Dans trois versions, Firefox bloquera par défaut tout envoi de position géographique à un site qui ne bénéficierait pas du HTTPS. Un important changement, aligné avec la position actuelle de Mozilla sur la sécurité et une année qui s’annonce très chargée pour le navigateur.
L’année 2017 sera particulièrement importante pour Firefox. Outre une politique de sécurité qui se durcit, comme on a pu le voir encore avec la version 52, le navigateur prépare de très gros changements techniques pour l’arrivée de Quantum, son nouveau moteur de rendu basé en partie sur le projet Servo.
Firefox 53 marquera également l’obligation de passer par l’API WebExtensions pour proposer des modules sur la boutique officielle. Quelques mois plus tard, Firefox 55 enfoncera le clou sur la sécurité. Cette fois, plus question d’autoriser un site HTTP classique à réclamer la position géographique.
Si Firefox ne détecte pas de connexion chiffrée (y compris pour WebSocket), il bloquera purement et simplement cette possibilité. Un moyen d’accroitre encore une fois la pression sur les développeurs ne passant toujours pas au HTTPS. Mozilla s’est appuyé en partie sur sa télémétrie pour prendre sa décision.
L’éditeur indique qu’actuellement, un tel blocage provoquerait des problèmes dans 0,188 % des chargements de page. Sur ce chiffre finalement très faible, 57 % des sites se servent de requêtes getCurrentPosition et 2,48 % de watchPosition. Les utilisateurs de la version Nightly (déjà en branche 55) peuvent activer manuellement la fonction dans about:config en cherchant la ligne geo.security.allowinsecure.
Firefox ne sera pas le premier à bloquer de tels échanges. Chrome le fait depuis bientôt un an, dans les mêmes conditions.
