3 pièce(s) jointe(s)
Google annonce qu'il rendra le support FTP dans Chrome obsolète et procédera à sa suppression définitive
Les développeurs de Chrome et Firefox envisagent de supprimer le support de FTP sur leur navigateur respectif
Pour des raisons de sécurité
Il semble que, depuis plus de 4 ans, les développeurs Google plaident pour la suppression du support de FTP dans Chrome en raison notamment de sa faible utilisation. À ce propos, ils ont déclaré dans un rapport de bogues datant de 2014 :
« Nous devrions envisager de supprimer la prise en charge intégrée de FTP dans Chrome et de la transférer vers une application […] sur une période de sept jours, seuls 0,1 à 2 % des utilisateurs accèdent à une URL FTP quelconque (avec des chiffres légèrement supérieurs parmi les utilisateurs de postes de travail Linux) ».
Ils déplorent également le fait que la prise en charge de FTP sur Chrome ajoute une surface d’attaque supplémentaire sur le navigateur de la firme de Mountain View et demeure moins sécurisée qu’une connexion HTTPS :
« FTP est un protocole hérité non sécurisable. Nous avons le support du protocole FTP WONTFIXed sur iOS, mais son utilisation dans Chrome qui est basé sur Blink est suffisamment élevée pour qu’il semble difficile de tout supprimer en même temps ».
À l’heure actuelle, lorsqu’un utilisateur ouvre un fichier enregistré sur un serveur FTP par le biais du navigateur de Google, Chrome tente de restituer ce fichier (image, son, ou autre) directement sur le navigateur.
Les développeurs de Google ont l’intention de modifier Chrome afin qu’à l’avenir, il évite de restituer les fichiers accessibles via « une URL ftp:// » directement sur le navigateur. Ils voudraient plutôt que l’ouverture d’une URL ftp:// conduise au téléchargement du ou des fichiers cibles. Toutefois, Chrome devrait continuer à afficher les index de répertoire FTP.
D’après les développeurs de la filiale d’Alphabet : « Cela semble être un moyen raisonnable de réduire sa viabilité en tant que surface d’attaque, en tant que tremplin en lieu et place d’une élimination complète ».
Les développeurs de Chrome ne sont pas les seuls à vouloir supprimer la prise en charge FTP sur leur navigateur. Mozilla aussi nourrirait les mêmes ambitions de son côté. L’éditeur de Firefox a confirmé il y a cinq mois de cela, dans un ticket ouvert sur Bugzilla il y a plus de 18 ans, qu’il envisage à terme de supprimer également la prise en charge de FTP sur Firefox.
Il y a fort à parier que si Chrome et Firefox décident tous deux de supprimer le support du protocole FTP de leurs navigateurs respectifs, d’autres éditeurs de navigateurs concurrents s’engageront très probablement sur la même voie afin de réduire la complexité de leur code de base et de supprimer les fonctionnalités rarement utilisées.
Source : Google, Bleeping Computer
Et vous ?
:fleche: Qu’en pensez-vous ?
Voir aussi
:fleche: Firefox : le chargement de ressources FTP dans une page Web ne sera plus autorisé le protocole FTP ne supportant pas le chiffrement moderne
:fleche: Google pince à nouveau les responsables Web : l'accès aux ressources via FTP sera marqué comme non sécurisé sous Chrome 63
:fleche: Selon Troy Hunt, le protocole HTTPS a atteint son point critique et deviendra bientôt la norme du web plutôt que l'exception sur la toile
:fleche: Google donne des précisions sur le déploiement HTTPS sur ses produits et services et fait une liste des pays qui s'en servent le plus
1 pièce(s) jointe(s)
Google annonce qu’il rendra le support FTP dans Chrome obsolète et procédera à sa suppression définitive
Google annonce qu’il rendra le support FTP dans Chrome obsolète et procédera à sa suppression définitive
à partir de Chrome 82 qui sera disponible en 2020
Depuis un bout de temps, les éditeurs de navigateurs, notamment ceux de Chrome et Firefox, plaident en faveur de l’élimination pure et simple du support du protocole de transfert de fichier (FTP en anglais) dans leur navigateur respectif. Utilisé par les internautes, le protocole FTP est généralement sollicité sur la toile pour récupérer ou partager des fichiers à distance. En principe, de nombreux logiciels sont disponibles en tant que clients FTP et permettent d’effectuer les mêmes actions comme envoyer ou récupérer des fichiers via ce protocole. Toutefois, certains utilisateurs qui ne souhaitent pas s’embarrasser de l’installation d’un client autonome FTP préfèrent continuer à recourir au navigateur pour récupérer des données sur un serveur FTP. Pour ce faire, une simple saisie de la syntaxe « FTP://adresse_du_serveur » permet d’afficher dans la page du navigateur l’arborescence des fichiers contenus sur le serveur FTP si l’adresse saisie est correcte.
Mais pour les mainteneurs de Chrome, ce protocole pose des problèmes de sécurité, car les fichiers sont envoyés en clair sur le réseau. Ainsi, depuis plusieurs années, la firme de Mountain View est engagée dans une politique de délestage des fonctionnalités de l’implémentation FTP dans Chrome. À partir de Chrome 74+, un bug a conduit Google à supprimer le support de l’accès aux URL FTP via des serveurs proxy HTTP. Et avec Chrome 76, la prise en charge du proxy pour FTP a été entièrement supprimée. Dans les versions récentes de Chrome, le navigateur ne prend en charge ni les connexions chiffrées ni les proxys. Il convient également de préciser que Google a déjà procédé à la suppression de la prise en charge du rendu des ressources et de la récupération de sous-ressources via FTP. Les fonctionnalités restantes de la mise en œuvre FTP dans Google Chrome sont limitées à l’affichage d’une liste de répertoires ou au téléchargement d’une ressource via des connexions non chiffrées.
Au regard de tous ces efforts pour se débarrasser de FTP sur Chrome, de nombreux utilisateurs ont depuis longtemps tourné leurs regards vers les logiciels FTP, en tout cas pour ceux qui continuent toujours à utiliser ce protocole pour leur transfert de fichiers. Du côté de Google, les développeurs de Chrome relèvent que sur Chrome stable l’utilisation de FTP représente environ 0,1 % pour les utilisateurs Windows sur environ 7 jours. Sur toutes les plateformes, seul environ 0,01 % d’utilisateur a recours à ce protocole sur une période de 28 jours. Et pendant la même période de 28 jours, environ 0,03 % des utilisateurs de toutes les plateformes téléchargent quelque chose via FTP — ce qui est la seule chose que les utilisateurs peuvent faire avec les URL FTP, souligne Google.
Aussi, en raison de la faible utilisation de FTP dans Chrome, les développeurs du navigateur avancent maintenant qu’il n’est plus nécessaire d’investir dans le support du client FTP existant et vont par conséquent rendre obsolète et supprimer la prise en charge de FTP dans Chrome à travers les URL. À partir de Chrome 78, le support FTP sera désactivé dans les préversions et des contrôles de stratégie ainsi qu’un indicateur pour le contrôle du protocole FTP seront ajoutés. Dans Chrome 80, la désactivation progressive du support FTP commencera. Et à partir de Chrome 82, dont la publication est prévue pour le deuxième trimestre de 2020, tout le code et les ressources liées à FTP seront supprimés. Après cette étape, Chrome ne parviendra plus à traiter ou à reconnaitre les URL ftp://.
Toutefois, si un utilisateur tentait de saisir une URL FTP dans la barre d’adresse, le navigateur essaiera d’appeler le gestionnaire par défaut pour les URL ftp://, car des clients FTP plus performants sont déjà disponibles sur toutes les plateformes affectées.. Il sera dument tenu compte des situations dans lesquelles le navigateur est déjà le gestionnaire par défaut pour les URL ftp://, précise Google.
En outre, pour les utilisateurs qui récupèrent les scripts de Configuration Automatique de Proxy (PAC en anglais), dès que la prise en charge de FTP sera rendue obsolète, l’extraction des scripts PAC via FTP ne sera plus possible. Les utilisateurs devront migrer vers d’autres moyens pour récupérer les scripts PAC, avance Google. Enfin, pour les développeurs web qui seraient impactés par la suppression du support FTP, Google suggère comme alternative de se tourner vers les protocoles HTTP et HTTPS.
Source : Chrome, Chromium Forum
Et vous ?
:fleche: Que pensez-vous de cette décision ?
:fleche: Selon vous, Google a-t-il bien de supprimer le support FTP dans Chrome ?
:fleche: À défaut du navigateur Chrome, quel client FTP utilisez-vous comme alternative ? Et pourquoi ?
Voir aussi
:fleche: Google pince à nouveau les responsables Web : l'accès aux ressources via FTP sera marqué comme non sécurisé sous Chrome 63
:fleche: Firefox : le chargement de ressources FTP dans une page Web ne sera plus autorisé le protocole FTP ne supportant pas le chiffrement moderne
:fleche: Selon Troy Hunt, le protocole HTTPS a atteint son point critique et deviendra bientôt la norme du web plutôt que l'exception sur la toile
:fleche: Google donne des précisions sur le déploiement HTTPS sur ses produits et services et fait une liste des pays qui s'en servent le plus
1 pièce(s) jointe(s)
Google supprime le code du protocole de transfert de fichiers du navigateur Chrome dans Chrome 95
Google supprime le code du protocole de transfert de fichiers FTP du navigateur Chrome dans Chrome 95,
après avoir évoqué des problèmes de sécurité
Pendant des années, les éditeurs de navigateurs, notamment ceux de Chrome et Firefox, ont plaidé en faveur de l’élimination pure et simple du support du protocole de transfert de fichier (FTP en anglais) dans leur navigateur respectif. Utilisé par les internautes, le protocole FTP est généralement sollicité sur la toile pour récupérer ou partager des fichiers à distance. En principe, de nombreux logiciels sont disponibles en tant que clients FTP et permettent d’effectuer les mêmes actions comme envoyer ou récupérer des fichiers via ce protocole. Toutefois, certains utilisateurs qui ne souhaitent pas s’embarrasser de l’installation d’un client autonome FTP préfèrent continuer à recourir au navigateur pour récupérer des données sur un serveur FTP. Pour ce faire, une simple saisie de la syntaxe « FTP://adresse_du_serveur » permettait d’afficher dans la page du navigateur l’arborescence des fichiers contenus sur le serveur FTP si l’adresse saisie est correcte.
Mais pour les mainteneurs de Chrome, ce protocole pose des problèmes de sécurité, car les fichiers sont envoyés en clair sur le réseau. Raison pour laquelle Google s'est engagé dans une politique de délestage des fonctionnalités de l’implémentation FTP dans Chrome. Avec Chrome 74, un bogue a conduit Google à supprimer le support de l’accès aux URL FTP via des serveurs proxy HTTP. Avec Chrome 76, la prise en charge du proxy pour FTP a été entièrement supprimée. Dans des versions qui ont été publiées après, le navigateur ne prenait en charge ni les connexions chiffrées ni les proxys. Google avait déjà procédé à la suppression de la prise en charge du rendu des ressources et de la récupération de sous-ressources via FTP. Les fonctionnalités restantes de la mise en œuvre FTP dans Google Chrome étaient limitées à l’affichage d’une liste de répertoires ou au téléchargement d’une ressource via des connexions non chiffrées.
Avec Chrome 78, le support FTP a été désactivé dans les préversions et des contrôles de stratégie ainsi qu’un indicateur pour le contrôle du protocole FTP ont été ajoutés. Dans Chrome 80, la désactivation progressive du support FTP a commencé. Avec Chrome 82, tout le code et les ressources liées à FTP ont été supprimés. Depuis cette étape, Chrome ne parvient plus à traiter ou à reconnaitre les URL ftp://.
Suppression de la base de code
Cette fois-ci, l'équipe Chromium est passé à une autre étape : la prise en charge du protocole de transfert de fichiers (FTP) n'est pas seulement obsolète, mais supprimée de la base de code dans la dernière version stable du navigateur Chrome, la version 95.
Un manque de prise en charge des connexions chiffrées dans l'implémentation FTP de Chrome, associé à un désintérêt général de la majorité des utilisateurs du navigateur et à l'existence d'alternatives tierces plus performantes a provoqué cette situation.
Dans la version 88, il était désactivé pour tous les utilisateurs, mais pouvait toujours être réactivé. Maintenant, le code pour le supporter a enfin été supprimé une fois pour toutes, un peu plus tard que prévu.
« Les capacités restantes de la mise en œuvre FTP de Google Chrome sont limitées à l'affichage d'une liste de répertoires ou au téléchargement d'une ressource via des connexions non chiffrées. Nous aimerions déprécier et supprimer cette fonctionnalité restante plutôt que de maintenir une implémentation FTP non sécurisée », ont expliqué.
Mozilla a définitivement mis fin au support du protocole FTP avec la sortie de Firefox 90
Selon Mozilla, bien que ce protocole standard était pris en charge par tous les principaux navigateurs depuis sa création, il est aujourd'hui l'un des plus anciens protocoles encore utilisés et souffre par la même occasion d'un certain nombre de graves problèmes de sécurité. Dans un billet de blogue publié en juillet, la société a expliqué qu'il s'agit de l'une des raisons soutenant sa suppression de Firefox.
Le plus grand risque pour la sécurité est que le protocole FTP transfère les données en clair, ce qui permet aux cybercriminels de voler, d'usurper et même de modifier les données transmises. À ce jour, de nombreuses campagnes de distribution de logiciels malveillants lancent leurs attaques en compromettant des serveurs FTP et en téléchargeant des logiciels malveillants sur l'appareil d'un utilisateur final à l'aide du protocole FTP. En outre, la position de Mozilla est appuyée par plusieurs noms de l'industrie qui s'accordent à dire qu'à l'origine, le protocole FTP n'a pas été conçu pour être sécurisé.
Il est généralement considéré comme un protocole non sécurisé, car il repose sur des noms d'utilisateur et des mots de passe en clair pour l'authentification et n'utilise pas le chiffrement. Les données envoyées par FTP sont vulnérables aux attaques par reniflage, par usurpation et par force brute, entre autres méthodes d'attaque de base. Dans la pratique, il existe plusieurs approches communes pour relever ces défis et sécuriser l'utilisation de FTP. À titre d'exemple, le protocole FTPS (File Transfer Protocol Secure) est une extension/variante du protocole FTP qui permet de chiffrer les connexions à la demande du client.
Transport Layer Security (TLS), Secure Socket Layer (SSL) et SSH File Transfer Protocol (également connu sous le nom de Secure File Transfer Protocol ou SFTP) sont souvent utilisés comme des alternatives plus sûres à FTP, car ils utilisent des connexions chiffrées. Ainsi, le risque de sécurité élevé, la vieillesse du protocole et les alternatives existantes ont encouragé les fournisseurs de navigateurs tels que Google et Mozilla à abandonner sa prise en charge. Mozilla a confirmé son intention en mars 2020, environ un an après que Google a déclaré qu'il supprimera l'implémentation du protocole FTP de Chrome 82.
De son côté, Mozilla a désactivé en avril le protocole FTP par défaut dans Firefox 88 et Firefox 90, publié en juillet, ne prend plus en charge le protocole FTP. Mozilla explique si vous êtes un utilisateur de Firefox, vous n'avez rien à faire pour bénéficier de cette « avancée » en matière de sécurité. D'après le billet de blogue de Mozilla, lorsque Firefox effectuera automatiquement la mise à jour vers la version 90, les utilisateurs seront protégés contre toute attaque reposant sur le protocole non sécurisé FTP. Ces attaques sont désormais rendues inutiles puisque le protocole FTP n'est plus pris en charge.
« Conformément à notre intention de supprimer le protocole HTTP non sécurisé et d'augmenter le pourcentage de connexions sécurisées, nous avons décidé, comme d'autres grands navigateurs Web, de ne plus prendre en charge le protocole FTP. La suppression de FTP nous rapproche d'un Web plus sécurisé qui est en passe de devenir exclusivement HTTPS. Les mécanismes modernes de mise à niveau automatique tels que HSTS ou le mode HTTPS-Only de Firefox, mettant automatiquement à niveau toute connexion pour qu'elle devienne sécurisée et chiffrée, ne s'appliquent pas à FTP », explique Mozilla.
Par ailleurs, si certains ont bien accueilli la nouvelle, le geste de Mozilla semble n'avoir pas séduit tous les utilisateurs de Firefox. Un commentaire sur le sujet explique que les navigateurs équipés d'un support FTP sont plus utiles et conviviaux que les clients FTP. « Le FTP est lié à la navigation sur le Web depuis le début du Web, il y a 31 ans. Pendant peut-être une décennie, la majeure partie du Web se trouvait sur des serveurs FTP – pas seulement la plupart des téléchargements de logiciels, mais aussi la plupart des pages HTML », a écrit une personne qui n'est pas totalement ravie de la suppression.
« Les navigateurs Web constituent une bien meilleure interface avec les serveurs FTP que les clients FTP dédiés, car vous pouvez cliquer sur un lien dans une page HTML (soit un répertoire généré statiquement, éventuellement sur le serveur FTP lui-même, soit une page de résultats de recherche générée dynamiquement) et obtenir le fichier à partir du serveur FTP », a-t-il ajouté. Selon lui, le client FTP de votre choix est absolument inutile s'il ne peut pas rendre le HTML et que le lien ftp:// renvoie à un fichier HTML. Pour lui, plutôt que de supprimer le support FTP, il fallait envisager des moyens de le sécuriser.
« L'idée fondamentale du Web était en fait de fournir une interface universelle et uniforme à toutes les informations sur Internet, quel que soit le protocole. L'abandon de Gopher était peut-être raisonnable, il n'y a tout simplement pas beaucoup de serveurs Gopher, mais FTP est toujours un protocole largement utilisé. En d'autres termes, il s'agit d'un compromis entre la vision traditionnelle du Web comme une vaste bibliothèque, dans laquelle les connaissances humaines s'accumulent au fil du temps et deviennent accessibles à tous, et la vision du Web comme un moyen de vendre aux gens des choses dont ils n'ont pas besoin ».
Et les autres ?
Quant à Microsoft, bien que son navigateur Edge puisse être basé sur Chromium, il y a toujours Internet Explorer, qui devrait toujours faire l'affaire si vous avez besoin d'un peu d'action de transfert de fichiers rétro basée sur le navigateur.
Des options plus sécurisées existent désormais (comme FTPS et SFTP). Mais il semble que les principaux navigateurs préfèrent que les utilisateurs optent pour une application de transfert dédiée plutôt que de s'embêter à maintenir le code dans le navigateur.
Il reste un bon nombre de sites FTP, bien que beaucoup aient maintenant des alternatives pour le transfert de fichiers. L'éjection finale du code de Chrome, qui revendique une énorme base d'utilisateurs, signifie qu'il est peut-être temps de passer à autre chose
Source : feuille de route
Et vous ?
:fleche: Qu'en pensez-vous ?
Et vous ?
:fleche: Google a-t-il bien fait de supprimer de son code la prise en charge du protocole FTP ?
:fleche: Utilisiez-vous Chrome pour les connexions FTP avant la suppression du support ?
:fleche: Si oui, avez-vous une objection par rapport à la suppression du support FTP de Chrome ?
:fleche: Pensez-vous aussi que les navigateurs permettent une meilleure connexion FTP que les clients dédiés ?
:fleche: Quelles retombées potentielles y voyez-vous ?