Mozilla Firefox commencera à bloquer le chargement de ressources à partir des serveurs FTP dans les pages HTTP et HTTPS. Cette mesure de sécurité s'appliquera dès Firefox 61 (qui sera disponible en juin prochain selon les ingénieurs de Mozilla) et les versions ultérieures. Les ressources FTP sont les fichiers chargés via le protocole FTP dans les balises <img>, <script> et <iframe> avec src = « ftp:// ».
Le problème est que FTP est un protocole non sécurisé qui ne supporte pas les techniques de chiffrement modernes et va casser par lui-même de nombreuses autres fonctions de sécurité et de confidentialité du navigateur, telles que HSTS, CSP, XSA ou autres. En outre, de nombreuses campagnes de distribution de logiciels malveillants reposent souvent sur la compromission de serveurs FTP et la redirection ou le téléchargement de logiciels malveillants sur les ordinateurs des utilisateurs via des ressources FTP.
La modification permettra d'accéder aux ressources FTP dans les hyperliens ou lorsque l'adresse d'un serveur FTP est entrée dans la barre d'adresse de Firefox, mais le navigateur ne permettra plus d'invoquer les ressources FTP à l'aide de l'attribut src HTML.
Google a pris une décision similaire avec Chrome 63 sorti en septembre dernier en bloquant le chargement des ressources FTP. Le navigateur a commencé à bloquer le chargement de la ressource FTP, et a également commencé à étiqueter les sites FTP dans la barre d'adresse du navigateur comme « non sécurisés ». Google a déclaré à l'époque que 0,0026 % de tous les liens chargés dans la barre d'adresse du navigateur étaient des liens FTP, un nombre susceptible d'être très similaire sur Firefox.
FTP envoie des données en clair et n'a pas été conçu pour le web moderne. En effet, le protocole a précédé le web de plus de 15 ans. Peu de gens pleureront ou remarqueront la dépréciation de FTP à l'intérieur de Firefox. Le protocole est maintenant si marginalisé que même les services de téléchargement sous Linux ont cessé de l'offrir en option.
Source : Firefox Site Compatibility
Et vous ?
Qu'en pensez-vous de cette mesure de sécurité ?
Firefox : le chargement de ressources FTP dans une page Web ne sera plus autorisé
Le protocole FTP ne supportant pas le chiffrement moderne
Firefox : le chargement de ressources FTP dans une page Web ne sera plus autorisé
Le protocole FTP ne supportant pas le chiffrement moderne
Le , par Blondelle Mélina
Une erreur dans cette actualité ? Signalez-nous-la !