Firefox 13 capture trop d'écrans pour sa page de démarrage
Le 2012-06-26 13:09:21, par Gordon Fowler, Expert éminent sénior
Grosse gaffe dans Firefox 13. La version la plus récente du navigateur sortie au début du mois enregistre en effet tous les sites visités par l’utilisateur, avec capture d’écran à l'appui, pour personnaliser sa page d’accueil. Problème, dans « tous », il y a également les sites sécurisés en HTTPS.
Dans sa nouvelle page – proposé par défaut à l’ouverture d’un nouvel onglet – Firefox 13 affiche des miniatures des sites pour rendre le surf plus rapide et plus pratique.
Mais ces miniatures, des captures d’écrans donc stockées par le navigateur donc, représentent également les informations sécurisées - et pas simplement la page d’indentification d’un service ou son logo.
Or si ces sites sont sécurisés (banques, réseaux sociaux, etc.), c’est par définition parce que les informations qu’ils donnent sont confidentielles et sensibles.
Un exemple parmi d'autres, le texte (assez lisible) d’un mail peut servir de miniature pour Gmail :
Exemple de miniature taille réelle
La bourde, qualifiée de « faille » par certains (à vous de décider), sera corrigée dans une prochaine mise à jour de Mozilla.
En attendant, la fondation recommande de désactiver ce nouvel écran sur les machines partagées (le basculement se fait en cliquant sur l’icône en haut à gauche de cette page de miniatures). Ce basculement n’efface pas les miniatures stockées. Il est donc également recommandé d’effacer l’historique et d’utiliser le mode de navigation privée pour consulter les sites confidentiels.
Rappelons que Mozilla est une organisation (et pas une entreprise) dont le but premier est de promouvoir les technologies ouvertes et de militer pour le respect de la vie privée des internautes. Cette fois-ci, c’est loupé. Ceci dit, l'erreur est humaine.
Et vous ?
Pour vous, s’agit-il d’une bourde ou d’une faille ?
Dans sa nouvelle page – proposé par défaut à l’ouverture d’un nouvel onglet – Firefox 13 affiche des miniatures des sites pour rendre le surf plus rapide et plus pratique.
Mais ces miniatures, des captures d’écrans donc stockées par le navigateur donc, représentent également les informations sécurisées - et pas simplement la page d’indentification d’un service ou son logo.
Or si ces sites sont sécurisés (banques, réseaux sociaux, etc.), c’est par définition parce que les informations qu’ils donnent sont confidentielles et sensibles.
Un exemple parmi d'autres, le texte (assez lisible) d’un mail peut servir de miniature pour Gmail :
Exemple de miniature taille réelle
La bourde, qualifiée de « faille » par certains (à vous de décider), sera corrigée dans une prochaine mise à jour de Mozilla.
En attendant, la fondation recommande de désactiver ce nouvel écran sur les machines partagées (le basculement se fait en cliquant sur l’icône en haut à gauche de cette page de miniatures). Ce basculement n’efface pas les miniatures stockées. Il est donc également recommandé d’effacer l’historique et d’utiliser le mode de navigation privée pour consulter les sites confidentiels.
Rappelons que Mozilla est une organisation (et pas une entreprise) dont le but premier est de promouvoir les technologies ouvertes et de militer pour le respect de la vie privée des internautes. Cette fois-ci, c’est loupé. Ceci dit, l'erreur est humaine.
Et vous ?
-
yohanncMembre actifNormalement augmenter le nombre majeur d'une version c'est apporter de majeurs modifications au produit
Chrome fait pareil, ie c'est pratiquement tous les ans, pour ubuntu, c'est calé en fonction du mois et de l'année. Certains font des applications qui fonctionnent bien en dessous de la version 1.0 et d'autre font des applications buguées au dessus de la 1.0.le 26/06/2012 à 14:26 -
hotcryxMembre extrêmement actifsuper!
Des miniatures pornos
Grilled!le 26/06/2012 à 15:40 -
UtherExpert éminent séniorEn théorie c'est vrai.
Mais la distinction ordinateur privé / ordinateur personnel n'est pas si évidente. Son ordinateur privé n'est pas toujours si privé que ça et des gens peuvent y avoir accèss (femme, enfants, ordinateur portable volé, ...).
C'est certes pour cela que le mode navigation privée a été conçu, mais malheureusement, il reste avant tout dans l'esprit des utilisateurs, le p0rn mode. On ne pense pas à activer quand on consulte le site de sa banque.
Le problème n'est pas tant que les sites https sont affichés mais que les miniatures soient conservées avec un qualité suffisante pour être lisible. Le fait qu'un site soit en https ou pas ne détermine pas en soi s'il contient des données privées ou non. La majorité des informations personnelles de monsieur tout le monde sont sur des sites http, tout comme il y a des sites en https qui n'en contiennent pas de critiques.le 26/06/2012 à 16:44 -
grunkModérateurPerso je vois pas vraiment le problème :
- Soit je suis sur mon ordinateur personnel , auquel cas voir une miniature d'un contenu que j'ai déjà consulté ne me fait ni chaud ni froid.
- Soit je suis sur un ordinateur potentiellement public auquel cas je prend soin de naviguer en mode privé (pas de cookie , d'historique ...) et il n'y aura donc pas de miniature.
Comme on le dit souvent la faille de sécurité se trouve avant tout entre le clavier et la chaise ...le 26/06/2012 à 14:28 -
grunkModérateurC'est vrai , je suis un fervent militant du "RTFM" et du coup j'ai tendances à préférer une doc plutôt que 5 jours de codage supplémentaire
Tu le dis toi même , on parle ici de protocole. Pourquoi https devrait avoir un quelconque effet sur l'affichage ?
Pour moi il est là pour sécuriser la liaison un point c'est tout. Quand je suis sur un site en https je m'attends pas à ce que mon écran s'éteigne dès que quelqu'un passe derrière moi par exemple.
Mais je pense que c'est effectivement un question de point vuele 27/06/2012 à 9:26 -
UtherExpert éminent séniorJustement non. Masquer le mot de passe est un choix au niveau de l'application que tu utilises. Ça n'est pas lié au fait que la connexion soit sécurisée, d'ailleurs ça se fait pour à peu près toutes les applications, qu'elles utilisent une communication sécurisée ou non.
Sauf qu'il faut savoir a quel public on s'adresse.
Dans le cas d'un navigateur, on peut être sur que 99% des utilisateurs ne liront pas le manuel et même si s'était le cas n'appliqueront pas des pratiques de sécurité qui leur compliquent la vie quotidienne.
Entièrement d'accord, https transmet les pages de façon sécurisée, que le contenu soit d'ordre privé ou non n'est pas de son ressort.
Il arrive d'avoir des pages https qui ne contennent pas d'information particulièrement sensible et très souvent l'inverse : des données d'ordre privé transmises par http.
- les miniatures c'est un problème de sécurité au niveau de l'acces par des tiers a la machine locale
- https est un problème de sécurité au niveau de la connexion.
Il peut certes arriver que ce que l'on veuille à la fois se protéger d’éventuelles personnes qui intercepteraient un transfert et des personne ayant un accès physique à sa machine, mais réduire les miniatures à un problème de https est une très mauvaise vision du problème.le 27/06/2012 à 13:09 -
stailerMembre chevronnéJe n'ai pas le souci non plus.
Par contre sur Google Chrome je l'ai !
Quand j'ouvre le navigateur, les nouveaux onglets n'ayant pas de site me propose l'icône "Chrome Store" ainsi que des previews des sites visités.
Et le je vous le donne en 1000 : les sites en https sont bien présents dans les previews.
EDIT:
je vois que la majorité des modifications apportées apres ne necessitent pas d'augmenter le nombre majeur de la version.
En tout cas c'est mon point de vu personnel.le 26/06/2012 à 15:10 -
LiveFromBxNouveau membre du Club
Perso je vois pas vraiment le problème :
- Soit je suis sur mon ordinateur personnel , auquel cas voir une miniature d'un contenu que j'ai déjà consulté ne me fait ni chaud ni froid.
- Soit je suis sur un ordinateur potentiellement public auquel cas je prend soin de naviguer en mode privé (pas de cookie , d'historique ...) et il n'y aura donc pas de miniature.
Comme on le dit souvent la faille de sécurité se trouve avant tout entre le clavier et la chaise ...
Rappelons que c'est la machine qui doit s'adapter à l'utilisateur, et non pas l'inverse.
L'implémentation et l'utilisation du protocole HTTPS doit induire un maximum de sécurité, et laisser le moins de traces, pas seulement sur la liaison navigateur/serveur.
De plus les stations internet publiques (ex. : bornes en libre accès dans les espaces publics, bibliothèques, halls d'attente, gares, etc.) sont généralement ouvertes uniquement sur un navigateur et cachent l'accès aux préférences de l'application, donc impossible de naviguer en privé !
Il s'agit en mon opinion d'une bourde, qui induit une faille de sécurité
Une faille d'un nouveau genre...le 26/06/2012 à 18:04 -
mhtrinhMembre habituéJ'ai trouvé une solution pour les MAJ rapides de Firefox : decocher la case "mettre a jour automatiquement" !
Avec ca, pas de mauvaises surprises tous les moisle 27/06/2012 à 23:31 -
greg91Membre actifCela montre une fois de plus les problèmes engendrés par la nouvelle politique de mise à jour forcé de Mozilla.
Une des forces de l'open source c'est justement de sortir les versions quand elles sont prêteset pas quand le marketing l'a décidé.
C'est pas les seul : Joomla, Ubuntu...le 28/06/2012 à 10:43