Firefox 60 et 60 ESR

58
14
mai
2018
Mozilla

Firefox 60 est sorti le 9 mai 2018.

La version bureau comporte également, cette fois‐ci, la déclinaison ESR (laquelle succédera à la version 52 ESR en septembre prochain).

À retenir, notamment :

  • version ESR : seules les extensions basées sur l’API WebExtension survivront à la mise à jour depuis la version ESR précédente ; un très sensible gain de performances, de réactivité et de stabilité est à prévoir, dû à toutes les innovations implémentées dans le cadre du projet Quantum de rénovation structurelle du navigateur depuis la précédente ESR ;
  • version bureau et ESR : un éditeur de stratégie fait son apparition pour faciliter les déploiements personnalisés en entreprise ; des améliorations du côté de la protection de la vie privée et aussi du côté de la sécurité pour la version GNU/Linux ;
  • version Android : celle‐ci implémente à son tour le fameux moteur de rendu CSS Stylo qui propulse déjà la version bureau depuis la version 57.

Sommaire

Nouveautés pour le bureau

Performances

Le nouveau moteur CSS introduit dans Firefox 57 Quantum est maintenant aussi utilisé pour l’interface utilisateur du navigateur (en plus du contenu Web).

Vie privée

Retenons trois améliorations :

  • la prise en charge pour les développeurs de l’attribut SameSite pour sécuriser les cookies et limiter les attaques de type CSRF (Cross‐Site Request Forgery) (annonce officielle, explications en français sur dareboost Blog) ;
  • côté utilisateur, une rubrique Cookies et données de sites a été ajoutée dans le menu Préférences, pour un accès facilité aux réglages correspondants ;
  • Firefox éteint à présent votre webcam et son témoin lumineux lorsque vous arrêtez un enregistrement vidéo depuis un site Web.

Pratique

Un éditeur de stratégies est maintenant disponible pour personnaliser les déploiements de Firefox en entreprise. Cet outil permet aux administrateurs système de facilement configurer Firefox dans un réseau d’entreprise (annonce traduite en français sur blog.mozfr.org, vidéo officielle de présentation en anglais).

Cosmétique

La version GNU/Linux permet de supprimer la barre de titre au moyen d’une case à cocher dans l’outil Personnaliser.

Sécurité

Retenons ici deux améliorations :

La prise en charge de l’API Web Authentication, alias WebAuthn, qui permet d’utiliser des clefs USB pour s’identifier auprès de sites Web (documentation afférente pour les développeurs).

Gian‐Carlo Pascutto, alias Garf (v. son blogue), à l’œuvre pour le compte de Mozilla sur le renforcement de la sécurité de Firefox sous GNU/Linux par le recours à la technique du bac à sable, nous fait part des dernières améliorations lancées avec cette version.
Rappelons tout d’abord que l’isolation est le fruit d’un long processus pour Firefox, démarré avec la version 3.6.4 qui offrait il y a huit ans la séparation en processus des greffons, réactivé ces dernières années avec le déploiement du multi‐processus et le développement d’un nouveau bac à sable (plus d’infos techniques ici, en français, sur le bac à sable de Firefox sous GNU/Linux). La version 50 Nightly du navigateur s’appuyait ainsi pour la première fois sur seccomp (abréviation pour secure computing mode) (rapport de bogue correspondant) tandis que la version 57 Quantum marquait une étape importante dans ce domaine (billet de blogue de Garf à ce sujet).
Firefox 60 pour GNU/Linux, pour sa part, met l’accent sur l’isolation de la partie contenu Web (soit le rendu des pages et l’exécution du code JavaScript, tout de même) par bac à sable, en s’appuyant sur les technologies Linux namespaces et chroot (billet de blogue de Garf à ce sujet).
Dans votre navigateur, entrez about:support et rendez‐vous à la section Bac à sable pour connaître quelles parties sont activées (selon votre distribution, notamment).
N. B. : Le recours à Rust pour certaines parties sensibles (par exemple l’analyse de fichiers MP4 au moyen de la bibliothèque mp4parse-rust activée dans la version 48 du navigateur) est un autre moyen de réduire la surface d’attaque. Tout comme le passage à une version Wayland de Firefox sous GNU/Linux devrait offrir une meilleure sécurité (ce bogue reste bloquant pour le moment).

Mises en garde aux utilisateurs de la version ESR

Une fois passé à cette nouvelle version ESR, un retour à la version ESR précédente ne sera pas possible sans perte de vos données car la gestion des profils utilisateur a évolué depuis la précédente ESR… à moins que vous ne pensiez à sauvegarder votre profil avant la mise à jour.

Les extensions basées sur l’ancien système d’extensions cesseront de fonctionner, seules celles basées sur la nouvelle API WebExtension (en vigueur depuis Firefox 57) resteront actives (v. ce billet en anglais pour savoir comment trouver une alternative à une extension devenue incompatible).

Certaines plates‐formes ne sont plus prises en charge (depuis la version 53) :

  • macOS 32 bits ;
  • Windows XP et Vista (Windows 7 devient donc le nouveau point d’entrée) ;
  • pour GNU/Linux, les processeurs plus anciens que l’Intel Pentium 4 et l’AMD Opteron.

Nouveautés pour Android

Le nouveau moteur Quantum CSS, alias Stylo (voir cette dépêche explicative), introduit préalablement dans la version bureau, est aussi activé maintenant dans la version Android de Firefox.
Le code source de la page peut être consulté depuis le navigateur.

Actualités afférentes

Firefox 11.0 pour iOS

La version 11.0 a été publiée le 12 avril dernier ; vous trouverez dans ce billet le détail des nouveautés (à noter : la protection contre le pistage est activée par défaut dans tous les cas dorénavant, avec possibilité de la désactiver facilement site par site. [N. D. L. A. : Mais pourquoi donc n’est‐ce pas encore le cas dans la version pour le bureau ?!]).

Une faiblesse dans le gestionnaire de mots de passe de Firefox et Thunderbird depuis neuf ans

Un article de Next INpact revient sur le billet de Wladimir Palant, l’auteur d’Adblock, qui explique que le chiffrement utilisé par le gestionnaire de mots de passe intégré n’est plus assez musclé pour résister à des attaques par force brute à l’ère des processeurs graphiques.
À noter que la feuille de route 2018 de Firefox prévoit l’arrivée d’un nouveau gestionnaire de mots de passe : Lockbox. Corrigera‐t‐il le tir ?

Démonstration de faisabilité d’une version de Firefox Focus pour Android motorisée par Servo

Les développeurs de Servo, le moteur de rendu nouvelle génération codé par Mozilla, Samsung et d’autres, et dont des éléments sont en train d’être intégrés à Firefox (c’est la majeure partie du projet Quantum), ont pu l’appairer avec la version Android de Firefox Focus (annonce succincte et vidéo) !

WebRender dans Firefox pour GNU/Linux : ça progresse !

WebRender, la prochaine grosse brique du projet Quantum, progresse (elle peut être activée dans la version Nightly actuellement, à des fins de test). Il s’agit cette fois de faire appel au processeur graphique pour accélérer le dessin et la composition des pages. Pour prendre le cas qui nous intéresse le plus, celui de la version pour GNU/Linux, WebRender fonctionnait déjà avec les processeurs graphiques d’Intel. Un nouveau pas a été franchi avec la prise en charge des processeurs graphiques NVIDIA avec le pilote privateur (merci à James Willcox, alias Snorp, de Mozilla, Jan Alexander Steffens, alias Heftig, de make.tv et Martin Stránský, de Red Hat).

Rappelons que WebRender est issu du projet Servo, lequel vient de mettre à jour sa feuille de route pour l’année.

Firefox, optimisé pour limiter le pistage par Facebook et cts

Firefox est l’outil technique idéal, car simple et efficace (pour la partie juridique, voir l’action de groupe à laquelle La Quadrature du Net nous propose de nous joindre) :

Consulter Facebook sur ordinateur

Mozilla propose Facebook Container, une extension maison pour limiter le pistage de votre navigation par la société de Mark Zuckerberg.

Cette extension pour la version bureau de Firefox applique tout simplement (et opportunément) au site Facebook (ainsi qu’à Instagram et Facebook Messenger, produits par la même société) une technologie générique, récemment intégrée à Firefox (activable avec cette autre extension ; lire ce billet dédié, publié sur blog.mozfr.org). Selon les propres termes de Mozilla :

Cette extension offre une solution qui, plutôt que de se contenter de dire aux utilisateurs d’arrêter d’utiliser un service qui leur est utile, leur donne des outils qui les aide à se protéger des effets indésirables de son usage.

Consulter Facebook sur ordiphone

Si vous avez un compte Facebook, la première chose à faire est d’utiliser Firefox plutôt qu’une application.

Ce billet traduit par blog.mozfr.org vous indique comment utiliser Firefox Focus à cet effet (iOS ou Android), pour un résultat similaire à l’extension évoquée ci‐dessus pour la version bureau.

Bientôt des publicités dans Firefox

Une expérimentation a été menée récemment, qui aboutit avec cette version 60, au États‐Unis dans un premier temps (annonce officielle, journal commentant l’annonce).

Effleurons la prochaine version

Le chargement de ressources FTP dans une page Web ne sera plus autorisé à partir de Firefox 61

Lire ce billet publié sur developpez.com.

Il sera à nouveau facile d’ajouter des moteurs de recherche au sein de vos sites favoris

Voir le journal qui en parle et qui évoque en même temps le prochain retour de l’extension Context Search.

Amendement Bothorel‐Villani sur la loi de protection des données personnelles

L’amendement Bothorel‐Villani au projet de loi relatif à la protection des données personnelles visant à conforter le droit pour un fabricant de terminaux de proposer différents moteurs de recherche par défaut. Un article de Numerama en parle.

  • # ESR

    Posté par . Évalué à 2 (+4/-3).

    C'est parfait qu'une version ESR soit prévue comme ça Debian pourra profiter des améliorations de Quantum !

    • [^] # Re: ESR

      Posté par . Évalué à 1 (+3/-2).

      C'est parfait qu'une version ESR soit prévue comme ça Debian pourra profiter des améliorations de Quantum !

      Difficile d'imaginer que les choses se passent autrement, étant donné que la ESR est la seule version de Firefox disponible sous Debian stable.
      Mais pour le reste, il est vrai que l'âge de la 52 ESR commence à se faire sentir, surtout quand on voit les récentes optimisations depuis la 57. Les débianneux doivent commencer à s'impatienter.

      • [^] # Re: ESR

        Posté par (page perso) . Évalué à 5 (+4/-0). Dernière modification le 15/05/18 à 00:46.

        Surtout qu'à cause de l'absence de la bonne version de Rust dans Stretch il n'est pas possible d'installer facilement les dernières versions de Firefox :

        Jessie and Stretch backports of Firefox release and beta are gone because of the requirement of rust to build them, which is not available in Jessie or Stretch. Please update your apt sources to use Firefox ESR instead.

        http://mozilla.debian.net/

      • [^] # Re: ESR

        Posté par (page perso) . Évalué à -1 (+5/-7).

        Debian stable est fait pour les serveurs, non ? Debian testing est plus adapté pour un usage de bureau, il me semble. En tout cas, mon épouse et moi utilisons Debian testing pour tous nos ordinateurs depuis des années et c'est une formule parfaite : rolling release, stabilité et nouveautés qui arrivent relativement rapidement (de 1 à 3 mois après, de mémoire).

        • [^] # Re: ESR

          Posté par . Évalué à 10 (+18/-0). Dernière modification le 15/05/18 à 11:01.

          Non ce n'est pas que pour les serveurs, quand tu gères 120 postes utilisateurs en Debian dans ta boite, tu préfères qu'ils soient en stable crois-moi..

          • [^] # Re: ESR

            Posté par (page perso) . Évalué à 10 (+13/-0).

            Et même à la maison, quand tu n'en gères que trois ! Que du bonheur : peu de mises à jour, problèmes très rares, compatibilité sans problème (le web et les formats bureautique changent peu), un seul cache de paquets pour tout le monde, etc.

            "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

        • [^] # Re: ESR

          Posté par . Évalué à 3 (+2/-0).

          Tous les PC que j'utilise sont depuis la sortie de stretch sous Debian.
          La stabilité de Debian m'économise énormément de temps à bidouiller pour régler divers soucis !

        • [^] # Re: ESR

          Posté par . Évalué à 10 (+9/-0).

          Debian conseille la branche unstable à la branche testing pour ceux qui veulent quelque chose de plus récent que la branche stable.

          La raison avancée est que même si la branche testing casse moins souvent que la branche unstable, elle peut aussi être beaucoup plus longue à être réparée (« Testing has more up-to-date software than Stable, and it breaks less often than Unstable. But when it breaks, it might take a long time for things to get rectified. Sometimes this could be days and it could be months at times. »).

          Après, chacun fait comme il le sent. Pour ma part, c'est ArchLinux sur mon serveur pour le côté KISS de la distribution qui me simplifie pas mal l'administration (et le wiki <3) et kubuntu sur le laptop parce que c'est jolie et que ça juste marche dès la fin de l'installation.

          • [^] # Re: ESR

            Posté par . Évalué à 5 (+4/-0).

            Je ne suis plus très près l'actu Debian, mais c'était aussi un problème de sécurité. Les mises à jour de sécurité vont moins vite dans testing qu'ailleurs.

          • [^] # Re: ESR

            Posté par (page perso) . Évalué à 1 (+0/-0).

            Ah, c'est bon à savoir, merci. Je vais passer à unstable sur un de mes ordinateurs pour tester.

          • [^] # Re: ESR

            Posté par . Évalué à 2 (+1/-0).

            Sur mes machines perso je suis en testing et en cas de besoin (sécu ou déblocage d'un problème) je pioche temporairement dans unstable.

            Si sur ma machine desktop au boulot je suis en stable + backports et je conseille cette solution si vous utilisez des logiciels professionnels propriétaires qui souvent peuvent poser problèmes sur testing ou sid à cause de lib trop récentes.

            Mais c'est sur que vivement l'arriver de Firefox ESR dans debian stable parce que la 52 est pénible rien que par interface différente des versions actuelles.

  • # Cohérence

    Posté par (page perso) . Évalué à 5 (+11/-8).

    Firefox isole Facebook pour favoriser ses propres publicités?

    Incubez l'excellence sur https://linuxfr.org/board/

    • [^] # Re: Cohérence

      Posté par . Évalué à 0 (+0/-2).

      Oh le vilain troll et je marche dedans :)

      Tu trouves les pubs firefox plus genantes que celles de facebook?

      Enfin moi je peux parler FB je vois ca surtout sur les ordis des collegues mais j'ai legerement l'impression qu'il y en a "un petit peu".

      • [^] # Re: Cohérence

        Posté par (page perso) . Évalué à 2 (+6/-6).

        Toutes les pubs sont gênantes. Si Firefox en contient, il va falloir changer de navigateur. La mofo continue de faire des erreurs, il ne faut pas s'étonner de la baisse du nombre d'utilisateurs…

        Incubez l'excellence sur https://linuxfr.org/board/

        • [^] # Re: Cohérence

          Posté par (page perso) . Évalué à 4 (+4/-1).

          Il ne faut pas exagérer. À un moment, ils avaient mis des pubs dans les emplacements libres de la grille « nouvel onglet ». Je ne sais pas pour vous, mais moi, des emplacements libres, je n’en ai jamais eu ! Et même sur des nouveaux profils que j’ai créés à l’occasion, ça restait très discret et c’était vite remplacé par des vignettes personnalisées (sites visités).

          Je ne sais pas quelle technique de pub va être mise en place, mais si c’est aussi anodin que la dernière fois, et que ça permet de financer les actions de Mozilla, qui sont essentielles! alors ça me va…

          • [^] # Re: Cohérence

            Posté par . Évalué à 1 (+0/-1).

            Je me demande bien quel navigateur devnewton utilise qui n'a absolument aucune pub quand tu le demarres. En tout cas cela ne peux pas etre Chrome/Chromium vu que cela demarre avec un enorme "Google" ecrit en plein milieu de la page.

            • [^] # Re: Cohérence

              Posté par (page perso) . Évalué à 1 (+0/-0).

              Il y en a plein qui n’ont pas de pub, et qui sont dans les dépôts des distributions. Et souvent, ce sont aussi de bons navigateurs, quoique moins complets ou moins extensibles.

              Cependant, le problème n’est pas là à mon avis. Remplacer Firefox, pourquoi pas, mais par quoi et à quel prix ?

              • Google Chrome ? Ça renforce le poids de ce leader, dont les pratiques ne sont pas toujours très correctes… et surtout ça passe par Google.
              • Chromium ? Pourquoi pas… a priori, ça ne passe pas par Google. Mais dans les stats des serveurs, je pense que c’est assimilé à Chrome, ce qui fait indirectement du mal à Mozilla.
              • Un navigateur de bureau (Gnome Web, Konqueror, etc.) ? C’est libre et sans pub, mais ce dernier point compense-t-il la baisse de soutien à Mozilla ?
              • [^] # Re: Cohérence

                Posté par . Évalué à 0 (+1/-3). Dernière modification le 17/05/18 à 20:50.

                Je sais qu'il existe d'autre navigateurs mais bon la plupart (tous?) mettent (ou les distributions) reglent par defaut la page de demarrage comme etant la page de recherche de Google.

                Je voulais juste verifier que ce n'etait pas le cas pour les personnes ralent sur les pubs invisibles de firefox et sinon je tiens a les avertir que le gros Google c'est de la pub … pour Google une entreprise a but totalement lucratif…

                Question de coherence quoi.

            • [^] # Re: Cohérence

              Posté par . Évalué à 2 (+1/-0). Dernière modification le 17/05/18 à 13:49.

              Perso je ne vois aucun Google écrit en grand (ni même en petit) dans Chromium.
              chromium sur xubuntu 16.04

              Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

              • [^] # Re: Cohérence

                Posté par . Évalué à 1 (+0/-0).

                Edit : le carré de gauche c'est une pub pour télécharger google crap chrome. Quand on la quitte elle ne semble plus revenir.

                Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

              • [^] # Re: Cohérence

                Posté par . Évalué à 3 (+1/-0).

                Tiens sous archlinux la page par defaut c'est le moteur de recherche Google.

        • [^] # Re: Cohérence

          Posté par (page perso) . Évalué à 2 (+0/-0).

          Tu peux essayer waterfox.

  • # 404

    Posté par . Évalué à 1 (+0/-0).

    L'URL vers la feuille de route Servo tombe en 404

    • [^] # Re: 404

      Posté par (page perso) . Évalué à 2 (+0/-0).

      Corrigé, merci.

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

  • # Tabgroup

    Posté par . Évalué à 4 (+2/-0).

    Et surtout : enfin on a une alternative à TabGroup \o/

    Ça se passe et c'est pas ultra mature mais ça marche quand même bien.

    En revanche je suis pas totalement convaincu que merger groupe d'onglet et conteneur soit le mieux à l'usage…

    • [^] # Re: Tabgroup

      Posté par (page perso) . Évalué à 2 (+1/-0).

      En effet, Conex est plutôt bien ! Je l’utilise depuis qu’il est installable depuis mozilla.org, et je l’apprécie accompagné de :

      Et à l’époque où la totalité des onglets était affichée, j’utilisais aussi :

  • # Quel est le type de fichier utilisé pour Firefox Lockbox ?

    Posté par . Évalué à 4 (+4/-0).

    Bonjour,
    Merci pour la dépêche ! Auriez-vous des informations sur le format utilisé par le nouveau gestionnaire de mot de passe : Firefox Lockbox ? J'osais espérer l'usage du format kbdx créé pour keepass dans le but d'éviter la fragmentation et faciliter l’interopérabilité ?
    (Pour info, keepass 2.10/2.13 sans màjauto est certifé CSPN par l'ANSSI (en fait la 2.10 à une faille corrigée en 2.13 :/) )

    • [^] # Re: Quel est le type de fichier utilisé pour Firefox Lockbox ?

      Posté par . Évalué à -1 (+0/-2).

      La gestion des mots de passe est un sujet sensible et quantum pose un gros problème pour les utilisateurs de gestionnaire de mot de passe externes. Le plugin qui utilisait les mots de passe du trousseau OS X ne fonctionne plus du tout sur quantum car il n'y a rien dans l'API qui permette d'implémenter la fonctionnalité. Et la seule réponse de l'équipe de dev de Mozilla semble être de se tourner vers lockbox …

      C'est peut être ce qui va me conduire à abandonner Firefox hélas :(

  • # about:newtab

    Posté par . Évalué à 3 (+3/-1).

    Firefox commence à avoir de sérieux problèmes avec la customisation de son interface.
    Je n'aime pas du tout la nouvelle page « activity stream » quand on ouvre un onglet. La barre de recherche, elle est juste au-dessus, pas la peine de la remettre ; les pages récentes, je viens de les lire, donc je ne vais pas les réouvrir. La seule chose qui m’intéresse, c'est les sites les plus visités, sauf que maintenant ils sont tout petits et assez illisibles.
    On pouvait depuis Firefox 67 désactiver la nouvelle interface pour remettre l'ancienne, sauf que le paramètre vient d'être déactivé par cette version.

    • [^] # Re: about:newtab

      Posté par . Évalué à 5 (+3/-0).

      En haut a droite tu clic sur l'engrenage et tu choisis ce que tu veux voir. Dans ton cas les deux premiers: Barre de recherche et top sites et tu decoches le reste.

      • [^] # Re: about:newtab

        Posté par . Évalué à 2 (+1/-0).

        Oui, je sais, mais les icônes des sites les plus fréquentées restent sur une (ou deux) misérables petites lignes, avec des miniatures ridiculement petites.
        Même sur mon portable, la place vide autour est énorme.

        • [^] # Re: about:newtab

          Posté par (page perso) . Évalué à 3 (+1/-0). Dernière modification le 17/05/18 à 15:32.

          spafaux.
          Ça ne me gênait pas mais maintenant que tu le dis…
          Comme toi, les pages récemment visitées sont les seuls susceptibles de m'intéresser, et encore.
          Du coup j'ai vu qu'on pouvait passer ces miniatures sur deux lignes, j'avais pas fait gaffe.

          Peut être fouiller dans les extensions avec comme mots clés New Tab ?
          Par exemple : https://addons.mozilla.org/fr/firefox/addon/new-tab-tools/ (pas essayé)

        • [^] # Re: about:newtab

          Posté par . Évalué à 1 (+0/-0).

          Tu peux zoomer sur la page (ctrl +) et ça s'en rappelle ensuite. C'est un peu un palliatif, je te l'accorde.

  • # Coquille ?

    Posté par . Évalué à 1 (+0/-0).

    "appairer" -> "apparier" je pense

  • # Mot-clé

    Posté par (page perso) . Évalué à 3 (+0/-0).

    (repompe éhontée de https://linuxfr.org/users/antistress/journaux/optimiser-la-recherche-web-dans-firefox#comment-1738469 avec mise à jour de version)

    J'utilise aussi les mots-clés et le %s pour compléter l'URL avec Firefox, mais j'ai un petit souci sur mobile (Android Firefox 60.0.1). Si j'associe 'w' à wikipedia par exemple, et que je fais 'w foo bar' dans la barre d'URL, ça donne …/foo%20bar sur desktop (espace OK) et …/foo%2Bbar sur mobile (plus KO). J'ai raté un truc ou je dois ouvrir un bug ?

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.