de Firefox vient de sortir ce 31 mars, et il est temps de faire le tour de cette version dopée au rubidium !

Sommaire

Changements communs (bureau et mobile)

Prise en charge de OneCRL pour la gestion centralisée de révocation de certificats.

La prise en charge de DSA dans les certificats et TLS n'est plus assurée.

La gestion des contraintes sur le courriel pour les certificats fait son apparition.

La version 36 apportait la prise en charge d'HTTP/2, une évolution d'HTTP/1.1 basée sur le protocole SPDY de Google. Durant la mise en place d'HTTP/2, certaines critiques furent émises quant à l'impossibilité d'utiliser le chiffrement opportuniste tel que STARTTLS. Firefox gère maintenant les services alternatifs, notamment le chiffrement opportuniste.

Une version de repli non sûre de TLS a été désactivée par sécurité.

La prise en charge d'HTML5 se poursuit avec la disponibilité des WebSockets dans les Web Workers et indexedDB est accessible depuis un Worker. display:content est maintenant une propriété CSS prise en charge.

Bureau

Visible

Dans le but d'avoir plus de retours de la part des utilisateurs, une nouvelle fonctionnalité nommée battements de cœur proposera aux utilisateurs de donner une note à Firefox de 3 à 5 étoiles. Chaque jour un certain nombre d'utilisateurs sont tirés au hasard pour répondre à cette question, et des liens pour améliorer l'expérience seront proposés en fonction de la note donnée. Cette fonctionnalité est désactivable en mettant la valeur de browser.selfsupport.url à une chaîne de caractère vide.

battements de cœur pour noter Firefox

Si vous utilisez le moteur de recherche B!ng, Firefox se chargera de l'utiliser via HTTPS par défaut.

Sous le capot

Un sous-ensemble de l'API Media Source Extension (MSE) a été implémenté pour pouvoir jouer les vidéos YouTube en mode HTML5. C'était prévu pour la version 36, mais fut finalement désactivé, car cela n'était pas assez mature. Le travail continue pour pouvoir activer MSE par défaut partout d'ici 2 à 3 versions si tout va bien. En outre, du travail est en cours pour améliorer la fluidité des vidéos 4K sur YouTube en html5. Néanmoins, ce sous-ensemble de MSE concernera Mac OS X pour la prochaine version. Les versions Linux de Firefox utiliseront seulement le MP4, le lecteur ayant quelques difficulté à concilier VP9 et MSE.

Pour les développeurs

Valence se développe pour ouvrir un onglet de débogage sur Chrome Desktop, Chrome sur Android et Safari sur iOS.

Un nouveau panneau animations apparaît dans l'inspecteur, ainsi qu'un panneau sécurité au sein du panneau réseau.

Le débogueur prend maintenant en charge les adresses de type chrome:// et about://.

Sécurité

Au cours de la version précédente, quelques failles de sécurités ont été corrigées, dont certaines critiques.

Il y a d'abord eu quelques bogues affectant la sécurité des appels mémoire dont certains pouvaient être corrompus avec, à la clé, la possibilité de lancer du code arbitraire.

Puis un chercheur en sécurité, Pantrombka, découvrit un dépassement de la pile lors de la lecture de vidéos invalides au format mp4.

Enfin, durant la Pwn2Own préparée par HP, ilxu1a et Mariusz Mlynski ont découvert deux vilains bogues. Le premier à propos de l’implémentation incorrecte de la vérification des types de tableau en Javascript durant la compilation à la volée, permettant ainsi de lire une partie de la mémoire vive (et de lancer du code arbitraire). Le second à propos d'une augmentation de privilèges (chrome) donnés à un script Javascript quelconque, outre-passant la Same Origin Policy via un souci dans la navigation de contenu SVG.

Mobile

Visible

La nouvelle interface sur tablettes inaugurée à la version 36 a été améliorée

Nouvelle interface pour tablettes

Il est maintenant possible d'envoyer des vidéos sur des dongles Matchstick

Les langues suivantes sont maintenant prises en charge : l'albanais, le birman, le bas-sorabe, le haut-sorabe, le songhaï et l'ouzbek.

La barre d'adresse affiche maintenant l'adresse du site visité, et non le titre de la page.

Sous le capot

Les performances des téléchargements ont été améliorées grâce à la création d'un nouveau gestionnaire de téléchargements.

Demain

Depuis quelques versions, sur le bureau, vous avez peut-être remarqué l'apparition de about:preferences. Celle-ci était activée durant la première moitié de cette bêta, et remplacera la fenêtre des préférences actuelle dans la version 38.

Sous Microsoft Windows, une version de Firefox 64 bits devraient enfin être disponible: Developer Edition

Dans les mois à venir

Electrolysis avance, avec des améliorations, mais surtout avec une prise en charge dans un nombre croissant de parties de Firefox. Le plan actuel est une sortie avec la version 42 en fin d'année.

Firefox 38

Encrypted Media Extensions (EME) devrait pointer son nez dans Firefox 38. Les DRM arrivent peu à peu. Ils nécessitent que MSE soit finalisé au préalable.

WebRTC au sein de Firefox devrait pouvoir gérer le multistream et la renégociation. Ainsi Firefox va pouvoir partager ses fenêtres ou celles d'autres applications. Idéal si vous souhaitez faire une démonstration d'un logiciel libre à vos amis (bogue 906956).

Notez que WebRTC vient d'avoir sa première RFC: RFC 7478. Fidèle au poste, Stéphane Bortzmeyer, en a fait une analyse

Un site web ne pourra plus décider si le navigateur doit sauvegarder ou non le mot de passe dans un formulaire à la place de l'utilisateur (autocomplete="off" sera ignoré).

Firefox 38 connaîtra Ruby. Un pas de plus pour les langues asiatiques.

La page d'information about:support va remplacer son bouton « Réparer Firefox » par un redémarrage en mode sans échec (bogue 547623)

Firefox 39

Les pages d'information d'un site web auront un bouton d'aide pointant vers cette page: https://support.mozilla.org/fr/kb/voir-details-techniques-page

La partie graphique sous Linux continue de progresser. OMTC (OffMainThreadCompositing) est activée dans les versions nocturnes. Un bogue vient d'être corrigé pour la version 39 : bogue 1128934. Il ne resterait plus que 2 bogues bloquants. Mise à jour : OMTC pour GNU/Linux ne serait pas disponible avant la version 40

Meilleur usage des ressources du CPU avec la résolution du bogue 962594.

La version 39 proposera un mode lecture, comme le fait la version mobile : du travail est en cours pour en faire une bibliothèque qui s’intégrera dans la version de bureau.

Firefox OS

Alors que les japonais peuvent utiliser un téléphone sous Firefox qui connaisse la norme LTE, les prochaines versions devraient généraliser l'usage de cette norme et celle de la voix sur LTE (dit aussi VoLTE).

Firefox OS saura lire les fichiers FLAC à la différence de la version Bureau (bogue 1039639) .

Internet Explorer/Spartan

Microsoft va utiliser asm.js dans son moteur JavaScript Chakra. Notez que, bon prince, ils comptent faire quelques retours à Mozilla pour optimiser quelques points :
Bringing asm.js to the Chakra JavaScript engine in Windows 10
Microsoft announces asm.js optimizations

  • # autocompletion

    Posté par . Évalué à 7.

    L'autocomplétion ne serait plus proposée pour les couples mots de passe/identifiant dans Firefox 38.

    quelle en serait la justification ?

    • [^] # Re: autocompletion

      Posté par (page perso) . Évalué à 10.

      Alors, autocomplete=off est un truc qu'IE avait introduit, mais qui n'est pas standard. Cela permettait au site de ne pas laisser le gestionnaire de mot de passes se rappeler le mot de passe lié à l'identifiant pour un champs donné.

      C'est enlevé car, outre le fait que ce ne soit pas standard, le gestionnaire de mots de passe demande toujours à l'utilisateur s'il souhaite enregistrer ce mot de passe ou non. Ce n'est pas au site de décider pour toi. IE 11 ne supporte plus cette option, et Safari permet de désactiver ce comportement.

      À l'époque, je pense que ça avait été mis en place car tous les champs étaient remplis automatiquement, et que les mots de passe n'étaient pas traités différemment, ce qui pose un problème de sécurité. Ce n'est plus le cas aujourd'hui, et cela ne devrait pas être visible pour l'utilisateur en général.

      J'avoue que c'est mal tourné dans la dépêche, mais j'ai zappé cette phrase.

  • # Flash PPAPI support

    Posté par . Évalué à -3.

    Les développeurs pourraient quand meme faire un effort pour les linuxiens abandonnés par adobe et ajouter un support partiel des plugins ppapi afin de pouvoir utiliser pepper flash out of the box , surtout que comme ça été déja dit firefox ne gére pas encore html5 video ( sur youtube ) totalement ( mse et drm incomplet , mauvaise gestion vp9 )

    et ça sera beaucoup mieux que les instables et casse téte pipelight ou freshflashplayer.

    Chrome dans sa version dev gére bien les plugins NPAPI

    Et j'ai une question est-ce que HTTPS everywher est toujours compatible apres ce changement sur HTTP ?

    • [^] # Re: Flash PPAPI support

      Posté par (page perso) . Évalué à 4.

      HTTP/2 concerne HTTP et HTTPS, et c'est activé par défaut.

      En outre, Mozilla a décidé de n'accepter que des requêtes HTTP/2 sécurisées, soient uniquement en HTTPS (TLS)

    • [^] # Re: Flash PPAPI support

      Posté par (page perso) . Évalué à 2.

      YouTube utilise déjà des DRM ? Sans quelconque plugin, je n'ai depuis longtemps plus de problème avec YouTube, que ce soit avec Iceweasel (fork de Firefox par Debian) et Firefox pour Android. Tu peux aussi utiliser youtube-dl.

      • [^] # Re: Flash PPAPI support

        Posté par (page perso) . Évalué à -1. Dernière modification le 01/04/15 à 03:29.

        [j’ai mal lu, ignorez]

      • [^] # Re: Flash PPAPI support

        Posté par (page perso) . Évalué à 5.

        Pourtant firefox est incapable de fonctionner avec toutes les résolutions disponibles sur youtube car il faut activer une options dans about:config

        Et quand je l'active, ben, firefox n'arrive plus à lire les vidéos…

        • [^] # Re: Flash PPAPI support

          Posté par (page perso) . Évalué à 3.

          Ah je ne suis pas le seul! Du coup je suis repassé sur le lecteur Flash. Mais que ça soit le lecteur Javascript ou le lecteur Flash, il n’y en a pas un qui fonctionne mieux que l’autre, ils fonctionnent simplement mal de façon différente.

          Écrit en Bépo selon l’orthographe de 1990

        • [^] # Re: Flash PPAPI support

          Posté par (page perso) . Évalué à 5.

          Perso j’ai aucun problème à lire les vidéos de youtube dans toutes les résolutions (y compris au delà de 720p), sans flash.
          J’ai juste activé les trucs mediasource dans about:config.

    • [^] # Re: Flash PPAPI support

      Posté par (page perso) . Évalué à 2.

      Alors en fait, Mozilla elle-même ne soutient pas l'initiative, mais il existe Fresh Player Plugin qui est un add-on PPAPI pour Firefox (dont le but avoué est de faire tourner Flash ;) )

      Je l'ai essayé très récemment, et ça marche pas mal du tout.

      • [^] # Re: Flash PPAPI support

        Posté par (page perso) . Évalué à 2.

        Je ne sais si c’est dû au fait que ça soit une version plus récente de Flash et donc plus instable ou bien au hack utilisé pour faire fonctionner cette version de Flash sur Firefox mais les plantages sont bien plus fréquents (avant c’était exceptionnel que Flash plante, maintenant c’est régulier, quelques fois par mois).

        Écrit en Bépo selon l’orthographe de 1990

    • [^] # Re: Flash PPAPI support

      Posté par (page perso) . Évalué à 6.

      ajouter un support partiel des plugins ppapi afin de pouvoir utiliser pepper flash out of the box

      Non. Flash ça pue. Les plugins ppapi, npapi et tout autre boite noire / blob binaire obscure, ça pue. Flash est bourré de trous de sécurité, c'est super chiant à mettre à jour, etc.

      Mozilla préfère, dans un monde idéal, ne plus avoir ce genre de chose dans des pages webs.

      Et à l'heure actuelle, je pense qu'ils préfèrent mettre leurs ressources dans Shumway, le player flash entièrement en JS (donc sandboxable, contrôlable par le navigateur, moins sujet à des trous de sécu etc), que dans une API de toute façon vouée à disparaitre.

  • # OMTC sous GNU/Linux

    Posté par (page perso) . Évalué à 2.

    Ca ne sera pas en 39. Probablement en 40 (si tout se passe bien).

  • # Politiquement correct

    Posté par . Évalué à 10.

    Dans le but d'avoir plus de retours de la part des utilisateurs, une nouvelle fonctionnalité nommée battements de cœur proposera aux utilisateurs de donner une note à Firefox de 3 à 5 étoiles.

    Miracles du marketing : il est donc interdit d'estimer que Firefox ne vaudrait que une ou deux étoiles ? Ils ont peur d'être froissés par de trop mauvais résultats ?

    • [^] # Re: Politiquement correct

      Posté par . Évalué à 9.

      C'est réservé à la version payante.
      Un peu comme dans la politique.
      Il faut prendre ta carte de l'UMP pour virer Sarko des prochaines élections.

      Tu vois le truc ;-)

  • # HTTP/2

    Posté par . Évalué à 0.

    C'est un coup de pouce au business-SSL, au "web-selon-[les-nécessites-de]-Google", et de manière générale un grand dépit:
    https://www.varnish-cache.org/docs/trunk/phk/http20.html
    https://lists.w3.org/Archives/Public/ietf-http-wg/2015JanMar/0043.html

    PS: des autorités reconnues par les applications du grand-public, permettant le wildcard et le multi-domaines, … pour moins de 300€ à l'année, il n'y en a pas 36. [il y en a une (seule ?)]

    • [^] # Re: HTTP/2

      Posté par (page perso) . Évalué à 4.

      Y a au moins Gandi, qui propose le wildcard à 120€ par an.

      Sinon le choix de se limiter à la version TLS n'est pas forcément déconnante, à condition qu'ils ouvrent bientôt leur service Let's Encrypt.

      alf.life

    • [^] # Re: HTTP/2

      Posté par (page perso) . Évalué à 2.

      C'est un coup de pouce au business-SSL, au "web-selon-[les-nécessites-de]-Google", et de manière générale un grand dépit

      Pourquoi? Justement, c'est voulu et il y a un refus net et clair de Mozilla pour éviter les dumps tiers.
      tu trouveras toujours des gens pas d'accord, c'est normal (et démocratique), ça ne veut pas dire qu'ils aient raison.

      PS: des autorités reconnues par les applications du grand-public, permettant le wildcard et le multi-domaines, … pour moins de 300€ à l'année, il n'y en a pas 36. [il y en a une (seule ?)]

      1/ tu veux un wildcard, mais tu peux aussi simplement avoir un domaine (ou 2-3), c'est à toi de décider.
      2/ StarSLL à $60, Gandi à 120€, ça fait au moins 2 qui rentrent dans tes critères.
      3/ Personne n'empèche un acteur "disruptif" d'offrir encore moins cher (voir gratuit) sans pour autant ne pas être crédible (oui, je pense à une offre en particulier ;-) ), d'ailleurs le même Mozilla qui veut du SSL partout y pense : https://letsencrypt.org/ (espérons toutefois que ça ne finisse pas comme d'autres projets genre Personna)

      • [^] # Re: HTTP/2

        Posté par (page perso) . Évalué à 5.

        espérons toutefois que ça ne finisse pas comme d'autres projets genre Personna

        la différence entre letsencrypt et Persona, c'est que pour letsencrypt, ils ne font pas ça tout seul (cisco, eff, akamai…) D'ailleurs ce projet n'est pas géré par Mozilla directement mais par l'organisation Internet Security Research Group. Et le développeur le plus actif James Kasten fait parti de l'EFF.

  • # Typo

    Posté par (page perso) . Évalué à 2.

    "[…] fait sont apparition" =~ s/sont/son/ ; merci !

    Debian Consultant @ DEBAMAX

  • # Tree Style Tabs

    Posté par (page perso) . Évalué à 4.

    Après mise à jour de Firefox 37, l'extension Tree Style Tabs me semblait partiellement cassée : l'ouverture d'un lien dans un nouvel onglet par clic-molette ne le plaçait plus comme onglet fils, mais comme onglet frère.

    L'action « clic-droit -> ouvrir dans un nouvel onglet » avait toujours le bon comportement par contre.

    Si ça peut dépanner des gens dans le même cas, j'ai pu retrouver le comportement habituel en installant la dernière version de l'extension, disponible ici :
    http://piro.sakura.ne.jp/xul/_treestyletab.html.en

    • [^] # Re: Tree Style Tabs

      Posté par (page perso) . Évalué à 3. Dernière modification le 04/04/15 à 14:28.

      Merci pour la solution, j'avais pas trop cherché a propos de la raison

      Sinon l’extension mise à jour est aussi dispo sur addons.firefox

      pas trop compris pourquoi elle n'est pas proposé par défaut, elle a été publié il y a 1 mois… c'est long pour etre vérifié…

  • # Debug

    Posté par (page perso) . Évalué à 3.

    Ainsi Firefox va pouvoir partager ses fenêtres ou celles d'autres applications. Idéal si vous souhaitez faire une démonstration d'un logiciel libre à vos amis

    Ou aider pour du débug (alors tu clique sur en haut à gauche, non, là tu as cliqué en bas à droite…).

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.