Discussion :

[Gordon Fowler]

Firefox 13 capture trop d’écrans pour sa nouvelle page d’historique
Les miniatures des contenus consultés en HTTPS y sont affichées


Grosse gaffe dans Firefox 13. La version la plus récente du navigateur sortie au début du mois enregistre en effet tous les sites visités par l’utilisateur, avec capture d’écran à l'appui, pour personnaliser sa page d’accueil. Problème, dans « tous », il y a également les sites sécurisés en HTTPS.

Dans sa nouvelle page – proposé par défaut à l’ouverture d’un nouvel onglet – Firefox 13 affiche des miniatures des sites pour rendre le surf plus rapide et plus pratique.

Mais ces miniatures, des captures d’écrans donc stockées par le navigateur donc, représentent également les informations sécurisées - et pas simplement la page d’indentification d’un service ou son logo.

Or si ces sites sont sécurisés (banques, réseaux sociaux, etc.), c’est par définition parce que les informations qu’ils donnent sont confidentielles et sensibles.

Un exemple parmi d'autres, le texte (assez lisible) d’un mail peut servir de miniature pour Gmail :


Exemple de miniature taille réelle

La bourde, qualifiée de « faille » par certains (à vous de décider), sera corrigée dans une prochaine mise à jour de Mozilla.

En attendant, la fondation recommande de désactiver ce nouvel écran sur les machines partagées (le basculement se fait en cliquant sur l’icône en haut à gauche de cette page de miniatures). Ce basculement n’efface pas les miniatures stockées. Il est donc également recommandé d’effacer l’historique et d’utiliser le mode de navigation privée pour consulter les sites confidentiels.

Rappelons que Mozilla est une organisation (et pas une entreprise) dont le but premier est de promouvoir les technologies ouvertes et de militer pour le respect de la vie privée des internautes. Cette fois-ci, c’est loupé. Ceci dit, l'erreur est humaine.


Et vous ?

Pour vous, s’agit-il d’une bourde ou d’une faille ?

[MrSKunt]

Personnellement, je n'ai pas ce problème.
Peut-être parce que j'ai choisi ne ne pas garder mon historique (cf option-> vie privée ->" ne jamais conserver l'historique " ).

Du coup, lorsque j'ouvre un nouvel onglet, aucune capture apparait.

[bipbip2006]

Bonjour à tous
Utilisateur invétéré de Firefox depuis plusieurs années, je suis passé à la 13 et je trouve que c'est gênant.
Après il s'agit plus d'une bourde que d'une faille.
Rappelons également qu'il est possible d'afficher les mots de passe en clair enregistré dans firefox, je considère que c'est aussi une erreur....

[subzero01]

Je pense que Firefox va un peu plus vite avec les versions !
dans même pas 3 ans on a transité de la version 3 a la version 13 en passant par tous les nombres !!!
Normalement augmenter le nombre majeur d'une version c'est apporter de majeurs modifications au produit alors que sur Firefox, depuis le changement du look connu dans la version 4 je vois que la majorité des modifications apportées apres ne necessitent pas d'augmenter le nombre majeur de la version.
En tout cas c'est mon point de vu personnel.

[yohannc]

Normalement augmenter le nombre majeur d'une version c'est apporter de majeurs modifications au produit

Il n'y a pas vraiment de norme.
Chrome fait pareil, ie c'est pratiquement tous les ans, pour ubuntu, c'est calé en fonction du mois et de l'année. Certains font des applications qui fonctionnent bien en dessous de la version 1.0 et d'autre font des applications buguées au dessus de la 1.0.

[grunk]

Perso je vois pas vraiment le problème :

- Soit je suis sur mon ordinateur personnel , auquel cas voir une miniature d'un contenu que j'ai déjà consulté ne me fait ni chaud ni froid.

- Soit je suis sur un ordinateur potentiellement public auquel cas je prend soin de naviguer en mode privé (pas de cookie , d'historique ...) et il n'y aura donc pas de miniature.

Comme on le dit souvent la faille de sécurité se trouve avant tout entre le clavier et la chaise ...

[Theoden]

Pareil que le premier utilisateur pas d'historique = pas de miniatures.

Maintenant oui il y a une bourdes dans la fonctionnalité (le https ne devrait pas être présenté ...)

Quand à la question des numéros de version je vois pas trop ce que ça vient faire au milieu du schmilblick mais je dois être obtu.

Theoden

[NahMean]

Pareil que le premier utilisateur pas d'historique = pas de miniatures.

Oui pour moi c'est pareil !

Maintenant si quelqu’un de malhonnête parvient à se procurer ses screenshots sa peut devenir gênant pour l'utilisateur

Te retrouve avec ton numéro de CB en clair ... bravo

[stailer]

Je n'ai pas le souci non plus.

Par contre sur Google Chrome je l'ai !

Quand j'ouvre le navigateur, les nouveaux onglets n'ayant pas de site me propose l'icône "Chrome Store" ainsi que des previews des sites visités.

Et le je vous le donne en 1000 : les sites en https sont bien présents dans les previews.

EDIT:

je vois que la majorité des modifications apportées apres ne necessitent pas d'augmenter le nombre majeur de la version.
En tout cas c'est mon point de vu personnel.

Tu as raison @subzero01 . Mais en fait c'est marketing. Chrome n'a cessé de changer de version pour de simples améliorations et on est aussi passé rapidement d'une v2 à une v14. Du coup on parlait tout le temps de Chrome et Mozilla à réagi en faisant la même chose.

[Gordon Fowler]

Par contre sur Google Chrome je l'ai !

Et le je vous le donne en 1000 : les sites en https sont bien présents dans les previews.

Salut,

C'est vrai... mais : les miniatures de Chrome ont une une taille maximale assez petite et ne la dépassent pas quand on augmente la taille du navigateur.

Résultat, ces miniatures sont illisibles.

Amicalement,

[hotcryx]

super!
Des miniatures pornos
Grilled!

[Uther]

- Soit je suis sur mon ordinateur personnel , auquel cas voir une miniature d'un contenu que j'ai déjà consulté ne me fait ni chaud ni froid.
- Soit je suis sur un ordinateur potentiellement public auquel cas je prend soin de naviguer en mode privé (pas de cookie , d'historique ...) et il n'y aura donc pas de miniature.

En théorie c'est vrai.

Mais la distinction ordinateur privé / ordinateur personnel n'est pas si évidente. Son ordinateur privé n'est pas toujours si privé que ça et des gens peuvent y avoir accèss (femme, enfants, ordinateur portable volé, ...).
C'est certes pour cela que le mode navigation privée a été conçu, mais malheureusement, il reste avant tout dans l'esprit des utilisateurs, le p0rn mode. On ne pense pas à activer quand on consulte le site de sa banque.

Le problème n'est pas tant que les sites https sont affichés mais que les miniatures soient conservées avec un qualité suffisante pour être lisible. Le fait qu'un site soit en https ou pas ne détermine pas en soi s'il contient des données privées ou non. La majorité des informations personnelles de monsieur tout le monde sont sur des sites http, tout comme il y a des sites en https qui n'en contiennent pas de critiques.

[LiveFromBx]

Perso je vois pas vraiment le problème :

- Soit je suis sur mon ordinateur personnel , auquel cas voir une miniature d'un contenu que j'ai déjà consulté ne me fait ni chaud ni froid.

- Soit je suis sur un ordinateur potentiellement public auquel cas je prend soin de naviguer en mode privé (pas de cookie , d'historique ...) et il n'y aura donc pas de miniature.

Comme on le dit souvent la faille de sécurité se trouve avant tout entre le clavier et la chaise ...

Ce que tu dis est un raisonnement classique de développeur qui ne se pose malheureusement pas assez de questions fonctionnelles.

Rappelons que c'est la machine qui doit s'adapter à l'utilisateur, et non pas l'inverse.
L'implémentation et l'utilisation du protocole HTTPS doit induire un maximum de sécurité, et laisser le moins de traces, pas seulement sur la liaison navigateur/serveur.

De plus les stations internet publiques (ex. : bornes en libre accès dans les espaces publics, bibliothèques, halls d'attente, gares, etc.) sont généralement ouvertes uniquement sur un navigateur et cachent l'accès aux préférences de l'application, donc impossible de naviguer en privé !

Il s'agit en mon opinion d'une bourde, qui induit une faille de sécurité

Une faille d'un nouveau genre...

[alex_vino]

J'avais aussi remarqué ce tres gros "probleme" sur Firefox, mais étant donnée que je dois tester toutes mes pages sur tous les navigateurs alors pas trop le choix.

Je suis de plus en plus mécontent de Firefox, déja leurs nouvelles versions n'apportent pas beaucoup de nouveautés, ou sont de plus en plus inspirées de la concurrence afin de se "calquer" sur Chrome.
Sans compter leur "bourde" lorsqu'ils s'étaient trompé dans le numéro de la nouvelle version (version 12) qui m'avait nécessité de désinstaller et retélécharger l'application car ils n'ont pas créer de patch adéquat.
Et sans oublier que le "A propos" de Firefox est souvent bien différent d'un pc a l'autre (les 2 pc étant parfaitement a jour et utilisant la release channel de Firefox), avec des légeres différences dans les fonctionnalités ou bugs.

Bref je trouve qu'il serait temps que Firefox se remette sérieusement en question pour de bon, meme si l'erreur est humaine, en ces temps ou ils vivent surtout de leur concurrent Google, et continue d'aller de l'avant comme jadis naguere.

PS: A noter que la version Firefox 13.0.1 est disponible.

[grunk]

Ce que tu dis est un raisonnement classique de développeur qui ne se pose malheureusement pas assez de questions fonctionnelles.

C'est vrai , je suis un fervent militant du "RTFM" et du coup j'ai tendances à préférer une doc plutôt que 5 jours de codage supplémentaire

L'implémentation et l'utilisation du protocole HTTPS doit induire un maximum de sécurité, et laisser le moins de traces, pas seulement sur la liaison navigateur/serveur.

Tu le dis toi même , on parle ici de protocole. Pourquoi https devrait avoir un quelconque effet sur l'affichage ?
Pour moi il est là pour sécuriser la liaison un point c'est tout. Quand je suis sur un site en https je m'attends pas à ce que mon écran s'éteigne dès que quelqu'un passe derrière moi par exemple.

Mais je pense que c'est effectivement un question de point vue

[LiveFromBx]

C'est vrai , je suis un fervent militant du "RTFM" et du coup j'ai tendances à préférer une doc plutôt que 5 jours de codage supplémentaire

C'est tout à ton honneur, mais nous avons bien trop souvent tendance à prendre tout le monde pour des informaticiens, au détriment du fonctionnel, voire de l'ergonomie.

Tu le dis toi même , on parle ici de protocole. Pourquoi https devrait avoir un quelconque effet sur l'affichage ?

Ce que tu dis est partiellement vrai.

En effet, HTTP(S ou pas) est un protocole de niveau 7, c'est à dire de niveau application.

Prenons le cas de SSH qui est aussi de niveau application : quand tu démarres une session SSH, tu tapes ton mot de passe dans le vide, rien n’apparaît à l'écran pour de simples raisons de sécurité. Nous avons ici un exemple d'implémentation d'un protocole sécurisé qui a un effet sur l'affichage !

[Ryu2000]

Je ne sais pas comment, mais j'ai du désactiver l'écran avec les miniatures.

Après c'est vraiment pas grave comme problème, puisque même si ça craint d'avoir des screenshots d'écran d'assez bonne qualité de site qui ne devraient pas être pris en screenshot le problème va être résolu dans la prochaine version et vu le rythme de parution de Firefox on ne va pas attendre longtemps.

Firefox est un bon navigateur, il est au moins aussi bon que Chrome ou Opera.

[Uther]

Prenons le cas de SSH qui est aussi de niveau application : quand tu démarres une session SSH, tu tapes ton mot de passe dans le vide, rien n’apparaît à l'écran pour de simples raisons de sécurité. Nous avons ici un exemple d'implémentation d'un protocole sécurisé qui a un effet sur l'affichage !

Justement non. Masquer le mot de passe est un choix au niveau de l'application que tu utilises. Ça n'est pas lié au fait que la connexion soit sécurisée, d'ailleurs ça se fait pour à peu près toutes les applications, qu'elles utilisent une communication sécurisée ou non.

C'est vrai , je suis un fervent militant du "RTFM" et du coup j'ai tendances à préférer une doc plutôt que 5 jours de codage supplémentaire

Sauf qu'il faut savoir a quel public on s'adresse.
Dans le cas d'un navigateur, on peut être sur que 99% des utilisateurs ne liront pas le manuel et même si s'était le cas n'appliqueront pas des pratiques de sécurité qui leur compliquent la vie quotidienne.

Tu le dis toi même , on parle ici de protocole. Pourquoi https devrait avoir un quelconque effet sur l'affichage ?
Pour moi il est là pour sécuriser la liaison un point c'est tout. Quand je suis sur un site en https je m'attends pas à ce que mon écran s'éteigne dès que quelqu'un passe derrière moi par exemple.

Entièrement d'accord, https transmet les pages de façon sécurisée, que le contenu soit d'ordre privé ou non n'est pas de son ressort.
Il arrive d'avoir des pages https qui ne contennent pas d'information particulièrement sensible et très souvent l'inverse : des données d'ordre privé transmises par http.
- les miniatures c'est un problème de sécurité au niveau de l'acces par des tiers a la machine locale
- https est un problème de sécurité au niveau de la connexion.

Il peut certes arriver que ce que l'on veuille à la fois se protéger d’éventuelles personnes qui intercepteraient un transfert et des personne ayant un accès physique à sa machine, mais réduire les miniatures à un problème de https est une très mauvaise vision du problème.

[Invité]

Je ne sais pas comment, mais j'ai du désactiver l'écran avec les miniatures.

Moi aussi...

Quand on affiche une page New Tab, il y a une petite icone en haut à droite. Il suffit de cliquer dessus pour faire disparaître les miniatures.

Bon, oui, il suffit de recliquer dessus pour les faire apparaître

Steph

[Christ D]

Malheureusement, ce n'est pas la seule bourde :
Depuis la version 12, la gestion du cache en a sérieusement pris un coup : beaucoup de site qui exigent une identification ne fonctionnent plus : la seule solution que j'ai trouvée (hormis tout réécrire) consiste à modifier le site pour forcer le vidage du cache avant chaque chargement de page ! Bonjour le temps perdu. La FAQ de Firefox est pleine d'internautes qui rencontrent ce problème.

Autre bourde : la gestion des variables $_FILES :
Allez sur une page web qui permet d'uploader des fichiers en http (pas en ftp) : avec FX13, cela ne fonctionne plus , avec Chrome ou IE8;9 et même 10, cela fonctionne toujours.

Franchement, moi qui ait utilisé et défendu Firefox depuis la 1ère version, je suis extrêmement déçu.

Avec Chrome buggé sur la gestion des listbox (interaction clavier) et IE ne gérant toujours pas certains tags, sans compter l'affichage de compatibilité qui est une véritable plai, le meilleur navigateur aujourd'hui à mon avis, c'est Safari ! car là au moins, tout fonctionne !

Christ