Firefox : version 38

Posté par (page perso) . Édité par ZeroHeure, Davy Defaud, Lucas et Nils Ratusznik. Modéré par Yvan Munoz. Licence CC by-sa
58
13
mai
2015
Mozilla

Une nouvelle version de Firefox vient de sortir ce 12 mai, et il est temps d'en exposer les nouveautés principales.

Changements communs (bureau et mobile)

Il vous est maintenant possible de mieux gérer les caractères ruby au sein des pages web. C'est une très bonne nouvelle pour afficher les kanas ou le zhuyin correspondant à la prononciation des idéogrammes asiatiques, respectivement en japonais et en chinois.

Caractères zhuyin indiquant la prononciation (ruby) du mot « bouteille »

Dans la version 37, autocomplete="off" était ignoré. Sa fonction était d'interdire aux sites web de décider si le navigateur peut mémoriser un mot de passe, décision qui revient à l'utilisateur. Cet attribut vient logiquement d'être retiré.

Pour les développeurs, une bonne nouvelle vous attend : vous pouvez maintenant ouvrir une connexion WebSocket au sein d'un WebWorker. Ça peut permettre de séparer la logique et l'affichage dans différents fils d'exécution par exemple.

Bureau

Tout d'abord, sachez que cette version 38 servira de base à la prochaine version longue (ESR).

Changements visibles

On vous en parlait dans la dépêche précédente, et c'est maintenant chose faite : les préférences sont dans un nouvel onglet maintenant, façon Chrome (précédemment accessible via about:preferences)

Nouvel onglets des préférences

Sous le capot

Comme prévu, et sous Windows uniquement pour l'instant, les Encrypted Media Extensions (EME) sont de la partie ainsi que le téléchargement automatique du module Adobe Primetime Content Decryption (CDM) pour la lecture de flux audio/vidéo html5 chiffrés et DRMisés. Cela ne concerne que les version Vista et plus récentes (Firefox 32 bits uniquement) et permet de notamment regarder Netflix.

Tout ceci est désactivable si vous le souhaitez, et une version ne contenant pas EME est disponible chez Mozilla, même si elle est un peu cachée.

Pour les développeurs

Une nouvelle API émerge : BroadcastChannel. Elle permet d'échanger des informations entre iframes ou onglets plus simplement qu'avec des SharedWorkers ou des ServiceWorkers.

Mobile

La conception de l'interface s'étoffe un peu, puisque l'écran de bienvenue fait peau neuve et qu'il est maintenant possible de contrôler la vue lecture hors connexion. En outre, l'interface s'insère mieux dans l'environnement d'Android L en se conformant au material design de Google.

Il est maintenant possible d'« ajouter à Firefox » un objet/lien depuis une application qui n'est pas Firefox.

Enfin, si vous parlez l'Azeri, vous serez heureux de voir que Firefox aussi !

Sécurité

Au moins quatre dépassements de tampon ont été corrigés (lecture de XML compressé, lecture de métadonnées en MP4 et dans les vidéos H.264 lues avec GStreamer, et enfin un dépassement dû à une mauvaise relation entre SVG et CSS).

On retrouve également deux utilisations de variables après leur destruction (dont l'une à cause de texte vertical) ou encore une lecture mémoire en dehors des limites lors de validation asm.js.

Bref, une majorité de fautes typiques de tout développeur en C++.

Demain

SSLv3, non sûr, ne sera plus géré, ainsi que l'algorithme de chiffrement à flots RC4 qui est cassé depuis longtemps. D'ailleurs, il est maintenant interdit d'utilisation dans le protocole TLS depuis la RFC 7465.

Si vous souhaitez plus de détails sur l'ensemble des nouveautés, n'hésitez-pas à consulter les notes de version.

  • # Développeur en C++

    Posté par . Évalué à 5. Dernière modification le 13/05/15 à 19:05.

    "Bref, une majorité de fautes typiques de tout développeur en C++."

    Bravo!
    Sauf que…
    En fait, il n'y a aucun rapport. Les problèmes énoncés sont n'ont rien à voir avec le langage de programmation.
    En quoi l'interprète JS utilisé pour "recompiler" le code JS asm.js en code natif a un rapport avec le langage utilisé ?
    Il pourrait être écrit en Java / brainfuck, c'est le "code compilé généré" qui est fautif, donc l'algorithme, et pas le langage.
    Le lien CSS et SVG non plus (qui est en C et pas C++), l'XML compressé qui est probablement dans zlib (en C), ou les metadata du MP4 (Vala? asm ?) bref…
    Du C++ bashing de base, sans fondement, dommage, c'est raté, la prochaine fois, peut-être ?

    Pour information, tout projet sérieux (qui se dit l'être) utilise des vérificateurs statiques (AddressSanetizer / Clangtidy) et dynamiques (Valgrind), Firefox n'y faisant pas exception. Et ce n'est pas parce que il est écrit en C++ que c'est nécessaire (d'ailleurs, les mêmes vérificateurs sont utilisés pour des programme qui utilise du Ruby, du Fortran, du Python, du Vala, etc..), parce que on ne vit plus dans sa bulle, on linke avec des libraries écrites dans d'autres langages et que les erreurs mémoires arrivent dues à une mauvaise compréhension des API de ses librairies.

    Bref, ce commentaire réduit l'intérêt de l'article, et montre le sérieux des préjugés de l'auteur.

    • [^] # Re: Développeur en C++

      Posté par . Évalué à 4.

      Il est quand même relativement facile de sortir d'un tableau ou d'utiliser une variable qui a été détruite en C/C++. En Java, ça l'est beaucoup moins.

      • [^] # Re: Développeur en C++

        Posté par (page perso) . Évalué à 0. Dernière modification le 13/05/15 à 22:52.

        Il est quand même relativement facile de sortir d'un tableau ou d'utiliser une variable qui a été détruite en C/C++. En Java, ça l'est beaucoup moins.

        Si tu utilises proprement C++11 et la RAII non ça l'est pas. C'est même presque impossible à faire.

        Si tu te prends pour Tarzan avec tes pointeurs, parce que toi tu fais jamais d'erreurs alors oui effectivement…. Mais dans ce cas viens pas te plaindre si tu ramasses tes dents régulièrement…

        • [^] # Re: Développeur en C++

          Posté par (page perso) . Évalué à 9.

          Ma maman m'a toujours dit de ne pas pointer les gens du
          Segmentation fault.

        • [^] # Re: Développeur en C++

          Posté par . Évalué à 2.

          Je n'ai jamais dis le contraire, bien entendu que si l'on sait utiliser correctement le langage/les bons éléments du langage, il est possible d'éviter ces erreurs. Mais il n'empêche que, même si le développeur reste l'unique responsable de ce genre d'erreurs, le langage permet - ou non - de les commettre.

          • [^] # Re: Développeur en C++

            Posté par . Évalué à 7.

            Toi aussi si tu écris du code sans bug, il n'y a pas de bug ?

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Développeur en C++

          Posté par (page perso) . Évalué à 10.

          En fait, il n'y a aucun rapport. Les problèmes énoncés sont n'ont rien à voir avec le langage de programmation.
          Il pourrait être écrit en Java / brainfuck, c'est le "code compilé généré" qui est fautif, donc l'algorithme, et pas le langage.

          Si tu utilises proprement C++11 et la RAII non ça l'est pas. C'est même presque impossible à faire.

          Oui si tu utilises les fonctionnalités très haut niveau de C++ que 99% des développeurs C++ honnissent tu es tranquille. A ce compte-là tu peux aussi abandonner le C++.

          Déréférencer un pointeur ou sortir d'un tableau (de manière non safe qui peut provoquer un segfault ou (bien pire évidemment) un comportement indéfini) en C++ c'est carrément builtin. En Java pour taper à l'extérieur du domaine de définition d'un tableau sans que l'exécution soit interrompue, tu peux me montrer le POC réaliste STP ?

          • [^] # Re: Développeur en C++

            Posté par . Évalué à 6. Dernière modification le 15/05/15 à 14:38.

            Et de préciser une chose, puisqu'on compare C++ à Java :

            Existe-t-il ne serait-ce qu'un seul moteur de rendu Web+JS codé en Java qui soient utilisable pour faire un navigateur web capable de concurrencer Firefox/Chrome/IE/Opera ?
            La réponse est : non, aucun PC n'aurait assez de CPU et surtout de mémoire vive pour faire tourner cette merveille.

            Note: on pourrait penser que je viens de faire un troll, mais non je n'ai pas trouvé de navigateur écrit en java qui arrive à la cheville des navigateur actuel (qui utilise tous des moteurs de rendu en C++ : Gecko/WebKit/Presto/Trident)

            Par contre :

            Oui si tu utilises les fonctionnalités très haut niveau de C++ que 99% des développeurs C++ honnissent tu es tranquille

            ça oui, sans aucun doute c'est du troll

            Et si Gecko n'utilise pas C++11 et la RAII (en tout cas pas dans les endroit concernés) c'est sûrement simplement car sa création date d'avant l'arrivé de C++11

            • [^] # Re: Développeur en C++

              Posté par . Évalué à 3.

              Le RAII est présent depuis longtemps en C++ puisqu'il suffit d'avoir un destructeur.

              • [^] # Re: Développeur en C++

                Posté par . Évalué à 1.

                C'est pas faux : je sais pas pourquoi j'ai mis RAII dans me dernière phrase, ça la fausse en partie; toutes mes confuses.

                Il fallait donc lire :
                "Et si Gecko n'utilise pas C++11 (en tout cas pas dans les endroit concernés) c'est sûrement simplement car sa création date d'avant l'arrivé de C++11."

                Car pour faire un moteur comme Gecko, il doit y avoir à quelque endroits l'utilisation de pointeurs, qui à l'époque n'ont sûrement pas étaient écris à l'aide de pointeurs intelligents (encore que, avec boost ça aurait peut être était possible, je ne sais pas depuis combien de temps ces pointeurs existent dans boost)

    • [^] # Re: Développeur en C++

      Posté par . Évalué à 8.

      Je ne connais pas les détails exacts du bug, mais si la description du problème dans l'article correspond bien à la réalité:

      une lecture mémoire en dehors des limites lors de validation asm.js.

      Ça veut bien dire que c'est le code C++ réalisant la validation du asm.js qui provoque le dépassement et pas le code qui a été généré.

      Ce n'est pas pour rien que Mozilla travaille sur le langage Rust qui garantit la sécurité mémoire. Il reste évidement plein d'autres types de risques, mais c'est quand même une avancée certaine au niveau de la sécurité, vu que ce type d'erreurs est très souvent critique et que l'expérience continue toujours de prouver qu'elles finissent fatalement par arriver, même aux meilleurs programmeurs.

      En garantissant la sécurité de la mémoire, ce type d'erreurs ne peut plus arriver. Valgrind reste en effet utile à cause des bibliothèques externes et des blocs de code "unsafe". Mais ce n'est pas non plus un outil magique qui fait disparaître les bugs, donc avoir la garantie que la grande majorité du code est saine niveau mémoire, c'est bon à prendre.

    • [^] # Re: Développeur en C++

      Posté par (page perso) . Évalué à 10.

      C'était un peu trollesque, c'est vrai. En même temps, je suis moi même dev. C++, et je vois passer des vertes et des pas mûrs (j'en fait aussi). On utilise aussi Valgrind, analyse statique, tests unitaires, tests de non-régression, etc, et pourtant, comme sur FF, ça arrive. C'est juste tellement plus facile de rater des trucs qu'en Haskell par exemple.

      Bref, ce commentaire réduit l'intérêt de l'article, et montre le sérieux des préjugés de l'auteur.

      En une ligne, on peut aussi voir la facilité avec laquelle tu juges les gens. À moins que ce soit exagéré.
      Même si je pourrais argumenter que, par définition, un préjugé n'est pas vraiment sérieux, j'espère simplement que le reste de l'article t'as plu…

      • [^] # Re: Développeur en C++

        Posté par . Évalué à 2.

        Bref, ce commentaire réduit l'intérêt de l'article, et montre le sérieux des préjugés de l'auteur.

        Je trouve qu'au contraire ça montre que l'auteur connaît plus d'un langage et n'est pas resté à l'état de l'art des années 70. ;-)

        Et oui, la gestion manuelle de la mémoire en C et C++ pose de gros problèmes. Ce n'est pas récent et plus d'un programmeur C ou C++ s'est déjà vu condamné à récrire un GC, en général très mauvais par rapport à l'état de l'art…

        (certes, il y a quelques domaines dans lesquels on a des bonnes raisons de ne pas utiliser un GC mais en général, c'est qu'on ne fait pas non plus d'allocation mémoire dans le tas.)

  • # ENFIN !!!

    Posté par . Évalué à 3.

    L'extension HTML Ruby n'est donc plus nécessaire mais depuis combien de siècles les utilisateurs d'idéogramme ont ils du attendre ce support natif ?

    Car déjà supporté par presque tous sauf Firefox depuis longtemps, je ne comprends toujours pas pourquoi il a fallu attendre 2015 pour ça …

    • [^] # Re: ENFIN !!!

      Posté par . Évalué à 2.

      Sniff, moi qui pensait qu'on parlait du langage Ruby. J'avais l'espoir qu'on puisse remplacer ce cauchemar de Javascript par une beauté absolue… Même Python me ravirait tant qu'on tue Javascript !

    • [^] # Re: ENFIN !!!

      Posté par (page perso) . Évalué à 0.

      je ne comprends toujours pas pourquoi il a fallu attendre 2015 pour ça …

      Peut-être parce que ça n'était pas rentable (combien de sous en plus avec cette fonctionnalité? Peut-être pas beaucoup donc moins priorité pour dépenser du temps donc de l'argent dessus) et que personne (y compris toi) n'a été motivé pour le coder gratos avant?

    • [^] # Re: ENFIN !!!

      Posté par (page perso) . Évalué à 5.

      peut être parce que aussi important est-il aujourd'hui, le nombre de développeur sur Gecko est bien moins élevé que celui sur webkit ou IE. Et donc ils ne peuvent pas tout faire. Priorité tout ça…

  • # Thème mobile

    Posté par (page perso) . Évalué à 8.

    J'ai un peu du mal à voir ce qui a changé dans Firefox mobile, quelqu'un peut d'aiguiller?

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Amélioration pour WebRTC

    Posté par . Évalué à 2.

    WebRTC now has multistream and renegotiation support

    Ce qui permet à Firefox de reprendre la tête dans la gestion de futur standard: http://iswebrtcreadyyet.com/

  • # srcset attribute and <picture> element for responsive images

    Posté par . Évalué à 4.

    Cette fonctionnalité est intéressante.
    Elle permet de préciser la variante de l'image à choisir pour quelle soit adaptée en résolution ou en taille à votre ordinateur.

  • # Mode lecture en approche

    Posté par . Évalué à 4.

    Attention : rien d'officiel pour le moment

    En fouillant, j'ai vue que la page about:reader est fraîchement apparue dans cette version 38. Rien d'intéressant à voir ici pour l'instant mais il semblerait que le mode lecture qui fut un temps prévu "pour la fin de l'année (2012)" continue d'être développé pour la version desktop de Firefox. La version Android l'a apparemment déjà depuis Firefox 16.

    Le mode lecture permettrait de faire ce que fait Readability (mais sans dépendre d'un service tiers), c.à.d. afficher une version épurée d'une page web : uniquement le contenu important, sur fond uni, sans les habituels menus / boutons like / champs de recherche / etc.


    • [^] # Re: Mode lecture en approche

      Posté par (page perso) . Évalué à 7.

      Je viens de tester de mettre à vrai reader.parse-on-load.enabled, et j'obtiens une icône reader comme sur mobile (Firefox 38, sous arch)

      Bon, mais ça ne marche pas à tous les coups. Par exemple, sur cette page, il n'y a pas de commentaires :

      Reader mode

      • [^] # Re: Mode lecture en approche

        Posté par . Évalué à 1. Dernière modification le 13/05/15 à 22:02.

        Bien vu. :)
        J'avais créé une propriété reader.enabled positionnée à vrai, sans résultat. Je n'avais pas cherché plus loin et donc pas vu qu'il était déjà possible de tester le mode. Merci pour l'info.

      • [^] # Re: Mode lecture en approche

        Posté par . Évalué à 9.

        Par exemple, sur cette page, il n'y a pas de commentaires :

        Ben le but c'est d'afficher une version épurée de la page. ;-)

        "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

      • [^] # Re: Mode lecture en approche

        Posté par . Évalué à 2.

        C'est aussi présent de manière plus simple et directement accessible sur les versions Nightly de Firefox, et peut-être aussi Aurora (aka. Developper Edition) pour ceux qui voudraient tester plus amplement, ce qui laisse supposer une arrivée en version stable dans la version 40.

  • # Debug

    Posté par (page perso) . Évalué à 4.

    Chez moi, Firefox écrit plein de message de debug sur stdout et gnome-session (via systemd ?) les envoi à syslog.

    Mise à par le fait que ça pourrisse syslog (ce qui est déjà bien énervant), il y a parfois les URL que je visite qui sont présente dans les messages (ce qui est très inquiétant).

    J’ai vérifié, je suis pas le seul, un collègue a le même comportement sur Arch (je suis sous Ubunut 15.04).

    • [^] # Re: Debug

      Posté par (page perso) . Évalué à 2.

      Sous Arch, et j'ai pas ce comportement (plasma 5) : rien sur stdout, et rien dans journalctl. J'ai pas syslog.

      Est-ce un truc avec Gnome ?

      • [^] # Re: Debug

        Posté par (page perso) . Évalué à 2.

        Je me ravise : j'ai quelques warnings qui apparaissent de temps en temps qui semblent liés à une extension en particulier.

        Hmm… rapport de bogue ?

    • [^] # Re: Debug

      Posté par . Évalué à 0.

      Arch, plasma 5, et j'ai rien dans stdout ni journalctl.

      Mauvais desktop, changer desktop (désolé, mais c'était si tentant). ;-)

      "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

  • # service-public.fr utilise toujours RC4

    Posté par . Évalué à 2.

    Hello,
    je me permets de rebondir sur le dernier paragraphe concernant la sécurité et RC4 en particulier.
    il semble que plusieurs domaines de service-public.fr font toujours usage de RC4 (Lien bugzilla)…
    Avec Firefix 38 ça marche encore, avec Firefox 39 ça ne devrait plus fonctionner à moins que ces domaines soient rajoutés en "liste blanche" où que les administrateurs de ces sites de service public réagissent.
    En lisant les commentaires dans la fiche de bug, ça n'a pas l'air d'être le cas…

    • [^] # Re: service-public.fr utilise toujours RC4

      Posté par (page perso) . Évalué à 1.

      les administrateurs de ces sites de service public réagissent.

      vu la réponse ("certains navigateurs internet n'ont pas encore intégré nativement cette Autorité de Certification" complètement HS), pas gagné!

      En lisant les commentaires dans la fiche de bug, ça n'a pas l'air d'être le cas…

      Je lis le contraire "various domains I listed in comment 9 will be in the whitelist".


      N'empèche c'est grave d'utiliser encore RC4 en 2015, ça mériterai une décision claire (publique) de tous les navigateurs de ne plus le supporter comme ils le font pour SHA-1.

      PS : "they have to reply in French, and that they are unable to process foreign language messages" si on averti l'administration française d'un attentat imminent, en anglais, la France dit qu'ils ne feront rien car refusent de lire le message et de communiquer en anglais, non francophone pas bienvenu. Joli… Un jour le France comprendra qu'elle n'est pas/plus le centre du monde, surtout en informatique. Sans doute pour ça qu'ils utilisent encore RC4, ils ne lisent pas les infos sur la sécurité… Ca fait peur.

      • [^] # Re: service-public.fr utilise toujours RC4

        Posté par (page perso) . Évalué à -1.

        Un jour la France comprendra qu'elle n'est pas/plus le centre du monde, surtout en informatique.

        Encore un qui n'a rien compris sur la puissance de protection du sujet de france par la loi stasi-fr ( Loi Renseignement )

        Tout le monde a un cerveau. Mais peu de gens le savent.

      • [^] # Re: service-public.fr utilise toujours RC4

        Posté par . Évalué à 10.

        L'anglais est la langue de l'informatique mais pas la langue de l'administration française, et c'est très bien comme ça. On n'est pas obligé d'accepter l'hégémonie de la langue anglaise partout hein.

        • [^] # Re: service-public.fr utilise toujours RC4

          Posté par (page perso) . Évalué à 1. Dernière modification le 14/05/15 à 12:23.

          Attend, la, je te parle de communication vers l'extérieur à la France… J'ai donné un exemple d'un étranger. Je n'ai pas parlé d'un local.
          Clair, se couper du monde, c'est trop la classe.

          Grave ce refus de dialogue avec cet extérieur qui ne parle pas français (les autres DOIVENT apprendre pour parler avec toi, mais toi tu n'as rien à faire)

          C'est avec ce genre de méthode que la France perd de plus en plus son influence dans le monde (de plus en plus de diplomates n'ont plus rien à faire de parler français, et si tu rejettes la langue commune, ben on se passe de la France, voila tout)

          On n'est pas obligé d'accepter l'hégémonie de la langue anglaise partout hein.

          On n'est pas obligé de dire aux personnes qui n'habitent pas en France et qui cherchent à communiquer avec toi pour t'avertir d'un danger "tu parles français ou dégage"

          Les blagues sur les français encore au 20è siècle ne sont pas prêtes de s'arrêter.
          La France se vide. Qui s'en occupe?

          • [^] # Re: service-public.fr utilise toujours RC4

            Posté par . Évalué à 10.

            Toi quand tu vas dans un pays étranger, tu imposes ta langue ? Moi non, j'essaie de communiquer dans la langue locale. Pourquoi l'administration française accepterait l'anglais ? Pourquoi pas le chinois (après tout ce sont eux les plus nombreux) aussi ?

            • [^] # Re: service-public.fr utilise toujours RC4

              Posté par (page perso) . Évalué à 7.

              Vu que même en français ils n’ont rien compris au problème, heureusement qu’ils n’ont pas communiqué en anglais…

              Écrit en Bépo selon l’orthographe de 1990

            • [^] # Re: service-public.fr utilise toujours RC4

              Posté par (page perso) . Évalué à -1. Dernière modification le 14/05/15 à 17:14.

              Pourquoi l'administration française accepterait l'anglais ?

              Parce que celle qui va se faire trouer si elle reste sourde, c'est elle?
              Le choix de langue est un rapport de force, et celui qui a besoin s'adapte.
              Maintenant, si l'administration française considère que l'aide extérieure c'est de la merde, ok, mais il ne faudra alors pas venir se plaindre de se faire trouer (et pas non plus se plaindre, de manière générale, de perdre son titre de pays qui compte à force de jouer au con, question de philosophie : il y a les entités qui voient arriver le problème et s'adapte, et les autres qui disparaissent ou deviennent moins importe en vivant sur leur passé).

              On parle d'un mail, dans une langue classique pour l'informatique, quand même… Pas d'un truc tordu.
              Perso, ça m'est arrivé de devoir discuter avec un service client de boite pas dans une langue du pays, et étonnamment ils ont fait un truc impensable pour l'administration française : ils ont cherché une personne qui puisse communiquer avec moi plus facilement (et j'ai apprécié).
              D'un côté il y a un service rendu, de l'autre un monopole qui envoie chier quand ça ne lui convient pas… L'administration au service des autres? Euh… Non, en fait ça c'est juste la pub, tu te plies à leur demande ou crève, c'est ça le service public, et après on s'étonne de sa mauvaise réputation.

              Note : question réputation, ils ne comprennent pas même le français en fait, vu leur réponse à côté de la plaque complet, ce n'est pas que leur niveau d'anglais qui est à 0. Bon, c'est mort pour la réputation… Belle blague.

              Pourquoi pas le chinois

              suivant les rapport de force, il faudra peut-être un jour. D'ailleurs Valls se fait une obligation de dire "Bonjour" en chinois quand il voit le président chinois.

              • [^] # Re: service-public.fr utilise toujours RC4

                Posté par . Évalué à 7.

                L'administration n'est pas une entreprise.

                • [^] # Re: service-public.fr utilise toujours RC4

                  Posté par (page perso) . Évalué à -4. Dernière modification le 14/05/15 à 17:50.

                  Et l'administration fait moins attention aux gens que l'entreprise, c'est bien ce que je lui reproche : abuser de son monopole (je n'ai pas le choix, c'est elle ou crève) pour avoir un service inférieur à ce qu'offre l'entreprise.

                  Et après, on dit qu'il ne faut pas privatiser ni mettre en concurrence car le service serait moins bien? Les entreprise c'est mal et il faut pas mettre en concurrence si on veut une qualité de service? Ha ha… Merci, tu démontres exactement pourquoi les gens ont une mauvaise opinion de l'administration.

                  • [^] # Re: service-public.fr utilise toujours RC4

                    Posté par . Évalué à 5.

                    À qui est-ce que tu veux faire croire qu'un fonctionnaire lambda dans l'administration, son but, c'est de faire chier et d'abuser du «monopole» (l'administration n'est pas une entreprise, donc on ne parle pas de monopole) ? Ils font leur travail du mieux qu'ils peuvent, dans des conditions de plus en plus compliquées. Mais ça doit t'arranger ce genre de situation pour invoquer la privatisation que tu espères tant. Moi ma solution, ça serait plutôt de donner les moyens suffisants à l'administration pour qu'elle puisse assurer ses missions dans de bonnes conditions.

                    • [^] # Re: service-public.fr utilise toujours RC4

                      Posté par (page perso) . Évalué à -10.

                      Avant les moyens, il faut la philosophie.
                      Bizarre, tu passes sur les moyens dont je n'ai pas parlé.
                      Ici, c'est la philosophie que tu met en avant ("tu parles pas français, alors dégage", ça n'a rien à voir avec les moyens, si c'était les moyens ça aurait été "désolé on ne sait pas faire").

                      Bizarre quand même : noyer le poisson de la discussion su la philosophie en passant sur un truc HS.
                      Non, ça n'a rien à voir avec le moyen, ce que tu m'as répondu. Pourquoi dévier la conversation, tu n'assumes plus ta réaction?

                      Bref, avant les moyens, faut-il encore le vouloir : les moyens sont ici qu'un excuse.

              • [^] # Re: service-public.fr utilise toujours RC4

                Posté par (page perso) . Évalué à 2.

                D'ailleurs Valls se fait une obligation de dire "Bonjour" en chinois quand il voit le président chinois.

                Ah ! Il lui dit "Bondour ! Comment da ba ?"

      • [^] # Re: service-public.fr utilise toujours RC4

        Posté par . Évalué à 2.

        PS : "they have to reply in French, and that they are unable to process foreign language messages" si on averti l'administration française d'un attentat imminent, en anglais, la France dit qu'ils ne feront rien car refusent de lire le message et de communiquer en anglais, non francophone pas bienvenu. Joli… Un jour le France comprendra qu'elle n'est pas/plus le centre du monde, surtout en informatique. Sans doute pour ça qu'ils utilisent encore RC4, ils ne lisent pas les infos sur la sécurité… Ca fait peur.

        Qui a été averti du problème ?
        Si c'est le service d'assistance aux usagers de mon.service-public.fr, je trouve tout à fait normal qu'il ne traite pas ce type de demande et qu'il impose une communication en français.

        Que reproche-t-on ?
        Que le site autorise encore l'utilisation de RC4 (aux usagers ne disposant pas de logiciels récents) ne me semble pas si grave dès lors qu'il autorise aussi l'AES comme c'est le cas. Je ne sais pas quel est le niveau de risque à utiliser RC4 mais il est presque infinitésimal en pratique ; en tous cas bien plus faible que d'avoir un espiongiciel, une faille dans son navigateur personnel ou qu'un faux certificat racine ait été installé dans le navigateur sur son lieu de travail.

        Qui doit-on blâmer ?
        Il me semble que le prestataire de service et l'hébergeur, qui sont ici des entreprises privées, ont peut-être une part de responsabilité…

        • [^] # Re: service-public.fr utilise toujours RC4

          Posté par (page perso) . Évalué à 4. Dernière modification le 15/05/15 à 07:31.

          je trouve tout à fait normal qu'il ne traite pas ce type de demande et qu'il impose une communication en français.

          Chacun sa vision d'un service sans doute.
          Après, il peut rediriger (comment ou contacte le service technique?) et poliment dire (quelques mots en anglais) que ça ne le fait pas.

          Ensuite, même en français, plutôt que dire "je ne comprend pas", ils répondent HS, pas grave?

          bref, question de philosophie, et force est de constater que ce n'est pas une question de moyen donc (et après on me reproche de généraliser? La je me base sur vos réponses déjà… Je n'ose même pas imaginer les leurs. Le problème est très profond).

          Que le site autorise encore l'utilisation de RC4

          entre autre.
          en fait il y a pire https://www.ssllabs.com/ssltest/analyze.html?d=mon.service-public.fr
          This server is vulnerable to the POODLE attack against TLS servers. Patching required. Grade set to F.
          This server is vulnerable to MITM attacks because it supports insecure renegotiation. Grade set to F.

          en gros, c'est troué.

          Alors oui, on s'en fout, mais ça en dit long sur l'importance de la sécurité.

          Heuresement que cfspart.impots.gouv.frn'est pas pareil, c'est déjà ça (sans être bien mieux, POODLE, alors que ça gère des données sensibles, vaut mieux pas être dans un lieu au Wifi peu sûr quand on fait ça).
          Les [gens qui parle sur LinuxFr][https://linuxfr.org/news/cve-2014-3566-vulnerabilite-poodle) sont des hurleurs de truc pas grave, c'est ça? La sécurité, c'est chiant, une faille en s'en fout…
          bizarre, quand c'est Microsoft qui fait pareil c'est horrible.

          Il me semble que le prestataire de service et l'hébergeur, qui sont ici des entreprises privées, ont peut-être une part de responsabilité…

          Ca dépend : il a été payé depuis 2005? On lui a demandé une maintenance de sécu? Personne pour contrôler?

          Tiens, c'est marrant, quand une boite dit "ha désolé c'est mon employé/mon prestataire" on se fout de lui (surtout si c'est Microsoft et 0xB16B00B5), si une entreprise ne parle que Anglais c'est inacceptable trop horrible de ne pas prendre en compte les français qui ne parlent pas anglais (on fait même des lois allgood pour faire chier), mais si c'est l'administration tout change, c'est pardonnable et il ne faut surtout pas critiquer (il y a des choses sacrées).

          2 poids, 2 mesures, c'est beau.
          (j'en viens à me demander si vous ne travaillez pas dans le public…)

          • [^] # Re: service-public.fr utilise toujours RC4

            Posté par (page perso) . Évalué à 3.

            on fait même des lois allgood pour faire chier

            Marrant, le surnom Allgood n’est même pas mentionné sur la page francophone. Pour ceux qui suivent encore la discussion il s’agit de la loi Toubon.

            Personnellement en lisant la page Wikipédia de la loi, j’ai plutôt l’impression que c’est une bonne chose. Je ne crois pas qu’elle interdise l’utilisation de l’anglais en plus du français…

            Écrit en Bépo selon l’orthographe de 1990

            • [^] # Re: service-public.fr utilise toujours RC4

              Posté par (page perso) . Évalué à -4. Dernière modification le 15/05/15 à 11:29.

              j’ai plutôt l’impression que c’est une bonne chose.

              Ou pas.
              Certaines entreprises ont eu des procès car certains employés hurlaient que leur progiciel était en anglais. Cout supplémentaires (procès, puis demande de traduction… Quand on y arrive à avoir la traduction) pour une utilité nulle.

              Chacun son délire, libre à toi de penser que c'est une bonne chose, mais d'autres pensent que c'est de la dépense inutile (dans mon ancienne boite, c'était dans le cahier des charges d'avoir l'interface en français, ils demandaient au fournisseur de baisser le prix, le fournisseur répondait "c'est vous qui demandez le français, vous êtes bien les seuls, ben ça coûte, vous devez payer 100% de coût qui ne peut être partagé car les autres ne sont pas d'accord pour payer ces conneries, alors que tout le reste du logiciel a ses coûts partagés", et la ligne a été enlevée, en priant qu'il y ai aucun emmerdeur qui face un procès basé sur cette loi qui ne fait pas la différence entre interface client et progiciel. La ligne datait de l'époque "service public", et ça a été viré après plusieurs années de privatisation, soit dit en passant, et ça me fait bien râler que mes impôts soient passé dans des dépenses aussi inutiles, ce n'est pas une question de moyens, mais de philosophie, toujours : la France n'est pas le centre du monde et traduire pour quelques utilisateurs professionnels français coûte)

              en lisant la page Wikipédia de la loi,

              Tu peux lire la loi aussi. Ca sera toujours présenté comme une bonne chose. La dernière loi sur le renseignement n'y déroge pas, mais peut-on en déduire que c'est une bonne chose, c'est comme ça que tu te fais ton opinion?
              Note : pour la loi sur la langue, c'est vieux, et désuet, plus utilisé hors très rares cas où l'employé veut faire chier son monde, donc personne de motivé pour râler de manière générale, c'est une arme utilisée surtout quand on veut faire chier.

              Edit : je n'avais pas relu la page Wikipedia, et il y a les exemple. Tu crois que c'est une bonne chose ces exemples??? On n'a vraiment pas la même vision de dépense de l'argent.

              • [^] # Re: service-public.fr utilise toujours RC4

                Posté par (page perso) . Évalué à 3.

                Ce qui m’ennuie c’est qu’aujourd’hui on soit obligé de savoir parler l’anglais, par contre jamais on ne travaillerais en espagnol, en allemand, en arabe ou en chinois par exemple, alors pourquoi on autoriserait ça pour l’anglais? Je vois plus la chose du côté «égalité entre les langues» que du côté économique, désolé.

                Écrit en Bépo selon l’orthographe de 1990

            • [^] # Re: service-public.fr utilise toujours RC4

              Posté par (page perso) . Évalué à -3.

              Je ne crois pas qu’elle interdise l’utilisation de l’anglais en plus du français…

              C'était un autre exemple de rigidité. on interdit pas l’utilisation de l’anglais en plus du français, mais on interdit l’utilisation de l’anglais uniquement, et c'est bien pour ça que je la critique tellement c'est d'une applicabilité nulle en entreprise globale à moins de vouloir jeter de l'argent par la fenêtre ce qui va faciliter la fermeture de l'entreprise face à des concurrent qui n'auront pas fait ce genre de dépense (soit parce que les salariés sont plus au fait de ce qu'est une demande utile, soit face à un autre pays qui n'a pas eu l'idée de mettre cette loi pour les entreprises)

              De nos jours, parler une langue étrangère de manière basique est un critère de sélection. Enfin, pas partout, certes. Question de philosophie, toujours.

              • [^] # Re: service-public.fr utilise toujours RC4

                Posté par . Évalué à 7.

                De nos jours, parler une langue étrangère de manière basique est un critère de sélection. Enfin, pas partout, certes. Question de philosophie, toujours.

                En effet, pas partout, uniquement chez les non anglo-saxons. Question de philosophie ? Si seulement c'était ça mais c'est surtout une question de rapport de forces et de colonialisme culturel. Ce qui est un critère de sélection c'est l'aptitude à parler la langue de l'empire.

                • [^] # Re: service-public.fr utilise toujours RC4

                  Posté par (page perso) . Évalué à -3. Dernière modification le 15/05/15 à 12:26.

                  la langue de l'empire.

                  Pour preuve, à l'heure où l'anglais prend de plus en plus de place dans les discussion à l'UE (il y en a marre de passer par plein de traducteurs), le R-U pense à se barrer.
                  Bref, c'est une façon de voir les choses, de manière positive (on peut tous se parler) ou négative (le méchant empire colonialiste).
                  chacun son truc, mais on en revient toujours à ce que les moyens ne sont pas le sujet, le sujet est une philosophie de contact avec les autres.

                  PS : imposer le français est tout autant colonialiste (breton, basque, corse…), on devrait le jeter au niveau national pour exactement les mêmes raisons que tu dis. Bizarrement, seul l'anglais est honnis, et le français qui est la langue de la colonisation passée n'est pas remise en cause. De la à en conclure que l'argument n'est qu'une excuse pour ne pas apprendre l'anglais trop bien confortable dans son français et sans vouloir apprendre le breton, basque, corse… Désolé, le français en France est aussi artificiel que l'anglais.

                  • [^] # Re: service-public.fr utilise toujours RC4

                    Posté par (page perso) . Évalué à 3.

                    Bref, c'est une façon de voir les choses, de manière positive (on peut tous se parler) ou négative (le méchant empire colonialiste).

                    C’est pas tout blanc ou tout noir… Et puis il y a plein de français qui ne comprennent rien à l’anglais. On peut favoriser le plurilinguisme et d’autres langues que l’anglais, ou utiliser un unique outil favorisant les pays anglophones, favorisant une réflexion et une vision des choses à travers une seule langue.

                    PS : imposer le français est tout autant colonialiste (breton, basque, corse…), on devrait le jeter au niveau national pour exactement les mêmes raisons que tu dis.

                    C’était peut-être vrai à l’époque où ces langues étaient encore très vivaces et seules langues parlées dans une province. Aujourd’hui les locuteurs du breton, basque et corse, en plus d’être relativement peu nombreux, connaissent tous très bien le français.

                    Bizarrement, seul l'anglais est honnis, et le français qui est la langue de la colonisation passée n'est pas remise en cause. De la à en conclure que l'argument n'est qu'une excuse pour ne pas apprendre l'anglais trop bien confortable dans son français et sans vouloir apprendre le breton, basque, corse….

                    Personnellement j’apprends l’allemand, le japonais et l’espéranto. Et j’aimerais voir plus de trucs dans ces langues mais non, tout est en anglais. Être un pays dont la langue est beaucoup parlée donne une grande influence culturelle et un grand pouvoir, la France et le Québec l’ont bien compris.

                    D’ailleurs on parle de l’anglais, mais le jour où ça serait le tout-au-chinois, je serais toujours là pour me plaindre de l’hégémonie chinoise. Mais il y a des chances que l’anglais et le chinois cohabitent, du coup au lieu d’avoir un langage incontournable on aura deux langages moins incontournables ce qui favorisera probablement plus de plurilinguisme.

                    Écrit en Bépo selon l’orthographe de 1990

                  • [^] # Re: service-public.fr utilise toujours RC4

                    Posté par . Évalué à 7.

                    imposer le français est tout autant colonialiste (breton, basque, corse…)

                    Non, c'est républicain. La république française est une et indivisible, et les révolutionnaires ont considéré que pour qu'un citoyen puisse participer aux délibérations, tout le monde devait parler la même langue partout sur le territoire : le français. Et on en est encore là (et c'est très bien). La loi Toubon, elle impose le français parce qu'un citoyen français a le droit d'avoir des informations de son administration en langue française et, par conséquent, la langue de travail de l'administration est le français. Juste républicain.

          • [^] # Re: service-public.fr utilise toujours RC4

            Posté par . Évalué à -1.

            ssllab… Voila quoi…

            Il dit POODLE et F dès que tu as SSLv3.
            Ce n'est pas pour autant que tu es vulnérable.
            A-tu essayer d'exploiter sur ce site précisément ?

            Et le insecure renego, c'est naze certes, mais si tu utilise un navigateur décent, genre moins 7 ans il me semble, tu n'es pas impacté. Sur certaines population, le retirer peux avoir un impact…

            • [^] # Re: service-public.fr utilise toujours RC4

              Posté par . Évalué à 5.

              A-tu essayer d'exploiter sur ce site précisément ?

              Oula, attention.
              Tenter d'exploiter une vuln sur un site web c'est illégal (Godfrain toussa).
              Quand on voit ce qui arrive à ceux qui expliquent comment les exploiter sur leurs lab et ceux qui utilisent google, je ne m'y risquerai pas…

              • [^] # Re: service-public.fr utilise toujours RC4

                Posté par (page perso) . Évalué à 3.

                Il y a encore un exemple avec un type qui a trouvé une faille avec les bons d'achats Starbuck, il a réussi à se faire créditer de 5$ supplémentaire et a testé ça en dépensant 1,7$ de ces 5$. Ensuite, il a racheter 10$ de bons d'achat pour bien montrer qu'il était de bonne volonté. Maintenant Starbuck lui en veut (et légalement, Starbuck a raison).

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: service-public.fr utilise toujours RC4

                  Posté par . Évalué à 2. Dernière modification le 25/05/15 à 12:16.

                  Lui il n'est pas français, Starbucks n'est pas français et le délit n'a pas été commis en France.
                  Donc Godfrain ne s'applique pas…

                  Maintenant, il est possible de Starbucks lui en veuille et qu'il ait fait des trucs illégaux. Mais c'est la loi US.

                  • [^] # Re: service-public.fr utilise toujours RC4

                    Posté par (page perso) . Évalué à 3.

                    Bien sûr, mais c'est une notion qu'on retrouve quasiment partout (à raison, malheureusement).

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: service-public.fr utilise toujours RC4

            Posté par . Évalué à 0.

            Chacun sa vision d'un service sans doute.
            Après, il peut rediriger (comment ou contacte le service technique?) et poliment dire (quelques mots en anglais) que ça ne le fait pas.
            Ensuite, même en français, plutôt que dire "je ne comprend pas", ils répondent HS, pas grave?

            Mais qui est ce "ils" ? Pour un peu le service d'assistance est assuré par une entreprise sous-traitante dont la prestation doit être obligatoirement réalisée en français en se restreignant aux seules compétences établies initialement par contrat.

            Ca dépend : il a été payé depuis 2005? On lui a demandé une maintenance de sécu? Personne pour contrôler?

            Les contrats passés avec le prestataire et l'hébergeur doivent prévoir tout cela, il en va du sérieux et du professionnalisme de ces derniers. Quant à savoir s'ils ont été payés depuis 2005, on peut constater qu'ils n'ont pas mis fin au contrat et admettre que l'Etat fini toujours par payer.

            This server is vulnerable to the POODLE attack against TLS servers. Patching required. Grade set to F.
            This server is vulnerable to MITM attacks because it supports insecure renegotiation. Grade set to F.
            en gros, c'est troué.

            POODLE nécessite d'injecter du javascript dans le client au préalable…
            Quant à l'attaque par Renegociation, ce n'est parce que le serveur est affecté que le service web tournant dessus peut être détourné.

            Il y a un risque indéniable, mais sans doute très faible.

    • [^] # Re: service-public.fr utilise toujours RC4

      Posté par (page perso) . Évalué à 2.

      En tout cas, avec la nightly (41) ça fonctionne.

    • [^] # Re: service-public.fr utilise toujours RC4

      Posté par . Évalué à 4.

      Ce qui fait peur c'est la réponse contenue dans le commentaire 16

      Bonjour,

      Le site mon.service-public.fr utilise actuellement des certificats de sécurité émis par l'Autorité
      de Certification de la Direction de l'Information Légale et Administrative (DILA).

      Cependant certains navigateurs internet n'ont pas encore intégré nativement cette Autorité de
      Certification.

      Nous nous efforçons de rétablir rapidement le fonctionnement normal de l'accès à votre compte
      mon.service-public.fr.

      Merci de bien vouloir accepter nos excuses pour l'éventuelle gêne occasionnée.

      Cordialement,

      mon.service-public
      service assistance

      Je ne suis pas un spécialiste mais les Autorités de Certification n'ont rien à voir avec la technologie utilisée. Cela donne l'impression que les gens qui répondent n'ont pas compris la question…

      Le pire c'est qu'il pourrait continuer à utiliser RC4 si c'est dans un soucis de gestion des vieux navigateurs, ce que leur conseille Mozilla c'est aussi de proposer des technologie plus récentes comme TLS 1.2 avec AES et de les mettre en haut de la liste des protocoles à utiliser.

    • [^] # Re: service-public.fr utilise toujours RC4

      Posté par (page perso) . Évalué à 1.

      Tout comme un certain nombre de banques françaises.

  • # Cohérence de l'interface

    Posté par . Évalué à 4.

    Cette nouvelle version des préférences est sympa mais je trouve qu'elle manque de cohérence avec about:addons et le menu de personnalisation.

    • [^] # Re: Cohérence de l'interface

      Posté par (page perso) . Évalué à 8.

      En effet, ça serait bien que le about:addons soit re-fait dans le même style. Personnellement j’attends également un about:downloads fonctionnel (pour l’instant ça permet juste de lister les téléchargements) et la même chose pour les marques-pages et l’historique ça serait vraiment cool je pense. :)

      Ce que je trouve vraiment génial avec cette nouvelle page c’est que c’est pas comme sous Chromium ou c’est écrit tout petit, les paramètres sont en bordel sans séparation claire entre les différentes catégories de paramètres, etc. Là c’est vraiment très clair et très joli, on trouve facilement ce qu’on cherche.

      Écrit en Bépo selon l’orthographe de 1990

      • [^] # Re: Cohérence de l'interface

        Posté par . Évalué à 1. Dernière modification le 16/05/15 à 18:22.

        About:addons à été refait dans le même style ;) (C'est présent dans Firefox nightly , enfin c'est mieux intégré mais je trouve ça moins beau :(
        Pour les telechargements c'est pas encore le cas

        • [^] # Re: Cohérence de l'interface

          Posté par . Évalué à 2.

          Je ne comprends pas les raisons de tous ces mini-changements. Les ingénieurs s'ennuient chez Mozilla ?

          • [^] # Re: Cohérence de l'interface

            Posté par . Évalué à 0.

            Haha on n'arrête pas le progrès !
            Ben la refonte du menu des options c'était pour intégrer le menu des options dans un onglet au lieu d'une pop up (à l'instar de chrome)
            Pour celle du menu des onglets Bah pour une meilleure intégration d'ensemble et pour occuper les designers.

  • # about:config n’utilise une boite à outils différente?

    Posté par (page perso) . Évalué à 4.

    Depuis cette version de Firefox, le menu about:config est stylisé façon brise, le thème par défaut de Plasma 5 (Qt4 et Qt5), alors qu’il n’existe pas de thème brise pour GTK et que de toute manière mes applications GTK utilisent le thème oxygen-gtk.

    C’est plutôt agréable mais aussi plutôt étrange. Quelqu’un aurait-il des informations sur la façon dont est gérée l’interface utilisation d’about:config?

    Écrit en Bépo selon l’orthographe de 1990

  • # hello

    Posté par . Évalué à 2. Dernière modification le 14/05/15 à 20:01.

    Bon et bien moi j'ai perdu le bouton Hello :-(
    J'ai eu beau passer dans about:config la paramètre "loop" à false ou à "enable". Cela ne change rien.

  • # Préférences 'old style'

    Posté par (page perso) . Évalué à 2.

    Pour celles et ceux qui voudraient continuer à utiliser la fenêtre séparée pour les préférences:

    about:config
    browser.preferences.inContent -> false

    La gelée de coings est une chose à ne pas avaler de travers.

    • [^] # Re: Préférences 'old style'

      Posté par . Évalué à 2.

      Vrai question : pourquoi est-ce que quelqu'un voudrait faire ça, puisque le machin est isofonctionnel de ce qu'il y avait avant, avec l'avantage de ne pas être modal et d'être plus homogène avec le tab extension (et le menu hamburger avec les icônes) ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.