Après plus d’un an d’attente, 12 versions bêta, et 2 versions candidates, Firefox 4 est enfin sorti ce 22 mars. Les principales nouveautés sont Gecko 2.0 (le moteur de rendu), un moteur JavaScript plus rapide comprenant JägerMonkey, un compilateur JIT (en plus de TraceMonkey, l’optimiseur de boucles présent dans Firefox 3.6), ainsi que l’accélération 3D matérielle et une interface utilisateur revue.

Cette sortie marque aussi une volonté de changement dans les cycles de sortie, en voulant les rendre plus courts. Il faudra voir si ce vœu est respecté. Le protocole Websocket est le grand absent de cette version ; il a été désactivé car, comme les sockets Flash et Java, les websockets peuvent simuler du HTTP et ainsi empoisonner le cache de certains serveurs mandataires (proxies) configurés pour intercepter les requêtes HTTP sans la collaboration des clients.

Pour rappel, Firefox est disponible sous les licences GPL 2, LGPL 2.1 et MPL 1.1.

Merci à esa, Chimrod, Obsidian, ymorin, gnumdk et barmic pour leur aide lors de la rédaction.

• Firefox (923 clics)
• Mozilla Europe (120 clics)
• Liste des nouveautés pour les développeurs web (95 clics)
• Notes de version (38 clics)
• Communiqué de l'AFUL : Utilisons Firefox 4 ! (152 clics)

IE6 est mort. Bon débarras. Malheureusement, il y a webkit pour lui succéder. Non pas que webkit soit mauvais, bien au contraire il est très bon, en plus il est libre...

Mais la pratique consistant à faire des tests de User Agent est encore, hélas, très répandue. Il faut cesser cela. Ajoutez à cela l'utilisation massive des sélecteurs CSS préfixés par -webkit-*, comme les préfixes -moz-*, -o-* et -ms-*. Cela n'est pas prêt de disparaître. C'est même sur le point de se généraliser. Ceux-ci sont pourtant bel et bien documentés comme à destination de tests. Cela est bien évidemment à proscrire.

Le problème se pose massivement sur les navigateurs mobiles, où webkit domine très largement, car il est le navigateur par défaut des appareils iOS et Android. Daniel Glazman, co-chairman du CSS Working Group, a donc lancé un appel, avec l'appui du CSS Working Group.

Développeurs web de tous pays, unissez-vous : ne reproduisez pas les erreurs du passé !

• Call for action: The Open Web needs you *NOW* (282 clics)
• Traduction de l'appel Bonnes pratiques CSS : le Web ouvert a besoin de vous (412 clics)

Le GREYC, laboratoire de recherche en informatique, image, automatique et instrumentation du CNRS situé à Caen, a mis en ligne un service Web (Web service) basé sur le logiciel libre G’MIC (GREYC’s Magic Image Converter, développé dans ce même laboratoire) permettant d’appliquer des filtres/effets sur des images, directement à partir d’un navigateur Web.

C’est à l’occasion de la sortie de la nouvelle version majeure 1.5.2.0 de G’MIC que cette interface Web a été mise en place. Elle reprend les principaux éléments du greffon G’MIC pour GIMP : un arbre des filtres disponibles (+ de 200 actuellement), une fenêtre de prévisualisation de l’effet sélectionné et un panneau de réglage des paramètres.

Des détails sur ce service et sur les nouveautés du projet G’MIC, dans la deuxième partie de la dépêche.

• G’MIC Online (1354 clics)
• G’MIC, page principale du projet (148 clics)
• G’MIC pour GIMP (112 clics)
• Laboratoire GREYC (183 clics)
• Notes de version [1.5.2.0] (73 clics)

Une faille de sécurité dans le protocole SSL 3.0 (et inférieur) et TLS 1.0 a été découverte. Ces protocoles garantissent l’accès chiffré aux serveurs Web. Il n’y a donc plus aucun site Web qui est à l’abri d’une attaque « man in the middle ».

Concrètement, l’attaque consiste à injecter du texte connu dans une page Web (via du JavaScript introduit dans une publicité vérolée, par exemple). Après, il suffit d’écouter la conversion (il faut quand même une session de 30 minutes pour l’exploit actuel) pour découvrir la clef AES. L’exploit permet donc de déchiffrer la page, mais aussi les cookies, et donc de s’identifier sur le site visé.

La faille concerne la version 1.0 de TLS et est corrigée dans la version 1.1, sortie en 2006. En outre, OpenSSL propose un contournement depuis 2004 ; il consiste à injecter des données aléatoires dans la transaction. Malheureusement, les navigateurs utilisent principalement NSS plutôt qu’OpenSSL, et même si sur le serveur on peut forcer l’utilisation de TLS 1.1 ou 1.2, très peu de navigateurs Web les supportent, ce qui freine le déploiement sur les serveurs. Actuellement, seuls IE 9 et Opera en sont capables !

Il faut cependant noter que ces failles sont connues depuis longtemps, c’est ce qui avait mené au correctif dans OpenSSL et à la création de TLS 1.1. Mais c’est la première fois qu’une attaque est publiée, validant ces propositions.

Quelques conseils de navigation :

• utiliser l’extension Firefox noscript ;
• actuellement, là où l’attaque pourra faire le plus de dégât, est sur les webmails ou sur les systèmes de paiement tels que Paypal (ben oui, si quelqu’un pirate ma connexion sur LinuxFr.org, ce ne sera pas très grave, car j’utilise différents mots de passe). Privilégiez donc les clients de messagerie électronique comme mutt ou Thunderbird, en désactivant le HTML.

Merci à Altor pour son aide lors de la rédaction de cette dépêche.

• Le blog de Bruce Schneier (302 clics)
• Le blog de Stéphane Bortzmeyer (590 clics)
• Navigateurs supportant TLS 1.2 (358 clics)

DuckDuckGo est un moteur de recherche.

Créé par Gabriel Weinberg en février 2008, il utilise les résultats d'autres sites web (Crowdsourcing) comme Wikipedia. Son objectif est de permettre un accès rapide, pertinent et confidentiel à ces données brutes.

DuckDuckGo se différencie d'autres moteurs de recherche par une réelle confidentialité (versions SSL, non-JS, avec un service Tor caché, possibilité de remplacer le stockage des préférences personnelles par des urls personnalisées au lieu de cookies…).

Il vise aussi à donner une expérience de recherche plus rapide. Sur ce point, il permet d'obtenir des "réponses instantanées", c'est-à-dire des informations sans avoir besoin de cliquer sur l'un des résultats d'une recherche (un ou deux exemples). De plus, la syntaxe !bang permet d'effectuer des recherches sur des sites via DuckDuckGo. Ainsi, au lieu de taper "amazon" dans un moteur de recherche puis le titre du livre que vous voulez acheter sur le site d'amazon, vous pouvez taper directement, dans DuckDuckGo, "!a titre" ("!a" indique que "titre" sera cherché directement sur amazon.fr).

Le modèle économique de DuckDuckGo repose sur une publicité minimale et désactivable et sur les ventes effectuées à partir d'une recherche avec DuckDuckGo sur des site comme Amazon ou eBay. Il est possible de sélectionner le français pour la recherche mais pas encore pour l'interface.

Enfin, pour ne rien gâcher, DuckDuckGo consacre une partie de ses revenus à financer des projets libres.

• DuckDuckGo (2337 clics)
• Exemples de réponses instantanées (797 clics)
• FAQ (150 clics)

Après des années d’efforts, nous sommes heureux d’avoir libéré le code d’une nouvelle technologie Web nommée Opa. La licence choisie est la GNU Affero General Public License version 3 (AGPLv3).

Cette dépêche a pour but de vous expliquer ce qu’est, et n’est pas, Opa.

• Site Opalang (1717 clics)
• Manuel Opa avec des exemples de code (1003 clics)
• Liste d’applications en Opa (540 clics)
• Dépôt sur GitHub (86 clics)
• La FAQ du projet (163 clics)

Mozilla continue son cycle de sortie rapide et a publié la version 6 ce 16 août. Les nouveautés se font toujours dans la continuité :

• le démarrage est plus rapide lors de l'utilisation de Panaroma ;
• un menu Web developpers a été créé et les outils relatifs y ont été migrés ;
• la gestion du dernier brouillon de la norme Websocket a été intégré (les fonctions de l'API en JavaScript sont pour l'instant préfixées pour marquer l'état de brouillon) ;
• le site identity block, c'est-à-dire le bloc qui indique l'identité d'un site en HTTPS a vu son look modifié ;
• l'utilisation de la console Web a été facilitée ;
• Scratchpad, un outil qui permet de taper son code JavaScript et de l'exécuter directement sur la page courante, a été ajouté.

On peut aussi noter que l'accélération via la carte graphique qui n'était possible qu'avec les pilotes propriétaires nVidia est désormais disponible pour les pilotes classic de Mesa et les pilotes propriétaires d'AMD.

NdM : Thunderbird 6 est également disponible.

• Firefox (446 clics)
• Note de version (176 clics)
• Communiqué de presse de Mozilla Europe (63 clics)

En cette fin d’août, la Fondation Mozilla a annoncé la disponibilité immédiate de Firefox et Thunderbird pour GNU/Linux, Mac OS X et Windows, ainsi que Firefox mobile pour Android. Toutes les nouveautés (ou presque) pour les développeurs et les utilisateurs sont synthétisées dans la seconde partie de cette dépêche.

• Nouveautés de Thunderbird 15 (555 clics)
• Notes de publication de Thunderbird 15 (80 clics)
• Notes de publication de Firefox 15 (274 clics)
• Notes de publication de Firefox Mobile (111 clics)

ownCloud est sorti en version 4. Pour mémoire, ownCloud est un service en ligne qui permet de stocker vos fichiers, de jouer vos musiques, d'afficher votre calendrier, de gérer vos contact, etc. Il offre un accès aux fichiers via WebDAV, un client de synchronisation sous Linux et Windows pour avoir la même version entre votre ordinateur et le serveur et offre aussi de partager votre calendrier et vos contacts via CardDAV et CalDAV. Il existe aussi un client pour synchroniser vos fichiers avec votre ordinateur.

Tout cela s'installe facilement et ne nécessite que PHP et une base MySQL ou PostgreSQL. Et si vous ne voulez pas l'installer, il existe plusieurs sites qui vous proposent un compte sur leurs installations. ownCloud.com propose même des solutions pour les entreprises.

NdA : Merci à eMerzh, Benoît et Altor pour leur aide lors de la rédaction de cette dépêche.

• Annonce officielle de la sortie (286 clics)
• Site Demo (1398 clics)
• Site officiel (592 clics)
• Liste des fonctionnalités (205 clics)

Pastebin.com est un service qui permet à n'importe qui de partager des informations sous forme de texte. Jusqu'à peu, on pouvait partager tout et n'importe quoi, mais cela va changer ! Le propriétaire, Jeroen Vader, a en effet annoncé qu'il allait embaucher des employés pour modérer le contenu du site, sous la pression des nombreuses plaintes qu'il recevait (en moyenne 1200 par jour).

Partant de là, Seb Sauvage a commencé à développer un outil qui permettrait d'empêcher ce type d'auto-censure, dans un service similaire à pastebin. Le résultat est ZeroBin.

• Wiki de ZeroBin (795 clics)
• Annonce du filtrage du contenu de pastebin.com (168 clics)
• Blog de Seb Sauvage (449 clics)
• Démo de ZeroBin (544 clics)

Le changement de cycle annoncé avec la sortie de Firefox 4 a bien été respecté, puisque trois mois à peine après la sortie de ce dernier, voici une nouvelle version du navigateur Web. La liste des nouveautés, détaillées en seconde partie, est donc, bien sûr, beaucoup plus réduite.

• Firefox (961 clics)
• Notes de version (458 clics)
• Digitizor: "Firefox 5 Benchmarked – Faster And Better Than Ever Before!" (260 clics)

Weboob (Web Out Of Browsers) est un ensemble d'applications interagissant avec des sites Web. À peine plus d'un mois après la sortie de la version précédente, fort de l'activité des contributeurs du projet, Weboob 0.b a été relâchée.

Les principales nouveautés, telles que le très attendu module pour Free Mobile ou les applications de recherche d'appartement, seront développées en seconde partie de dépêche. Vous y découvrirez également les péripéties de l'intégration de Weboob dans Debian, ainsi que l'organisation du prochain boobathon.

• Site web (770 clics)
• Liste complète des changements (71 clics)
• Installation (110 clics)
• Liste des modules (153 clics)
• Architecture (63 clics)
• Planet Weboob (409 clics)