Firefox 52 active le support de WebAssembly et renforce l'alerte sur les sites non sécurisés

Firefox 52 active le support de WebAssembly et renforce l’alerte sur les sites non sécurisés

Entre autres améliorations

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

08/03/2017 5 minutes
42

Firefox 52 active le support de WebAssembly et renforce l'alerte sur les sites non sécurisés

Firefox 52 est là. Et si l'on devrait surtout parler de la mise en place de WebAssembly ou d'une alerte bien plus visible en cas de connexion à des sites non sécurisés, bien d'autres améliorations intéressantes sont de la partie.

Mozilla vient de diffuser la version 52 de son navigateur Firefox. Celle-ci apporte de nombreuses évolutions attendues, telles que le support de WebAssembly (aka wsam). Pour rappel, il s'agit d'un projet commun à Apple, Google, Microsoft et Mozilla qui ambitionne de créer un format de binaires pour le web (voir notre analyse). 

Firefox premier sur l'implémentation de WebAssembly

Il s'agit aussi de proposer des applications complexes avec de bien meilleures performances, comme dans le cas des jeux, de l'édition multimédia ou autres outils de visualisation de données. De premières démonstrations ont été mises en ligne l'année dernière, désormais on passe à l'implémentation concrète.

Firefox fait donc office de précurseur, puisqu'il faudra encore attendre un peu pour voir cette technologie débarquer dans Chrome, Edge ou encore Safari. Si vous voulez tester WebAssembly, vous pouvez vous rendre par ici pour une scène 3D proposée par Epic ou par là pour essayer un petit jeu exploitant Unity.

Les développeurs peuvent aussi se rendre dans la documentation proposée par Mozilla ou sur le dépôt GitHub du projet.

Une alerte plus visible en cas de connexion sur un site non sécurisé

Comme Chrome, Firefox avait récemment mis en place une alerte dans le cas où un utilisateur venait à se connecter à un site à travers une page non sécurisée. Une pratique qui vise à informer plus clairement les internautes sur les dangers des pages HTTP qui restent encore souvent la norme.

Cela aboutira d'ailleurs à terme à considérer que toute page non HTTPS doit être identifiée spécifiquement. Le cadenas vert des sites sécurisés sera alors complété par un cadenas rouge de plus en plus visible.

Pour le moment, les navigateurs ont surtout décidé de s'attaquer à la phase de connexion, qui pose le plus de problèmes. En effet, à chaque fois que vous vous connectez via un site en HTTP, votre mot de passe lui est envoyé en clair. Ainsi, n'importe qui sur votre réseau est susceptible de pouvoir l'intercepter. Un problème décuplé lorsqu'un utilisateur se trouve par exemple sur un Wi-Fi public.

Jusqu'à maintenant, Firefox affichait donc un cadenas barré lorsque vous vous trouviez sur une page n'utilisant pas SSL/TLS contenant un champ de mot de passe. En cliquant dessus vous aviez un message d'information vous expliquant la raison de cette mention. Désormais, ce message sera affiché directement au sein du formulaire :

Sites non HTTP Firefox 52Sites non HTTP Firefox 52Sites non HTTP Firefox 52
Le Figaro / La Fnac / myCanal

Autant dire que cela va faire bizarre à de nombreux éditeurs de sites, puisque rares sont encore ceux qui ont fait l'effort de passer au tout HTTPS ou encore de proposer au moins une connexion à travers un sous-domaine sécurisé. Le renforcement de cette alerte dans Firefox, puis sans doute dans Chrome, devrait sans doute accélérer les choses.

Cookies sécurisés stricts, SHA-1 et partage d'écran WebRTC

Dans le même temps, on apprend que les cookies sécurisés sont désormais gérés de manière stricte. Ainsi, un site HTTP ne pourra plus gérer un cookie ayant le même nom qu'un cookie sécurisé depuis le même domaine. Si un certificat utilise SHA-1, une alerte sera aussi levée (voir notre analyse).

Enfin, la gestion du partage d'écran WebRTC a été assouplie, une liste des éléments pouvant être partagés étant désormais accompagnée d'une preview afin d'éviter toute fausse manipulation. Notez au passage que Google Hangouts ne fonctionnera pas, le problème étant en cours de résolution.

Firefox 52 WebRTC PreviewFirefox 52 WebRTC Preview

CSS Grid, await, support NPAPI, portails Wi-Fi captifs et versions mobiles

L'équipe de Mozilla indique avoir amélioré la gestion des portails Wi-Fi captifs avec une alerte affichée à l'utilisateur l'invitant à se connecter lorsque cela est nécessaire, mais aussi la synchronisation en permettant aux utilisateurs d'envoyer et d'ouvrir des onglets entre différentes machines.

Elle a aussi implémenté plusieurs améliorations pour les développeurs. Il est notamment question des grilles CSS (CSS Grid) et du Grid Inspector, d'un outil plus performant pour l'analyse du responsive design, ou les fonctions asynchrones d'ECMAScript 2017 (async) et l'opérateur await. Vous trouverez plus de détails dans ce billet de Mozilla Hacks.

Le support des Netscape Plugin API (NPAPI) plugins autres que Flash a été retiré. Ainsi, Silverlight, Java, les outils Acrobat et autres ne sont plus supportés. Il en est de même pour Battery Status API, comme nous l'avions déjà évoqué. Et ce, notamment pour des raisons de sécurité.

Du côté des versions mobiles, on apprend que l'APK sous Android a été allégé d'au moins 5 Mo, et que les cookies sécurisés ont aussi été implémentés de manière stricte. Une barre de notification permettant de gérer la mise en pause des contenus multimédias est aussi intégrée. La version iOS, elle, n'a pas été mise à jour depuis le 17 février dernier.

Comme toujours vous pouvez mettre à jour Firefox sur votre ordinateur en vous rendant dans l'aide du navigateur (menu hamburger > point d'interrogation) puis dans À propos de Firefox. Vous pouvez aussi télécharger directement la dernière version :

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Firefox premier sur l'implémentation de WebAssembly

Une alerte plus visible en cas de connexion sur un site non sécurisé

Cookies sécurisés stricts, SHA-1 et partage d'écran WebRTC

CSS Grid, await, support NPAPI, portails Wi-Fi captifs et versions mobiles

Commentaires (42)


Que de nouveautés ! Un changelog qui fait plaisir !<img data-src=" />


Enfin, les CSS Grid arrivent !!! <img data-src=" />


Désormais, ce message sera affiché directement au sein du formulaire

Ce nouveau système me casse les pieds depuis les bétas sous Linux.



Avant, on n’avait pas à cliquer pour dire “OUI JE SIGNE AVEC MON SANG QUE LA METHODE DE CONNEXION DU SITE EST PAS BIEN ET QUE J’AIME CA”, le login était renseigné on cliquait sur connexion et basta , il ne fallait pas faire 2 clics mais un seul pour se connecter !

Sur toutes les fois qu’on doit se connecter par jour, on perd un temps fou !



Qui sait déjà comment désactiver cette innovation qui fait perdre systématiquement, à chaque page de connexion : 1 clic de souris ?



Pitié, à vot’ bon coeur M’ssieurs dames.


Mouais, avec tous les gens qui ne migrent pas sous Windows 10, on ne pourra pas les utiliser avant combien d’année <img data-src=" /> :ie6style:




Ainsi, Silverlight, Java, les outils Acrobat et autres ne sont plus supportés.



Et comme d’habitude les plateformes de dématérialisation de réponses aux appels d’offres publiques sont à la ramasse, la plupart utilisent encore le plugin Java donc il nous faut refuser l’update de Firefox ou utiliser IE9 (pratique quand on a Win10)… <img data-src=" />








luxian a écrit :



Qui sait déjà comment désactiver cette innovation qui fait perdre systématiquement, à chaque page de connexion : 1 clic de souris ?&nbsp;





<img data-src=" />&nbsp;Remplir des formulaires sécurisés



Regarde du côté de la valeur security.insecure_password.ui.enabled dans about:config <img data-src=" />



Sinon il y a aussi security.insecure_field_warning.contextual.enabled mais je ne sais pas ce que ça concerne…


L’Epic garden de la démo est magnifique <img data-src=" />



Mais ça lagouille un peu quand même (ça m’a même fait planter… VLC <img data-src=" />)


Sinon tu as Firefox ESR …


J’ai firefox 52, et pourtant la démo epic garden m’indique que mon navigateur ne supporte pas webgl 2 et m’indique d’utiliser firefox 52. Une idée d’où provient cette erreur ?



La démo unity webgl fonctionne bien par contre.








luxian a écrit :



Désormais, ce message sera affiché directement au sein du formulaire

Ce nouveau système me casse les pieds depuis les bétas sous Linux.





C’est vrai que c’est insupportable ce truc. Tous les serveurs qui sont sur le réseau local ne sont pas en https et qui ne le seront jamais (y compris celui qui est sur MA machine) et sur lesquels je dois me connecter 50 fois par jour m’obligent maintenant à taper un login+mdp à chaque fois.









Dantus a écrit :



J’ai firefox 52, et pourtant la démo epic garden m’indique que mon navigateur ne supporte pas webgl 2 et m’indique d’utiliser firefox 52. Une idée d’où provient cette erreur ?



La démo unity webgl fonctionne bien par contre.





Chez moi non plus ca marche pas, la démo : InvalidStateError



Exactement. Ce serait peut-être bien d’en toucher un mot dans l’article ?


et ben tu le désactive, c’est par défaut pour les Michus.








Vekin a écrit :



Regarde du côté de la valeur security.insecure_password.ui.enabled dans about:config <img data-src=" />




Sinon il y a aussi security.insecure\_field\_warning.contextual.enabled mais je ne sais pas ce que ça concerne...







Je confirme que c’est security.insecure_field_warning.contextual.enabled qu’il faut désactiver.&nbsp;Merci <img data-src=" /> <img data-src=" />



Change de sites








darkweizer a écrit :



Je confirme que c’est security.insecure_field_warning.contextual.enabled qu’il faut désactiver





Reste à voir si Mozilla ne bloquera pas la possibilité de toucher à ça à l’avenir (au moins dans les versions stables, comme ils font avec les extensions non signées, qui demandent une version de dev)



Merci pour ton retour, c’est bon à savoir. Du coup la première valeur n’agit pas là-dessus ?


Truc sympa que je viens de remarquer : désormais, quand un onglet plante, les autres ne plantent pas (dans la v51 ils passaient aussi à l’état planté).

Ca fait du bien, surtout sur NextINpact, où de nombreux articles font planter mes onglets (mais ça semble aléatoire, un F5 et ça remarche).


Les onglets restaurés mais non chargés n’ont plus leur favicon, c’est fâcheux, c’est devenu uniforme donc illisible…








Vekin a écrit :



Merci pour ton retour, c’est bon à savoir. Du coup la première valeur n’agit pas là-dessus ?





Non ! J’ai commencé par elle, rien. Et je l’ai réactivé ensuite et la seconde clé suffit à elle seule ! =)









CryoGen a écrit :



Mouais, avec tous les gens qui ne migrent pas sous Windows 10, on ne pourra pas les utiliser avant combien d’année <img data-src=" /> :ie6style:







Les Flexbox on peut tout juste les utiliser. Je sais très bien, mais on peut déjà commencer à regarder, histoire de prendre de l’avance. Après on se retrouve avec des gens qui font du CSS comme il y a 10 ans… C’est juste horrible.



security.insecure_field_warning.contextual.enabled



Chez moi, ça donne le login “ A sélectionner” juste en dessous de la case de login.

Ca ne renseigne pas le login DANS la case … comme avant.



Du coup, on est obligé de cliquer quand même sur le login pour que la case soit remplie :(



En fait, ça ne fait que désactiver le message d’erreur … c’est déjà une avancée, mais pas complete. merci quand même :)





edit : pas tous les sites web en fait ???? ! certains ont un comportement normal.


Au fait … la première, elle sert à … ça <img data-src=" />



https://www.nextinpact.com/news/98292-connexion-aux-sites-sans-https-alerte-acti… <img data-src=" />


C’est loin d’être idiot en fait, ça va forcer les sysadmins à faire du boulot correct.


Le message de login non-sécurisé est important car bcp de sites en HTTP servent le formulaire de login dans un iframe en HTTPS mais même ça, ça peut être intercepté et donc non sécurisé.


Pour réactiver le remplissage automatique d’un login sur un site non sécurisé, d’après mes tests, il faut passer signon.autofillForms.http à true.



La valeur security.insecure_field_warning.contextual.enabled sert à désactiver le warning.

Changer la valeur security.insecure_password.ui.enabled n’a pas d’effet chez moi.



Quand on a un paquet de sites en local qui n’ont pas de HTTPS, c’est quand même super utile que le login/pwd soit directement rempli sans avoir à faire deux clics supplémentaires.


Essaie simplement de passer signon.autofillForms.http à true.


SI je ne m’abuse ca doit être à cause d’Electrolys le coup de l’onglet, donc depuis quelques versions de FF <img data-src=" />


Je n’ai pas vos problèmes, l’identifiant si enregistré sur firefox sync, s’affiche quand même

https://image.noelshack.com/fichiers/2017/10/1488987439-sans-titre.jpg








zefling a écrit :



Enfin, les CSS Grid arrivent !!! <img data-src=" />





Laissons passer une génération pour que les bugs soient corrigé. Ensuite une autre le temps que leur navigateurs soient mise à jour chez la majorité des gens…



Mais oui, peut-être que le prochain Noël, on pourra enfin faire des interfaces graphiques en HTML/CSS sans s’arracher les cheveux !









RaoulC a écrit :



SI je ne m’abuse ca doit être à cause d’Electrolys le coup de l’onglet, donc depuis quelques versions de FF <img data-src=" />





Perso j’ai encore plusieurs extensions non compatible Electrolys (gestion d’image, de glisser-déplacer,…) et qui n’ont pas de remplaçant compatible. Du coup c’est cassé chez moi (et avec la 51 j’ai eu mon premier écran bleu depuis 1 an, en navigant sur YouTube :p).



C’est quand même dommage qu’ils n’arrivent pas à faire une surcouche de compatibilité (quitte à perdre en perf) ou à prendre en main les choses (et à aider la communauté sur les extensions non supportés).



Merci l’ami :)

<img data-src=" />


Non mais justement, avec FFox 51 + e10s, un onglet planté faisant planter les autres (mais pas Firefox en lui-même) ;)








luxian a écrit :



Désormais, ce message sera affiché directement au sein du formulaire

Ce nouveau système me casse les pieds depuis les bétas sous Linux.



Avant, on n’avait pas à cliquer pour dire “OUI JE SIGNE AVEC MON SANG QUE LA METHODE DE CONNEXION DU SITE EST PAS BIEN ET QUE J’AIME CA”, le login était renseigné on cliquait sur connexion et basta , il ne fallait pas faire 2 clics mais un seul pour se connecter !

Sur toutes les fois qu’on doit se connecter par jour, on perd un temps fou !



Qui sait déjà comment désactiver cette innovation qui fait perdre systématiquement, à chaque page de connexion : 1 clic de souris ?



Pitié, à vot’ bon coeur M’ssieurs dames.







C’est bien résumé <img data-src=" />



Quasiment, il faudrait un master switch “mode grand public” (qui ne soit pas planqué) et qui permettrait de rendre tous les avertissements de ce genre un peu plus “léger”.









kvasir a écrit :



C’est vrai que c’est insupportable ce truc. Tous les serveurs qui sont sur le réseau local ne sont pas en https et qui ne le seront jamais (y compris celui qui est sur MA machine) et sur lesquels je dois me connecter 50 fois par jour m’obligent maintenant à taper un login+mdp à chaque fois.







En localhost (même dernier un host) je n’ai pas plus de clic.









Dantus a écrit :



J’ai firefox 52, et pourtant la démo epic garden m’indique que mon navigateur ne supporte pas webgl 2 et m’indique d’utiliser firefox 52. Une idée d’où provient cette erreur ?



La démo unity webgl fonctionne bien par contre.





Parce que WebGL 2 nécessite que ta carte graphique supporte OpenGL ES 3.0, ce qui n’est sans doute pas ton cas.

&nbsp;&nbsp;

https://wiki.mozilla.org/Platform/GFX/WebGL2#Requirements



T’inquiètes, j’ai les mêmes en pire (agents préfecture en particulier). Donc je sais de quoi je parle.


Ca m’a l’air d’être ça en effet, j’ai une vieille carte vidéo.


Perso j’ai Firefox qui prend plus de ressource qu’avant &nbsp;:-(