Discussion :

[Michael Guilloux]

Firefox 37 maintenant disponible :
nouveau système de notation, lecture HTML5 native, recherche sécurisée avec Bing et bien d'autres nouveautés

Mozilla a publié aujourd’hui la nouvelle version de Firefox pour les ordinateurs de bureau sur le site de la fondation.

Au menu des nouveautés, la nouvelle version du navigateur de Mozilla vient avec un nouveau système de notation Heartbeat qui permettra aux utilisateurs d’envoyer leurs commentaires à Firefox. Ce système permettra d’identifier rapidement les bugs et les fonctions qui pourraient dégrader l’expérience des utilisateurs, pour pouvoir par la suite apporter les améliorations adéquates.

La navigation deviendra plus sécurisée avec Firefox et le moteur de recherche Bing de Microsoft. En effet, Bing utilisera désormais le protocole HTTPS pour des recherches sécurisées.

Pour plus de sécurité, Firefox 37 apporte également des améliorations au niveau du blocage de certificats révoqués et « le chiffrement opportuniste du trafic HTTP quand un serveur supporte les protocoles HTTP/2 AltSvc », indiquent les notes de version. On note encore la suppression du support des DSA en vue de sécuriser davantage les communications TLS.

Les performances de rendu WebGL sur Windows ont également connu une amélioration grâce à un support nouvellement ajouté pour Direct3D 11.

La mise à jour comprend également l'extension de support pour divers contrôles HTML5 et CSS. En parlant de HTML5, la nouvelle version de Firefox viendra améliorer la lecture de vidéos sur YouTube grâce à l’activation par défaut des extensions MSE (Media Source Extensions). Toujours au niveau HTML5, on note également une nouvelle implémentation SDP/JSEP dans WebRTC.

Les développeurs verront aussi une extension des outils de débogage de Firefox à d'autres navigateurs, y compris les versions Chrome pour bureau et Android et Safari pour iOS. Parmi les changements visant les développeurs, Firefox 37 vient aussi avec un nouveau panneau de contrôle d’animations d'éléments et un nouveau groupe de sécurité qui a été ajouté au panneau Réseau.

La liste exhaustive des changements, y compris des bugs corrigés, est disponible sur le site de Mozilla. Firefox 37 est actuellement disponible en téléchargement sur le site de la fondation Mozilla.


Télécharger Firefox 37.0

Source : Mozilla

Et vous ?

Que pensez-vous des nouveautés et changements apportés à Firefox?

[marsupial]

Fier du monde du libre.

[Michael Guilloux]

Firefox 37 : le chiffrement opportuniste pour sécuriser le trafic web
Va-t-il inciter les sites en HTTP à ne pas migrer vers HTTPS ?

Mozilla a livré, il y a deux jours, la dernière version de son navigateur Firefox. Au menu des nouveautés et changements qui sont venus avec Firefox 37 au niveau de la sécurité, l’attention de plus d’une personne a été attirée par le chiffrement opportuniste. Firefox intègre désormais « le chiffrement opportuniste du trafic HTTP quand un serveur supporte les protocoles HTTP/2 AltSvc », a annoncé Mozilla sur son blog.

Cela fait maintenant un bon moment que l’on vante les qualités du protocole HTTPS en termes de sécurité. Le chiffrement HTTPS offre une protection contre les attaques main-in-the-middle visant à intercepter le trafic non sécurisé, alors que le trafic HTTP peut être facilement manipulé ou surveillé par des tiers malveillants. Mais pour une raison ou une autre, de nombreux sites web traînent encore les pas vers l’adoption de HTTPS et continuent donc de publier tout ou partie de leur contenu sans chiffrement.

Avec l’activation par défaut du chiffrement opportuniste (OE pour Opportunistic Encryption), Mozilla s’assure de chiffrer si possible tout le trafic web via Firefox 37.

L’OE permet en fait à tout système qui, lorsqu’il est connecté à un autre système, essaye d'utiliser des méthodes cryptographiques pour établir la communication. Quand cela n'est pas possible, la communication se fait à travers un canal non chiffré. De cette façon, il n'est pas nécessaire d'avoir un accord au préalable entre les deux systèmes.

Dans le cas de Firefox, cela permettra de chiffrer toutes les communications si les serveurs ou les sites supportent les protocoles http/2 AltSvc.

D’abord Firefox vérifie qu’il y a un service http/2 sur le port 443, a dit Patrick McManus, développeur chez Mozilla. « Lorsqu'une session avec ce port est établie, il va commencer l'acheminement des requêtes qu'il devrait normalement envoyer en texte clair au port 80 (http) sur le port 443 avec chiffrement à la place. Il n'y aura pas de retard dans la réactivité parce que la nouvelle connexion est pleinement établie dans le fond avant d'être utilisée. Si le service de remplacement (port 443) devient indisponible ou ne peut pas être vérifié, Firefox revient automatiquement à l'utilisation de texte clair sur le port 80. » A-t-il ajouté.

L’OE présente cependant un grand défaut. Il s’agit de son manque d'authentification cryptographique. Le chiffrement opportuniste ne permet pas en effet de valider qu'un serveur connecté est exploité par l'organisation qui revendique sa propriété. En plus, il ne protège pas contre les attaques man-in-the-middle comme le fait HTTPS.

Quoi qu’il en soit, vaut mieux un chiffrement non authentifié que pas de chiffrement du tout, a dit McManus. Le développeur de Mozilla ajoute également que l’OE « crée une certaine confidentialité face à l'écoute passive ».

L’OE n’est également pas apprécié par tous les observateurs. Lorsque l’idée qu’il devienne une partie officielle de la spécification http 2.0 a été proposée – il y a 17 mois de cela – elle a suscité de nombreuses critiques. La méfiance envers le chiffrement opportuniste réside en effet dans le fait qu’il pourrait inciter certains sites à ne pas utiliser les protections HTTPS qui sont plus sûres.


Sources : Bits Up, Notes de versions Firefox 37

Et vous ?

Que pensez-vous du chiffrement opportuniste ?

Est-ce une alternative acceptable à HTTPS ?

Pour quelles raisons les sites web tardent-ils à passer à HTTPS ?

[RyzenOC]

J'aimerais surtout que ce navigateur soit plus performant, car par rapport aux autres (opéra par exemple...) il est lent, surtout a la longue.
Je parle de la version Windows, sous Linux c'est mieux de trouve (linux mint)

[Roadkiller]

Que pensez-vous du chiffrement opportuniste ?

Est-ce une alternative acceptable à HTTPS ?

Pour quelles raisons les sites web tardent-ils à passer à HTTPS ?

Les réponses à ces questions sont très simples et ont déjà été apportées ici à de nombreuses reprises. Le gros problème de HTTPS est que pour éviter que les navigateurs internet ne râlent bruyamment, il faut payer un sacré montant pour se fournir un certificat validé par une autorité de confiance (les certificats auto-générés ne convenant pas aux navigateur et ils seraient pourtant plus sûrs que l'OE je pense). Et comme l'a dit McManus, il "vaut mieux un chiffrement non authentifié que pas de chiffrement du tout". Donc bien que ça ne soit pas le top-du-top, c'est déjà mieux que rien. Et tant que rien ne sera faciliter pour se procurer un certificat validé, je vois mal l'adoption de HTTPS s'accélérer. Vivement que Let's encrypt soit disponible !

[Gecko]

Les réponses à ces questions sont très simples et ont déjà été apportées ici à de nombreuses reprises. Le gros problème de HTTPS est que pour éviter que les navigateurs internet ne râlent bruyamment, il faut payer un sacré montant pour se fournir un certificat validé par une autorité de confiance (les certificats auto-générés ne convenant pas aux navigateur et ils seraient pourtant plus sûrs que l'OE je pense). Et comme l'a dit McManus, il "vaut mieux un chiffrement non authentifié que pas de chiffrement du tout". Donc bien que ça ne soit pas le top-du-top, c'est déjà mieux que rien. Et tant que rien ne sera faciliter pour se procurer un certificat validé, je vois mal l'adoption de HTTPS s'accélérer. Vivement que Let's encrypt soit disponible !

Start SSL permet d'avoir des certificats gratuits et valides depuis un bon moment. C'est amplement suffisant pour les petits sites et peu contraignant. L'excuse du certificat au prix exorbitant n'est absolument pas valable!

Pour ma part l'OE est LA daube de trop, il y a dix ans firefox innovait maintenant ce navigateur embarque tout et n'importe quoi sous couvert d'avancée alors que c'est juste une régression maquillée...

[RyzenOC]

Pour ma part l'OE est LA daube de trop, il y a dix ans firefox innovait maintenant ce navigateur embarque tout et n'importe quoi sous couvert d'avancée alors que c'est juste une régression maquillée...

Pour ma part sa me dérange pas que Firefox embarque plein de truc (Hello, Firefox OS,...) tant que sa entrave pas sur les performances du navigateur, et c'est la ou je m'inquiète, il devient de plus en plus lourd a chaque version.

[robertledoux]

Start SSL permet d'avoir des certificats gratuits et valides depuis un bon moment. C'est amplement suffisant pour les petits sites et peu contraignant. L'excuse du certificat au prix exorbitant n'est absolument pas valable!

Pour les particuliers ou PME il y a aussi namecheap qui permet d'acquérir des certificats COMODO, RAPIDSSL ou GEOTRUST à partir de 9 euro avec ré-issue gratuite et un vrai compte. StartSSL, je ne supporte plus, leur systeme d'authentification par certificat digne du moyen age sans possibilité de recover en cas de "désastre", non merci.

[marsupial]

Le chiffrement opportuniste reste loin d'avoir pour but d'obtenir une connexion sécurisée. Eventuellement cela peut dépanner en urgence mais l'objectif de son existence reste tout autre.