Discussion :

[Stéphane le calme]

Mozilla impose des restrictions aux extensions qu'il ne surveille pas sur Firefox 115 : elles ne fonctionneront pas sur certains sites.
Cette décision suscite déjà la controverse

Mozilla a introduit une nouvelle fonctionnalité dans Firefox 115 qui empêche certaines extensions de fonctionner sur certains sites web pour diverses raisons, notamment des préoccupations de sécurité. Cette fonctionnalité, appelée « Quarantined Domains », affecte les extensions qui ne sont pas surveillées par Mozilla et qui peuvent présenter des risques pour les utilisateurs ou les sites visités.

Les utilisateurs de Firefox 115 peuvent recevoir une notification indiquant que « certaines extensions ne sont pas autorisées » et ils ont été bloqués sur le site en question. Mozilla explique sur une page d’aide : « À partir de la version 115 de Firefox, nous avons introduit une nouvelle fonctionnalité en arrière-plan pour n’autoriser que certaines extensions surveillées par Mozilla à fonctionner sur des sites web spécifiques pour diverses raisons, notamment des préoccupations de sécurité ».

Mozilla ne précise pas la portée de cette restriction ni les critères utilisés pour sélectionner les sites et les extensions concernés. Il s’agit d’une décision unilatérale qui peut limiter la liberté des utilisateurs et des développeurs d’extensions.

Toutefois, les utilisateurs qui souhaitent réactiver les extensions bloquées peuvent le faire en modifiant un paramètre avancé dans la page about:config. Il suffit de rechercher le paramètre extensions.quarantinedDomains.enabled et de le mettre à FALSE, puis de redémarrer Firefox. Cependant, cette manipulation comporte des risques potentiels et n’est recommandée qu’aux utilisateurs avertis.

Cette fonctionnalité est apparue dans le cadre du passage à Firefox 115 ESR, la nouvelle base de la version à support étendu du navigateur. Firefox 115 ESR inclut tous les changements apportés à Firefox depuis la sortie de Firefox 102 ESR il y a un an. C’est également la dernière version du canal stable pour Windows 7, Windows 8 et 8.1, ainsi que pour plusieurs versions de macOS. Les utilisateurs de ces systèmes d’exploitation seront automatiquement migrés vers Firefox 115 ESR pour rester pris en charge jusqu’en septembre 2024.

La réaction des utilisateurs

Cette décision de Mozilla n'a pas fait l'unanimité auprès des utilisateurs. Certains se sont insurgés contre la capacité de Mozilla à désactiver les extensions en lieu et place de l'utilisateur :

C'est fou. Mozilla peut désactiver à distance les extensions sur n'importe quel domaine choisi par Mozilla ?

Apparemment, ils incitent tout le monde à accepter cette abomination en commençant par une liste vide, mais quelle est la motivation de cette fonctionnalité, et quels domaines ont-ils l'intention d'ajouter ? « Nous ne savons pas, nous avons juste pensé que ce serait une bonne idée » n'est pas une explication ou une justification.

Les gens vont parler de « sécurité » et de « banque », mais c'est de la merde. Attendez simplement que votre banque désactive le remplissage et le collage automatiques du mot de passe sur son site, et aucune extension ne pourra le remplacer.

Je n'ai aucun problème à laisser l'utilisateur contrôler les domaines auxquels une extension peut accéder, mais donner le contrôle à distance à Mozilla ? Certainement pas.

Un autre sur les dangers potentiels d'une telle décision. Un passage sur BugZilla déclare :

Nous devons avoir la possibilité de définir la liste des domaines mis en quarantaine à distance. La préférence doit être une chaîne au même format que extensions.webextensions.restrictedDomains.

La préférence sera extensions.webextensions.quarantinedDomains, et elle aura une valeur par défaut définie dans un correctif pour le bogue 1745823 (pour inclure quelques sous-domaines réels, mais "tests" de badssl.com).

Dépôt en tant que confidentiel pour l'instant, jusqu'à ce que nous expédions l'addon système.

En citant ce passage, l'internaute s'interroge :

Quelques questions :

• pourquoi cela serait-il confidentiel ? Était-ce obligatoire ? Est-ce lié à un accord commercial ?
• si vous livrez une installation comme celle-ci, cela abaisse-t-il la barre pour recevoir l'ordre de l'utiliser ? (Pas d'excuse que ce serait difficile/long/coûteux à faire, car c'est déjà là, et la liste peut être mise à jour facilement ?)
• les modifications de cette liste peuvent-elles être effectuées discrètement ou avec moins de contrôle que les modifications de code ? Et par qui ?
• cela peut-il être utilisé d'une manière qui cible des personnes individuelles ?

D'autres ne comprennent pas ce qui suscite la colère des utilisateurs. Par exemple, cet internaute déclare :

Étant donné que vous pouvez simplement remplacer Firefox et activer les extensions désactivées, je ne suis pas sûr de comprendre l'indignation. Là encore, Mozilla semble attirer un niveau remarquable de vitriol bien qu'il soit l'un des véritables gardiens d'un Internet ouvert...

Ce à quoi un utilisateur a répondu :

Non, vous pouvez simplement remplacer Firefox et activer les extensions désactivées. L'utilisateur moyen ne peut pas faire cela.

Je peux aléser un V-8 de 0,030, choisir une came appropriée, faire correspondre tous mes jeux de roulement, assembler la chose équilibrée, puis régler 30 % de puissance en plus par rapport à celle fournie par l'usine. Mais tous les automobilistes ne peuvent pas le faire.

Mais il a rétorqué :

Je parie que de loin la majorité des personnes qui seront réellement affectées ou indignées par cela ont les moyens techniques de cliquer sur une petite icône d'engrenage et de réactiver une extension.

Tout le monde utilise peut-être uBlock et une extension de confidentialité que leur enfant a installée pour eux, et ceux-ci seront sur liste blanche.

C'est une tempête dans une théière, comme toutes les autres « controverses » dans lesquelles Firefox se retrouve impliqué.

Autres améliorations apportées par cette version

Les versions officielles de Mozilla Firefox 115.0 sont désormais disponibles pour cette mise à jour notable de ce navigateur Web open source tout en marquant également la nouvelle série Extended Support Release (ESR).

Les utilisateurs de Linux avec des GPU Intel seront ravis d'apprendre que Mozilla Firefox 115 prend enfin en charge le décodage vidéo matériel par défaut. La plupart des appareils équipés de matériel graphique Intel bénéficieront de la fonctionnalité qui, comme vous l'avez déjà supposé, est alimentée par l'API d'accélération vidéo open source (VA-API).

Ceux qui utilisent des appareils ne prenant pas en charge la plate-forme pour le décodage vidéo H264 bénéficieront d'un recours au plug-in OpenH264 de Cisco lors de la lecture de contenu compatible dans cette version et les versions ultérieures.

Les utilisateurs de Linux peuvent également cliquer avec le bouton central sur le bouton Nouvel onglet pour ouvrir le contenu du presse-papiers (s'il s'agit de texte) dans un nouvel onglet. Les URL stockées dans le presse-papiers se chargent immédiatement, tandis que les formulaires de texte standard lancent une recherche en utilisant n'importe quel moteur de recherche configuré. Si le contenu dans le presse papier est une URL, il ouvrira cette URL, sinon il enverra le contenu au moteur de recherche par défaut. Firefox 115 permet également d'annuler et de rétablir les actions sur les champs de mot de passe - c'est plutôt chouette !

Firefox 115.0 ajoute également la prise en charge de la migration des méthodes de paiement enregistrées dans Chrome vers Firefox, des améliorations de l'interface utilisateur pour l'importation de données à partir d'autres navigateurs et diverses autres améliorations de la convivialité.

Sources : Mozilla, BugZilla

Et vous ?

Que pensez-vous de la décision de Mozilla de restreindre les extensions sur certains domaines ?
Utilisez-vous des extensions qui ont été bloquées par cette fonctionnalité ?
Avec quels commentaires des internautes êtes-vous le plus d'accord ?
Préférez-vous utiliser Firefox 115 ESR ou une autre version du navigateur ?
Quelles sont les extensions que vous utilisez le plus souvent sur Firefox ?
Quels sont les sites web que vous visitez régulièrement avec Firefox ?

[steel-finger]

C'est dommage, l'idée en soi n'est pas mauvaise si l'utilisateur final aurait le contrôle sur les noms de domaines et non Mozilla.

[Fagus]

C'est bien. D'après ce qu'ils écrivent, ça a l'air d'être un travail en cours.

J'imagine le casse tête de gérer des listes d'URL,

• par extension
• incluant des URL connues comme malicieuses à pousser
• incluant des URL perso des utilisateurs
• le tout avec une GUI conviviale.

Perso, j'essaie de taper les mots de passe en mode privé, parce que les extensions ont beaucoup de droits et ce qu'elles font vraiment n'est pas audité.

[kain_tn]

Que pensez-vous de la décision de Mozilla de restreindre les extensions sur certains domaines ?

C'est une décision affreuse, et sous couvert de sécurité!

Pour ceux qui parlent Anglais, vous trouverez peut-être ce lien très instructif même si je trouve que l'auteur est un peu trop tendre dans ses conclusions:

Voici une ptite mise en bouche:

Firefox version 115.0 was released on July 4, but I'm not celebrating. I'm concerned about a new "feature" in the release notes.

Certain Firefox users may come across a message in the extensions panel indicating that their add-ons are not allowed on the site currently open. We have introduced a new back-end feature to only allow some extensions monitored by Mozilla to run on specific websites for various reasons, including security concerns.

For various reasons. That's quite uninformative and mysterious.

I'm all in favor of giving users control over which extensions are allowed to load on which sites. Safari already has this feature on both macOS and iOS. My concern is not about user control—little of which even exists in Firefox 115, as I'll show later—but rather about the remote control that Mozilla has now given itself, as mentioned in a Bugzilla report.

We need to have ability to set the list of quarantined domains remotely. The pref should be a string with the same format as extensions.webextensions.restrictedDomains.

The pref will be extensions.webextensions.quarantinedDomains, and it will have a default value set in a patch for bug 1745823 (to include a couple real but "test" subdomains from badssl.com).

Filing as confidential for now, until we ship the system addon.

You have to wonder why an open source project required confidentiality about this. Incidentally, neither Safari nor Chrome, or any other browser as far as I know, has such a remote domain-specific kill switch for extensions, so you have to wonder why it was necessary in Firefox.

I believe that Mozilla already had the capability to remotely disable an individual extension, if it turned out to be malware. After all, every Firefox extension needs to be uploaded to Mozilla for analysis and cryptographically code signed before it can be installed in Firefox. [Edit: I've now confirmed that Mozilla has an extensions blocklist.] Given this preexisting capability, it's unclear why there should be a list of domains where all except a lucky few chosen extensions are disabled, regardless of whether the disabled extensions have shown signs of misbehavior.

The Firefox quarantined domains list is currently empty. Mozilla hasn't said which domains it intends to add, or even why a domain-specific list is required. I find this troubling. It's a feature with no apparent motivation, supposedly for "security concerns"—among other "various reasons"—but what are the specific security concerns here, that would be addressed by a remotely controlled domain list? Mozilla's opacity and vagueness feels almost deliberate, undermining our trust.

[steel-finger]

C'est bien pire au premier abord que je ne le pensais. Merci kain_tn pour le lien. Sur YouTube, Ublock se retrouve bloqué aussi certaine extension de protection de vie privée.

[ovh]

C'est bien pire au premier abord que je ne le pensais. Merci kain_tn pour le lien. Sur YouTube, Ublock se retrouve bloqué aussi certaine extension de protection de vie privée.

Euh je viens de tester avec FF 115 sur YT et uBlock Origin n'est absolument pas bloqué...
Sur quelle(s) URL(s) as-tu constaté le problème ?

[Mathis Lucas]

Firefox 115 peut désactiver à distance n'importe quelle extension sur n'importe quel site Web
une initiative controversée qui suscite la colère de certains développeurs d'extensions

La fonctionnalité "Quarantined Domains" (domaines en quarantaine) introduite par Mozilla dans Firefox 115 continue de faire des vagues sur la toile et suscite diverses inquiétudes. Cette fonctionnalité est censée empêcher certaines extensions de fonctionner sur certains sites Web pour "diverses raisons", y compris des préoccupations de sécurité, mais beaucoup ont du mal à comprendre ce qui justifie cette fonctionnalité et la considèrent comme "dangereuse". En outre, le terme "diverses raisons" est flou et très peu informatif, ce qui, selon les critiques, est contraire à la politique de Mozilla consistant à promouvoir un Internet libre et ouvert. Jusque-là, Mozilla n'a pas réagi.

"Quarantined Domains" empêche certains modules complémentaires de s'exécuter sur certains sites Web. Lorsque cela arrive, l'utilisateur de Firefox reçoit le message : « certaines extensions ne sont pas autorisées ». Les prochaines versions de Firefox incluront des options supplémentaires pour gérer ces limites pour chaque module complémentaire particulier. Mais la fonctionnalité fait l'objet de controverses depuis l'annonce de Firefox 115. L'équipe de Firefox dit avoir conçu cette fonctionnalité dans le but d'améliorer la sécurité et garantir que seules des extensions sélectionnées, et surveillées par Mozilla, peuvent fonctionner sur certains sites Web.

« À partir de la version 115 de Firefox, nous avons introduit une nouvelle fonctionnalité en arrière-plan pour n’autoriser que certaines extensions surveillées par Mozilla à fonctionner sur des sites Web spécifiques pour diverses raisons, notamment des préoccupations de sécurité », explique Mozilla sur une page d’aide. Cela suggère que Mozilla peut désactiver à distance n'importe quelle extension sur n'importe quel site Web. Cependant, l'explication de Mozilla, en particulier le terme "diverses raisons", reste totalement incomprise par une grande partie de la communauté. Ces utilisateurs demandent une définition plus large des raisons justifiant la fonctionnalité.

« Pour diverses raisons. C'est assez peu informatif et mystérieux. Je suis tout à fait favorable à ce que les utilisateurs puissent contrôler les extensions et choisir celles qui peuvent s'exécuter sur un site Web donné. Safari dispose déjà de cette fonctionnalité sur macOS et iOS. Mon inquiétude ne porte pas sur le contrôle de l'utilisateur - qui n'existe même pas dans Firefox 115, comme je le montrerai plus loin - mais plutôt sur le contrôle à distance que Mozilla s'est maintenant donné », a écrit Jeff Johnson, un ingénieur logiciel. Mozilla a livré Firefox 115 avec une liste des domaines vide et donne la possibilité à l'utilisateur lui-même de définir les domaines concernés.

Cela dit, un rapport Bugzilla mentionne ceci : « nous devons avoir la possibilité de définir la liste des domaines en quarantaine à distance. La préférence doit être une chaîne au même format que extensions.webextensions.restrictedDomains. La préférence sera extensions.webextensions.quarantinedDomains, et elle aura une valeur par défaut définie dans un correctif pour le bogue 1745823 (pour inclure quelques sous-domaines réels, mais "tests" de badssl.com). Classé comme confidentiel pour l'instant, jusqu'à ce que nous livrions le module d'extension du système ». Là encore, la confidentialité évoquée par Mozilla inquiète certains utilisateurs de Firefox.

« On peut se demander pourquoi un projet open source exige la confidentialité à ce sujet. Incidemment, ni Safari, ni Chrome, ni aucun autre navigateur à ma connaissance, ne disposent d'un tel bouton d'arrêt à distance spécifique à un domaine pour les extensions, on peut donc se demander pourquoi il était nécessaire dans Firefox. Je pense que Mozilla avait déjà la capacité de désactiver à distance une extension individuelle, s'il s'avérait qu'il s'agissait d'un logiciel malveillant. Après tout, chaque extension Firefox doit être téléchargée vers Mozilla pour être analysée et signée par un code cryptographique avant de pouvoir être installée dans Firefox », note Johnson.

« Compte tenu de cette capacité préexistante, on ne voit pas pourquoi il devrait y avoir une liste de domaines où toutes les extensions, à l'exception de quelques heureux élus, sont désactivées, indépendamment du fait que les extensions désactivées aient montré des signes d'inconduite », a-t-il déclaré. L'ingénieur a réalisé une expérience en ajoutant le domaine "www.youtube.com" à la liste des domaines en quarantaine pour montrer comment la fonctionnalité se comporte en pratique. Après avoir relancé Firefox, l'avertissement s'est affiché dans la fenêtre contextuelle des extensions et se rapportait à une extension développée par Johnson lui-même.

« Ma propre extension StopTheMadness, qui n'est pas "surveillée par Mozilla", est "non autorisée par Mozilla" sur YouTube. (Cet avertissement est inexact, bien sûr, puisque c'est moi, et non Mozilla, qui ai ajouté YouTube à la liste des domaines). Apparemment, uBlock Origin est "surveillé" par Mozilla, car il est autorisé sur YouTube malgré ma liste de domaines en quarantaine. C'est bien d'être grand, je suppose », a écrit Johnson. Il rapporte que l'avertissement s'affiche dans le popup Extensions plutôt que sur l'icône des extensions, donc vous ne sauriez pas quelle extension, ici StopTheMadness, a été désactivée sur YouTube à moins d'ouvrir le popup.

Que se passe-t-il si vous épinglez une extension dans la barre d'outils pour accéder facilement à ses paramètres ? « Il s'avère que lorsque vous épinglez une extension à la barre d'outils, elle n'apparaît plus dans la fenêtre contextuelle des extensions. Par conséquent, l'avertissement relatif aux domaines en quarantaine n'apparaît plus non plus dans la fenêtre contextuelle des extensions. En fait, il n'y a plus de fenêtre contextuelle des extensions : en cliquant sur l'icône Extensions de la barre d'outils, on ouvre simplement la page about:addons, qui n'affiche nulle part l'avertissement relatif aux domaines en quarantaine », rapporte Johnson.

Selon l'ingénieur, il s'agit d'une conception d'interface utilisateur terrible pour la nouvelle fonctionnalité dite de "sécurité", qui désactive silencieusement les extensions tout en cachant l'avertissement à l'utilisateur. « Et n'oubliez pas que la liste des domaines en quarantaine peut être modifiée à distance à tout moment par Mozilla, sans qu'une mise à jour du logiciel Firefox soit nécessaire », rappelle Johnson. Par ailleurs, l'on n’a actuellement aucune idée de la manière dont Mozilla compte utiliser la liste des domaines en quarantaine. Dans les commentaires, l'on peut remarquer que certaines personnes spéculent, sans aucune preuve, sur les "banques".

Cependant, il existe d'innombrables banques dans le monde. « Qu'est-ce que Mozilla est censé faire ? Établir et maintenir une liste de tous les sites Web bancaires dans le monde ? S'il est logique que les utilisateurs aient la possibilité d'exclure manuellement leurs propres sites bancaires de l'accès à l'extension s'ils le souhaitent, quel sens cela a-t-il pour Mozilla de sélectionner arbitrairement certains domaines de sites Web en vue d'une exclusion générale ? Autre question : est-il impossible pour l'utilisateur d'exclure délibérément les extensions qui sont "surveillées par Mozilla" et bénéficient d'un traitement spécial par Firefox ? », s'interroge Johnson.

« Ma propre extension StopTheMadness empêche les sites Web de désactiver les fonctions intégrées de collage et de remplissage automatique de votre navigateur, une sorte de folie communément mise en œuvre par des sites qui ont une notion erronée et ignorante de ce qui rend un formulaire de connexion "sûr". Ainsi, Mozilla ne rendrait pas service aux utilisateurs en désactivant à distance les extensions des utilisateurs sur certains sites bancaires arbitrairement sélectionnés », a-t-il ajouté. Mozilla n'est pas encore intervenu dans le débat intense autour de cette fonctionnalité, mais en attendant, il est possible de la désactiver dans les paramètres.

Les instructions ci-dessous vous aideront à désactiver la fonctionnalité "Quarantined Domains" et à réactiver les extensions restreintes par Firefox :

• lancez Firefox et entrez about:config dans la barre d'adresse. Un message d'avertissement s'affiche ; cliquez sur l'option "Accepter le risque et continuer" pour continuer. La page about:config, qui est la page de configuration avancée cachée et secrète de Firefox, s'ouvre alors ;
• collez le code suivant dans le champ du filtre de recherche : extensions.quarantinedDomains.enabled ;
• cette préférence n'étant pas forcément présente par défaut, établissez-la manuellement ;
• pour créer la préférence, sélectionnez l'option booléenne et cliquez sur le bouton (+) ;
• double-cliquez ou cliquez sur l'icône de basculement devant le paramètre extensions.quarantinedDomains.enabled. (L'état de la fonctionnalité passe alors de true à false) ;
• redémarrez Firefox pour appliquer les changements.

Bien que certains utilisateurs de Firefox affirment ne pas comprendre les remous suscités par la fonctionnalité et défendent la raison de sécurité avancée par Mozilla, de nombreuses questions demeurent. Mozilla ne précise pas la portée de cette restriction ni les critères utilisés pour sélectionner les sites et les extensions concernés. Selon les critiques, c'est une décision unilatérale qui peut limiter la liberté des utilisateurs et des développeurs d'extensions. En outre, il est important de rappeler que la fonctionnalité "Quarantined Domains" est apparue dans le cadre du passage à Firefox 115 ESR, la nouvelle base de la version à support étendu du navigateur.

Johnson écrit : « en tant que petit développeur indépendant de logiciels, je suis déçu et irrité que Mozilla - un petit développeur comparé à ses concurrents, les géants des navigateurs Apple, Google et Microsoft - choisisse de créer un système à deux vitesses dans lequel seuls les plus gros développeurs d'extensions bénéficient d'un accès exclusif et d'exemptions. Je sais que les gens adorent uBlock Origin, mais je déteste l'idée d'un monde où uBlock Origin serait la seule extension autorisée. Firefox et Mozilla sont censés lutter contre cette centralisation des consommateurs et du pouvoir. Je n'aime pas plus le monopole des extensions que celui des navigateurs ».

Source : billet de blogue

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la fonctionnalité "Quarantined Domains" de Firefox 115 ?
Selon vous, cette fonctionnalité était-elle nécessaire ? Pourquoi ?
Pensez-vous qu'il s'agit d'une atteinte aux libertés des utilisateurs de Firefox ?
Selon vous, quels impacts cela pourrait-il avoir sur les développeurs d'extension ?

Voir aussi

Mozilla impose des restrictions aux extensions qu'il ne surveille pas sur Firefox 115 : elles ne fonctionneront pas sur certains sites. Cette décision suscite déjà la controverse

Firefox 109 inaugure l'activation par défaut de Manifest V3 de Chrome pour les développeurs et dispose d'un bouton Extensions unifiées pour une meilleure gestion des addons

Extensions Chrome : Google retarde de six mois la transition vers l'API limitant les bloqueurs de publicité Manifest V3, après la colère d'organisations comme l'EFF

[Kulvar]

C'est scandaleux. Quelle extension est active sur quel site ne regarde que l'utilisateur.

Ça devrait être à l'utilisateur de pouvoir dire sur quels sites sont autorisés quelles extensions.
Comme ça le site de la banque et des impôts on autorise aucun addon par exemple.

Mais certainement pas à distance et en douce.

[TotoParis]

C'est scandaleux. Quelle extension est active sur quel site ne regarde que l'utilisateur.

Ça devrait être à l'utilisateur de pouvoir dire sur quels sites sont autorisés quelles extensions.
Comme ça le site de la banque et des impôts on autorise aucun addon par exemple.

Mais certainement pas à distance et en douce.

Si Microsoft ou Apple ou Google s'étaient permis cela...
L'aspect complètement opaque, dissimulé et arbitraire est plus que surprenant : j'ai de très grosses interrogation sur l'intervention de services secrets US.

[smarties]

Je veux pouvoir garder mon adblocker activé.
J'avais essayé uMatrix qui bloquait tout par défaut mais c'était quand même contraignant à l'usage.

[Fagus]

j'ai de très grosses interrogation sur l'intervention de services secrets US.

C'est peut être moi qui ne suis pas assez méfiant, mais on leur ferait pas un procès d'intentions ?
Ils écrivent aussi :

Our team is working continuously to develop this functionality and to provide users the ability to manage these restrictions for each individual add-on in the future.

Peut être qu'ils font juste des tests sur la fonction en ce moment.

En plus, je ne vois pas trop en quoi ça arrangerait les services (à part désactiver les charges des services ennemis...), bien au contraire. Les extensions peuvent souvent lire et écrire arbitrairement toute la page sur tous les domaines, sans surveillance active. On a vu mieux en sécurité.

À la limite, désactiver Noscript sur www.nsa-remote-rootkit-installer.com pourquoi pas, mais ce serait pas très discret. (et noscript est peut être installé sur un PC sur 10 000). En général, les services ajoutent un p'tit dépassement de tampon, un générateur de hasard vérolé, un bug dans l'initialisation du chiffrage... et mettent pas l'option de le désactiver dans about:config avec un billet de mise à jour mystérieux.

[kain_tn]

C'est peut être moi qui ne suis pas assez méfiant, mais on leur ferait pas un procès d'intentions ?
Ils écrivent aussi :

Peut être qu'ils font juste des tests sur la fonction en ce moment.

Dans ce cas, pourquoi d'abord mettre la fonctionnalité en production puis seulement ensuite travailler sur la possibilité de laisser leurs utilisateurs avoir le contrôle?? Pourquoi ne pas mettre la fonctionnalité en production une fois qu'elle serait terminée?

Ça sent très mauvais, tout ça. Il vaut mieux être trop méfiant que trop naïf.

En plus, je ne vois pas trop en quoi ça arrangerait les services (à part désactiver les charges des services ennemis...), bien au contraire. Les extensions peuvent souvent lire et écrire arbitrairement toute la page sur tous les domaines, sans surveillance active. On a vu mieux en sécurité.

À la limite, désactiver Noscript sur www.nsa-remote-rootkit-installer.com pourquoi pas, mais ce serait pas très discret. (et noscript est peut être installé sur un PC sur 10 000). En général, les services ajoutent un p'tit dépassement de tampon, un générateur de hasard vérolé, un bug dans l'initialisation du chiffrage... et mettent pas l'option de le désactiver dans about:config avec un billet de mise à jour mystérieux.

Il n'y a pas que les services secrets. Il y a aussi les GAFAM, comme Google, qui rêve de pouvoir forcer la pub. C'est franchement beaucoup plus simple, comme objectif, quand tu n'as qu'à faire un deal avec les quelques extensions mainstream ainsi qu'avec Mozilla, plutôt que de se battre avec toutes les extensions et leurs forks possibles.