Firefox : le chargement de ressources FTP dans une page Web ne sera plus autorisé
Le protocole FTP ne supportant pas le chiffrement moderne

Le , par Blondelle Mélina, Chroniqueuse Actualités
Mozilla Firefox commencera à bloquer le chargement de ressources à partir des serveurs FTP dans les pages HTTP et HTTPS. Cette mesure de sécurité s'appliquera dès Firefox 61 (qui sera disponible en juin prochain selon les ingénieurs de Mozilla) et les versions ultérieures. Les ressources FTP sont les fichiers chargés via le protocole FTP dans les balises <img>, <script> et <iframe> avec src = « ftp://  ».


Le problème est que FTP est un protocole non sécurisé qui ne supporte pas les techniques de chiffrement modernes et va casser par lui-même de nombreuses autres fonctions de sécurité et de confidentialité du navigateur, telles que HSTS, CSP, XSA ou autres. En outre, de nombreuses campagnes de distribution de logiciels malveillants reposent souvent sur la compromission de serveurs FTP et la redirection ou le téléchargement de logiciels malveillants sur les ordinateurs des utilisateurs via des ressources FTP.

La modification permettra d'accéder aux ressources FTP dans les hyperliens ou lorsque l'adresse d'un serveur FTP est entrée dans la barre d'adresse de Firefox, mais le navigateur ne permettra plus d'invoquer les ressources FTP à l'aide de l'attribut src HTML.

Google a pris une décision similaire avec Chrome 63 sorti en septembre dernier en bloquant le chargement des ressources FTP. Le navigateur a commencé à bloquer le chargement de la ressource FTP, et a également commencé à étiqueter les sites FTP dans la barre d'adresse du navigateur comme « non sécurisés ». Google a déclaré à l'époque que 0,0026 % de tous les liens chargés dans la barre d'adresse du navigateur étaient des liens FTP, un nombre susceptible d'être très similaire sur Firefox.

FTP envoie des données en clair et n'a pas été conçu pour le web moderne. En effet, le protocole a précédé le web de plus de 15 ans. Peu de gens pleureront ou remarqueront la dépréciation de FTP à l'intérieur de Firefox. Le protocole est maintenant si marginalisé que même les services de téléchargement sous Linux ont cessé de l'offrir en option.

Source : Firefox Site Compatibility

Et vous ?

Qu'en pensez-vous de cette mesure de sécurité ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de tanaka59 tanaka59 - Membre éclairé https://www.developpez.com
le 12/04/2018 à 10:30
Quand on sait que certain FTP acceptent encore les connexion en "anonymous" cela fait peur ... .

Il reste le FTPS et le SFTP

Pour transmettre de la date entre serveur c'est quand même plus secure .
Avatar de Jarodd Jarodd - Membre expérimenté https://www.developpez.com
le 12/04/2018 à 18:20
Dommage, c'est pratique pour télécharger des fichiers publics. Par exemple, des versions de... Firefox.
Avatar de vayel vayel - Inactif https://www.developpez.com
le 12/04/2018 à 18:27
ftp est très utilisé, notamment pour télécharger des fichiers "sans droits" au hasar Debian 10

bon au pire y'a le torrent ou r-sync qui sont de toute manière meilleur pour le download fiability.
Avatar de 23JFK 23JFK - Membre expérimenté https://www.developpez.com
le 12/04/2018 à 18:56
La news n'a pas l'air de dire que le FTP allait être banni de firefox, mais que les balises html de type img ou embbed dont le src commence par ftp:// allaient être bloquées.
Avatar de tes49 tes49 - Membre averti https://www.developpez.com
le 12/04/2018 à 19:56
Salut

Il n'y aura blocage des ftp qu'à partir des pages Http (à partir de https à contenu mixe, il y aurait déjà blocage, ce que je n'ai pas vérifié moi-même..)...

Une adresse ftp pourra être chargé directement, donc pas de quoi s'affoler pour le moment.... Mais une personne sur le bug à tout de même posé la question pour venir à interdire tout simplement les connexions aux ftp !...

Citation Envoyé par fxsitecompat.com
Those FTP resources can still be loaded if opened directly within the browser or any FTP page, and links to FTP servers are also not blocked.
Citation Envoyé par traduc auto
Ces ressources FTP peuvent toujours être chargées si elles sont ouvertes directement dans le navigateur ou sur une page FTP, et les liens vers les serveurs FTP ne sont pas non plus bloqués.
Citation Envoyé par Jarodd
Dommage, c'est pratique pour télécharger des fichiers publics. Par exemple, des versions de... Firefox.
Tu garderas ce ftp pour un client comme FileZilla , quoi que ce dernier prenant aussi les adresses ci-dessous, tu pourra mettre ton ftp à la poubelle...

https://ftp.mozilla.org/
https://download-installer.cdn.mozilla.net/
https://releases.mozilla.org/

Cela dit, les http passant énormément en https depuis 6-8 mois (pas mal de rectifications effectuées dans mes marque-pages), je vois pas pour pourquoi les ftp resteraient tel qu'ils sont... (j'en ai encore quelques-un dans ma réserve..)
Contacter le responsable de la rubrique Accueil