Mozilla a indiqué récemment que sa technologie Click To Play serait bientôt implémentée dans Firefox. Les utilisateurs verront alors un changement important dans les habitudes : à l’exception de la plus récente version de Flash, tous les plug-ins seront désactivés par défaut.
Dans un billet posté il y a deux jours par Mozilla, on apprend que la fonctionnalité Click To Play de l’éditeur sera bientôt prête. En préparation depuis des mois, son objectif est pour le moins radical : empêcher tout simplement les plug-ins de fonctionner jusqu’à ce que l’utilisateur clique pour activer le contenu. Une activation qui sera donc ponctuelle et volontaire.
L’idée est d’en finir avec les problèmes de sécurité provoqués par les plug-ins. Si Java en est actuellement la parfaite incarnation, le souci de la sécurité repose sur deux constats. Premièrement, certains sont souvent sujets à des failles, et de leur correction dépend la sécurité de l’utilisateur. Deuxièmement, les plug-ins jouissent souvent de privilèges élevés dans le navigateur pour pouvoir fonctionner correctement.
Click To Play se propose tout simplement de bloquer l’ensemble des plug-ins quand une page web possède un contenu faisant appel à l’un d’entre eux. Dans le cas d’une vidéo utilisant Silverlight par exemple, un cadre gris foncé apparaîtra et invitera l’utilisateur à cliquer s’il souhaite réellement afficher ce contenu.
La seule exception notable est Flash. Si la dernière version du plug-in d’Adobe est installée, elle sera exécutée par défaut. Ceci bien sûr pour ne pas trop détériorer l’expérience utilisateur, car cette technologie est encore utilisée sur de nombreux sites.
À terme, même les dernières moutures de Java, Reader et Silverlight ne seront plus exécutées par défaut. Pour Flash, l’idée est de rejeter actuellement toutes les versions 10.2 et antérieures. Notez d’ailleurs que dans le cas de Flash, Adobe a mis en place récemment un outil de mise à jour automatique silencieuse.
Attention cependant, car comme le fait remarquer Mozilla, bloquer les plug-ins n’est qu’une partie de la sécurité autour de ces derniers. Si l’utilisateur active un contenu, mais dispose d’une ancienne version vulnérable, le problème ne sera pas réglé. Autrement dit, Mozilla recommande aux utilisateurs de vérifier régulièrement que leurs plug-ins sont à jour dans le panneau dédié des extensions, ou depuis cette adresse spécifique.
Commentaires (80)
#1
Voilà une bonne idée !
M’enfin, si on peut aussi adopter la politique contraire pour Flash, ca évitera d’avoir encore besoin de FlashBlock !
#2
J’espère que le click-to-play sera facilement activable pour Flash même dans sa dernière version !
(oui, oui, y’a déjà l’extension flashblock)
#3
ça va pas être chiant d’activer les contenus un par un ?
#4
pas terrible…..
je suis adepte de quickjava, c’est parfait comme ça. et quand on maitrise bien internet on devrait avoir la possibilité d’avoir un ou des plugins de manière définitive, sans avoir à valider ou non l’activation sur chaque site qui fait appel à un plugin.
pas sur que je fasse la mise à jour de firefox vers cette nouvelle version….
#5
quid de ABP ?
#6
Pourquoi exclure Flash de ce système ? " />
(pour info, un tel système est juste essentiel sur Smartphone / 3G+)
#7
#8
#9
Les sites dépendants de flash sont devenus très très rares. Du moins, ceux que je visite. J’utilise comme beaucoup flashblock (mais pas adblock) pour une question de ressource et de stabilité, et je ne l’active que pour les vidéos. A la place de Firefox, j’aurais activé le click-to-play pour Flash également. Je suis ravi que cette technologie parte petit-à-petit aux oubliettes.
#10
“Mozilla recommande aux utilisateurs de vérifier régulièrement que leurs plug-ins sont à jour dans le panneau dédié des extensions”…
Mais les plug-ins de Firefox ne se mettent ils pas à jour automatiquement ? Je vois pas quel bouton me permet de chercher une MàJ ?
#11
La seule exception notable est Flash.
" /> Pas d’exception !
+1 pour flashblock (et merci aux inpactiens qui me l’ont fait découvrir)
Edit : ya une fonctionnalité de site en liste blanche de prévue ?
#12
#13
#14
#15
Enfin … Parce que ce qu’ils ont fait avec Java était plus que limite : bloquer le plug-in 6 en demandant le passage en 7 alors que le 6 est encore supporté et clairement plus propre en terme de sécurité …" />
Ceci bien sûr pour ne pas trop détériorer l’expérience utilisateur, car cette technologie est encore utilisée sur de nombreux sites.
Arf … l’expérience utilisateur … Ou comment rester en bon termes avec les régies de pubs …
#16
Pas besoin d’attendre plus longtemps. Entrez “about:config” dans votre barre d’adresse, recherchez les termes “plugins.click_to_play” et modifiez la valeur pour “true”.
Et v’là, le blocage est activé (Flash compris).
Par contre, quelqu’un peut me dire en quoi FlashBlock garde des avantages face à cette nouvelle fonctionnalité?
#17
#18
Raaah c’est une hérésie d’imposer ça, on va péter un câble en milieu professionnel. Merci pour les applis web qui tournent en java…
Il y a un moyen de forcer l’activation permanente des plugins? Sinon on va avoir une quantité hallucinante de tickets d’utilisateurs nous disant que rien ne marche…
#19
#20
#21
#22
#23
#24
#25
#26
Pour les trop nombreux plugins qui s’incrustent " />, ce qui serait encore mieux c’est d’avoir à côté du bouton “désactiver” un bouton “désinstaller” ou supprimer” pour les faire disparaitre définitivement.
C’est étonnant que Mozilla n’y pense pas, c’est pourtant déjà le cas pour les extensions.
Pour ma part, en consultant les F.A.C., j’ai réussi à faire disparaitre la plus part des plugins (Windows Media Player Plug-in Dynamic Link Library,Windows Presentation Foundation, Microsoft.NET Framework Assistant, etc, etc . . )
Mais si c’était automatique ce serait top " />.
#27
L’adresse pour controler si vos plugins sont à jour:https://www.mozilla.org/en-GB/plugincheck/
#28
Parle-t-on bien des “plugins” spécifiquement, donc pas des “Extensions” ?
Dans ce cas, Adblock, NoScript, etc…, ne sont donc pas concernés ?
#29
non mais c’est naze ça !
je n’ai pas vu que ce serait désactivable, j’ai déjà ce truc parce que mon java est pas à jour, de toute façon, java est jamais à jour " />" />" />
blague à part, firefox ne marchera plus pour manager un switch HP qui se fait en… JAVA car les frames sont trop petites pour afficher le bouton de chargement, je suis déjà au lieu de prendre ie pour ces switchs à cause de ça… ça va pas s’arranger xD
Chrome?
#30
#31
#32
J’ai arrêté d’utiliser le click to play depuis firefox 18, parce que le pop-up qui apparait prend toujours le focus, et c’est super pénible…
C’est en fait la seule feature que j’attends de firefox, click to play généralisé pour tous les plugins, avec support d’une liste blanche de sites.
Je vois pas la raison de privilégier le flash (qui est vraiment instable sous linux) et de bloquer le plugin google…
#33
#34
#35
#36
A leur place, J’aurais bloqué cette merde de Flash aussi
#37
#38
Heureusement qu’il ne désactivent pas Flash quand même, ne serait-ce que pour Youtube !
Déjà c’est tendancieux de laisser Flash et de désactiver son concurrent Silverlight, pas très équitable…
#39
Caykoi ce favoritisme en faveur de Flash ? Bloquez moi ça !
A lui seul ce truc est responsable de l’utilisation de je ne sais combien de centrales nucléaires,
parce que les développeurs ne savent pas l’utiliser " />" />
#40
#41
Bientôt un plugin pour désactiver Click to Play ? " />
#42
#43
J’aurais préféré que Flash soit bloqué aussi.
#44
#45
#46
#47
#48
#49
#50
#51
#52
#53
#54
#55
Heu personne n’a quoté ce point :
On block par defaut et faut cliquer pour activer le contenu…
Je ne sais pas pour vous mais moi je ne suis pas mme Irma, quand je vais sur un site, le gros bloc gris là sur la page je ne sais pas si il est utile où si c’est une pub/connerie… donc ? ben je vais cliquer pour activer…
On gueule quand Free block les pub par defaut, mais là c’est Firefox donc c’est génial…
" />
#56
#57
Firefox ne supporte pas nativement le H264
#58
#59
#60
Non, mais c’est bien, c’est pas comme si Opera le faisait depuis des années avec un simple bouton à cocher dans les options…
#61
#62
#63
#64
#65
#66
#67
#68
#69
Il y aura surement moyen de désactiver cette option pour ceux qui n’en veulent pas. Au pire un petit tour de le about:config et hop !
#70
#71
#72
#73
#74
#75
Ce n’est pas une mauvaise idée au final,
cela devrait permettre d’éviter quelques soucis de sécurité coté utilisateurs.
Après il est vrai qu’autoriser flash directement au lieu de le ranger dans la même
catégorie que les autres plugins est discutable.
C’est surtout afin certainement d’éviter que les utilisateurs paniqués ( utilisateurs
lambda) ne courent partout en poussant des cris de stupeur en ayant pas accès
aux vidéos sur youtube ou consort.
Bref bonne idée mais peut mieux faire ^^
#76
Mmmouais….en somme, avec FF version 10 (10.0.12 maintenant) et Flashblock que j’ai depuis des années, j’ai tout bon.
Plug in : Foxit Reader, VLC et (hélas) Flash pour YTube, et roule ! Pas besoin d’en avoir 50.
#77
Ca va changer quoi si on clique sur un contenu frauduleux ? Par contre ça permet de révéler la présence d’applet qui étaient invisibles, avec une taille de 1 pixel x 1 pixel…
Allez voir làhttp://www.xmco.fr/actusecu.html le numéro 21 sur le clickjacking et vous verrez que c’est quasiment imparable " />
#78
L’idée est d’en finir avec les problèmes de sécurité provoqués par les plug-ins. Si Java en est actuellement la parfaite incarnation
meuh non meuh non……." />
#79
Mouais, le problème ne change pas, il est toujours entre la chaise et le clavier …
#80