Developpez.com

Le Club des Développeurs et IT Pro

Firefox 14 : les plug-ins désactivés par défaut ?

Les actions qui nécessitent un plug-in devront être autorisées, pénible ou bonne idée ?

Le 2012-04-17 12:34:07, par Gordon Fowler, Expert éminent sénior
Un coup de plus contre les plug-ins ?

Mozilla est en train de réfléchir à une solution, intégrée en natif à son navigateur Firefox, qui demanderait l’accord de l’utilisateur pour l’exécution de toute action qui nécessite un plug-in.

Le bénéfice est triple pour l’utilisateur d’après Mozilla : il garde ainsi le contrôle sur ce qu’affiche son navigateur (finies les publicités intrusives en Flash), la consommation de mémoire de Firefox est limitée, et le flan prêté aux attaques par « drive-by » est réduit. Le « Drive-by download » est un téléchargement qui s’effectue en parallèle d’un téléchargement consenti. Cette technique d’attaque exploite souvent des lecteurs (Flash, Java, Silverlight, etc.) pour installer « secrètement » un malware.


Le résultat du projet serait assez proche de ce que font les extensions FlashBlock ou NoScript.

Reste que si l’idée est excellente, l’utilisateur classique pourrait bien être rebuté par cette solution qui rend beaucoup plus pénible l’accès à de nombreux services Web et/ou qui demande de créer des listes d’exceptions (temporaires ou définitives) pour ne pas trop altérer l’expérience du surf.

Les autres utilisateurs ont certainement déjà NoScript d'installé.

Le projet « Opt-in activation for plugins » est prévu pour Firefox 14.

Source : Mozilla

Et vous ?

Pour ou contre la désactivation par défaut et en natif des plug-ins dans Firefox (et dans les navigateurs en général) ?
  Discussion forum
24 commentaires
  • Mr_Exal
    Membre expert
    Je trouve que c'est une bonne idée, mais qui peut devenir très vite chiante.
  • gorgonite
    Rédacteur/Modérateur
    Envoyé par Gordon Fowler
    Le résultat du projet serait assez proche de ce que font les extensions FlashBlock ou NoScript.
    Envoyé par Tab
    Je suis globalement de l'avis que c'est une bonne chose, contraignante certes mais une fois les listes d'exceptions perso crées sur les sites habituels ça pourra permettre de naviguer plus tranquille.
    on va surtout voir apparaître des "listes blanches" disponibles pour les utilisateurs non avertis (un peu comme les listes anti-pub de AdBlock)
  • sevyc64
    Modérateur
    Envoyé par Elendhil
    Puis bon si on installe volontairement un plugin c'est bien pour pouvoir l'utiliser ? ça a pas vraiment de sens leur histoire ...
    Sauf que parfois les plug-in peuvent être installés à l'insu de l'utilisateur pour compromettre le système. Cette mesure est là pour contrer ces infections.
  • Tab
    Membre averti
    Je suis globalement de l'avis que c'est une bonne chose, contraignante certes mais une fois les listes d'exceptions perso crées sur les sites habituels ça pourra permettre de naviguer plus tranquille.

    Je suis plutôt content que ça intègre directement le navigateur, dans le même esprit ça permet d'avoir des extensions en moins

    Edit : en espérant que ces dites listes d'exceptions soient synchronisées avec le reste
  • Uther
    Expert éminent sénior
    C'est une bonne chose, mais le bénéfice ne sera pas si grand que ça:

    Le bénéfice est triple pour l’utilisateur d’après Mozilla : il garde ainsi le contrôle sur ce qu’affiche son navigateur (finies les publicités intrusives en Flash), la consommation de mémoire de Firefox est limitée
    Ce n'est qu'un petit répit provisoire. Les publicitaire sont déjà en train de passer au HTML 5 qui ne sera pas moins gourmand.

    et le flan prêté aux attaques par « drive-by » est réduit. Le « Drive-by download » est un téléchargement qui s’effectue en parallèle d’un téléchargement consenti. Cette technique d’attaque exploite souvent des lecteurs (Flash, Java, Silverlight, etc.) pour installer « secrètement » un malware.
    Pour le coup c'est clairement un plus.
  • deathness
    Membre émérite
    C'est une bonne chose pour moi. Même si cela peut être plus contraignant cela permet de responsabiliser un peu plus les utilisateurs.
  • kapok
    Nouveau membre du Club
    Très utile pour éviter tout piratage via les plugins (java...).

    Autre point, les 3/4 des plugins installés ne servent à rien. (Google Update, Java, QuickTime, VLC, WMP, DivX...)

    Personnelement je désactive tous les plugins sauf flash (shockwave) et ensuite j'ai toujours NoScript pour gérer les flash.
  • sevyc64
    Modérateur
    Une bonne chose, je pense, même si la navigation sera extrêmement pénible comme elle l'est en utilisant NoScript
    (C'est là que l'on se rend compte de toutes les saloperies invisibles que peuvent contenir une page web)

    Mais il faudrait qu'il améliore une chose par rapport à NoScript, c'est de choisir finement ce que l'on garde ou pas.
    Ce que je reproche à NoScript, c'est de valider ou de bloquer la totalité d'une page. On ne peut pas choisir finement ce que l'on autorise ou non comme script sur une page. Contrairement à AdBlock ou on peut choisir lien par lien ce que l'on bloque ou pas
  • DonQuiche
    Expert confirmé
    Cela fait cinq ans que tous les navigateurs auraient dû inclure cette fonctionnalité en standard, je m'en réjouis donc. J'attends désormais la même chose pour la lecture audio/vidéo avec Flash et la mise en pause des canvas animés ("y'a qu'à" bloquer un canvas s'il se met à jour plus de X fois, avec un reset après Y secondes). Car si je comprends l'intérêt des développeurs web pour html5, en tant qu'utilisateur le rapport gains/pertes me semble propre à me faire regretter le temps de html4 + Flash.
  • Uther
    Expert éminent sénior
    Envoyé par DonQuiche
    J'attends désormais la même chose pour la lecture audio/vidéo avec Flash
    Flash étant un plugin, ça sera le cas.

    Envoyé par DonQuiche
    la mise en pause des canvas animés ("y'a qu'à" bloquer un canvas s'il se met à jour plus de X fois, avec un reset après Y secondes).
    Mozilla risque d'être plus réticent à limiter des fonctionnalités qui font parties des standards du W3C.

    Je pense que pour ce genre de chose, il faudra compter sur les extensions. Tout l'intérêt du canevas étant d'être dessiné dynamiquement, autant le désactiver totalement.