Discussion :

[Blondelle Mélina]

Firefox : le chargement de ressources FTP dans une page Web ne sera plus autorisé
le protocole FTP ne supportant pas le chiffrement moderne

Mozilla Firefox commencera à bloquer le chargement de ressources à partir des serveurs FTP dans les pages HTTP et HTTPS. Cette mesure de sécurité s'appliquera dès Firefox 61 (qui sera disponible en juin prochain selon les ingénieurs de Mozilla) et les versions ultérieures. Les ressources FTP sont les fichiers chargés via le protocole FTP dans les balises <img>, <script> et <iframe> avec src = « ftp://  ».

Le problème est que FTP est un protocole non sécurisé qui ne supporte pas les techniques de chiffrement modernes et va casser par lui-même de nombreuses autres fonctions de sécurité et de confidentialité du navigateur, telles que HSTS, CSP, XSA ou autres. En outre, de nombreuses campagnes de distribution de logiciels malveillants reposent souvent sur la compromission de serveurs FTP et la redirection ou le téléchargement de logiciels malveillants sur les ordinateurs des utilisateurs via des ressources FTP.

La modification permettra d'accéder aux ressources FTP dans les hyperliens ou lorsque l'adresse d'un serveur FTP est entrée dans la barre d'adresse de Firefox, mais le navigateur ne permettra plus d'invoquer les ressources FTP à l'aide de l'attribut src HTML.

Google a pris une décision similaire avec Chrome 63 sorti en septembre dernier en bloquant le chargement des ressources FTP. Le navigateur a commencé à bloquer le chargement de la ressource FTP, et a également commencé à étiqueter les sites FTP dans la barre d'adresse du navigateur comme « non sécurisés ». Google a déclaré à l'époque que 0,0026 % de tous les liens chargés dans la barre d'adresse du navigateur étaient des liens FTP, un nombre susceptible d'être très similaire sur Firefox.

FTP envoie des données en clair et n'a pas été conçu pour le web moderne. En effet, le protocole a précédé le web de plus de 15 ans. Peu de gens pleureront ou remarqueront la dépréciation de FTP à l'intérieur de Firefox. Le protocole est maintenant si marginalisé que même les services de téléchargement sous Linux ont cessé de l'offrir en option.

Source : Firefox Site Compatibility

Et vous ?

Qu'en pensez-vous de cette mesure de sécurité ?

[tanaka59]

Quand on sait que certain FTP acceptent encore les connexion en "anonymous" cela fait peur ... .

Il reste le FTPS et le SFTP

Pour transmettre de la date entre serveur c'est quand même plus secure .

[Jarodd]

Dommage, c'est pratique pour télécharger des fichiers publics. Par exemple, des versions de... Firefox.

[vayel]

ftp est très utilisé, notamment pour télécharger des fichiers "sans droits" au hasar Debian 10

bon au pire y'a le torrent ou r-sync qui sont de toute manière meilleur pour le download fiability.

[23JFK]

La news n'a pas l'air de dire que le FTP allait être banni de firefox, mais que les balises html de type img ou embbed dont le src commence par ftp:// allaient être bloquées.

[tes49]

Salut

Il n'y aura blocage des ftp qu'à partir des pages Http (à partir de https à contenu mixe, il y aurait déjà blocage, ce que je n'ai pas vérifié moi-même..)...

Une adresse ftp pourra être chargé directement, donc pas de quoi s'affoler pour le moment.... Mais une personne sur le bug à tout de même posé la question pour venir à interdire tout simplement les connexions aux ftp !...

Those FTP resources can still be loaded if opened directly within the browser or any FTP page, and links to FTP servers are also not blocked.

Ces ressources FTP peuvent toujours être chargées si elles sont ouvertes directement dans le navigateur ou sur une page FTP, et les liens vers les serveurs FTP ne sont pas non plus bloqués.

Dommage, c'est pratique pour télécharger des fichiers publics. Par exemple, des versions de... Firefox.

Tu garderas ce ftp pour un client comme FileZilla , quoi que ce dernier prenant aussi les adresses ci-dessous, tu pourra mettre ton ftp à la poubelle...

https://ftp.mozilla.org/
https://download-installer.cdn.mozilla.net/
https://releases.mozilla.org/

Cela dit, les http passant énormément en https depuis 6-8 mois (pas mal de rectifications effectuées dans mes marque-pages), je vois pas pour pourquoi les ftp resteraient tel qu'ils sont... (j'en ai encore quelques-un dans ma réserve..)