Une nouvelle version de Firefox vient de sortir ce 31 mars, et il est temps de faire le tour de cette version dopée au rubidium !
Sommaire
Changements communs (bureau et mobile)
Prise en charge de OneCRL pour la gestion centralisée de révocation de certificats.
La prise en charge de DSA dans les certificats et TLS n'est plus assurée.
La gestion des contraintes sur le courriel pour les certificats fait son apparition.
La version 36 apportait la prise en charge d'HTTP/2, une évolution d'HTTP/1.1 basée sur le protocole SPDY de Google. Durant la mise en place d'HTTP/2, certaines critiques furent émises quant à l'impossibilité d'utiliser le chiffrement opportuniste tel que STARTTLS. Firefox gère maintenant les services alternatifs, notamment le chiffrement opportuniste.
Une version de repli non sûre de TLS a été désactivée par sécurité.
La prise en charge d'HTML5 se poursuit avec la disponibilité des WebSockets dans les Web Workers et indexedDB est accessible depuis un Worker. display:content est maintenant une propriété CSS prise en charge.
Bureau
Visible
Dans le but d'avoir plus de retours de la part des utilisateurs, une nouvelle fonctionnalité nommée battements de cœur proposera aux utilisateurs de donner une note à Firefox de 3 à 5 étoiles. Chaque jour un certain nombre d'utilisateurs sont tirés au hasard pour répondre à cette question, et des liens pour améliorer l'expérience seront proposés en fonction de la note donnée. Cette fonctionnalité est désactivable en mettant la valeur de browser.selfsupport.url à une chaîne de caractère vide.
Si vous utilisez le moteur de recherche B!ng, Firefox se chargera de l'utiliser via HTTPS par défaut.
Sous le capot
Un sous-ensemble de l'API Media Source Extension (MSE) a été implémenté pour pouvoir jouer les vidéos YouTube en mode HTML5. C'était prévu pour la version 36, mais fut finalement désactivé, car cela n'était pas assez mature. Le travail continue pour pouvoir activer MSE par défaut partout d'ici 2 à 3 versions si tout va bien. En outre, du travail est en cours pour améliorer la fluidité des vidéos 4K sur YouTube en html5. Néanmoins, ce sous-ensemble de MSE concernera Mac OS X pour la prochaine version. Les versions Linux de Firefox utiliseront seulement le MP4, le lecteur ayant quelques difficulté à concilier VP9 et MSE.
Pour les développeurs
Valence se développe pour ouvrir un onglet de débogage sur Chrome Desktop, Chrome sur Android et Safari sur iOS.
Un nouveau panneau animations apparaît dans l'inspecteur, ainsi qu'un panneau sécurité au sein du panneau réseau.
Le débogueur prend maintenant en charge les adresses de type chrome:// et about://.
Sécurité
Au cours de la version précédente, quelques failles de sécurités ont été corrigées, dont certaines critiques.
Il y a d'abord eu quelques bogues affectant la sécurité des appels mémoire dont certains pouvaient être corrompus avec, à la clé, la possibilité de lancer du code arbitraire.
Puis un chercheur en sécurité, Pantrombka, découvrit un dépassement de la pile lors de la lecture de vidéos invalides au format mp4.
Enfin, durant la Pwn2Own préparée par HP, ilxu1a et Mariusz Mlynski ont découvert deux vilains bogues. Le premier à propos de l’implémentation incorrecte de la vérification des types de tableau en Javascript durant la compilation à la volée, permettant ainsi de lire une partie de la mémoire vive (et de lancer du code arbitraire). Le second à propos d'une augmentation de privilèges (chrome) donnés à un script Javascript quelconque, outre-passant la Same Origin Policy via un souci dans la navigation de contenu SVG.
Mobile
Visible
La nouvelle interface sur tablettes inaugurée à la version 36 a été améliorée
Il est maintenant possible d'envoyer des vidéos sur des dongles Matchstick
Les langues suivantes sont maintenant prises en charge : l'albanais, le birman, le bas-sorabe, le haut-sorabe, le songhaï et l'ouzbek.
La barre d'adresse affiche maintenant l'adresse du site visité, et non le titre de la page.
Sous le capot
Les performances des téléchargements ont été améliorées grâce à la création d'un nouveau gestionnaire de téléchargements.
Demain
Depuis quelques versions, sur le bureau, vous avez peut-être remarqué l'apparition de about:preferences. Celle-ci était activée durant la première moitié de cette bêta, et remplacera la fenêtre des préférences actuelle dans la version 38.
Sous Microsoft Windows, une version de Firefox 64 bits devraient enfin être disponible: Developer Edition
Dans les mois à venir
Electrolysis avance, avec des améliorations, mais surtout avec une prise en charge dans un nombre croissant de parties de Firefox. Le plan actuel est une sortie avec la version 42 en fin d'année.
Firefox 38
Encrypted Media Extensions (EME) devrait pointer son nez dans Firefox 38. Les DRM arrivent peu à peu. Ils nécessitent que MSE soit finalisé au préalable.
WebRTC au sein de Firefox devrait pouvoir gérer le multistream et la renégociation. Ainsi Firefox va pouvoir partager ses fenêtres ou celles d'autres applications. Idéal si vous souhaitez faire une démonstration d'un logiciel libre à vos amis (bogue 906956).
Notez que WebRTC vient d'avoir sa première RFC: RFC 7478. Fidèle au poste, Stéphane Bortzmeyer, en a fait une analyse
Un site web ne pourra plus décider si le navigateur doit sauvegarder ou non le mot de passe dans un formulaire à la place de l'utilisateur (autocomplete="off" sera ignoré).
Firefox 38 connaîtra Ruby. Un pas de plus pour les langues asiatiques.
La page d'information about:support va remplacer son bouton « Réparer Firefox » par un redémarrage en mode sans échec (bogue 547623)
Firefox 39
Les pages d'information d'un site web auront un bouton d'aide pointant vers cette page: https://support.mozilla.org/fr/kb/voir-details-techniques-page
La partie graphique sous Linux continue de progresser. OMTC (OffMainThreadCompositing) est activée dans les versions nocturnes. Un bogue vient d'être corrigé pour la version 39 : bogue 1128934. Il ne resterait plus que 2 bogues bloquants. Mise à jour : OMTC pour GNU/Linux ne serait pas disponible avant la version 40
Meilleur usage des ressources du CPU avec la résolution du bogue 962594.
La version 39 proposera un mode lecture, comme le fait la version mobile : du travail est en cours pour en faire une bibliothèque qui s’intégrera dans la version de bureau.
Firefox OS
Alors que les japonais peuvent utiliser un téléphone sous Firefox qui connaisse la norme LTE, les prochaines versions devraient généraliser l'usage de cette norme et celle de la voix sur LTE (dit aussi VoLTE).
Firefox OS saura lire les fichiers FLAC à la différence de la version Bureau (bogue 1039639) .
Internet Explorer/Spartan
Microsoft va utiliser asm.js dans son moteur JavaScript Chakra. Notez que, bon prince, ils comptent faire quelques retours à Mozilla pour optimiser quelques points :
Bringing asm.js to the Chakra JavaScript engine in Windows 10
Microsoft announces asm.js optimizations
Aller plus loin
- Firefox (579 clics)
- Firefox 37 (notes de version) (349 clics)
- Firefox Channels (47 clics)
- Calendrier des sorties (54 clics)
- List des failles corrigées et connues (66 clics)
- Sorties sur le serveur ftp (71 clics)
# autocompletion
Posté par Anonyme . Évalué à 7.
quelle en serait la justification ?
[^] # Re: autocompletion
Posté par Jiehong (site web personnel) . Évalué à 10.
Alors,
autocomplete=offest un truc qu'IE avait introduit, mais qui n'est pas standard. Cela permettait au site de ne pas laisser le gestionnaire de mot de passes se rappeler le mot de passe lié à l'identifiant pour un champs donné.C'est enlevé car, outre le fait que ce ne soit pas standard, le gestionnaire de mots de passe demande toujours à l'utilisateur s'il souhaite enregistrer ce mot de passe ou non. Ce n'est pas au site de décider pour toi. IE 11 ne supporte plus cette option, et Safari permet de désactiver ce comportement.
À l'époque, je pense que ça avait été mis en place car tous les champs étaient remplis automatiquement, et que les mots de passe n'étaient pas traités différemment, ce qui pose un problème de sécurité. Ce n'est plus le cas aujourd'hui, et cela ne devrait pas être visible pour l'utilisateur en général.
J'avoue que c'est mal tourné dans la dépêche, mais j'ai zappé cette phrase.
[^] # Re: autocompletion
Posté par Anonyme . Évalué à 10.
Donc ce n'est pas l'autocompletion qui n'est plus proposé par firefox, mais la prise en charge de l'attribut autocomplete.
C'est donc une bonne chose, contrairement à ce que j'avais compris en première lecture !
[^] # Re: autocompletion
Posté par Zenitram (site web personnel) . Évalué à 8. Dernière modification le 31 mars 2015 à 22:21.
En fait, on comprend exactement l'inverse (que ce sera à off vu que "plus proposé" par défaut et non changeable)
--> Le paramètre autocomplete, attribut non standard qui permettait au site de demander de ne pas laisser le gestionnaire de mot de passes se rappeler le mot de passe lié à l'identifiant pour un champs donné, ne serait plus supporté.
[^] # Re: autocompletion
Posté par Jiehong (site web personnel) . Évalué à 4.
Si un modérateur veut bien changer pour la version de Zenitram, ça serait parfait !
[^] # Re: autocompletion
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
J'ai reformulé la phrase, merci.
[^] # Re: autocompletion
Posté par Vincent Bernat (site web personnel) . Évalué à 4.
autocompleteest standard: https://html.spec.whatwg.org/multipage/forms.html#autofill[^] # Re: autocompletion
Posté par Jiehong (site web personnel) . Évalué à 4.
Oops, c'est vrai.
Ici, le but c'est d'ignorer
autocompleteuniquement pour les<input type=password>.[^] # Re: autocompletion
Posté par MCMic (site web personnel) . Évalué à 2.
C’est con, on venait d’ajouter ça dans FusionDirectory, parce que ça fait chier les utilisateurs que leur navigateur propose de sauver le mot de passe chaque fois qu’on change le mot de passe d’un utilisateur…
https://forge.fusiondirectory.org/issues/3562
# Flash PPAPI support
Posté par walker17x . Évalué à -3.
Les développeurs pourraient quand meme faire un effort pour les linuxiens abandonnés par adobe et ajouter un support partiel des plugins ppapi afin de pouvoir utiliser pepper flash out of the box , surtout que comme ça été déja dit firefox ne gére pas encore html5 video ( sur youtube ) totalement ( mse et drm incomplet , mauvaise gestion vp9 )
et ça sera beaucoup mieux que les instables et casse téte pipelight ou freshflashplayer.
Chrome dans sa version dev gére bien les plugins NPAPI
Et j'ai une question est-ce que HTTPS everywher est toujours compatible apres ce changement sur HTTP ?
[^] # Re: Flash PPAPI support
Posté par Jiehong (site web personnel) . Évalué à 4.
HTTP/2 concerne HTTP et HTTPS, et c'est activé par défaut.
En outre, Mozilla a décidé de n'accepter que des requêtes HTTP/2 sécurisées, soient uniquement en HTTPS (TLS)
[^] # Re: Flash PPAPI support
Posté par RyDroid . Évalué à 2.
YouTube utilise déjà des DRM ? Sans quelconque plugin, je n'ai depuis longtemps plus de problème avec YouTube, que ce soit avec Iceweasel (fork de Firefox par Debian) et Firefox pour Android. Tu peux aussi utiliser youtube-dl.
[^] # Re: Flash PPAPI support
Posté par louiz’ (site web personnel) . Évalué à -1. Dernière modification le 01 avril 2015 à 03:29.
[j’ai mal lu, ignorez]
[^] # Re: Flash PPAPI support
Posté par gnumdk (site web personnel) . Évalué à 5.
Pourtant firefox est incapable de fonctionner avec toutes les résolutions disponibles sur youtube car il faut activer une options dans about:config
Et quand je l'active, ben, firefox n'arrive plus à lire les vidéos…
[^] # Re: Flash PPAPI support
Posté par ariasuni . Évalué à 3.
Ah je ne suis pas le seul! Du coup je suis repassé sur le lecteur Flash. Mais que ça soit le lecteur Javascript ou le lecteur Flash, il n’y en a pas un qui fonctionne mieux que l’autre, ils fonctionnent simplement mal de façon différente.
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Flash PPAPI support
Posté par louiz’ (site web personnel) . Évalué à 5.
Perso j’ai aucun problème à lire les vidéos de youtube dans toutes les résolutions (y compris au delà de 720p), sans flash.
J’ai juste activé les trucs mediasource dans about:config.
[^] # Re: Flash PPAPI support
Posté par Tarnyko (site web personnel) . Évalué à 2.
Alors en fait, Mozilla elle-même ne soutient pas l'initiative, mais il existe Fresh Player Plugin qui est un add-on PPAPI pour Firefox (dont le but avoué est de faire tourner Flash ;) )
Je l'ai essayé très récemment, et ça marche pas mal du tout.
[^] # Re: Flash PPAPI support
Posté par ariasuni . Évalué à 2.
Je ne sais si c’est dû au fait que ça soit une version plus récente de Flash et donc plus instable ou bien au hack utilisé pour faire fonctionner cette version de Flash sur Firefox mais les plantages sont bien plus fréquents (avant c’était exceptionnel que Flash plante, maintenant c’est régulier, quelques fois par mois).
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Flash PPAPI support
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 6.
Non. Flash ça pue. Les plugins ppapi, npapi et tout autre boite noire / blob binaire obscure, ça pue. Flash est bourré de trous de sécurité, c'est super chiant à mettre à jour, etc.
Mozilla préfère, dans un monde idéal, ne plus avoir ce genre de chose dans des pages webs.
Et à l'heure actuelle, je pense qu'ils préfèrent mettre leurs ressources dans Shumway, le player flash entièrement en JS (donc sandboxable, contrôlable par le navigateur, moins sujet à des trous de sécu etc), que dans une API de toute façon vouée à disparaitre.
# OMTC sous GNU/Linux
Posté par Sylvestre Ledru (site web personnel) . Évalué à 2.
Ca ne sera pas en 39. Probablement en 40 (si tout se passe bien).
[^] # Re: OMTC sous GNU/Linux
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Précisé dans la dépêche, merci.
# Politiquement correct
Posté par Antoine . Évalué à 10.
Miracles du marketing : il est donc interdit d'estimer que Firefox ne vaudrait que une ou deux étoiles ? Ils ont peur d'être froissés par de trop mauvais résultats ?
[^] # Re: Politiquement correct
Posté par El Titi . Évalué à 9.
C'est réservé à la version payante.
Un peu comme dans la politique.
Il faut prendre ta carte de l'UMP pour virer Sarko des prochaines élections.
Tu vois le truc ;-)
# HTTP/2
Posté par RD . Évalué à 0.
C'est un coup de pouce au business-SSL, au "web-selon-[les-nécessites-de]-Google", et de manière générale un grand dépit:
https://www.varnish-cache.org/docs/trunk/phk/http20.html
https://lists.w3.org/Archives/Public/ietf-http-wg/2015JanMar/0043.html
PS: des autorités reconnues par les applications du grand-public, permettant le wildcard et le multi-domaines, … pour moins de 300€ à l'année, il n'y en a pas 36. [il y en a une (seule ?)]
[^] # Re: HTTP/2
Posté par Kioob (site web personnel) . Évalué à 4.
Y a au moins Gandi, qui propose le wildcard à 120€ par an.
Sinon le choix de se limiter à la version TLS n'est pas forcément déconnante, à condition qu'ils ouvrent bientôt leur service Let's Encrypt.
alf.life
[^] # Re: HTTP/2
Posté par Zenitram (site web personnel) . Évalué à 2.
Pourquoi? Justement, c'est voulu et il y a un refus net et clair de Mozilla pour éviter les dumps tiers.
tu trouveras toujours des gens pas d'accord, c'est normal (et démocratique), ça ne veut pas dire qu'ils aient raison.
1/ tu veux un wildcard, mais tu peux aussi simplement avoir un domaine (ou 2-3), c'est à toi de décider.
2/ StarSLL à $60, Gandi à 120€, ça fait au moins 2 qui rentrent dans tes critères.
3/ Personne n'empèche un acteur "disruptif" d'offrir encore moins cher (voir gratuit) sans pour autant ne pas être crédible (oui, je pense à une offre en particulier ;-) ), d'ailleurs le même Mozilla qui veut du SSL partout y pense : https://letsencrypt.org/ (espérons toutefois que ça ne finisse pas comme d'autres projets genre Personna)
[^] # Re: HTTP/2
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 5.
la différence entre letsencrypt et Persona, c'est que pour letsencrypt, ils ne font pas ça tout seul (cisco, eff, akamai…) D'ailleurs ce projet n'est pas géré par Mozilla directement mais par l'organisation Internet Security Research Group. Et le développeur le plus actif James Kasten fait parti de l'EFF.
# Typo
Posté par Cyril Brulebois (site web personnel) . Évalué à 2.
"[…] fait sont apparition" =~ s/sont/son/ ; merci !
Debian Consultant @ DEBAMAX
[^] # Re: Typo
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Corrigé, merci.
# Tree Style Tabs
Posté par Meku (site web personnel) . Évalué à 4.
Après mise à jour de Firefox 37, l'extension Tree Style Tabs me semblait partiellement cassée : l'ouverture d'un lien dans un nouvel onglet par clic-molette ne le plaçait plus comme onglet fils, mais comme onglet frère.
L'action « clic-droit -> ouvrir dans un nouvel onglet » avait toujours le bon comportement par contre.
Si ça peut dépanner des gens dans le même cas, j'ai pu retrouver le comportement habituel en installant la dernière version de l'extension, disponible ici :
http://piro.sakura.ne.jp/xul/_treestyletab.html.en
[^] # Re: Tree Style Tabs
Posté par dj_ (site web personnel) . Évalué à 3. Dernière modification le 04 avril 2015 à 14:28.
Merci pour la solution, j'avais pas trop cherché a propos de la raison
Sinon l’extension mise à jour est aussi dispo sur addons.firefox
pas trop compris pourquoi elle n'est pas proposé par défaut, elle a été publié il y a 1 mois… c'est long pour etre vérifié…
# Debug
Posté par claudex . Évalué à 3.
Ou aider pour du débug (alors tu clique sur en haut à gauche, non, là tu as cliqué en bas à droite…).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.