Firefox 109 est là, et avec lui le support du Manifest V3 pour les extensions. Face à ce changement conséquent dans les capacités offertes à ces dernières, Mozilla a choisi une approche hybride. Ce, alors que Google a repoussé l’implémentation dans Chrome.
Firefox ne fait pas souvent l’objet d’une actualité, du moins plus depuis des années. La dernière « grande époque » date d’une période de travaux de modernisation interne, en intégrant notamment les progrès réalisés dans le cadre du projet Servo. Depuis que les objectifs ont été remplis, on peut dire que le navigateur vit sa petite vie pas si tranquille, car sa part de marché mondiale est passée sous la barre des 5 %.
La politique de Mozilla, quant à elle, n’a pour ainsi dire pas changé. Les avancées sont considérées avec un œil critique. Ce fut le cas du Manifest V3, sur lequel nous allons revenir. Cette fois pourtant, Firefox se retrouve le premier navigateur à prendre officiellement en charge cette « norme », puisque même son auteur, Google, ne l’a pas intégrée dans son omniprésent Chrome. Pourquoi ? Justement parce que la situation est complexe et la levée de boucliers réelle.
Qu’est-ce que le Manifest V3 ?
Le Manifest est le cadre fourni par Chrome aux extensions. Il définit ce qu’elles peuvent faire et donc leurs droits. Ce cadre est primordial puisqu’il définit les capacités des extensions. Ainsi, l’actuelle V2 leur permet de devenir pratiquement des applications, avec des possibilités étendues, de l’action sur la page visitée à la synchronisation des données.
C’est cette permissivité qui – officiellement – a engendré chez Google certaines réflexions. Sur la sécurité notamment : les extensions ont parfois trop de pouvoir, et il peut être difficile de détecter les malveillantes, ou celles qui outrepassent dangereusement leurs prérogatives. Ce danger a été combattu de diverses manières, dont des contrôles plus stricts sur les boutiques. Y compris chez Mozilla d’ailleurs, l’entreprise apposant un sceau qualitatif sur certaines extensions pour les marquer de sa confiance.
Si le Manifest est aussi important, c’est qu’il a été adopté par presque tous les éditeurs de navigateurs, pour des questions de simplicité et par effet de marché. Tous les développeurs se sont en effet tournés vers Chrome, et il fut plus facile au bout d’un moment pour Firefox de se rendre compatible avec le Manifest que leur demander de faire le travail deux fois. C’est la même problématique qui a enterré la plateforme Windows Phone chez Microsoft.
Dans le collimateur de Google, l’API Web Request, qui examine les données circulant entre un site et le navigateur. Elle est très utilisée par les bloqueurs de publicités, et plus généralement de contenus. Elle peut aussi introduire du contenu.
Pour ces raisons, Google la juge dangereuse et l’a ainsi écartée de la V3, pour la remplacer par une autre interface de programmation, Declarative Net Request. Celle-ci ne permet plus d’analyser tout le trafic échangé entre site et navigateur. Les développeurs d’extensions sont obligés de déclarer à l’avance comment chaque type de données sera traité, sous peine de voir l’extension refusée sur le tout-puissant Chrome Web Store.
Une sécurité encore meilleure quand elle ne bloque pas les publicités
Cette décision de Google a été grandement critiquée. La position a été jugée ambivalente, car Google a de plus vastes intérêts dans cette histoire que la seule sécurité. Le fait que Web Request soit pleinement utilisée par les bloqueurs de publicités n’a pu passer inaperçu dans une entreprise qui réalise 90 % de son chiffre d’affaires par la publicité. Il n’y a là aucun secret : Google s’est plaint de ces extensions et autres mécanismes dans des documents remis à la SEC (Securities and Exchange Commission) en 2021.
Des intérêts contraires que nous avions soulignés en juin 2022, après une vague de critiques, dont celles acerbes de l’Electronic Frontier Foundation. Daly Barnett, notamment, résumait ainsi la situation : « Manifest V3 […] réduira les capacités des extensions web, tout particulièrement celles conçues pour surveiller, modifier et calculer en parallèle de la conversation que votre navigateur entretient avec le site que vous visitez. Avec ces nouvelles spécifications, de telles extensions – comme certains bloqueurs protecteurs de vie privée – auront des capacités largement réduites ».
Le mois précédent, Mozilla avait donné son avis : elle allait adopter le Manifest V3, mais à sa sauce.
Firefox 109, premier sur le Manifest V3
Le navigateur est donc là, avec son support du Manifest V3. Cette arrivée est d’autant plus intéressante que Google a repoussé sa propre implémentation dans Chrome, alors qu’elle devait arriver ce mois. Dans une annonce faite le 8 décembre, l’entreprise ne donne même pas de nouvelle date, ce qui augmente encore l’intérêt de Firefox 109.
L’adoption de la V3 s’est faite en effet aux conditions de Mozilla. En clair, la V3 de Firefox peut fonctionner comme la V3 telle qu’elle sera présente dans Chrome, avec une exception, de taille : l’API Web Request est encore présente. On peut parler de V3 hybride.
Que signifie cette adoption en pratique ? Pour les personnes sur Firefox, rien pour l’instant. L’installation de la version 109 ne change rien au fonctionnement des extensions. Le seul changement visible est l’apparition d’un nouveau bouton à droite de la barre d’adresse, avec une icône désormais courante de pièce de puzzle. À noter que l’on ne peut pas masquer ce bouton, en tout cas pour l’instant.
Mozilla, bien sûr, tient beaucoup à ce que l’arrivée du Manifest V3 ne change rien pour les développeurs, au moins dans un premier temps. Et pour cause : si Google va jusqu’au bout de son idée, toutes les extensions de blocage de contenus auront des capacités moindres, ce qui pourrait pousser les développeurs vers des cieux plus cléments. Par exemple Firefox.
Le navigateur, déjà auréolé d’une certaine image de protecteur de la vie privée, a une carte de plus à jouer dans ce domaine, grâce à Google. « Venez chez nous, tous vos bloqueurs de publicités continueront d’y fonctionner normalement », pourrait placarder l’entreprise sur son site. Il est probable que Google ait senti le danger, expliquant le report du MV3 dans Chrome.
Les extensions MV3 sont acceptées sur addons.mozilla.org depuis novembre dernier. Les développeurs ont le choix : proposer des extensions en pur MV2, en pur MV3 ou en ciblant le MV3 hybride de Firefox, donc avec Web Request. Ce n’est d’ailleurs pas tout à fait la même différence puisque les extensions utilisant les Event Pages pour les scripts en arrière-plan pourront continuer à le faire, alors que le MV3 oblige à les abandonner au profit des Service Workers, plus performants mais avec moins de droits.
À noter que le Manifest V2 reste pour l’instant actif dans Firefox, alors que Google comptait initialement l’abandonner en mars. Avec le report du MV3 dans Chrome, il est possible que cette date glisse également. Mozilla se penchera à nouveau sur la situation du MV3 à la fin de l’année.
Le reste des nouveautés
Firefox 109 contient d’autres apports, dont le sélecteur natif de dates en HTML, maintenant pilotable entièrement au clavier si besoin. Le changement permet dans la foulée de le rendre compatible avec les lecteurs d’écran pour les personnes en situation de handicap.
On note par ailleurs une protection spécifique contre l’exploit Arbitrary Code Guard pendant la lecture de médias sous Windows, l’arrivée de l’espagnol (Espagne et Argentine) dans le correcteur orthographique, la possibilité de fermer ou supprimer des liens dans la liste des pages récemment fermées de Firefox View, ou encore le changement de comportement du raccourci Ctrl/Cmd + roulettes ou touchpad sur macOS, qui fait désormais défiler la page plutôt que changer le niveau de zoom, comme les autres navigateurs sur Mac.
Comme d’habitude, plusieurs ajouts sont destinés aux développeurs, notamment le support par la propriété CSS content-Visibility de la valeur auto, le support des valeurs Mark, MarkText et ButtonBorder par le type de données system-color, ou encore l’activation par défaut de l’évènement scrollend.
