Firefox 66 sur la route !

60
20
mar.
2019
Mozilla

La version 66 de Firefox a été publiée le 19 mars 2019.

Les principales nouveautés amélioreront votre confort (lecture automatique bloquée sur les versions bureau et Android, défilement d’une page en cours de chargement optimisé pour éviter les sauts sur la version bureau), votre productivité (recherche possible à travers les onglets ouverts sur la version bureau, prise en charge préliminaire de la Touch Bar des Mac), sans oublier les performances et la sécurité!

Nous évoquerons aussi les avancées dans l’implémentation du moteur de rendu graphique WebRender, et un nouveau projet d’envergure : Fission.

Comme d’habitude, le détail des nouveautés suit ci‐dessous.

Sommaire

Quoi de prévu pour 2019 ?

Concernant le renforcement des options en matière de lutte contre le pistage, ce billet officiel définit ce que Mozilla entend par « bloquer par défaut » à l’avenir. Dans cet autre billet, Mozilla s’adresse aux éditeurs de sites pour leur expliquer que cette stratégie anti‐pistage devrait impacter financièrement principalement les sites tiers (autrement dit les régies publicitaires), tandis que la relation éditeur‐utilisateur en sortira assainie. Un peu de pédagogie ne peut pas faire de mal.

Passons aux nouveautés de la version 66.

Nouveautés pour le bureau

Citons :

  • le rendu du défilement a été amélioré pour éviter les décalages intempestifs lorsque la page est en cours de chargement ;
  • possibilité de faire une recherche parmi les onglets ouverts via le menu contextuel des onglets ;
  • détection et alerte contre les attaques de l’homme du milieu (MITM) (lire l’article de Numerama ou le rapport de bogue) ;
  • les sons et les vidéos sonorisées d’une page Web ne sont plus lancés automatiquement par décision du titulaire du site : Firefox les bloque par défaut, jusqu’à ce que l’utilisateur active le son ou la vidéo manuellement d’un simple clic ; s’il le souhaite, l’utilisateur peut autoriser, site par site, la lecture automatique de telles ressources (et ainsi créer une « liste blanche » de sites autorisés à lancer automatiquement des ressources sonores) — lire le billet de blogue officiel ;
  • performances sensiblement améliorées (et consommation mémoire réduite) pour les extensions grâce à un nouveau back‐end (à savoir IndexedDB) pour l’API WebExtensions storage.local (plus ici) ;
  • le nombre de processus simultanés maximum en charge du rendu passe à 8 ;
  • nouvelle page about:privatebrowsing (avec recherche possible) ;
  • prise en charge basique de la Touch Bar des Mac ;
  • la barre de titre est cachée par défaut sous GNOME pour correspondre aux lignes directrices de cet environnement ;
  • un bogue qui ralentissait Firefox sous GNU/Linux à l’ouverture de la fenêtre de dialogue de téléchargement a été corrigé.

Nouveautés pour Android

Citons :

  • possibilité d’ouvrir des fichiers depuis un support de stockage externe, comme une carte SD ;
  • la lecture automatique est bloquée par défaut, un site peut l’enclencher après que l’utilisateur a interagi avec le lecteur de médias.

Actualités afférentes

Lettre ouverte de Mozilla à Facebook…

… pour éviter les campagnes de désinformation ciblées et plutôt promouvoir la transparence, le choix et le contrôle. Elle est lisible en français ; une mise à jour a été effectuée le 12 février 2019 avant les élections européennes.

Projet Common Voice (mutualiser nos voix)

Mozilla vient de mettre à la disposition du public le plus grand jeu de données de voix humaines disponible, en dix‐huit langues différentes, ce qui représente près de 1 400 heures de données vocales sous licence CC0 enregistrées par plus de 42 000 contributeurs (lire l’annonce officielle).
Cette initiative vient s’ajouter à une autre de Mozilla : le projet DeepSpeech de moteur open source de reconnaissance vocale.

Avancées concernant WebRender

Après le remplacement du moteur de style de Firefox par celui du projet Servo (Quantum CSS, intégré à la version 57), le remplacement du moteur de rendu graphique de Firefox par (WebRender) (issu du même projet Servo) est en cours. Lequel a d’ores et déjà été activé par défaut pour certaines configurations (les utilisateurs de Windows 10 possédant une carte NVIDIA) depuis la version 64 Nightly de Firefox. Depuis fin janvier, c’est au tour des utilisateurs de Windows 10 possédant certaines cartes AMD et tournant sous Nightly de profiter de WebRender par défaut. Les possesseurs de puces graphiques Intel intégrées devraient suivre.
L’équipe vise un déploiement dès la prochaine version (67) de Firefox pour les configurations ayant passé les tests.

Pour ce qui concerne notre système d’exploitation préféré, des bogues touchant WebRender sous Wayland sont en train d’être travaillés (voir le rapport de bogue centralisateur correspondant).

Quoi d’autre dans les toutes prochaines versions de Firefox ?

Ce billet d’étape nous révèle l’important travail en cours pour accroître tous azimuts les performances de Firefox. L’autre chantier c’est le gestionnaire de mots de passe Lockbox développé pour iOS et Android qui est en train d’être porté sous forme de WebExtension pour la version bureau.

Cet autre billet d’étape révèle que les versions Nightly peuvent bloquer, d’après une liste, les logiciels connus de prise d’empreinte numérique (fingerprinting) et de cryptominage :
Options de Firefox Nightly contre la prise d’empreinte digitale du navigateur et le cryptominage.

En activant la préférence privacy.resistFingerprinting.letterboxing, la version 67 pourra contrer certaines techniques de prise d’empreinte numérique en contraignant le redimensionnement de la fenêtre du navigateur à des multiples de 200 × 100 (vidéo de démo sur YouTube) (Tor Browser avait déjà mis en place des contre‐mesures sur ce point critique, plus simples techniquement mais plus contraignantes pour l’utilisateur). Notez les marges grises autour de la page Web :
Letterboxing dans Firefox contre la prise d’empreinte numérique du navigateur

Firefox Send

La nouvelle fonctionnalité de Firefox n’est pas là où on l’attend : c’est un service de partage de fichiers sous la forme d’un site Web. Ce service est ouvert à tout le monde, limité à 1 Gio par fichier (ou 2,5 Gio si l’émetteur a un compte Firefox). Ce service offre un chiffrement de bout en bout pour une confidentialité totale, avec de nombreuses possibilités de suppression automatique du fichier : après un certain nombre de téléchargements ou un certain délai (24 heures au maximum, mais jusqu’à sept jours si l’émetteur a un compte Firefox). Cela se passe à l’adresse https://send.firefox.com et vous pouvez consulter le communiqué de presse en français pour plus de détails.
On pourra toutefois regretter l’absence d’intégration à l’interface de Firefox !

Projet Fission : une nouvelle étape pour Firefox

Le site blog.mozfr.org résume l’annonce officielle (licence Creative Commons CC By-SA 4.0+) :

[Le projet Fission] vise à une isolation complète des sites. Cette nouvelle évolution des processus de Firefox, après Electrolysis qui séparait le contenu et l’interface (chrome), séparera les iframes intersites en différents processus de leur frame parent. Cela permettra de prévenir les failles de violation de la politique de même origine (same‐origin policy), telles que celles vues dans le cadre des attaques appelées Spectre et Meltdown.

Sur Developpez.com un article détaille bien cette sécurisation à venir déjà présente sur Google Chrome.

Firefox 15.0 pour iOS

Le 14 février est sortie la nouvelle version de Firefox pour iOS (qui doit hélas utiliser WebKit le moteur de rendu de la plate‐forme, au lieu du moteur de rendu propre à Firefox), avec une nouvelle présentation des menus et options, un mode de navigation privé persistant après la fermeture du navigateur, et de nouvelles possibilités d’organisation des onglets lors de leur ouverture (lire le billet officiel en anglais).

La version Wayland de Firefox dans Fedora 31

Fedora 30, prévue en mai, devait embarquer par défaut la version Wayland de Firefox. Finalement, ce serait dans la version 31.

Parution de la version 1.9 de l’extension Copy PlainText

La version 1.9 de l’extension libre Copy PlainText pour Firefox est sortie, qui ajoute une fonctionnalité que j’attendais. Outre la désormais classique entrée du menu contextuel Copy PlainText, l’extension ajoute désormais la très pratique entrée Paste PlainText : quand on a oublié d’utiliser la fonction lors du copier, on peut à présent se rattraper lors du coller !
Je ne peux décemment reprocher à cette super extension rien d’autre que son icône qui dénote dans mon environnement GNOME…

L’EFF alerte sur le fait que DarkMatter contrôle un certificat intermédiaire de DigiCert appelé QuoVadis

Pensez à révoquer vos certificats QuoVadis !

Chrome est le nouvel Internet Explorer 6

Après la toute récente décision de Microsoft d’abandonner, au sein d’Internet Explorer, son propre moteur de rendu des pages Web au profit de celui de Chrome, v’là‐t’y pas que Skype (qui appartient à présent à Microsoft) semble désormais n’être plus développé que pour Chrome… :/

Contribuer aux dépêches sur Firefox

Pour contribuer à la prochaine dépêche sur Firefox 67, c’est par ici !

Aller plus loin

  • # Excellent titre !

    Posté par . Évalué à 10. Dernière modification le 20/03/19 à 10:52.

    tout est dans le titre ;-)

    • [^] # Re: Excellent titre !

      Posté par . Évalué à 4.

      Get your clicks…

      La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".

  • # Je n’ai pas d’idée de sujet…

    Posté par (page perso) . Évalué à 9.

    Triste conclusion des actualités…
    Merci Mozilla pour la poursuite des efforts et la maintenance de ce navigateur au service de ses utilisateurs.
    Merci aux rédacteurs pour cette page d’information.

  • # Article

    Posté par . Évalué à 5.

    Bonjour,
    Merci pour cet article intéressant et enrichissant !

  • # qui croire ?

    Posté par . Évalué à 2.

    L'EFF ou ProtonMail ?
    On supprime ou pas les certif QuoVadis?

    • [^] # Re: qui croire ?

      Posté par (page perso) . Évalué à 4. Dernière modification le 20/03/19 à 17:38.

      Si ProtonMail se plante dans son argument, sa crédibilité et donc son business meurt direct car tout repose sur sa crédibilité.
      Mozilla, Google, Microsoft, Apple basent leur sécurité (et donc leur business, certes ça navigue entre pas supprimer et faille et trop supprimer et inutilisable, à toi de voir la confiance que tu as dans leur jugement) sur la confiance de la chaîne de CA, et aucun d'entre eux ne pense virer QuoVadis, le débat semble être sur accepter directement DarkMatter ou pas.
      Si l'EFF se plante dans son argument, sa crédibilité (ou ce qu'il en reste si elle a déjà existé) n'a pas vraiment d'impact, les gens trouvant l'EFF crédible continueront car c'est un surtout par dogmatisme (coucou les adorateurs de cacert) plus quelque chose de réfléchi, les autres s'en foutant déjà de eux.

      cet article me semble plus objectif et détaillé (notamment "malgré l'absence de preuve d'abus")… Je te laisse conclure suivant en qui tu as le plus confiance.

      • [^] # Re: qui croire ?

        Posté par (page perso) . Évalué à 10.

        Tu mets tout sur le plan du business et de la crédibilité, comme si on était incapable d'oublier, comme si notre mémoire infaillible pouvait instantanément contredire les sirènes du marketing. La crédibilité ça se fabrique. Et puis qui se rappelleras de « l'affaire » DarkMatters dans 10 ans ?

        Je te laisse conclure suivant en qui tu as le plus confiance.

        Ta phrase n'est pas claire : à qui suggères-tu de faire confiance ? à la société d'espionnage DarkMatter dont la crédibilité et le business dépendent de ses capacités d'interception des communications, ou bien à la fondation EFF dont le rôle est d'alerter sur les risques ?

        En appeler à l'avis personnel c'est aller un peu vite. La question déborde largement l'opinion :

        • il y a un précédent qui s'est mal terminé avec l'autorité de certification officielle du gouvernement chinois
        • le magasin de certificats de Mozilla est partagé avec des distributions Linux
        • lesquelles sont utilisées aussi dans des pays répressifs où la surveillance règne en maître
        • et dans un tas de serveurs indispensables pour « faire tourner » l'internet

        La responsabilité de l'EFF, de Mozilla et des autres, c'est le risque de compromettre la sécurité de l'internet et celle d'opposants dans des dictatures. Rien à voir avec la crédibilité d'un business.

        "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

        • [^] # Re: qui croire ?

          Posté par (page perso) . Évalué à -3. Dernière modification le 21/03/19 à 10:58.

          à qui suggères-tu de faire confiance ?

          Je te laisse décider, tu es assez grand, j'ai mis les points pour que tu le puisses, entre d'un côté Mozilla (et on rajoute comme tu l'as indiqué pas mal de distros Linux), Google, Microsoft, Apple, et de l'autre l'EFF.

          il y a un précédent qui s'est mal terminé avec l'autorité de certification officielle du gouvernement chinois

          Depuis, des contre-mesures ont été mise en place, c'est une possibilité à usage unique.

          la fondation EFF dont le rôle est d'alerter sur les risques

          Pour remplir une mission d'alerte, il faut être crédible, et ça commence par pas de fausses alertes ou d'alertes sans arguments probants.
          Mais encore une fois, libre à toi de choisir en qui tu as confiance.

          Rien à voir avec la crédibilité d'un business.

          Ben si, car c'est la seule épée de Damoclès sur ces entités, que ça te plaise ou pas.

          La crédibilité ça se fabrique.

          Tout à fait. Et ça se perd aussi très rapidement, soit en ne blacklistant pas quand il faudrait, soit en blacklistant inutilement sans preuves ou en blacklistant plus que nécessaire.

          Note : tu n'as apporté aucune preuve, juste des généralités vides (on pourrait l'appliquer à n'importe quelle CA, c'était même l'argumentation principale de la blague cacert qui proposait une conception pire pour corriger ces défauts réels mais dont on n'a pas encore trouvé mieux) pour qu'on ne puisse pas contredire factuellement. Libre à toi de baser ton choix de confiance la dessus, ça ne m'impacte pas, je n'ai fait que répondre à une interrogation d'une commentateur et maintenant il est lui aussi libre de décider quoi faire.

          • [^] # Re: qui croire ?

            Posté par (page perso) . Évalué à -3.

            Depuis, des contre-mesures ont été mise en place, c'est une possibilité à usage unique.

            S’il nous fallait encore une preuve que ce n’est certainement pas à toi qu’on peut faire confiance, tu viens de nous la donner.

        • [^] # Re: qui croire ?

          Posté par . Évalué à 2.

          Si j'ai bien compris ce qui est suggéré par l'EFF, cela reviendrait à supprimer les certificats (racines?) d'une autorité (Quovadis/Digicert) parce qu'elle a donné des clés à une entité suspecte, même si cette entité suspecte n'a aucune autorité sur la création de certificats délivrés par Digicert/Quovadis, est-ce correct?

          Et si c'est correct, ce n'est pas un peu "exagéré" (alerte euphémisme) comme réponse? De fait, il me semble comprendre la réponse de ProtonMail, d'où ma question.

          • [^] # Re: qui croire ?

            Posté par . Évalué à 3.

            Ok, je me corrige: l'EFF ne demande pas explicitement de supprimer les certif's QuoVadis mais explicitement ceux de DarkMatter. C'est l'article de Korben qui est foireux! (ou pute-à-clics, de toutes façons c'est pareil *soupirs*)

  • # Certificats maison

    Posté par . Évalué à 3.

    Si une entreprise déploie un Firefox maison dans lequel elle a ajouté ses propres certificats, elle peut faire du MITM sans qu'on n'y voit rien ?

    • [^] # Re: Certificats maison

      Posté par (page perso) . Évalué à 6.

      Dès lors que tu peux modifier le navigateur, tu es déjà entre le site et l'utilisateur!

      ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: Certificats maison

      Posté par (page perso) . Évalué à 6.

      Oui, sans hésitation.
      C’est la norme dans quelques administrations françaises et grandes entreprises où j’ai travaillé.

      Le principe est simple :

      • Le navigateur (IE, Firefox…) connaît les autorités de confiance habilitées à valider un certificat de site web.
      • L’entreprise/administration établit au sein du groupe un poste de travail standard, dans lequel le(s) navigateur(s) intègrent une « autorité de confiance » interne (gérée par l’IT du groupe).
      • Quand tu visites un site, ça passe par le proxy-MITM du groupe, qui ne fait que te répondre (signé avec un certificat généré à la volée et authentifié par l’autorité de confiance interne) ce que le vrai site a répondu. Si tu ne regardes pas le certificat, c’est complètement transparent.

      Pourquoi faire ça ? Tout simplement pour la « sécurité », la surveillance, etc.
      Historiquement, les entreprises aiment bien regarder ce qui entre et sort du réseau interne, pour vérifier que ça ne parle pas de jeu, de boursicotage, de sites sociaux… bref tout ce qui pourrait faire perdre en productivité. Tout cela se fait sous couvert (en partie justifié) de « sécurité » : audit, lutte contre la fuite de données, etc.
      Avec SSL puis TLS, c’est plus compliqué. MITM et le DPI sont vus comme des solutions à ce genre de difficulté.

      • [^] # Re: Certificats maison

        Posté par (page perso) . Évalué à 2.

        Il me semble cependant que les entreprises qui mettent en place ce genre de MITM doivent avertir les utilisateurs (généralement dans la charte d'utilisation des ressources informatiques).

  • # Edge, pas internet explorer

    Posté par . Évalué à 7.

    Il me semble que c'est Microsoft Edge et pas Internet Explorer qui abandonne son moteur de rendu.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.