Sur Linuxfr, il me semble qu’on parle peu de Librewolf. À part un très bref journal en 2023, je n’ai rien trouvé.
https://linuxfr.org/users/groumf/liens/librewolf-un-navigateur-base-sur-firefox-a-tester
Pourtant, Librewolf est un projet qui devrait plaire et qui est aujourd’hui important : un navigateur web complet, respectueux de la vie privée et pas basé sur Chromium.
Car Librewolf est un fork de Firefox ou plutôt une version "démozillée" de Firefox.
Ce que Librewolf apporte par rapport à Firefox ?
- Toutes les surcouches Mozilla sont soit supprimées, soit désactivées par défaut (pocket, firefox connect, IA, télémétrie, …)
- Par défaut, Librewolf protège activement contre le fingerprinting
- Les données et les cookies sont effacés à chaque fermeture par défaut
- Mais c’est très simple de rajouter une exception pour les sites où on veut rester loggué (clic sur le cadenas dans la barre URL et "autoriser le stockage de cookies")
- uBlock origin installé par défaut
Mais ce n’est pas tout : le développement est complètement ouvert et pas lié à Github avec des repository et un bugtracker sur codeberg:
https://codeberg.org/librewolf/issues/issues
Et enfin, il s’installe très bien sous Debian grâce à extrepo (que je ne connaissais pas).
https://librewolf.net/installation/debian/
Cerise sur le gâteau : chez moi, il démarre plus vite que Firefox, il consomme moins de mémoire et, fait très étonnant, il m’a plusieurs fois affiché correctement des sites qui plantaient sous Firefox.
Je soupçonne que la quantité d’informations qui pourri dans le cache firefox rend, à la longue, tout beaucoup plus fragile alors que Librewolf nettoyant tout à chaque fermeture, n’est pas touché par ce phénomène.
Bref, je recommande chaudement de tester !
# Fennec
Posté par abriotde (site web personnel, Mastodon) . Évalué à 3 (+3/-1).
Sur mobile, F-Droid propose Fennec. C'est le même principe que Librewolf mais je ne sais pas s'ils vont aussi loin sur la vie privée. En fait F-Droid ne veux que du libre et sur Firefox, le nom et le logo sont breveté… Donc ils le rejettent et change que ça je crois.
Quelques part je trouve ça dommage de diviser et complexifier (ne pas faire la pub de Firefox) alors que cela n'est pas gênant… Le logo et nom sont similaires, ce n'est pas un hasard.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: Fennec
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 10 (+18/-0).
C'est plutôt Mozilla qui ne veut pas que le nom et le logo Firefox soient associés à des versions du navigateur qu'ils n'ont pus personellement validées. Ce qui semble normal, sinon n'importe quel site malveillant pourrait proposer un Firefox vérolé plein d'extensions publicitaires et de logiciels espions.
F-Droid pourrait faire des démarches auprès de Mozilla pour faire valider leur version (ce que Debian a fait, par exemple, auparavant ils avaient une version de Firefox renommée Iceweasel), mais c'est une certaine perte d'indépendance sur ce qu'ils décident de packager ou non, et quelles modifications ils peuvent apporter.
Chez Haiku, notre version de Firefox s'appelle également Iceweasel. Mais Librewolf et Waterfox sont également disponibles dans nos dépôts logiciels.
[^] # Re: Fennec
Posté par ploum (site web personnel, Mastodon) . Évalué à 5 (+4/-1).
LibreWolf conseille IronFox sur android (qui est un peu ce que fait Librewolf pour desktop en fait)
Mes livres CC By-SA : https://ploum.net/livres.html
# Un nouveau navigateur \o/
Posté par Andre Rodier (site web personnel) . Évalué à 10 (+15/-2).
J'aime bien le titre, ça prête à un débat.
La fondation Mozilla essaie de survivre, en fournissant des services payants, ou non. Pour certains, quelques services sont utiles, d'autres moins, voire pas du tout.
Je n'y vois pas malice, plutôt quelques maladresses.
Pour ma part, je préfère choisir quand j'efface mes données ou si j'installe un bloqueur de pub par défaut.
Qu te dit que si Librewolf devenait très populaire et requerrait une équipe de développeurs, ils feraient une fondation et ne retomberaient pas dans les mêmes travers ?
Vu le chemin parcouru depuis Netscape, Firefox pourrait être pire.
Je vais tout de même essayer, bien sûr, et merci pour extrepo.
[^] # Re: Un nouveau navigateur \o/
Posté par cosmocat . Évalué à 10 (+10/-1).
Des slides sr un présentation (que je ne retrouve pas) et qui dessine un tableau un peu plus pessimiste (du future) de Mozilla:
https://bohwaz.net/misc/mozilla/
[^] # Re: Un nouveau navigateur \o/
Posté par Lutin . Évalué à 10 (+12/-0).
On a déjà oublié le dernier scande scandale sur le changement des conditions d'utilisation de Firefox ?
Et malgré toutes les explications de la Mofo sur le sujet, j'y vois plus de fourberie que de maladresse.
[^] # Re: Un nouveau navigateur \o/
Posté par kowalsky . Évalué à 5 (+5/-2).
Salaire du CEO : 7 Millions.
En vrai j'aimerais bien survivre moi aussi.
[^] # Re: Un nouveau navigateur \o/
Posté par Argon . Évalué à 2 (+2/-1).
Moi je peux devenir CEO de la fondation pour seulement 1 Million, ça pourrait faire une sacré économie.
de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité
# Équipe de développement assez grande ?
Posté par Gawan . Évalué à 10 (+15/-0).
Le souci que je vois avec les différents forks de Firefox c'est que les équipes de ces projets ne sont pas assez grandes pour reprendre le flambeau si Firefox s'arrêtait ou si son développement était fortement perturbé.
Est-ce que l'un de ces projets serait assez rassembleurs pour que l'ensemble des développeurs actuels migrent vers ce projet et ne s'éparpillent pas sur X projets différents ?
J'ai testé récemment Floorp et Librewolf qui proposent deux solutions très différentes et toutes les deux intéressantes. Ils pourraient servir "d'incubateur à idées" pour Firefox.
[^] # Re: Équipe de développement assez grande ?
Posté par Strash . Évalué à 10 (+16/-0).
C'est malheureusement le constat que je fais. En ce moment beaucoup sont très véhéments contre Firefox, avec des arguments que j'entends. Mais développer un navigateur Web aujourd'hui est très compliqué, Gecko est selon moi le seul moteur acceptable (niveau fonctionnalité et non dépendance à un GAFAM) et du coup cela fait (selon moi) directement de Firefox la seule solution viable actuellement.
Les forks sont bien joli, mais ils sont complètement dépendant de Firefox et s'écrouleraient (sans un changement drastique dans leur financement) si Firefox était abandonné.
Cracher sur Firefox (et ceux qui payent les salaires des développeurs actuels) sans avoir sous la main une alternative, c'est (selon moi) scier la branche sur laquelle on est assis. Quel moteur alternatif à Blink si Gecko cesse d'être supporté ?
J'utilise Firefox depuis toujours (aux alentour de la version 1.0, avant j'étais sous Netscape) et j'avoue vivre dans la peur de sa disparition avec un retour à l'ère IE…
[^] # Re: Équipe de développement assez grande ?
Posté par ploum (site web personnel, Mastodon) . Évalué à 6 (+7/-3).
Si on joue au plus vieux, j’utilise Phoenix depuis la version 0.3 ;-)
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Équipe de développement assez grande ?
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 10 (+13/-0).
Il y a WebKit, qui est co-développé actuellement par Apple, Sony et Igalia et n'aurait pas de problème à accueillir des participants supplémentaires (par le passé il y a eu Nokia/Qt, Samsung, et Google avant qu'ils créent un fork avec Blink).
Le support multi plateformes est bon, et la distribution est faite sous forme de juste un moteur de rendu, autour duquel il est relativement facile de construire un navigateur.
Gecko faisait la même chose il y a longtemps, mais il a été tué par Mozilla qui a décidé de le lier à Firefox. Si Mozilla abandonnait le développement du moteur, ça rouvrirait la possibilité de mettre en place un vrai projet de moteur de rendu, indépendant d'un navigateur et avec une gouvernance plus ouverte. Et les contributeurs de plusieurs navigateurs pourraient y participer au lieu de maintenir chacun sa version.
En ce qui me concerne, je vais continuer à travailler avec WebKit ou mes patchs pour ajouter le support de Haiku sont plutôt bien reçus (j'ai même vu des patchs pour le support de Hurd passer il y a pas longtemps, comme quoi Apple n'a pas peurt des OS concurrents!)
[^] # Re: Équipe de développement assez grande ?
Posté par vpinon . Évalué à 7 (+5/-0).
Je ne peux pas mettre +10, alors je commente pour dire combien je suis d'accord avec ce commentaire :)
Pour WebKit, qui a une belle historique d'ouverture et permet de rendre des sites tout à fait correctement. A une époque c'est l'effort sur les performances JavaScript qui faisait basculer tout le monde sur Blink, je ne sais pas où ça en est de ce côté… Est-ce stratégiquement si crucial ? (je veux pas d'un web tout en JS ! vive HTML+CSS !)
Et surtout pour l'aspect gouvernance : tant qu'un leader historique (Mozilla) garde le contrôle officiel d'un projet (Gecko), c'est très compliqué d'infléchir et redynamiser le truc, d'autant plus si son comportement (orientation des fonds, de la stratégie) fait fuir les potentiels contributeurs. Et les alternatives souffrent de l'ombre pour éclore…
C'est comme dans les assos ou en politique : quand des dirigeants ne lâchent pas, leur notoriété et le respect qu'ils conservent font qu'on n'arrive pas à les changer, mais difficile de faire émerger une autre structure sur le même créneau (faire entendre sa com', obtenir des financements)… Et les bénévoles/militants sont frustrés, et s'occupent d'autres choses, avec peut-être un impact moindre.
[^] # Re: Équipe de développement assez grande ?
Posté par barmic 🦦 . Évalué à 9 (+7/-0).
Il y a beaucoup de tapage actuellement autour de la mort de Firefox au cas où Google doive se séparer de Chrome. Je suis un inconditionnel de Firefox depuis plus de 2 décennies, mais de mon avis la mort de Firefox est moins grave que de faire perdurer la position actuelle de Google qui en tant que fournisseur de service contrôle le client hégémonique.
Si le moteur de rendu deviens un commun, ce n’est plus si grave d’avoir des implémentations différentes. L’important ce n’est pas d’avoir plusieurs implémentations, mais que différent acteurs du web se mettent d’accord sur le fonctionnement du web. Si un projet deviens un commun où tout ces acteurs peuvent échanger, le web se portera très bien.
Mozilla a fait le choix de ne pas être se commun, mais webkit peut le devenir. Ce serait servo ou blink ça m’irait aussi, l’important c’est que les différents acteurs dont des représentants des utilisateurs aient leurs mots à dire.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Équipe de développement assez grande ?
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 7 (+5/-0).
Tout à fait. Le truc qui me chiffonne un peu c'est que WebKit semble souvent oublié dans ces discussions (comme si il n'existait que Gecko, Blink, et Servo voire Ladybird comme candidats sérieux), alors même que ça me semble être celui qui est déjà le mieux configuré (en termes de gouvernance et de portabilité) pour répondre à ce besoin.
Je ne sais pas si c'est lié à l'implication importante de Apple dans le projet (qui ne m'a pas l'air de poser tant problème que ça, et qui sera naturellement "diluée" s'il y a plus de participants) ou pour des problèmes techniques (performance, compatibilité/respect des standards, …) ou pour d'autres raisons. Qui peuvent être justifiées, mais dans ce cas j'aimerais bien savoir ce qu'elles sont, et pas que WebKit soit juste éliminé d'office de la discussion.
[^] # Re: Équipe de développement assez grande ?
Posté par barmic 🦦 . Évalué à 5 (+3/-0).
Si je devais imaginer une raison, pas mal de personnes pensent que blink a remplacé webkit pas seulement dans chrome
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Équipe de développement assez grande ?
Posté par Maderios . Évalué à 3 (+1/-0).
J'ai tendance à (presque) toujours voir le verre à moitié plein. À quoi le pessimisme est il utile? Librewolf est très prometteur.
[^] # Re: Équipe de développement assez grande ?
Posté par arnaudus . Évalué à 8 (+5/-0).
Le réalisme permet quand même de comprendre le contexte dans lequel les outils logiciels que tu utilises ou que tu conseilles sont développés.
Si pour toi changer de navigateur n'a pas de coût, ça n'est pas la même chose pour tout le monde. Changer le navigateur de sa mémé isolée dans le Périgord, ça ne peut se faire que quand on est présent sur place. Changer le navigateur de tous les postes d'une PME ou d'une école, ça prend du temps et/ou de l'argent; et c'est même parfois problématique (parce que ça casse des procédures qui fonctionnaient, etc). Donc quand on prend une décision telle que "est-ce que j'installe tel ou tel navigateur", ça peut impliquer des choses qu'il vaut mieux savoir.
Pour les navigateurs, ici, on parle quasiment de fork de "distribution" de navigateur (les options par défaut et les extensions), c'est très loin d'être un fork du moteur de rendu par exemple. C'est très bien, et ça correspond à peu de choses près à ce que fait Firefox sous Android (un emballage autour du moteur de Chrome), mais il ne faudrait pas croire qu'on est en train d'installer un autre logiciel.
Du point de vue du libriste de base, c'est pas mal quand même, parce que ça permet de conseiller autre chose que Firefox, qui commence à sérieusement poser des questions. À un moment, tu avais toujours l'argument des parts de marché, qui garantissaient que les éditeurs web testaient leur site avec FF, mais ça n'est plus le cas, et utiliser un navigateur qui a 1% ou 0.0001% de PDM, c'est en pratique assez pareil.
[^] # Re: Équipe de développement assez grande ?
Posté par Strash . Évalué à 10 (+8/-0).
Ceci est faux, Firefox sous Android utilise le moteur Gecko.
[^] # Re: Équipe de développement assez grande ?
Posté par arnaudus . Évalué à 3 (+0/-0). Dernière modification le 13 mai 2025 à 15:45.
Ah mais oui je me suis gouré, j'ai confondu avec Edge, qui a abandonné son propre moteur pour tourner avec Blink. Toutes mes excuses.
[^] # Re: Équipe de développement assez grande ?
Posté par Maderios . Évalué à 3 (+1/-0).
Le réalisme n'est pas incompatible avec un état d'esprit optimiste.
[^] # Re: Équipe de développement assez grande ?
Posté par barmic 🦦 . Évalué à 3 (+2/-1).
Tu citais
Tu as un élément qui dit que cette phrase n’est pas vraie ou que c’est un sujet pas important ?
Quels sont vos postures ne sont pas très utile au débat.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Équipe de développement assez grande ?
Posté par Maderios . Évalué à 0 (+0/-2).
Partir perdant.e. n'a jamais été une bonne stratégie. Si le développement de Firefox s'arrête, il sera repris par des gens motivés, d'une autre manière ou pas. Librewolf est une piste.
[^] # Re: Équipe de développement assez grande ?
Posté par barmic 🦦 . Évalué à 6 (+5/-1).
Ignoré les problèmes non plus. On construit pas une discussion par des phrases toutes faite.
Ça c’est un vœux pas un fait. Il faut faire attention au biais de normalité.
J’en ai pas l’impression dans la situation actuelle. Ils n’ont pas de s’intéresser à maintenir Firefox, mais plus à proposer un build différent. Librewolf est à firefox, ce que tails est à debian.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Équipe de développement assez grande ?
Posté par BAud (site web personnel) . Évalué à 3 (+1/-0).
ça n'a jamais été un bon argument — la preuve… (et sinon IE6 aurait perduré) — interopérabilité, respect des normes et standards, ça oui c'est pérenne
[^] # Re: Équipe de développement assez grande ?
Posté par barmic 🦦 . Évalué à 3 (+1/-0).
Il a dit qu’un navigateur suffisamment utilisé était testé par les sites, pas qu’un navigateurs suffisamment testé gardait des parts de marché. D’autant que ce qui a achevé IE6 c’est des ingé de youtube.
Là tu joue à ne pas comprendre avoir plusieurs implémentation indépendante d’une norme est une façon de réduire les risques de s’adapter à un bug ou un comportement indéfini de la norme.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Équipe de développement assez grande ?
Posté par arnaudus . Évalué à 9 (+6/-0). Dernière modification le 14 mai 2025 à 13:11.
C'était un argument auquel je croyais il y a 15 ans, mais je n'y crois plus du tout. Un navigateur doit ne pas respecter les normes et les standards pour protéger l'utilisateur. Un navigateur qui respecte la norme, c'est un logiciel au service du serveur auquel tu es connecté, et pas un outil au service de l'utilisateur. La norme, c'est l'affichage des pubs, des pop-ups, des pixels transparents, des traqueurs, des cookies, de l'exécution de javascripts vérolés, etc. Donc non, un navigateur ne doit surtout pas respecter la norme. Un navigateur doit choisir efficacement ce qu'il doit faire ou non, en partant du principe que le web est un environnement hostile et que tout élément à afficher peut potentiellement détourner la norme pour nuire à l'utilisateur.
Au passage, un navigateur alternatif doit aussi et surtout interpréter la norme de la même manière que le navigateur dominant, sinon il va juste mal afficher les pages, ce qui n'arrange personne.
Pendant très longtemps le respect de la norme a été le coeur du modèle de développement de Firefox (je me rappelle l'époque où l'argument pour changer de version était la progression du score à l'Acid test), et à mon avis il a été compris beaucoup trop tard que ça n'était pas le respect des normes qui était attendu d'un navigateur alternatif, c'était 1) la "propreté" et la transparence du modèle de développement (et là, la Mofo a fait beaucoup de m***), et 2) la sécurité et la protection de l'utilisateur, dans un contexte où les navigateurs commerciaux fournis par Google n'avaient pas tellement intérêt à bloquer les traqueurs et les cookies. Le temps de changer de modèle, et c'était trop tard. La sécurité de Firefox reposait sur une collection d'extensions hétéroclites qui ne bénéficiaient pas de l'effet "Part de marché", et qui existaient souvent en tant qu'extensions pour les navigateurs concurrents.
Dans un tel contexte hostile avec des navigateurs ou extensions qui bloquent des éléments en fonction d'heuristiques plus ou moins claires, il est prépondérant de vérifier que le site fonctionne malgré ces filtres et ces décisions. Si tu as 30% de parts de marché et un environnement homogène (n'impliquant pas une galaxie d'extensions plus ou moins incompatibles), le concepteur du site va devoir s'adapter. Si tu as 0.1% de parts de marché, le site va mal fonctionner chez toi, et c'est tout. C'est une différence fondamentale.
[^] # Re: Équipe de développement assez grande ?
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 7 (+5/-0).
La situation est plus compliquée. À l'époque où Firefox travaillait au respect des normes, il s'agissait de normes établies par le w3c, plutôt stables et avec une évolution assez lente.
Situtaion qui bien sûr ne convenait pas du tout à Google qui hréfère faire évoluer les choses très très vite. Ils ont donc créé le WHATWG qui a remplacé le w3c pour la standardisation du HTML. Depuis, le HTML5 est en "rolling release", toutes lë nouveautés sont ajoutées directement dedans avec peu de préoccupation de la vie privée des utilisateurs. Le rythme est beaucoup plus rapide. Malheureusement, les développeurs d'autres navigateurs ont plus ou moins suivi ce mouvement.
Cela pose déjà des problèmes bêtement techniques: une fois que quelque chose est standardisé, c'est très compliqué de le retirer car cela casserait les sites web exisants. Un standard avec une évolution lente permettrait de faire des expériences puis de les abandonner avant qu'elles n'aient le temps d'être standardisées. Le travail pour suivre le rythme est conséquent et contribue à la prise de poids des moteurs de rendu.
Cela met donc en évidence un problème plus profond: il ne s'agit pas juste du respect des normes, mais de la façon dont ces normes sont établies. Mozilla a, il me semble, suivi Google dans cette aventure en se disant que c'était mieux d'essayer de lutter de l'intérieur pour défendre la vie privée des utilisateurs. Peut être que si à l'époque ils étaient restés du côté du w3c, les choses seraient bien différentes? Quelques années plus tard, ils ont accepté d'implémenter des DRM pour les contenus vidéo. Maintenant ils espionnent leurs utilisateurs via de la télémétrie et essaient d'intégrer des chatbots intelligence artificielle et je ne sais pas quoi alors qu'on leur demande juste de faire un navigateur…
[^] # Re: Équipe de développement assez grande ?
Posté par arnaudus . Évalué à 8 (+6/-1). Dernière modification le 15 mai 2025 à 10:45.
Mais est-ce réellement le rôle d'un langage de programmation de se préoccuper de sécurité ou de vie privée? C'est un peu comme si on reprochait à C++ de ne pas se préoccuper de la vie privée des utilisateurs. Bien sûr, il ne faut pas être naïfs, certaines fonctionnalités sont là uniquement pour nuire aux utilisateurs.
Ce qui a changé depuis 15 ou 20 ans, c'est bien le fonctionnement de l'écosystème. Il y a 20 ans, quand tu te connectais sur un serveur, tu pouvais considérer qu'il était amical (sinon, ça ne te viendrait jamais à l'esprit de taper l'URL d'un serveur hostile). Bien sûr, il pouvait toujours avoir été hacké, et ça n'était pas open bar non plus, mais disons que tu pouvais partir du principe que le serveur n'allait pas essayer de te tromper par tous les moyens. Ça n'est plus du tout le cas, le web est devenu hostile, et les serveurs auxquels on se connecte tentent systématiquement de nous tromper, de nous extorquer des informations, etc.
Un exemple parmi des centaines, c'est le fingerprinting. Tu imaginerais un serveur Linux qui déballerait à la moindre requête la version du kernel, la distribution, les versions exactes de tous les serveurs écoutant sur les ports, les ports ouverts, la liste des utilisateurs, des groupes, etc? C'est absurde, tu ne veux pas donner des informations qui peuvent potentiellement donner des indications à un attaquant pour exploiter des failles de sécurité. Pourtant, c'est ce que font tous les navigateurs, ils déballent la taille du slip de ta grand-mère, le modèle de ta serrure, et la poche dans laquelle tu ranges tes clés. Comment un comportement aussi nocif pour l'utilisateur a pu être mis en place? Je viens de vérifier, mon Firefox configuré par défaut balance que ma batterie est à 100% parce que je suis sur le secteur, quel autre logiciel trouverait ça normal de balancer cette info aux quatre vents? Ça ne peut être que parce que les devs des navigateurs n'ont pas réellement intégré que le web était hostile et que le boulot du navigateur était d'être au service de l'utilisateur. Et c'est l'idéologie du "respect des standards" qui est la seule explication : il faut respecter les standards, les standards demandent que tu répondes à la question "quelle est la couleur de ton slip", alors le navigateur balance tout.
[^] # Re: Équipe de développement assez grande ?
Posté par barmic 🦦 . Évalué à 1 (+1/-2).
C’est pas que c’est sont rôle, mais c’est sont principal rôle. Il doit définir les acteurs du web et comment ils interagissent entre eux. Le reste c’est de l’implémentation de cet objectif.
Ta batterie et savoir si tu es branché ou non n’ajoute qu’un peu d’entropie à un sujet qui est bien plus vaste et plus complexe. Il y a un paquet d’informations qui peuvent sembler légitimes qui entrent dans le fingerprinting (la taille de ta fenêtre, ta locale, ta timezone, les fonts qui sont installées,…) le web cherche à faire quelque chose de bien plus complexe que la majorité des autres réseaux, tu ne peut pas le comparer avec "un serveur linux" (d’autant que par défaut un apache envoie beaucoup d’info sur lui même).
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Équipe de développement assez grande ?
Posté par arnaudus . Évalué à 6 (+3/-0).
Certes, mais c'est une question de principe : la réponse normale à une telle requête devrait simplement être "ça ne te regarde pas". Éventuellement, dans de très rares cas, tu pourrais demander explicitement une permission. Mais le comportement des navigateurs, c'est vraiment un comportement de logiciel espion : il balance tout à n'importe qui, sans aucune considération pour la protection des utilisateurs.
C'est une histoire de granularité. Je trouve que le système de permissions de type Android n'est pas mal conçu: potentiellement, dans un système complexe, de nombreux composants logiciels peuvent avoir besoin d'accéder à des répertoires ou du hardware sensible, mais tous n'ont pas besoin d'accéder à tout. Il serait tout à fait sain de distribuer des infos au compte-goutte. Tu veux savoir le navigateur? Firefox/Gecko. Tu veux avoir la version? À la première connexion, 3 options : donner l'info, refuser l'info, donner une version random. Tu veux savoir si j'ai un micro? donner l'info, refuser l'info, répondre "non" même si on a un micro. Et le navigateur pourrait tout à fait faire des choix éclairés, parce que pour certains trucs il n'y a aucune raison de donner une telle info.
Donc en bref, non, la complexité n'est pas une raison. La raison, encore une fois, c'est l'obsession pour le respect d'une "norme". Il faut que quand tu installes un navigateur, par défaut, il se comporte comme un logiciel espion au service des serveurs auxquels tu te connectes, et si le navigateur est gentil, il peut te laisser installer des extensions pour modifier ce comportement, mais attention, tu risques d'avoir des problèmes. Tu dis qu'apache donne beaucoup d'infos, mais si tu as un rapport de bug qui dit "attention donner cette info là c'est sensible parce que ça pose un risque de sécurité pour telle ou telle raison", il y a fort à parier que la faille va être corrigée et que l'info va disparaitre, ou va être modifiée de manière à ne pas fournir de donnée sensible. Il n'y a pas d'argument du type "ah oui mais la norme impose qu'on répondre "oui" ou "non" quand on nous demande si on a bien intégré le patch de sécurité XXX".
[^] # Re: Équipe de développement assez grande ?
Posté par BAud (site web personnel) . Évalué à 1 (+0/-1).
tu te contredis un peu en disant ensuite :
et ce, en continuant de respecter la norme : prise en compte du standard, qui n'implique pas de fournir des informations complètement exactes, ce que la distribution kali — par exemple — configure par défaut pour éviter le fingerprinting
[^] # Re: Équipe de développement assez grande ?
Posté par barmic 🦦 . Évalué à 6 (+4/-0).
Tu sais que le fingerprinting sur Android c’est un service de l’OS hors de contrôle des autorisations ? À force de mettre la pression google a remplacé un identifiant du téléphone par un identifiant lié au certificat de l’app pour limiter le tracking inter app. La seule chose qui évite le tracking sur android c’est le RGPD.
Je peux très bien déterminer ton navigateur et sa version de ton navigateur en vérifiant ce qui est supporté ou non dans ECMAScript et CSS3. Ton OS par la disponibilité des polices.
Mozilla fait un gros travail là dessus et si tu active le niveau le plus élevé de protection (la clef
privacy.resistFingerprintingdansabout:config), tu as des protections actives contre le finger printing, comme une manière d’indiquer la taille de la fenêtre qui est faite pour gêner ou le fais d’utiliser une timezone erronée par exemple. Ça casse pas mal d’usage (ou ça induit des comportements surprenant.Je n’ai pas dit que c’était la raison mais que ta comparaison n’était pas pertinente.
Mozilla a expérimenté longtemps le blocage des cookies tiers pour s’assurer de ne pas casser des usages comme l’achat en ligne ou des SSO avant d’être l’un des premiers, si ce n’est le premier navigateur à l’activer par défaut.
Le fingerprinting est bien plus complexe et le bloquer n’est pas sans conséquence pour l’utilisateur. Les travaux autour de cela sont ingrats car peu visibles pour les utilisateurs qui sont prompts à imaginer que rien les navigateurs s’en foutent.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Équipe de développement assez grande ?
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 3 (+2/-1).
Il ne s'agit pas que d'un langage de programmation, mais de tout un environnement (peut-être comme KDE ou GNOME, ou au moins comme Qt et GTK).
Pour le sujet du fingerprinting: prise individuellement, chaque information remontée est assez cohérente. Le site que tu visites a besoin de connaître ton fuseau horaire pour t'afficher les heures locales. Il a besoin de la taille de ta fenêtre pour faire sa mise en page. Il a besoin de savoir quelles langues tu comprends pour t'afficher le site dans une langue que tu connaît. Il a éventuellement besoin de ton niveau de batterie pour savoir s'il lance une vidéo en full HD qui va consommer les 2% qu'il te reste, ou bien si il vaut mieux passer sur une version légère du site.
Par contre, le truc aurait peut-être pu être pensé pour que ces infos ne puissent pas être remontées vers le serveur, et que un maximum de choses se fassent en local. Probablement que ça n'a pas été possible parce que une grande partie de la conception a été faite avant que la vie privée des utilisateurs soit à la mode, et c'était difficile de changer après coup et que ça remettrait en question des choix assez fondamentaux.
Après, il se trouve que des entreprises se sont engouffrées dans cette faille pour monter un business à partir de l'extraction de données. Mais je ne suis pas certain que ce soit lié, le fingerprinting est assez opportuniste et détourne des fonctionnalités qui, prises individuellement, n'étaient pas prévues pour ça.
[^] # Re: Équipe de développement assez grande ?
Posté par fearan . Évalué à 6 (+4/-1).
Peut être géré par javascript qui va formater la date en heure locale, le site lui à juste à envoyer du UTC
Si on a cette *@!]=#(% de css, c'est en partie pour ça
Y'a une option dans les navigateurs qui permet de lister la liste des langue voulue, mais le mieux : certains site utilisent des drapeau pour la sélection de langue.
Ou lancer par défaut en basse définition et laisser l'utilisateur sélectionner une meilleur définition, quitte a avoir un cookie de préférence de site.
Donc non aucun des usage 'légitime' ne me semble pertinent.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Équipe de développement assez grande ?
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 3 (+0/-0).
Et c'est ce qui est fait. Mais le Javascript peut très bien renvoyer l'info au serveur aussi.
Je ne sais pas lequel des deux est apparu en premier. Et je pense que si on retirait Window.screen de l'API Javascript, les développeurs de trackers trouveraient bien un moyen d'extraire l'info à partir de css et je javascript tout de même.
Et je pense que c'est pareil pour les autres cas: ces infos doivent être accessibles d'une façon ou d'une autre (à part en effet pour le niveau de charge de batterie qui ne me semble pas indispensable, mais le besoin initial est tout de même compréhensible même s'il n'est pas acceptable).
Le vrai problème est que ces informations sont trop faciles à remonter au serveur. Chacune individuellement a été mise en place pour de bonnes raisons, mais sans suffisamment de considération pour les risques que ça pose pour le tracking, ou bien, les protections nécessaires n'ont pas pu être mises en place parque que la plateforme de base ne le permet pas (ça semble vraiment difficile de contrôler tout ça et à la fois d'autoriser le code Javascript a faire des requêtes dynamiques pour envoyer et recevoir tout et n'importe quoi).
Sûrement qu'une architecture pensée pour la vie privée dès le départ aurait, par exemple, complètement interdit au code Javascript de pouvoir déclencher tout accès au réseau, et limité fortement les possibilités d'envoyer des cookies et autres en-tête personnalisés. Le résultat serait bien différent de ce qu'on a aujourd'hui. Mais je pense que la seule solution pour y parvenir aujourd'hui ce serait de changer de plateforme, et par exemple utiliser quelque chose comme Gemini.
[^] # Re: Équipe de développement assez grande ?
Posté par arnaudus . Évalué à 4 (+1/-0).
Je suis également persuadé qu'un navigateur qui serait développé en 2025 à partir de rien fonctionnerait en effet complètement différemment. Par exemple avec deux couches, une première couche de moteur de rendu qui implémenterait la norme le plus fidèlement possible dans un environnement très protégé, et une couche d'interface utilisateur qui accèderait à cette couche non-protégée via une sorte de firewall très strict. On pourrait imaginer par exemple la suppression de tout élément qui n'affecte pas le rendu de la page, ou un test des effets des actions de l'utilisateur dans la couche virtuelle avant d'afficher le rendu dans l'interface (du style "ce clic va déclencher l'ouverture d'une fenêtre en pop-up, OK <-> Cancel"). Bref, tout faire pour ne pas afficher la page telle que le souhaite le concepteur du site, mais telle que le souhaite l'utilisateur.
[^] # Re: Équipe de développement assez grande ?
Posté par barmic 🦦 . Évalué à 2 (+0/-0).
Je ne vois pas comment ça pourrait fonctionner… ou plutôt je ne vois pas comment ça pourrait fonctionner sur le web. Un tout autre réseau comme gopher, gemini ou solid oui, mais il faut que le serveur soit prévu pour.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Équipe de développement assez grande ?
Posté par arnaudus . Évalué à 4 (+1/-0). Dernière modification le 16 mai 2025 à 12:38.
Je me suis probablement mal exprimé, et l'idée ici n'était pas d'exposer un nouveau concept, mais dans l'idée le serveur croit qu'il affiche sa page directement à l'utilisateur, et pas via un proxy.
Une version démo du concept pourrait consister à faire tourner dans un proxy sécurisé en local un truc comme https://www.url2png.com, et tu sers le png à l'utilisateur. Le serveur distant ne sait pas que seule une capture d'écran de son site a été servie, et l'utilisateur ne sait pas qu'il s'agit d'une capture. Le système traque les clics, et informe le proxy que l'utilisateur a cliqué à cet endroit; le proxy teste éventuellement ce qui se passe quand on réalise cette action, et réagit en conséquence (par exemple, ne fait rien si ça ouvre un popup ou un autre onglet, etc). Le serveur distant croit qu'il a affiché une pub, et n'a aucun moyen de savoir que l'utilisateur ne l'a pas vue.
Bon, de toutes manières le diable est toujours dans les détails, mais il me semble que quelle que soit la solution technique, il faudrait pour un navigateur au service de l'utilisateur partir du principe que le site distant soit par défaut considéré comme hostile, et que le navigateur puisse le tromper en ne laissant passer que le strict minimum à l'utilisateur.
[^] # Re: Équipe de développement assez grande ?
Posté par barmic 🦦 . Évalué à 2 (+0/-0).
Il me génère à la taille de la fenêtre ?
Le js peux tracker la position du curseur de la souris en temps réel. Donc le serveur peut très bien déterminer qu'il est dans ta sandbox.
La première chose induite par ça c'est de bloquer le js.
Mais tu ne peux pas tracer une ligne toi même sans que ça ai comme conséquence immédiate de casser des sites légitimes. C'est pour ça que des navigateurs qui se veulent grands publiques ne feront jamais ça par défaut.
Je ne dit pas que ce n'est pas souhaitable, juste que ce n'est pas le travail d'un seul acteur et que ton hypothèse initiale est péremptoire et erronée
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Équipe de développement assez grande ?
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0).
oui : c'est un point que j'ai laissé en ellipse dans mon commentaire, mais tu l'exprimes mieux que moi et ce qui me trottait dans la tête :-)
eh oui :/ tant qu'on restait avec des extensions de la norme, entérinées après une période de grâce, permettant d'observer l'expérimentation, cela laissait possibilité de consolider selon les implémentations et essayer de faire converger sur un consensus. Tout en laissant le temps d'avoir plusieurs implémentations et conserver de la cohérence entre navigateurs.
Perso, il y aurait un HTML 5.1, 5.2, 5.3… ça ne me dérangerait pas trop, mais cela a visiblement manqué d'asservissement pour versionner correctement la norme (bon côté java aussi ça a pris du temps, ce n'est pas simple de gérer des gros projets tels que ceux-ci).
Javascript c'est àmha un autre sujet, je ne l'inclue pas dans les normes de base du web : uniquement HTML / CSS (pour aller plus loin, la norme du web devrait être celle de https://www.w3.org/WAI/ _o/). Pour le navigateur, en revanche, Javascript requière sa prise en compte et je rejoins quelques-unes des positions d'arnaudus< ;-) (notamment sur le niveau de la surface d'exposition : pour moi, ce serait noscript, quelques capacités de scripts limitées, capacité de script mais avec des limitations genre adblocker, full script éventuellement).
[^] # Re: Équipe de développement assez grande ?
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 3 (+1/-0).
Ca ne convenait a personne en fait et surtout le w3c focusait sur le xml à l'époque.
Accessoirement pour le coup ce n'est pas google qui est a l'origine du whatwg mais Mozilla et apple.
https://whatwg.org/faq#what-is-the-whatwg
https://en.wikipedia.org/wiki/WHATWG
# Firefox et l'anti-tracking
Posté par merinos . Évalué à 4 (+3/-0).
en fait, je m'étonne toujours un peu lorsque l'on parle de Firefox et d'uBlock Origin (s'écrivant en 2 mots, ni plus ni moins et vraiment bien comme greffon).
la raison? dans la configuration de Firefox, en mettant la "Protection renforcée contre le pistage" sur "Stricte", cela donne déjà quelque chose de sympa (mème chose avec Edge, utilisant d’ailleurs la même base de données https://disconnect.me )
penser également d'user et abuser (façon de parler) du "about:config", permettant ainsi de désactiver le cache disque et paramétrer celui de la mémoire vive.
[^] # Re: Firefox et l'anti-tracking
Posté par Argon . Évalué à 2 (+1/-0). Dernière modification le 02 juin 2025 à 13:12.
Ublock ce n'est juste un bloqueur/débloqueur. Il permet d'avoir ses propres filtres, il permet de dégager une zone d'un site que l'on a pas envie d'avoir (et parfois ce ne sont pas des "pubs") avec la pipette notamment.
de même que nous profitons des avantages que nous apportent les inventions d'autres, nous devrions être heureux d'avoir l'opportunité de servir les autres au moyen de nos propres inventions ;et nous devrions faire cela gratuitement et avec générosité
# bon constat et alternative
Posté par cosmocat . Évalué à 3 (+2/-1).
Un article qui exprime mieux que moi mon ressenti sur Firefox et un coup de coeur sur une alternative que je n'ai jamais testé (mais ça donne envie) :
https://bouvier.cc/tech/zen-browser-love-letter/
# Gestion des profiles
Posté par Pol' uX (site web personnel) . Évalué à 0 (+0/-2).
Coucou,
Comment se passe la migration depuis Foirefox ? Les profiles sont importés ? Les extensions aussi ? Le dossier de profile est ils séparé ou partagé avec Firefox ?
Adhérer à l'April, ça vous tente ?
[^] # Re: Gestion des profiles
Posté par Lutin . Évalué à 2 (+0/-0). Dernière modification le 14 mai 2025 à 12:46.
Pour les marques pages, les extensions, etc, j'ai fait à la main.
Sinon les profils sont séparés, sur debian avec librewolf et firefox installés, tu as:
~/.mozilla/firefox
~
/.mozilla/librewolf~/.librewolf
~/.cache/mozilla/firefox
~
/.cache/mozilla/librewolf~/.cache/librewolf
edit: apt upgrade
# Arkenfox
Posté par benoar . Évalué à 2 (+0/-0).
J’arrive après la bataille, mais une alternative qui n’est pas un nouveau navigateur, mais une modification des paramètres de Firefox, c’est le user.js d’Arkenfox :
https://github.com/arkenfox/user.js
C’est vraiment bien je trouve, ils suivent les dernières « features » de FF et proposent des réglages par défaut plutôt bien, ou expliquent ceux qui sont sujets à caution avec des sources pour nous aider à décider si on souhaite les garder ou non. Certes on reste sur FF et ça ne promeut pas d’alternative, mais ça permet au final d’avoir un Firefox plutôt bien, pour mon goût (même si j’ai personnellement une conf assez radicale ; mais au moins c’est possible !)
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.