Ca devait être proposé dans le produit de base...
Au lieu d'être une "nouvelle" fonctionnalité ...
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Ca devait être proposé dans le produit de base...
Au lieu d'être une "nouvelle" fonctionnalité ...
Un problème sans solution est un problème mal posé. (Albert Einstein)
Cela parle de l'IA qui est visible par l'utilisateur.
Mais je ne suis pas certain qu'ils désactiveront l'IA moins visible qui récupère nos données de navigations.
Mes tutoriels
Avant de poster :
- F1
- FAQ
- Tutoriels
- Guide du développeur Delphi devant un problème
Il ne me semble pas que ça soit lui qui récupérer ta «*navigation », mais plus Google si tu gardes celui-ci en moteur de recherche par défaut.Envoyé par popo
Par contre si tu utilisent Chrome, tout ce qui est dans la barre d'adresse peut être récupéré par Google.
Mozilla publie Firefox 148 avec un « kill switch » pour l'IA, ainsi que plusieurs autres améliorations
Mozilla publie Firefox 148 avec un « kill switch » pour l'IA, une fonctionnalité très attendue qui permet de désactiver les fonctionnalités d'IA dans le navigateur, ainsi que plusieurs autres améliorations
Mozilla a lancé Firefox 148 avec un nouveau « kill switch pour l'IA » permettant de désactiver complètement les fonctionnalités d'intelligence artificielle (IA) intégrées au navigateur. Cette mise à jour permet notamment de bloquer les instructions génératives (prompts) des chatbots et les résumés de liens générés par l'IA, via un panneau de paramètres dédié. Mozilla précise que cette préférence sera conservée automatiquement dans les futures mises à jour. La dernière version de Firefox renforce également les contrôles de confidentialité en offrant des options de désactivation plus granulaires pour les mises à jour à distance et la collecte de données. Sur le plan de la sécurité, elle prend en charge les API Trusted Types et Sanitizer afin d'atténuer les risques de cross-site scripting, et élargit la prise en charge des Service Workers de WebGPU.
Mozilla Firefox est un navigateur web gratuit et open source développé par la Fondation Mozilla et sa filiale, la Mozilla Corporation. Il utilise le moteur de rendu Gecko pour afficher les pages web, qui met en œuvre les normes web actuelles et prévues. Firefox a été créé en 2002 sous le nom de code « Phoenix » par des membres de la communauté Mozilla qui souhaitaient un navigateur autonome plutôt que le pack Mozilla Application Suite. Au cours de sa phase bêta, il s'est avéré populaire auprès de ses testeurs et a été salué pour sa vitesse, sa sécurité et ses modules complémentaires par rapport à Internet Explorer 6 de Microsoft, alors dominant. Historiquement, Firefox s'est positionné comme une alternative légère et respectueuse de la vie privée face à ses concurrents, en particulier Google Chrome.
La dernière mise à jour de Firefox, la version 148, introduit une fonctionnalité très attendue, le « kill switch pour l'IA », qui permet aux utilisateurs de désactiver les fonctionnalités d'IA telles que les prompts des chatbots et les résumés de liens générés par l'IA. Annoncée début février 2024, le lancement de cette fonctionnalité permettant de désactiver toutes les fonctionnalités basées sur l'IA dans Firefox contraste avec la tendance du secteur, où des acteurs comme Google intègrent Gemini à Search et Microsoft intègre Copilot à Windows.
Mozilla souligne qu'une fois les fonctionnalités d'IA désactivées, les futures mises à jour ne pourront pas passer outre ce choix. Cette décision reflète la nouvelle stratégie de l'entreprise axée sur les revenus en matière d'intégrations IA.
Pour désactiver les fonctionnalités d'IA, les utilisateurs peuvent se rendre dans Paramètres > Contrôles IA et activer l'option « Bloquer les améliorations IA ». Cela empêchera l'affichage de notifications dans l'application encourageant les utilisateurs à essayer les fonctionnalités d'IA, et supprimera tous les modèles d'IA précédemment téléchargés de l'appareil. Pour ceux qui souhaitent conserver certaines fonctionnalités d'IA, une option de blocage sélectif est disponible, permettant aux utilisateurs de conserver des fonctionnalités utiles telles que les traductions sur l'appareil tout en évitant les services basés sur le cloud.
Au-delà du kill switch IA, Firefox 148 offre aux utilisateurs un meilleur contrôle sur les mises à jour à distance, leur permettant de se désinscrire tout en minimisant la collecte de données. Les utilisateurs peuvent définir ces préférences dans Paramètres > Confidentialité et paramètres > Collecte de données Firefox.
La mise à jour se concentre également sur l'amélioration des capacités de la plateforme web de base, notamment l'intégration des API Trusted Types et Sanitizer pour lutter contre les problèmes de cross-site scripting (XSS). De plus, Firefox 148 inclut désormais une compatibilité améliorée avec les lecteurs d'écran pour les formules mathématiques dans les PDF, la disponibilité de Firefox Backup sur Windows 10 et des capacités de traduction pour le vietnamien et le chinois traditionnel. De nouveaux fonds d'écran seront également proposés dans les nouveaux onglets conteneurs, parallèlement à l'ajout de la prise en charge des Service Workers pour WebGPU.
La récente initiative de Firefox intervient alors que le débat sur la place de l'IA dans les navigateurs s'intensifie au sein de l'écosystème open source. Dans un article intitulé « No AI Here — A Response to Mozilla’s Next Chapter », Alex Kontos, responsable de Waterfox (un fork open source de Firefox), affirme que les navigateurs doivent privilégier la vitesse, la confidentialité et le contrôle utilisateur plutôt que de devenir des passerelles médiatisées par l'IA.
Sans rejeter l'IA en bloc, Alex Kontos a critiqué les implémentations non vérifiables qui pourraient compromettre la confidentialité. Il rappelle dans son article que Waterfox a historiquement supprimé des composants jugés indésirables (télémétrie, intégration de Pocket, contenus sponsorisés), tout en maintenant des fonctionnalités héritées, comme les extensions XUL. Waterfox se positionne ainsi comme une alternative pour les utilisateurs attachés à un navigateur épuré. Cette prise de position renforce le débat plus large au sein du secteur sur la question de savoir si l'IA doit être une couche optionnelle ou une fonctionnalité fondamentale des navigateurs Web.
Source : Firefox 148
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Adieu innerHTML, bonjour setHTML : une protection XSS renforcée dans Firefox 148
Adieu innerHTML, bonjour setHTML : une protection XSS renforcée dans Firefox 148, le premier navigateur à intégrer cette nouvelle API Sanitizer standardisée qui améliore la sécurité
Mozilla Firefox 148 marque un changement significatif dans les protections au niveau du navigateur contre les scripts intersites (XSS). La dernière version de Firefox est le premier navigateur à intégrer l'API Sanitizer standardisée, qui offre une protection XSS intégrée en nettoyant le code HTML non fiable avant son insertion dans le DOM. La nouvelle méthode setHTML() remplace l'affectation innerHTML, sujette aux erreurs, en supprimant par défaut les éléments et attributs dangereux. Les développeurs peuvent également personnaliser la configuration de nettoyage pour des règles plus strictes ou plus permissives, et peuvent combiner setHTML() avec Trusted Types pour une protection encore plus efficace.
Mozilla Firefox est un navigateur web gratuit et open source développé par la Fondation Mozilla et sa filiale, la Mozilla Corporation. Il utilise le moteur de rendu Gecko pour afficher les pages web, qui met en œuvre les normes web actuelles et prévues. Firefox a été créé en 2002 sous le nom de code « Phoenix » par des membres de la communauté Mozilla qui souhaitaient un navigateur autonome plutôt que le pack Mozilla Application Suite. Historiquement, Firefox s'est positionné comme une alternative légère et respectueuse de la vie privée face à ses concurrents, en particulier Google Chrome.
Le navigateur Firefox 148 a récemment été publié, apportant des améliorations aux capacités de la plateforme Web de base, notamment l'intégration des API Trusted Types et Sanitizer pour lutter contre les problèmes de script inter-sites (XSS). Cette version comprend également l'ajout d'un nouveau « kill switch » pour l'IA, qui permet aux utilisateurs de désactiver complètement les fonctionnalités d'intelligence artificielle (IA) intégrées au navigateur via un panneau de paramètres dédié.
Le cross-site scripting (XSS) est un type de faille de sécurité que l'on peut trouver dans certaines applications web. Les attaques XSS permettent aux pirates d'injecter des scripts côté client dans les pages web consultées par d'autres utilisateurs. Une vulnérabilité de type cross-site scripting peut être utilisée par des pirates pour contourner les contrôles d'accès tels que la politique de même origine. Les effets du XSS varient, allant d'une simple nuisance à un risque de sécurité important, en fonction de la sensibilité des données traitées par le site vulnérable et de la nature des mesures de sécurité mises en œuvre par le réseau propriétaire du site.
Le cross-site scripting (XSS) est l'une des vulnérabilités les plus répandues sur le Web. Dès l'essor des applications Web riches et du HTML5, plusieurs experts ont alerté sur la difficulté de contenir les failles XSS. En 2011, Michal Zalewski, alors ingénieur chez Google, soulignait déjà que ces attaques permettaient d'injecter du code malveillant dans des pages légitimes, compromettant ainsi les identifiants et les données sensibles des utilisateurs. Bien que la politique de même origine limite certaines interactions intersites, une page compromise peut rester sous le contrôle d'un attaquant tant qu'elle reste active.
La nouvelle API Sanitizer standardisée offre aux développeurs Web un moyen simple de nettoyer le code HTML non fiable avant de l'insérer dans le DOM. Le navigateur Firefox 148 est ainsi le premier navigateur à intégrer cette API standardisée qui améliore la sécurité, contribuant à rendre le Web plus sûr pour tous.
Une vulnérabilité XSS survient lorsqu'un site web laisse involontairement des pirates injecter du code HTML ou JavaScript arbitraire via du contenu généré par les utilisateurs. Grâce à cette attaque, un pirate peut surveiller et manipuler les interactions des utilisateurs et voler continuellement leurs données tant que la vulnérabilité reste exploitable. Le XSS est depuis longtemps réputé pour être difficile à prévenir et figure parmi les trois principales vulnérabilités web (CWE-79) depuis près d'une décennie.
Firefox s'est fortement impliqué dans les solutions contre les XSS dès le début, en commençant par lancer la norme Content-Security-Policy (CSP) en 2009. La norme CSP permet aux sites web de restreindre les ressources (scripts, styles, images, etc.) que le navigateur peut charger et exécuter, offrant ainsi une solide ligne de défense contre les attaques XSS. Malgré des améliorations constantes et une maintenance continue, la norme CSP n'a pas été suffisamment adoptée pour protéger l'ensemble du web, car elle nécessite des changements architecturaux importants pour les sites web existants et un examen continu par des experts en sécurité.
L'API Sanitizer est conçue pour combler cette lacune en fournissant un moyen standardisé de transformer du code HTML malveillant en code HTML inoffensif, autrement dit, de le nettoyer. La méthode setHTML() intègre le nettoyage directement dans l'insertion HTML, offrant ainsi une sécurité par défaut. Voici un exemple de nettoyage d'un code HTML simple et non sécurisé :
Code HTML : Sélectionner tout - Visualiser dans une fenêtre à part
2
Cette sanitisation autorisera l'élément HTML <h1> tout en supprimant l'élément <img> intégré et son attribut onclick, éliminant ainsi l'attaque XSS et générant le code HTML sécurisé suivant :
Code HTML : Sélectionner tout - Visualiser dans une fenêtre à part <h1>Hello my name is</h1>
Les développeurs peuvent opter pour des protections XSS plus efficaces avec des modifications minimales du code en remplaçant les affectations innerHTML sujettes aux erreurs par setHTML(). Si la configuration par défaut de setHTML() est trop stricte (ou pas assez stricte) pour un cas d'utilisation donné, les développeurs peuvent fournir une configuration personnalisée qui définit les éléments et attributs HTML à conserver ou à supprimer. Pour tester l'API Sanitizer avant de l'introduire sur une page web, il est recommandé d'explorer le playground de l'API Sanitizer.
Pour une protection encore plus efficace, l'API Sanitizer peut être combinée avec Trusted Types, qui centralise le contrôle de l'analyse et de l'injection HTML. Une fois setHTML() adopté, les sites peuvent activer plus facilement Trusted Types, souvent sans avoir besoin de politiques personnalisées complexes. Une politique stricte peut autoriser setHTML() tout en bloquant d'autres méthodes d'insertion HTML non sécurisées, ce qui contribue à prévenir les régressions XSS futures.
L'API Sanitizer permet de remplacer facilement les affectations innerHTML par setHTML() dans le code existant, introduisant ainsi une nouvelle valeur par défaut plus sûre pour protéger les utilisateurs contre les attaques XSS sur le Web. Firefox 148 prend en charge l'API Sanitizer ainsi que les Trusted Types, qui créent une expérience Web plus sûre. L'adoption de ces normes permettra à tous les développeurs de prévenir les attaques XSS sans avoir besoin d'une équipe de sécurité dédiée ou de modifications importantes de la mise en œuvre.
Alors que Firefox renforce ses défenses natives, d’autres évolutions du marché des navigateurs soulèvent de nouvelles inquiétudes en matière de sécurité. Des rapports récents ont en effet révélé que les navigateurs IA créent d'énormes vulnérabilités en matière de cybersécurité. Des chercheurs ont notamment identifié des failles dans ChatGPT Atlas permettant l'injection de code via les mécanismes de mémoire IA, tandis que le navigateur Comet pourrait être manipulé par des instructions dissimulées dans des pages Web. Le mode Copilot de Microsoft Edge présente également des risques similaires, avec des scénarios d'exécution d'actions au nom de l'utilisateur.
Selon les experts, ces navigateurs génèrent des profils d’utilisation particulièrement intrusifs et augmentent rapidement la surface d’attaque. L’intégration d’agents capables d’interagir activement avec le contenu Web multiplierait les vulnérabilités zero-day potentielles. Selon certains spécialistes, la course à la mise sur le marché aurait précédé des phases de tests de sécurité suffisamment approfondies, créant ce qu’ils qualifient de « bombe à retardement » en matière de cybersécurité.
Sources : Rapport de Mozilla Hacks (Tom Schuster, Frederik Braun et Christoph Kerschbaumer) ; API HTML Sanitizer
Et vous ?
Voir aussi :
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Je ne vois pas ce que cette news fait dans ce thread, vu que ça ne parle pas de l'IA dans Firefox. C'est dommage car je parle d'IA.
Pour info (je laisse qui veut faire une news dessus), on peut déjà utiliser une IA locale via Firefox. C'est pas affiché, mais c'est fonctionnel. Question au support traitant du sujet :
https://support.mozilla.org/en-US/questions/1570431
Et ça marche bien, modulo la UI que vous utilisez (Open WebUI, Perplexity, etc.)
Et non seulement on peut choisir parmi des prompts prédéfinis ou fournir un prompt à la volée, mais on peut aussi changer les prompts prédéfinis apparemment.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Répondre avec citation
Partager