Firefox : le chargement de ressources FTP dans une page Web ne sera plus autorisé
Le protocole FTP ne supportant pas le chiffrement moderne
Le 2018-04-11 21:54:35, par Blondelle Mélina, Chroniqueuse Actualités
Mozilla Firefox commencera à bloquer le chargement de ressources à partir des serveurs FTP dans les pages HTTP et HTTPS. Cette mesure de sécurité s'appliquera dès Firefox 61 (qui sera disponible en juin prochain selon les ingénieurs de Mozilla) et les versions ultérieures. Les ressources FTP sont les fichiers chargés via le protocole FTP dans les balises <img>, <script> et <iframe> avec src = « ftp:// ».
Le problème est que FTP est un protocole non sécurisé qui ne supporte pas les techniques de chiffrement modernes et va casser par lui-même de nombreuses autres fonctions de sécurité et de confidentialité du navigateur, telles que HSTS, CSP, XSA ou autres. En outre, de nombreuses campagnes de distribution de logiciels malveillants reposent souvent sur la compromission de serveurs FTP et la redirection ou le téléchargement de logiciels malveillants sur les ordinateurs des utilisateurs via des ressources FTP.
La modification permettra d'accéder aux ressources FTP dans les hyperliens ou lorsque l'adresse d'un serveur FTP est entrée dans la barre d'adresse de Firefox, mais le navigateur ne permettra plus d'invoquer les ressources FTP à l'aide de l'attribut src HTML.
Google a pris une décision similaire avec Chrome 63 sorti en septembre dernier en bloquant le chargement des ressources FTP. Le navigateur a commencé à bloquer le chargement de la ressource FTP, et a également commencé à étiqueter les sites FTP dans la barre d'adresse du navigateur comme « non sécurisés ». Google a déclaré à l'époque que 0,0026 % de tous les liens chargés dans la barre d'adresse du navigateur étaient des liens FTP, un nombre susceptible d'être très similaire sur Firefox.
FTP envoie des données en clair et n'a pas été conçu pour le web moderne. En effet, le protocole a précédé le web de plus de 15 ans. Peu de gens pleureront ou remarqueront la dépréciation de FTP à l'intérieur de Firefox. Le protocole est maintenant si marginalisé que même les services de téléchargement sous Linux ont cessé de l'offrir en option.
Source : Firefox Site Compatibility
Et vous ?
Qu'en pensez-vous de cette mesure de sécurité ?
Le problème est que FTP est un protocole non sécurisé qui ne supporte pas les techniques de chiffrement modernes et va casser par lui-même de nombreuses autres fonctions de sécurité et de confidentialité du navigateur, telles que HSTS, CSP, XSA ou autres. En outre, de nombreuses campagnes de distribution de logiciels malveillants reposent souvent sur la compromission de serveurs FTP et la redirection ou le téléchargement de logiciels malveillants sur les ordinateurs des utilisateurs via des ressources FTP.
La modification permettra d'accéder aux ressources FTP dans les hyperliens ou lorsque l'adresse d'un serveur FTP est entrée dans la barre d'adresse de Firefox, mais le navigateur ne permettra plus d'invoquer les ressources FTP à l'aide de l'attribut src HTML.
Google a pris une décision similaire avec Chrome 63 sorti en septembre dernier en bloquant le chargement des ressources FTP. Le navigateur a commencé à bloquer le chargement de la ressource FTP, et a également commencé à étiqueter les sites FTP dans la barre d'adresse du navigateur comme « non sécurisés ». Google a déclaré à l'époque que 0,0026 % de tous les liens chargés dans la barre d'adresse du navigateur étaient des liens FTP, un nombre susceptible d'être très similaire sur Firefox.
FTP envoie des données en clair et n'a pas été conçu pour le web moderne. En effet, le protocole a précédé le web de plus de 15 ans. Peu de gens pleureront ou remarqueront la dépréciation de FTP à l'intérieur de Firefox. Le protocole est maintenant si marginalisé que même les services de téléchargement sous Linux ont cessé de l'offrir en option.
Source : Firefox Site Compatibility
Et vous ?
-
23JFKMembre expertLa news n'a pas l'air de dire que le FTP allait être banni de firefox, mais que les balises html de type img ou embbed dont le src commence par ftp:// allaient être bloquées.le 12/04/2018 à 18:56
-
tanaka59InactifQuand on sait que certain FTP acceptent encore les connexion en "anonymous" cela fait peur ...
.
Il reste le FTPS et le SFTP
Pour transmettre de la date entre serveur c'est quand même plus secure .le 12/04/2018 à 10:30 -
JaroddMembre expérimentéDommage, c'est pratique pour télécharger des fichiers publics. Par exemple, des versions de... Firefox.le 12/04/2018 à 18:20
-
vayelInactifftp est très utilisé, notamment pour télécharger des fichiers "sans droits" au hasar Debian 10
bon au pire y'a le torrent ou r-sync qui sont de toute manière meilleur pour le download fiability.le 12/04/2018 à 18:27 -
tes49Membre confirméSalut
Il n'y aura blocage des ftp qu'à partir des pages Http (à partir de https à contenu mixe, il y aurait déjà blocage, ce que je n'ai pas vérifié moi-même..)...
Une adresse ftp pourra être chargé directement, donc pas de quoi s'affoler pour le moment....Mais une personne sur le bug à tout de même posé la question pour venir à interdire tout simplement les connexions aux ftp !... Envoyé par fxsitecompat.com Envoyé par traduc auto Envoyé par Jarodd , quoi que ce dernier prenant aussi les adresses ci-dessous, tu pourra mettre ton ftp à la poubelle...
https://ftp.mozilla.org/
https://download-installer.cdn.mozilla.net/
https://releases.mozilla.org/
Cela dit, les http passant énormément en https depuis 6-8 mois (pas mal de rectifications effectuées dans mes marque-pages), je vois pas pour pourquoi les ftp resteraient tel qu'ils sont... (j'en ai encore quelques-un dans ma réserve..)le 12/04/2018 à 19:56