Dans trois versions, Firefox bloquera par défaut tout envoi de position géographique à un site qui ne bénéficierait pas du HTTPS. Un important changement, aligné avec la position actuelle de Mozilla sur la sécurité et une année qui s’annonce très chargée pour le navigateur.
L’année 2017 sera particulièrement importante pour Firefox. Outre une politique de sécurité qui se durcit, comme on a pu le voir encore avec la version 52, le navigateur prépare de très gros changements techniques pour l’arrivée de Quantum, son nouveau moteur de rendu basé en partie sur le projet Servo.
Firefox 53 marquera également l’obligation de passer par l’API WebExtensions pour proposer des modules sur la boutique officielle. Quelques mois plus tard, Firefox 55 enfoncera le clou sur la sécurité. Cette fois, plus question d’autoriser un site HTTP classique à réclamer la position géographique.
Si Firefox ne détecte pas de connexion chiffrée (y compris pour WebSocket), il bloquera purement et simplement cette possibilité. Un moyen d’accroitre encore une fois la pression sur les développeurs ne passant toujours pas au HTTPS. Mozilla s’est appuyé en partie sur sa télémétrie pour prendre sa décision.
L’éditeur indique qu’actuellement, un tel blocage provoquerait des problèmes dans 0,188 % des chargements de page. Sur ce chiffre finalement très faible, 57 % des sites se servent de requêtes getCurrentPosition et 2,48 % de watchPosition. Les utilisateurs de la version Nightly (déjà en branche 55) peuvent activer manuellement la fonction dans about:config en cherchant la ligne geo.security.allowinsecure.
Firefox ne sera pas le premier à bloquer de tels échanges. Chrome le fait depuis bientôt un an, dans les mêmes conditions.
Commentaires (99)
#1
Si on bloque la géolocalisation dans Windows 10, ça le fait pas déjà ?
#2
Devraient mettre une option pour la bloquer partout
" />
#3
On l’autorise comment?
#RasLeBolDeLAssistanatDeFirefox
#4
Comment Firefox géolocalise sur un PC fixe ?
#5
https://fr.wikipedia.org/wiki/Traceroute
T’as jamais été intrigué par des “Coucou, j’habite à $BLED_A_COTE_DE_CHEZ_TOI, et moi aussi j’ai très envie de faire l’amour” ?
#6
Faudrait pouvoir bloquer cette infamie partout
#7
Non.
J’ai cherché après ma question.
https://www.mozilla.org/fr/firefox/geolocation/
En fait, sur une ligne fixe sans Wi-Fi activé, cela s’appuie uniquement sur l’adresse IP, donc très peu précis dans certains cas, en particulier chez Orange.
Et http ou https, l’adresse IP circule en clair. C’est pour cela que je m’interrogeais sur l’intérêt du bridage.
Edit : j’ai répondu avant l’édit, donc juste au lien sur le traceroute.
#8
oui…exactement !
#9
Le problème c’est que toutes ces modifications se répercutent sur la version Developper de Firefox… Et clairement c’est casse cou*lles tous leurs blocages à la con pour “la sécurité”.
" />
Quand on bosse en développement, les 3⁄4 de nos tests sont en local, et pas de https ni quoi que ce soit de top moumoute, et à chaque fois c’est une perte de temps à contourner ça…
#10
dans firefox
about:config tu tapes geo tu trouves des choses intéressantes
sourcehttps://www.mozilla.org/fr/firefox/geolocation/
Quand vous visiterez un site web utilisant la géolocalisation,
Firefox vous demandera si vous voulez partager votre localisation. Si vous êtes d’accord, Firefox rassemblera les informations sur les points d’accès sans fil alentour et l’adresse IP de votre ordinateur. Alors, Firefox enverra ces informations au fournisseur de service de géolocalisation par défaut, Google Location Services, pour faire une estimation de votre localisation. Cette estimation de localisation est alors partagée avec le site web qui l’a demandée.
#11
Surement des personnes n’utilisant pas ublock origin,disconnect et compagnie ^^
#12
Pourquoi avoir répondu ceci à ma question sur le comment ils font ?
#13
#14
Bien. Mais je suppose que gogol maps c’est indépendant de ce système pour trouver mon commerce sur mon site ?
#15
Et comme je l’ai expliqué plus loin, ça n’est pas forcément une donnée en relation avec la géographie. (Je l’ai dit différemment)
Par contre avec Wi-Fi activé, ça devient bien plus intrusif et précis.
#16
Normalement, si.
#17
#18
#19
Haha
" />. Justre comme ça, bien que non parisien, j’habite à Paris pour ces systèmes ^-^.
#20
#21
geo:enabled à false ?
" />
Clair que la plupart des sites qui t’interpellent direct pour géoloc + notifications + cookies, envie de les cramer direct.
Après si ça survient suite à une action de ma part (trouver le magasin le plus proche, calcul d’un trajet), là c’est ok
#22
#23
#24
Faut-il encore avoir confiance aux sites en HTTPS de garder notre géolocalisation (il n’y a pas qu’un seul cookie sur ces sites)
Je veux qu’il y a d’autres données que de la géolocalisation
#25
on est en 2017 et tout les appareils nomades & pc fixe sont géolocalisables, alors ne faites pas comme si vous étiez surpris de le découvrir.
#26
#27
Firefox demande dans tous les cas la confirmation de l’utilisateur via un popup pour autoriser la géolocalisation demandée par le site (cf. https://www.mozilla.org/fr/firefox/geolocation).
#28
A ce propos, l’extension Profil Spoofing permet de se protéger de la detection OS/Navigateur/langue.
Mais connaissez-vs une extension, un truc pour se protéger de la détection de la résolution d’écran et celle du nombres de cores?
Rappel, la fonction javascript “logicalProcessors = window.navigator.hardwareConcurrency” est active depuis la version 48
#29
Non, un PCfixe sans Wi-Fi activé (donc relié par Ethernet) n’est pas forcément géo-localisable. Cela dépend fortement du fournisseur d’accès.
Pour un appareil nomade, par contre, je suis d’accord.
#30
about:config -> geo.enabled -> false (cf. https://www.mozilla.org/fr/firefox/geolocation ) en attendant peut être une option plus userfriendly.
#31
#32
#33
Firefox 53 marquera également l’obligation de passer par l’API WebExtensions pour proposer des modules sur la boutique officielle.
J’ai vu hier sur Twitter (j’ai plus le lien) qu’un fork de Firefox était lancé avec l’ancien système de modules.
Un moyen d’accroitre encore une fois la pression sur les développeurs ne passant toujours pas au HTTPS.
Encore une fois, ce n’est pas le développeur qui décide de passer au HTTPS…
#34
#35
Random Agent Spoofer fait déjà le “screen size spoofing” (cf. https://github.com/dillbyrne/random-agent-spoofer/wiki/Options-Tab-Usage).
Concernant le logicalProcessors, je ne sais pas.
#36
Arrête de triquiter.
" />
#37
#38
#39
je me fous que ça soit faisable, j’aime pas être harcelé de questions
" /> qu’ils me disent où je suis, rien à faire 
" />
#40
#41
#42
#43
Pose toi plutôt la question inverse: quel est l’intéret pour un site web de connaitre le nbre de coeurs que possède l’ordinateur/téléphone portable de leurs lecteurs?
#44
Pas besoin de 2 heures, cela permet avec d’autres éléments disponibles d’établir une signature très précise de ton navigateur et de te traquer même si tu évites les coockies.
#45
Quand j’installe Linux Mint. je me localise sur Paris, parce que choisir Bruxelles, ce n’est pas la joie et ça m’évite un peu la surcharge de messages publicitaires néerlandais
" />
" /> (quoique pour Youtube c’est 50⁄100)
" />
#46
#47
#48
#49
et dire qu’il y-en-a, tjs.qui laisse abuser par ce genre d’annonce TRES alléchante !
" />
les Publicistes misent, tout, sur dicton qui dit :
“tt. les matins y-a un c…. qui se lève”…………….bonne journée, pour eux !!!
#50
Va (re-)lire cet article de NXI pour plus d’infos.
Le tracking est essentiellement commercial.
#51
#52
#53
“Firefox 55 bloquera la géolocalisation pour les sites sans HTTPS”
Cool mais ça sert à quoi ? TLS est un moyen de chiffrement d’une connexion, ce n’est pas une solution pour certifier la déontologie ou la sécurité globale d’un site.
Il existe déjà des sites de phishing qui utilisent let’s encrypt pour avoir un cadenas vert gratos, ça va changer quoi quand ils feront tous ça ?
#54
#55
#56
#57
#58
#59
#60
#61
#62
Merci
" />
#63
Là où la résolution d’écran (plus exactement la taille de la fenetre du navigateur) est utilisée pour t’identifier, c’est par les régies publicitaires qui utilisent le fingerprinting, pour traquer tes habitudes de surf pour orienter les pubs montrées (voire plus, on n’en sait rien…)
Cette pratique, même si c’est moins précis, ca survit aux interdiction de cookies. Ca aide surtout a repérer discrètement ceux qui ont des configs “non standard” (exemple : barre de tâche sur le coté + navigateur maximisé ? t’es repéré et retracable dans la foule !)
Ca n’a par contre rien a voir avec la géolocalisation.
On ne parle même pas de l’historique d’achat ou du lien avec un compte mail, même si ca peut les aider a préciser encore plus via croisements.
#64
#65
#66
C’est sûr que c’est pas une recherche Google qui permet d’avoir des infos sur une adresse IP, mais sur un site tel que celui-là, pas de souci pour avoir quelques infos ;)
#67
Merde le proxy laisse pas passer html5demo, par contre le message du proxy:
" />
“Parked Domain
Sites that are expired, offered for sale, or known to display targeted links, advertisements.”
#68
Me suis toujours demandé pourquoi ces informations là étaient accessibles en fait, nul besoin de connaitre la résolution écran, plein écran ou fenêtré etc.
#69
#70
#71
#72
Merci pour le tuyau du geo.enabled
Se voir systématiquement demander l’autorisation pour notre géolocalisation alors que non seulement ça ne regarde personne, mais elle me situe en plus à Roubaix alors que je me trouve en pleine cambrousse auvergnate, était des plus horripilant.
#73
#74
#75
#76
Ça t’empêche de dormir qu’on s’efforce de diffuser le moins d’informations possible?
" />
#77
#78
En navigation privée les extensions sont désactivée :p
#79
C’est une référence à une vidéo.
Ce que je voulais dire par là, c’est que je n’ai pas aimé la façon dont tu as répondu au message. C’est si compliqué que ça de poser une question gentiment ?
#80
Merci, c’est mon dernier mot Jean Pierre.
" />
#81
20minutes, le parisien, le figaro…
" />
" />
En plus ils utilisent généralement adobe flash
#82
Existe-t-il un addon pour Firefox qui permette de falsifier ce que renvoie ces 2 méthodes HTML5 getCurrentPosition et watchPosition ? Du genre falsifier en random, pas juste programmer statiquement un autre pays de son choix. Renvoyer à chaque requête un nouveau nombre totalement aléatoire..
#83
#84
#85
#86
#87
#88
En quoi ? C’est pas le boulot du navigateur de faire ça ?
Le serveur n’a pas besoin de savoir qu’elle est la résolution affichée, le plein écran etc. Tout ce qu’il a besoin de savoir c’est si c’est un “desktop” ou un “mobile”, basta.
#89
#90
#91
#92
Pour le développement oui c’est nécessaire de savoir la résolution de l’écran qui affiche la page web.
Ça permet d’adapter les éléments de la page pour améliorer la clarté et la lecture. En particulier sur les applications Web ou quand tu as un énorme tableaux tu est content de pouvoir l’adapter.
Tu n’as peut-être pas remarquer mais grâce à ça le scroll horizontal sur les sites à quasi disparu
#93
Je sais que sur les Gsm, sans le GPS, Google est capable de retrouver une position approximative en croisant la liste des réseaux wifi captés par ton appareil (+ la force du signal) avec les données recueillies par les Google cars. Je ne sais pas si cette opération est reprise dans les navigateurs desktop, mais ce ne serait pas étonnant.
#94
Effectivement en croisant la liste des bornes WiFi on peut avoir une idée approximative, cependant pour cela il faut que tu sois connecté en WiFi (et pas en GSM seulement).
Et dans l’hypothèse de Fred42, il faudrait aussi que ton fixe connaisse la liste des bornes WiFi et que Firefox y ait accès.
#95
Merci. C’est fait :-)
#96
Je peux me tromper, mais je ne vois pas pourquoi la liste des Wifis ne pourrait pas passer par la 3G pour interroger Google, avec le wifi activé et non connecté… (toujours en parlant de Gsm)
Et suivant le backend utilisé, ca peut être les antennes GSM ou autre… (lien venant de F-Droid)
https://github.com/microg/android_packages_apps_UnifiedNlp#usage
A coté de cela, je serais curieux de savoir quels navigateurs de bureau incluraient la même mécanique. (et donc accèderaient à la liste des Wifis en cas de simple présence matérielle d’antenne)…
#97
Ya pas une option dzns le about:config poir desactiver la geoloc partout?
Ca serait étonnant.
Certes c’est pas userfriendly mais la majorité vont gueuler apres car ils sauront pas la réactiver si ils l’a veulent un jour.
#98
#99
C’est déjà le cas. Firefox demande l’autorisation par un petit pop-up, exactement comme pour le micro/caméra ;)