Discussion :

[Christian Olivier]

Mozilla confirme son intention de supprimer le support du protocole FTP de Firefox d’ici 2021
Le support du protocole FTP sera désactivé par défaut à partir de Firefox 77

Mozilla a annoncé aujourd’hui son intention de supprimer le support du protocole FTP de Firefox, un protocole qu’elle a commencé à déprécier depuis la sortie de Firefox 61. Une option pour désactiver le support du FTP dans Firefox a été ajoutée en 2018 par Mozilla, mais le flag n’a jamais été activé par défaut ; il permettait cependant aux utilisateurs et aux organisations de désactiver manuellement le support FTP. À l’avenir, les utilisateurs ne pourront plus télécharger de fichiers via le protocole FTP et visualiser le contenu des liens/dossiers FTP dans le navigateur Firefox.

« Nous faisons cela pour des raisons de sécurité, » a déclaré Michal Novotny, ingénieur logiciel de la Mozilla Corporation, avant d’ajouter : « Le FTP est un protocole peu sûr et il n’y a aucune raison de le préférer au HTTPS pour le téléchargement de ressources », « de plus, une partie du code FTP est très ancienne, peu sûre et difficile à maintenir et nous y avons trouvé de nombreux bogues de sécurité par le passé ».

Novotny a prévenu que Mozilla prévoit de désactiver le support du protocole FTP avec la sortie de Firefox 77, dont la sortie est prévue pour juin prochain. Les utilisateurs pourront toujours visualiser et télécharger des fichiers par FTP, mais ils devront réactiver le support FTP via une préférence dans la page « about:config ».

Cependant, Novotny précise que Mozilla finira par supprimer complètement le support du protocole FTP dans Firefox d’ici 2021. Il n’y aura plus de solution de contournement pour réactiver le support FTP et Firefox cessera complètement de gérer le contenu FTP.

La décision de Mozilla intervient après que Google ait pris une décision similaire concernant le protocole FTP dans Chrome l’année dernière. En août 2019, Google a annoncé son intention de supprimer le support du protocole FTP. Le support du FTP sera désactivé par défaut dans Chrome version 81, dont la sortie a été retardée en raison de l’épidémie de coronavirus - et toutes les traces du protocole FTP seront supprimées de la base de code de Chrome dans Chrome version 82, dont la sortie est prévue pour au début de l’été 2020.

Sources : Mozilla 1, 2

Et vous ?

Que pensez-vous de cette décision plutôt radicale ?
utilisez-vous le FTP sur votre navigateur ou avec d'autres programmes ?

Voir aussi

Firefox 74 met Facebook en isolement grâce au module complémentaire Facebook Container qui promet de mettre fin au harcèlement des utilisateurs sur le Web par le géant des réseaux sociaux
Mozilla a supprimé près de 200 extensions malveillantes Firefox au cours des deux dernières semaines, plusieurs d'entre elles exécutaient du code distant et d'autres collectaient les données
Firefox 73 débarque avec des améliorations de l'accessibilité côté utilisateur, des améliorations de DevTools côté développeur, des correctifs de sécurité, un nouveau fournisseur DoH et plus encore

[sergio_is_back]

Perso : pourvu que l'on puisse le réactiver lorsque l'on en a besoin...

[Uther]

La question est quand est ce que tu as besoin d'un client FTP sur un navigateur ?
FTP est rarement utile en soi de nos jours. Et même quand c'est le cas, une application dédiée est quasiment toujours plus adapté.

[JPLAROCHE]

ben voyons...
Quand tu as un site hébergé, le ftp est bien pratique ....

Le client ftp oui mais mais je trouve cela pratique depuis le browser

[phil995511]

C'est une des pires idées qu'ils aient eues ;(

[Uther]

ben voyons...
Quand tu as un site hébergé, le ftp est bien pratique ....

Le client ftp oui mais mais je trouve cela pratique depuis le browser

Le navigateur ne faisant que le téléchargement, pas l'upload, c'est pas vraiment utile pour un hébergement de site.

De plus, gérer un hébergement via une connexion non sécurisé, ça craint. Si ton hébergeur tourne encore au FTP en 2020, je te conseille vivement d'aller voir ailleurs.

[JPLAROCHE]

Je ne cherche pas à avoir raison, mais lors d'une connexion sécurisée par browser ... Simplement pratique plutôt que de mettre en branle gFTP après je n'ai pas dit travailler avec...

on peut: Utiliser vos clés SSH pour sécuriser l'accès à vos fichiers sur votre hébergement.

[Uther]

Je ne cherche pas à avoir raison, mais lors d'une connexion sécurisée par browser ... Simplement pratique plutôt que de mettre en branle gFTP après je n'ai pas dit travailler avec...

Justement je ne vois pas comment ça peut être utile dans le cas de la connexion à un hébergeur.

En général le but est d'uploader des fichiers, mais ça n'est pas possible avec un navigateur. On peut éventuellement dumper le contenu, mais uniquement fichier par fichier. Autant dire que les cas ou c'est utile pour un site hébergé ne doivent vraiment pas être nombreux.

on peut: Utiliser vos clés SSH pour sécuriser l'accès à vos fichiers sur votre hébergement.

Je vois pas trop comment avec un navigateur : ni le ftps(ftp sécurisé par SSL), ni le sftp(ftp sécurisé par SSH) ne sont gérés par les navigateurs.
S'il s'agit de passer par un tunnel SSH, pour le coup installer gFTP sera plus simple.

[Steinvikel]

Presque tous les protocoles permettent l'échange de données, le FTP est apparu pour permettre d'assurer un meilleur débit, une absence de paquets manquant, et éviter des pertes de connexion (reconnexion auto grâce au concept de "session").

Maintenant qu'on est tous avec des connexions entre 10 Mb/s et 10 Gb/s, est-ce que utiliser FTP ou SFTP présente un avantage sur un protocole TCP encapsulé par TLS ?
Est-ce qu'aujourd'hui il est encore techniquement vrai de dire "via FTP le transfert est plus rapide" ?

PS: je dis peut-être des bêtises, je m’approche de la limite de mes domaines de connaissances.

[JPLAROCHE]

S'il s'agit de passer par un tunnel SSH, pour le coup installer gFTP sera plus simple.

Exacte , mais j'ai beaucoup utilisé en procédure le ftp sur l'as400 cela me permettait de faire des transferts important sécurisé.

Je me servais du upload uniquement pour faire de la mise en page contextuel et autre TEST avec ftp sécurisé une fois fini mon travail je pouvais prendre le tout en FTP (gFTP) pour le mise en place .....

D'autre part j'ai dû utiliser au boulo et mettre en accès sécurisé pour des clients pour qu'il puisse venir prendre ou déposer mais dans un contexte très particulier cela avait affaire avec des fichiers qui devaient passer en press une fois traiter dont les mails ne supportaient pas, bon il existe d'autre façon de faire mais le client ne voulait rien entendre.

Mais je pense que mon cas n'ai pas quelque chose de courant et je le souhaite ...

[Uther]

Justement tout cela n'est pas faisable par un simple navigateur web.
Il faut utiliser des outils plus avancé pour faire de l'upload ou du sécurisé.

[Stéphane le calme]

Mozilla va désactiver la prise en charge de FTP dans Firefox à partir de la version 88 qui sera publiée le 19 avril 2021,
et supprimera complètement l'implémentation de FTP dans Firefox 90

Fin mars 2020, Mozilla a annoncé on intention de supprimer le support du protocole FTP de Firefox, un protocole que l'éditeur a commencé à déprécier depuis la sortie de Firefox 61. Une option pour désactiver le support du FTP dans Firefox a été ajoutée en 2018 par Mozilla, mais le flag n’a jamais été activé par défaut; il permettait cependant aux utilisateurs et aux organisations de désactiver manuellement le support FTP. Mozilla a fait savoir que les utilisateurs ne pourront plus télécharger de fichiers via le protocole FTP et visualiser le contenu des liens/dossiers FTP dans le navigateur Firefox.

« Nous faisons cela pour des raisons de sécurité », a déclaré Michal Novotny, ingénieur logiciel de la Mozilla Corporation, avant d’ajouter : « Le FTP est un protocole peu sûr et il n’y a aucune raison de le préférer au HTTPS pour le téléchargement de ressources », « de plus, une partie du code FTP est très ancienne, peu sûre et difficile à maintenir et nous y avons trouvé de nombreux bogues de sécurité par le passé ».

En février, FTP était désactivé dans le canal nightly de Firefox et il est actuellement également désactivé dans le canal bêta. Pour la version générale, FTP sera désactivé dans Firefox 88 dont la sortie est prévue pour le 19 avril. Les utilisateurs ne pourront plus utiliser le navigateur pour transférer des fichiers via FTP. Cette opération ne pourra alors se faire qu'avec des applications externes.

Caitlin Neiman, Community manager des modules complémentaires Mozilla, a expliqué :

« L'année dernière, l'équipe de développement de la plateforme Firefox a annoncé son intention de supprimer l'implémentation FTP intégrée du navigateur. FTP est un protocole de transfert de fichiers d'un hôte à un autre.

« L'implémentation est actuellement désactivée dans les canaux de préversion Firefox Nightly et Beta et sera désactivée lorsque Firefox 88 sortira le 19 avril 2021. L'implémentation sera supprimée dans Firefox 90. Une fois FTP désactivé dans Firefox, le navigateur déléguera ftp:// établit des liens vers des applications externes de la même manière que les autres gestionnaires de protocole.

« Avec la dépréciation, browserSettings.ftpProtocolEnabled deviendra en lecture seule. Les tentatives de définition de cette valeur n'auront aucun effet. La plupart des endroits où une extension peut transmettre "ftp" tels que les filtres pour proxy ou webRequest ne devraient pas entraîner d'erreur, mais les API ne traiteront plus les demandes de ces types.

« Pour aider à compenser cette suppression, ftp a été ajouté à la liste des protocol_handlers pris en charge pour les extensions de navigateur. Cela signifie que les extensions pourront inviter les utilisateurs à lancer une application FTP pour gérer certains liens ».

Restaurer FTP dans Firefox 88 et 89

Le code FTP n'est pas supprimé dans Firefox 88, et les utilisateurs peuvent inverser une préférence pour restaurer le support FTP dans Firefox 88 et 89 en procédant comme suit :

• Chargez about:config dans la barre d'adresse de Firefox.
• Confirmez que vous serez prudent.
• Recherchez network.ftp.enabled.
• Définissez la valeur sur TRUE en double-cliquant sur la ligne ou en cliquant avec le bouton gauche sur l'icône de bascule.

Deux cycles de publication plus tard à la fin du mois de juin, Firefox 90 aura complètement supprimé l'implémentation FTP. Il n’y aura donc plus de solution de contournement pour réactiver le support FTP et Firefox cessera complètement de gérer le contenu FTP. Cela aura également un impact sur Firefox sur Android.

En août 2019, Google a annoncé son intention de supprimer le support du protocole FTP. Le support du FTP a été désactivé par défaut dans Chrome version 81, dont la sortie a été retardée en raison de l’épidémie de coronavirus, et toutes les traces du protocole FTP ont été supprimées de la base de code de Chrome dans sa version 82 sortie au début de l’été 2020.

Source : Mozilla

Et vous ?

Que pensez-vous de la décision de Mozilla ?
Accédez-vous régulièrement aux ressources FTP?

[yahiko]

Décision déjà annoncée de longue date et tout à fait compréhensible pour des raisons de sécurité et qui ne fait pas vraiment sens avec le HTTPS et les outils dédiés au sFTP, comme FileZilla par exemple.

Mais par nostalgie, je regretterai la disparition du FTP dans Firefox, une des dernières fonctionnalités qui le rattachait à son glorieux ancêtre Netscape dont la fonctionnalité de téléchargement par FTP m'a rendu bien des services.

[weed]

On ne pourras plus télécharger son firefox sur le fp de mozilla
ftp.mozilla.org

[Steinvikel]

voir commentaire #9

--> Presque tous les protocoles permettent l'échange de données, le FTP est apparu pour permettre d'assurer un meilleur débit, une absence de paquets manquant, et éviter des pertes de connexion (reconnexion auto grâce au concept de "session").
Maintenant qu'on est tous avec des connexions entre 10 Mb/s et 10 Gb/s, est-ce qu'utiliser FTP ou SFTP présente un avantage en débit sur un protocole TCP encapsulé par TLS ?

[tes49]

Salut

On ne pourras plus télécharger son firefox sur le fp de mozilla
ftp.mozilla.org

https://www.developpez.net/forums/d1.../#post10158406

[Bill Fassinou]

Mozilla a définitivement mis fin au support du protocole FTP avec la sortie de Firefox 90
pour éliminer les problèmes de sécurité qui lui sont liés, dont le transfert de données en texte clair

Mozilla a publié Firefox 90 la semaine dernière, mettant ainsi définitivement fin aux connexions FTP via le navigateur. Cette nouvelle ne surprend pas puisque Mozilla a annoncé son intention de supprimer le support FTP depuis plusieurs années. Il a procédé par étape : d'abord en désactivant FTP par défaut dans la version 88, puis en supprimant l'implémentation dans la dernière version. Mozilla a déclaré cette semaine que la décision a été motivée par le besoin de rendre le navigateur plus sécurisé, notamment en éliminant le risque de sécurité le plus élevé du protocole FTP : le transfert de données en texte clair.

Le protocole FTP (File Transfer Protocol) est un moyen de connecter deux ordinateurs pour faciliter le transfert de fichiers entre deux ou plusieurs points. Pour faire simple, c'est le moyen par lequel les fichiers sont partagés entre les parties. Selon Mozilla, bien que ce protocole standard soit pris en charge par tous les principaux navigateurs depuis sa création, il est aujourd'hui l'un des plus anciens protocoles encore utilisés et souffre par la même occasion d'un certain nombre de graves problèmes de sécurité. Dans un billet de blogue mardi, la société a expliqué qu'il s'agit de l'une des raisons soutenant sa suppression de Firefox.

Elle a expliqué que le plus grand risque pour la sécurité est que le protocole FTP transfère les données en clair, ce qui permet aux cybercriminels de voler, d'usurper et même de modifier les données transmises. À ce jour, de nombreuses campagnes de distribution de logiciels malveillants lancent leurs attaques en compromettant des serveurs FTP et en téléchargeant des logiciels malveillants sur l'appareil d'un utilisateur final à l'aide du protocole FTP. En outre, la position de Mozilla est appuyée par plusieurs noms de l'industrie qui s'accordent à dire qu'à l'origine, le protocole FTP n'a pas été conçu pour être sécurisé.

Il est généralement considéré comme un protocole non sécurisé, car il repose sur des noms d'utilisateur et des mots de passe en clair pour l'authentification et n'utilise pas le chiffrement. Les données envoyées par FTP sont vulnérables aux attaques par reniflage, par usurpation et par force brute, entre autres méthodes d'attaque de base. Dans la pratique, il existe plusieurs approches communes pour relever ces défis et sécuriser l'utilisation de FTP. À titre d'exemple, le protocole FTPS (File Transfer Protocol Secure) est une extension/variante du protocole FTP qui permet de chiffrer les connexions à la demande du client.

Transport Layer Security (TLS), Secure Socket Layer (SSL) et SSH File Transfer Protocol (également connu sous le nom de Secure File Transfer Protocol ou SFTP) sont souvent utilisés comme des alternatives plus sûres à FTP, car ils utilisent des connexions chiffrées. Ainsi, le risque de sécurité élevé, la vieillesse du protocole et les alternatives existantes ont encouragé les fournisseurs de navigateurs tels que Google et Mozilla à abandonner sa prise en charge. Mozilla a confirmé son intention en mars 2020, environ un an après que Google a déclaré qu'il supprimera l'implémentation du protocole FTP de Chrome 82.

De son côté, Mozilla a désactivé en avril le protocole FTP par défaut dans Firefox 88 et Firefox 90, publié la semaine dernière, ne prend plus en charge le protocole FTP. Mozilla explique si vous êtes un utilisateur de Firefox, vous n'avez rien à faire pour bénéficier de cette "avancée" en matière de sécurité. D'après le billet de blogue de Mozilla, lorsque Firefox effectuera automatiquement la mise à jour vers la version 90, les utilisateurs seront protégés contre toute attaque reposant sur le protocole non sécurisé FTP. Ces attaques sont désormais rendues inutiles puisque le protocole FTP n'est plus pris en charge.

« Conformément à notre intention de supprimer le protocole HTTP non sécurisé et d'augmenter le pourcentage de connexions sécurisées, nous avons décidé, comme d'autres grands navigateurs Web, de ne plus prendre en charge le protocole FTP. La suppression de FTP nous rapproche d'un Web plus sécurisé qui est en passe de devenir exclusivement HTTPS. Les mécanismes modernes de mise à niveau automatique tels que HSTS ou le mode HTTPS-Only de Firefox, mettant automatiquement à niveau toute connexion pour qu'elle devienne sécurisée et chiffrée, ne s'appliquent pas à FTP », explique Mozilla.

Par ailleurs, si certains ont bien accueilli la nouvelle, le geste de Mozilla semble n'avoir pas séduit tous les utilisateurs de Firefox. Un commentaire sur le sujet explique que les navigateurs équipés d'un support FTP sont plus utiles et conviviaux que les clients FPT. « Le FTP est lié à la navigation sur le Web depuis le début du Web, il y a 31 ans. Pendant peut-être une décennie, la majeure partie du Web se trouvait sur des serveurs FTP – pas seulement la plupart des téléchargements de logiciels, mais aussi la plupart des pages HTML », a écrit une personne qui n'est pas totalement ravie de la suppression.

« Les navigateurs Web constituent une bien meilleure interface avec les serveurs FTP que les clients FTP dédiés, car vous pouvez cliquer sur un lien dans une page HTML (soit un répertoire généré statiquement, éventuellement sur le serveur FTP lui-même, soit une page de résultats de recherche générée dynamiquement) et obtenir le fichier à partir du serveur FTP », a-t-il ajouté. Selon lui, le client FTP de votre choix est absolument inutile s'il ne peut pas rendre le HTML et que le lien ftp:// renvoie à un fichier HTML. Pour lui, plutôt que de supprimer le support FTP, il fallait envisager des moyens de le sécuriser.

« L'idée fondamentale du Web était en fait de fournir une interface universelle et uniforme à toutes les informations sur Internet, quel que soit le protocole. L'abandon de Gopher était peut-être raisonnable, il n'y a tout simplement pas beaucoup de serveurs Gopher, mais FTP est toujours un protocole largement utilisé. En d'autres termes, il s'agit d'un compromis entre la vision traditionnelle du Web comme une vaste bibliothèque, dans laquelle les connaissances humaines s'accumulent au fil du temps et deviennent accessibles à tous, et la vision du Web comme un moyen de vendre aux gens des choses dont ils n'ont pas besoin ».

« Cette démarche revient à brûler une aile de la bibliothèque (ou, du moins, son catalogue sur fiches) parce qu'elle n'était pas assez rentable. Ou parce que les gens continuent à s'y faire agresser, je suppose. Ce genre de régression intentionnelle des fonctionnalités est précisément le genre de choses que j'utilise le logiciel libre pour éviter », a-t-il ajouté. Il est épaulé par un autre qui s'exprime en ces termes : « Je voudrais juste ajouter à cela que FTP est un protocole relativement simple, pas particulièrement compliqué à mettre en œuvre ». Selon lui, la suppression du support FTP de Firefox était également une "mauvaise" idée.

« Il ne s'agit pas d'une norme en constante fluctuation qui nécessite une équipe de 50 développeurs pour suivre le rythme. La prise en charge de FTP n'est pas un grand défi technique. Le code est présent dans la base de code de Firefox depuis près de 20 ans et fonctionne parfaitement. Tout ce que vous devez faire pour continuer à supporter le FTP, ce n’est rien du tout. Si le fait d'avoir la petite quantité de code pour le support FTP rend votre travail vraiment difficile, cela me semble indiquer que vous n'êtes pas très bon dans votre travail », a déclaré ce dernier.

« Je trouve aussi que le langage alarmiste incroyablement vague et non spécifique "mais la sécurité !" est assez hyperbolique, une répétition des mensonges à la limite du mensonge que Mozilla a colporté quand ils ont décidé de laisser tomber XUL pour les extensions Web », a-t-il ajouté. Une personne qui pense que le geste de Mozilla est tout à fait justifié a répondu au comment précédent en déclarant : « Certaines parties le sont, bien sûr, mais d'autres sont un spectacle absolument horrible (le client ouvre un port, puis le serveur s'y reconnecte), la conversion de texte et les modes binaires qui sont basés sur l'ASCII, les différents formats de liste, etc. ».

« Ce n'est pas génial. Pire, il ne supporte pas les bonnes choses comme les extensions TLS implicites. Continuer à supporter le protocole FTP signifie continuer à défendre une surface d'attaque qui est implémentée dans un code vieux de 20 ans, pour fournir une fonctionnalité qui ne sera pas utilisée par la majorité des gens en 2021. C'est une analyse coût-bénéfice. Je veux que Mozilla fasse plus. S'ils pensent que supprimer le support FTP leur permet d'en faire plus, je suis tout à fait d'accord », a -t-il ajouté.

Source : Mozilla

Et vous ?

Quel est votre avis sur le sujet ?
Mozilla a-t-il bien fait de supprimer la prise en charge du protocole FTP ?
Utilisiez-vous Firefox pour les connexions FTP avant la suppression du support ?
Si oui, avez-vous une objection par rapport à la suppression du support FTP de Firefox ?
Pensez-vous aussi que les navigateurs permettent une meilleure connexion FTP que les clients dédiés ?

Voir aussi

Firefox 90 est disponible et marque la fin de la prise en charge du protocole FTP, l'arrivée de SmartBlock 2.0 pour la navigation privée et la possibilité de faire des MàJ en arrière-plan

Google annonce qu'il rendra le support FTP dans Chrome obsolète et procédera à sa suppression définitive, à partir de Chrome 82 qui sera disponible en 2020

Mozilla va désactiver la prise en charge de FTP dans Firefox à partir de la version 88, qui sera publiée le 19 avril 2021, et supprimera complètement l'implémentation de FTP dans Firefox 90

Les développeurs de Chrome et Firefox envisagent de supprimer le support de FTP sur leur navigateur respectif pour des raisons de sécurité

[smarties]

Quel est votre avis sur le sujet ?

Les téléchargements via FTP deviennent rare donc c'est peu gênant et on peut toujours le faire via FileZilla ou similaire.
Je ne suis pas un expert réseau mais je dirais que les trames FTP sont plus petites que celles en HTTP pour un même contenu. Donc on augmenterais un peu le volume de données à transférer... ce qui pourrait se voir sur les gros transferts de fichiers

Mozilla a-t-il bien fait de supprimer la prise en charge du protocole FTP ?

Oui, ça allège le navigateur et maintenant il y a les protocoles WebDAV qui peuvent avoir la couche SSL.
En fonction de comment est configuré le serveur web on peu généralement reprendre les téléchargements.

Utilisiez-vous Firefox pour les connexions FTP avant la suppression du support ?

Plus depuis quelques années

Pensez-vous aussi que les navigateurs permettent une meilleure connexion FTP que les clients dédiés ?

Non, je n'ai pas noté de différence. Sur les applications dédiés on voit la liste des commandes qui passent alors que sur le navigateur on a un temps de chargements sans précision.