Firefox 26 bloque par défaut le plugin Java
La version pour Android permet une navigation plus fluide

Le , par Hinault Romaric, Responsable .NET
Les utilisateurs de Firefox peuvent télécharger la version 26 du navigateur ou l’installer via le processus de mise à jour automatique sur Windows, Linux et Mac.

Cette nouvelle itération améliore essentiellement la sécurité des internautes avec sa nouvelle fonctionnalité « Click to Play ». Cette fonctionnalité bloque par défaut l’exécution des plugins lors du chargement d’un site, et affiche un message d’avertissement à l’utilisateur qui devra activer manuellement le plugin pour ce site.

Initialement, la fonction « Click to Play » devait afficher le même comportement pour tous les plugins, à l’exception du plugin Flash qui allait rester activé par défaut, essentiellement à cause de sa forte utilisation sur le Web.

Cependant, dans les notes de versions, Mozilla affirme que seul le plugin Java est concerné pour l’instant. Une fonctionnalité pour bloquer un plus grand nombre de plugins est encore en cours de test par la fondation.

En bloquant les plugins, Mozilla espère réduire les risques que les utilisateurs puissent être victimes des attaques qui exploitent les vulnérabilités des plugins, notamment celles du plugin Java, qui avait fait la une de l’actualité pour ses failles.

En dehors de cette nouveauté, sous Windows, les mises à jour pourront désormais se faire sans nécessiter la moindre permission. Le gestionnaire intégré de mots de passe offre une prise en charge des champs générés par les scripts. Le support du MP3 sur Windows XP et du codec H.264 sur Linux sont aussi au rendez-vous.

Les développeurs pourront apprécier la présence de « Firefox OS App Manager », un outil qui améliore grandement la création et le débogage d’applications sous Firefox OS, que ce soit sur le simulateur ou sur un appareil connecté.



En ce qui concerne la version mobile de Firefox 26, elle bénéficie d’une nouvelle page d’accueil baptisée « Home », permettant une navigation rapide et un accès à l’historique de navigation en un seul clic.

Ce nouvel écran apparaît au démarrage de Firefox pour Android, ou encore lorsque l’utilisateur ouvre un nouvel onglet ou clique sur la barre d’URL. Sites favoris, historique et Reading List sont alors disponibles instantanément dans un menu offrant une expérience de navigation plus fluide et intuitive.

Firefox pour Android s’enrichit également des moteurs de recherche Bing et Yahoo!, offrant aux utilisateurs encore plus de choix. Le navigateur est désormais également disponible sur les terminaux utilisant des processeurs Intel x86.

Télécharger Firefox pour Android

Télécharger Firefox 26 pour Windows, Mac et Linux

Source : notes de version


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de MacDev MacDev - Membre régulier https://www.developpez.com
le 11/12/2013 à 16:17
Eh oui, c'est ça. Java était génial mais manque de chercheurs motivés en sécurité. Je crois que les meneurs de JAVA vont penser à améliorer leur produit afin de prolonger sa durée de vie.

Du reste, félicitation à Firefox qui gagne du terrain.
Avatar de Blackhorn Blackhorn - Membre régulier https://www.developpez.com
le 12/12/2013 à 17:38
Initialement, la fonction « Click to Play » devait afficher le même comportement pour tous les plugins, à l’exception du plugin Flash qui allait rester activé par défaut, essentiellement à cause de sa forte utilisation sur le Web.
Donc si j'en conclue c'est qu'il faut mieux être un plugin tout pourris et beaucoup utilisé, que l'inverse? Bien belle initiative. Je trouve qu'ils ont pas forcement bien mesuré l'impact sur les plugins (et les entreprises qui ont investies dedans) qui devront maintenant être activés manuellement. L'alternative est de sortir le code metier du plugin et le mettre comme un service standalone sur le PC de l'utilisteur (donc on deplace le problème, les failles seront potentiellement toujours là). Ce service communiquera avec la page grace aux websockets. Les websockets sont quand à eux autorisés à faire du cross-domain.(Elle est belle la sécurité à géometrie variable). (solution utilisé par driver automatique)
Avatar de tes49 tes49 - Membre averti https://www.developpez.com
le 12/12/2013 à 20:56
Salut

Citation Envoyé par Blackhorn Voir le message
Donc si j'en conclue c'est qu'il faut mieux être un plugin tout pourris et beaucoup utilisé, que l'inverse?
"pourris" est un mots peut être un peu fort... mais de toutes façons, c'est un peu le cas pour certains plugins ! Java, par exemple avec ses failles à presque chaque versions !!
Quand à Flash, même si perso, il ne m'a jamais posé de problèmes, depuis quelques temps celui-ci pose souvent des problèmes à bien du monde....à cause de son système de sécurité (à partir de Vista).... Vivement le moment venu ou il n'y aura plus besoin de celui-ci.

De touts façons, même si les plugins sont bloqués par défaut, il suffit de les activer via la barre d'adresse (Click to Play), si demandé par une page...

Ou autoriser le plugin en permanence pour un site précis, clic-droit sur une page du site en question > informations sur la pages > permissions.

**********************
Citation Envoyé par Blackhorn Voir le message
Bien belle initiative. Je trouve qu'ils ont pas forcement bien mesuré l'impact sur les plugins (et les entreprises qui ont investies dedans) qui devront maintenant être activés manuellement.
Je vois pas le rapport avec la sécurité des utilisateurs !! Hormis Flash qui sert beaucoup (Java n'étant plus très utile), je vois pas en quoi, il y à tant d'impact ! Et encore, Flash était déjà désactivé par bien du monde avant l'arrivé du blocage par défaut... Souvent grâce à une extension. Donc rien de vraiment nouveau.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 13/12/2013 à 7:48
Citation Envoyé par Blackhorn Voir le message
Donc si j'en conclue c'est qu'il faut mieux être un plugin tout pourris et beaucoup utilisé, que l'inverse? Bien belle initiative. Je trouve qu'ils ont pas forcement bien mesuré l'impact sur les plugins (et les entreprises qui ont investies dedans) qui devront maintenant être activés manuellement. L'alternative est de sortir le code metier du plugin et le mettre comme un service standalone sur le PC de l'utilisteur (donc on deplace le problème, les failles seront potentiellement toujours là). Ce service communiquera avec la page grace aux websockets. Les websockets sont quand à eux autorisés à faire du cross-domain.(Elle est belle la sécurité à géometrie variable). (solution utilisé par driver automatique)
Au contraire c'est bien parce qu'ils ont mesuré l'impact qu'il n'ont pas appliqué cette restriction à flash. On ne peux pas dire que la contrainte soit très forte. La fonctionnalité est activable très facilement pour chaque site via une option très visible et il y a possibilité de mémoriser l'action.

Bref le dérangement est minimum.
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 04/03/2014 à 10:26
Firefox bloquera par défaut les plugins dès le mois d'avril,
les développeurs ont jusqu'au 31 mars pour candidater leur application à la liste blanche

En septembre dernier dans la version alpha de son navigateur (du canal de diffusion «Aurora»), Mozilla a initialisé son outil Click-To-Play, une fonction qui avait pour vocation de bloquer les plugins Java pour des raisons de sécurité. Exception faite de Flash, tous les plugins devaient explicitement avoir l’autorisation de l’utilisateur pour pouvoir s’exécuter.

Mozilla a prévenu dans un billet que le blocage par défaut des plugins interviendra avec la version 30 de son navigateur. La Fondation en profite pour s’adresser à la fois aux créateurs de sites web et aux développeurs*; aux premiers elle encourage à désactiver les plugins puisqu’ils n’ont plus vraiment de raison d’être, aux seconds elle leur accorde une vingtaine de jours pour réaliser une demande d’intégration à sa liste blanche afin de ne pas être bloqués par défaut, la date limite étant fixée au 31 mars.

L’entreprise précise que la liste blanche ne sera valide que pendant 30 semaines au total (six semaines en bêta et 24 semaines en version stable). Néanmoins, la première candidature ne permettra d’obtenir sa présence sur la liste blanche que pendant six semaines. Il faudra refaire une autre demande pour obtenir sa présence sur les 24 semaines en version stable.

«Alors que nous pensons que les plugins sont aujourd’hui largement inutiles et dommageables pour l’expérience utilisateur, beaucoup de nos utilisateurs et développeurs comptent encore sur un petit nombre d’entre eux pour des fonctions critiques» reconnaît Mozilla dans sa déclaration de politique de liste blanche pour les plugins. Raison pour laquelle la Fondation reconnaît que «leurs auteurs ont besoin de temps pour ajuster les remplacements basés sur le web» et invite ceux-ci à «postuler à une dérogation de court terme à notre politique de blocage.».

Source : Politique sur la liste blanche , Blog Mozilla

Et vous ?

Qu'en pensez-vous ?
Avatar de kOrt3x kOrt3x - Modérateur https://www.developpez.com
le 04/03/2014 à 12:00
C'est une très bonne chose de bloquer les plugins, surtout Java et Flash qui sont des nids à failles de sécurité.
Avatar de Hellish Hellish - Membre à l'essai https://www.developpez.com
le 04/03/2014 à 12:02
Certes y en a des plugin qui deviennent de plus en plus inutiles comme java et flash et mieux vaut les supprimer pour des raisons de sécurité, mais il y a des plugins dont on ne peut se passer comme AdBlock, Tamper Data, Firebug (bon pour celui ci y a maintenant les outils integrés pour développeur).
Avatar de thor55 thor55 - Membre à l'essai https://www.developpez.com
le 04/03/2014 à 13:37
Certes y en a des plugin qui deviennent de plus en plus inutiles comme java et flash et mieux vaut les supprimer pour des raisons de sécurité, mais il y a des plugins dont on ne peut se passer comme AdBlock, Tamper Data, Firebug (bon pour celui ci y a maintenant les outils integrés pour développeur).
AdBlock, Tamper Data et Firebug sont des extensions pas des plugins.

Moi je trouve que c'est une très bonne chose. De toute façon je n'ai plus ni java ni flash installés depuis quelques mois et il ne reste que très peu de site qui l'exige. Ça ne change presque rien (à part certaines publicités).
Avatar de coolspot coolspot - Membre confirmé https://www.developpez.com
le 04/03/2014 à 14:43
Citation Envoyé par thor55 Voir le message
AdBlock, Tamper Data et Firebug sont des extensions pas des plugins.

Moi je trouve que c'est une très bonne chose. De toute façon je n'ai plus ni java ni flash installés depuis quelques mois et il ne reste que très peu de site qui l'exige. Ça ne change presque rien (à part certaines publicités).
Se passer du plugin Java je veut bien. Mais flash comment tu fait sachant que HTML5 n'est pas encore bien supporté par les site de streaming (a part youtube et dailymotion mais bon c'est pas terrible comme site de streaming vidéo à cause des publicité et de la censure ; rutube est bien mieux dans ce domaine) et ca prive aussi de tous les site de jeux flash et autre.

Après il y a bien Shumway mais c'est pas encore très fonctionnel vu qu'en développement.
Avatar de la.lune la.lune - Membre chevronné https://www.developpez.com
le 04/03/2014 à 16:28
Déjà, Oracle a renforcé la sécurité de son plugin java, avant si l'applet n'est pas signé on nous donnait un message comme quoi cela pourrait causer des dangers et qu'il demandait l'autorisation et on pourrai laisser l'application s’exécuter à notre choix.

Après, le message est devenu un peu rouge avec un autre message que dans le future les application non signé par une entité agréer seront bloqués.

Actuellement ce n'est pas le cas, l'application est carrément bloqué, si les mesures sécuritaire ne sont pas respectées par l'application, il est hors de question de laisser l'application s’exécuter.

Je me demande si c'est la bonne décision car un bon nombre d'application de tp de simulation physique et mathématique parfois tu les trouve non signé, mais ces applications ne représentent aucun danger.
Contacter le responsable de la rubrique Accueil