IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Firefox 13 capture trop d'écrans pour sa page de démarrage

Le , par Gordon Fowler

5PARTAGES

1  0 
Grosse gaffe dans Firefox 13. La version la plus récente du navigateur sortie au début du mois enregistre en effet tous les sites visités par l’utilisateur, avec capture d’écran à l'appui, pour personnaliser sa page d’accueil. Problème, dans « tous », il y a également les sites sécurisés en HTTPS.

Dans sa nouvelle page – proposé par défaut à l’ouverture d’un nouvel onglet – Firefox 13 affiche des miniatures des sites pour rendre le surf plus rapide et plus pratique.

Mais ces miniatures, des captures d’écrans donc stockées par le navigateur donc, représentent également les informations sécurisées - et pas simplement la page d’indentification d’un service ou son logo.

Or si ces sites sont sécurisés (banques, réseaux sociaux, etc.), c’est par définition parce que les informations qu’ils donnent sont confidentielles et sensibles.

Un exemple parmi d'autres, le texte (assez lisible) d’un mail peut servir de miniature pour Gmail :


Exemple de miniature taille réelle

La bourde, qualifiée de « faille » par certains (à vous de décider), sera corrigée dans une prochaine mise à jour de Mozilla.

En attendant, la fondation recommande de désactiver ce nouvel écran sur les machines partagées (le basculement se fait en cliquant sur l’icône en haut à gauche de cette page de miniatures). Ce basculement n’efface pas les miniatures stockées. Il est donc également recommandé d’effacer l’historique et d’utiliser le mode de navigation privée pour consulter les sites confidentiels.

Rappelons que Mozilla est une organisation (et pas une entreprise) dont le but premier est de promouvoir les technologies ouvertes et de militer pour le respect de la vie privée des internautes. Cette fois-ci, c’est loupé. Ceci dit, l'erreur est humaine.

Et vous ?

Pour vous, s’agit-il d’une bourde ou d’une faille ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de yohannc
Membre actif https://www.developpez.com
Le 26/06/2012 à 14:26
Normalement augmenter le nombre majeur d'une version c'est apporter de majeurs modifications au produit
Il n'y a pas vraiment de norme.
Chrome fait pareil, ie c'est pratiquement tous les ans, pour ubuntu, c'est calé en fonction du mois et de l'année. Certains font des applications qui fonctionnent bien en dessous de la version 1.0 et d'autre font des applications buguées au dessus de la 1.0.
6  1 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 26/06/2012 à 15:40
super!
Des miniatures pornos
Grilled!
4  1 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 26/06/2012 à 16:44
Citation Envoyé par grunk Voir le message
- Soit je suis sur mon ordinateur personnel , auquel cas voir une miniature d'un contenu que j'ai déjà consulté ne me fait ni chaud ni froid.
- Soit je suis sur un ordinateur potentiellement public auquel cas je prend soin de naviguer en mode privé (pas de cookie , d'historique ...) et il n'y aura donc pas de miniature.
En théorie c'est vrai.

Mais la distinction ordinateur privé / ordinateur personnel n'est pas si évidente. Son ordinateur privé n'est pas toujours si privé que ça et des gens peuvent y avoir accèss (femme, enfants, ordinateur portable volé, ...).
C'est certes pour cela que le mode navigation privée a été conçu, mais malheureusement, il reste avant tout dans l'esprit des utilisateurs, le p0rn mode. On ne pense pas à activer quand on consulte le site de sa banque.

Le problème n'est pas tant que les sites https sont affichés mais que les miniatures soient conservées avec un qualité suffisante pour être lisible. Le fait qu'un site soit en https ou pas ne détermine pas en soi s'il contient des données privées ou non. La majorité des informations personnelles de monsieur tout le monde sont sur des sites http, tout comme il y a des sites en https qui n'en contiennent pas de critiques.
4  1 
Avatar de grunk
Modérateur https://www.developpez.com
Le 26/06/2012 à 14:28
Perso je vois pas vraiment le problème :

- Soit je suis sur mon ordinateur personnel , auquel cas voir une miniature d'un contenu que j'ai déjà consulté ne me fait ni chaud ni froid.

- Soit je suis sur un ordinateur potentiellement public auquel cas je prend soin de naviguer en mode privé (pas de cookie , d'historique ...) et il n'y aura donc pas de miniature.

Comme on le dit souvent la faille de sécurité se trouve avant tout entre le clavier et la chaise ...
7  5 
Avatar de grunk
Modérateur https://www.developpez.com
Le 27/06/2012 à 9:26
Citation Envoyé par LiveFromBx Voir le message
Ce que tu dis est un raisonnement classique de développeur qui ne se pose malheureusement pas assez de questions fonctionnelles.
C'est vrai , je suis un fervent militant du "RTFM" et du coup j'ai tendances à préférer une doc plutôt que 5 jours de codage supplémentaire

Citation Envoyé par LiveFromBx Voir le message

L'implémentation et l'utilisation du protocole HTTPS doit induire un maximum de sécurité, et laisser le moins de traces, pas seulement sur la liaison navigateur/serveur.
Tu le dis toi même , on parle ici de protocole. Pourquoi https devrait avoir un quelconque effet sur l'affichage ?
Pour moi il est là pour sécuriser la liaison un point c'est tout. Quand je suis sur un site en https je m'attends pas à ce que mon écran s'éteigne dès que quelqu'un passe derrière moi par exemple.

Mais je pense que c'est effectivement un question de point vue
4  2 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 27/06/2012 à 13:09
Citation Envoyé par LiveFromBx Voir le message
Prenons le cas de SSH qui est aussi de niveau application : quand tu démarres une session SSH, tu tapes ton mot de passe dans le vide, rien n’apparaît à l'écran pour de simples raisons de sécurité. Nous avons ici un exemple d'implémentation d'un protocole sécurisé qui a un effet sur l'affichage !
Justement non. Masquer le mot de passe est un choix au niveau de l'application que tu utilises. Ça n'est pas lié au fait que la connexion soit sécurisée, d'ailleurs ça se fait pour à peu près toutes les applications, qu'elles utilisent une communication sécurisée ou non.

Citation Envoyé par grunk Voir le message
C'est vrai , je suis un fervent militant du "RTFM" et du coup j'ai tendances à préférer une doc plutôt que 5 jours de codage supplémentaire
Sauf qu'il faut savoir a quel public on s'adresse.
Dans le cas d'un navigateur, on peut être sur que 99% des utilisateurs ne liront pas le manuel et même si s'était le cas n'appliqueront pas des pratiques de sécurité qui leur compliquent la vie quotidienne.

Citation Envoyé par grunk Voir le message
Tu le dis toi même , on parle ici de protocole. Pourquoi https devrait avoir un quelconque effet sur l'affichage ?
Pour moi il est là pour sécuriser la liaison un point c'est tout. Quand je suis sur un site en https je m'attends pas à ce que mon écran s'éteigne dès que quelqu'un passe derrière moi par exemple.
Entièrement d'accord, https transmet les pages de façon sécurisée, que le contenu soit d'ordre privé ou non n'est pas de son ressort.
Il arrive d'avoir des pages https qui ne contennent pas d'information particulièrement sensible et très souvent l'inverse : des données d'ordre privé transmises par http.
- les miniatures c'est un problème de sécurité au niveau de l'acces par des tiers a la machine locale
- https est un problème de sécurité au niveau de la connexion.

Il peut certes arriver que ce que l'on veuille à la fois se protéger d’éventuelles personnes qui intercepteraient un transfert et des personne ayant un accès physique à sa machine, mais réduire les miniatures à un problème de https est une très mauvaise vision du problème.
3  1 
Avatar de stailer
Membre chevronné https://www.developpez.com
Le 26/06/2012 à 15:10
Je n'ai pas le souci non plus.

Par contre sur Google Chrome je l'ai !

Quand j'ouvre le navigateur, les nouveaux onglets n'ayant pas de site me propose l'icône "Chrome Store" ainsi que des previews des sites visités.

Et le je vous le donne en 1000 : les sites en https sont bien présents dans les previews.

EDIT:
je vois que la majorité des modifications apportées apres ne necessitent pas d'augmenter le nombre majeur de la version.
En tout cas c'est mon point de vu personnel.
Tu as raison @subzero01 . Mais en fait c'est marketing. Chrome n'a cessé de changer de version pour de simples améliorations et on est aussi passé rapidement d'une v2 à une v14. Du coup on parlait tout le temps de Chrome et Mozilla à réagi en faisant la même chose.
3  2 
Avatar de LiveFromBx
Nouveau membre du Club https://www.developpez.com
Le 26/06/2012 à 18:04

Perso je vois pas vraiment le problème :

- Soit je suis sur mon ordinateur personnel , auquel cas voir une miniature d'un contenu que j'ai déjà consulté ne me fait ni chaud ni froid.

- Soit je suis sur un ordinateur potentiellement public auquel cas je prend soin de naviguer en mode privé (pas de cookie , d'historique ...) et il n'y aura donc pas de miniature.

Comme on le dit souvent la faille de sécurité se trouve avant tout entre le clavier et la chaise ...
Ce que tu dis est un raisonnement classique de développeur qui ne se pose malheureusement pas assez de questions fonctionnelles.

Rappelons que c'est la machine qui doit s'adapter à l'utilisateur, et non pas l'inverse.
L'implémentation et l'utilisation du protocole HTTPS doit induire un maximum de sécurité, et laisser le moins de traces, pas seulement sur la liaison navigateur/serveur.

De plus les stations internet publiques (ex. : bornes en libre accès dans les espaces publics, bibliothèques, halls d'attente, gares, etc.) sont généralement ouvertes uniquement sur un navigateur et cachent l'accès aux préférences de l'application, donc impossible de naviguer en privé !

Il s'agit en mon opinion d'une bourde, qui induit une faille de sécurité

Une faille d'un nouveau genre...
4  3 
Avatar de mhtrinh
Membre habitué https://www.developpez.com
Le 27/06/2012 à 23:31
J'ai trouvé une solution pour les MAJ rapides de Firefox : decocher la case "mettre a jour automatiquement" !
Avec ca, pas de mauvaises surprises tous les mois
1  0 
Avatar de greg91
Membre actif https://www.developpez.com
Le 28/06/2012 à 10:43
Cela montre une fois de plus les problèmes engendrés par la nouvelle politique de mise à jour forcé de Mozilla.
Une des forces de l'open source c'est justement de sortir les versions quand elles sont prêtes et pas quand le marketing l'a décidé.
C'est pas les seul : Joomla, Ubuntu...
2  1