Firefox 52 est là. Et si l'on devrait surtout parler de la mise en place de WebAssembly ou d'une alerte bien plus visible en cas de connexion à des sites non sécurisés, bien d'autres améliorations intéressantes sont de la partie.
Mozilla vient de diffuser la version 52 de son navigateur Firefox. Celle-ci apporte de nombreuses évolutions attendues, telles que le support de WebAssembly (aka wsam). Pour rappel, il s'agit d'un projet commun à Apple, Google, Microsoft et Mozilla qui ambitionne de créer un format de binaires pour le web (voir notre analyse).
Firefox premier sur l'implémentation de WebAssembly
Il s'agit aussi de proposer des applications complexes avec de bien meilleures performances, comme dans le cas des jeux, de l'édition multimédia ou autres outils de visualisation de données. De premières démonstrations ont été mises en ligne l'année dernière, désormais on passe à l'implémentation concrète.
Firefox fait donc office de précurseur, puisqu'il faudra encore attendre un peu pour voir cette technologie débarquer dans Chrome, Edge ou encore Safari. Si vous voulez tester WebAssembly, vous pouvez vous rendre par ici pour une scène 3D proposée par Epic ou par là pour essayer un petit jeu exploitant Unity.
Les développeurs peuvent aussi se rendre dans la documentation proposée par Mozilla ou sur le dépôt GitHub du projet.
Une alerte plus visible en cas de connexion sur un site non sécurisé
Comme Chrome, Firefox avait récemment mis en place une alerte dans le cas où un utilisateur venait à se connecter à un site à travers une page non sécurisée. Une pratique qui vise à informer plus clairement les internautes sur les dangers des pages HTTP qui restent encore souvent la norme.
Cela aboutira d'ailleurs à terme à considérer que toute page non HTTPS doit être identifiée spécifiquement. Le cadenas vert des sites sécurisés sera alors complété par un cadenas rouge de plus en plus visible.
Pour le moment, les navigateurs ont surtout décidé de s'attaquer à la phase de connexion, qui pose le plus de problèmes. En effet, à chaque fois que vous vous connectez via un site en HTTP, votre mot de passe lui est envoyé en clair. Ainsi, n'importe qui sur votre réseau est susceptible de pouvoir l'intercepter. Un problème décuplé lorsqu'un utilisateur se trouve par exemple sur un Wi-Fi public.
Jusqu'à maintenant, Firefox affichait donc un cadenas barré lorsque vous vous trouviez sur une page n'utilisant pas SSL/TLS contenant un champ de mot de passe. En cliquant dessus vous aviez un message d'information vous expliquant la raison de cette mention. Désormais, ce message sera affiché directement au sein du formulaire :
Le Figaro / La Fnac / myCanal
Autant dire que cela va faire bizarre à de nombreux éditeurs de sites, puisque rares sont encore ceux qui ont fait l'effort de passer au tout HTTPS ou encore de proposer au moins une connexion à travers un sous-domaine sécurisé. Le renforcement de cette alerte dans Firefox, puis sans doute dans Chrome, devrait sans doute accélérer les choses.
Cookies sécurisés stricts, SHA-1 et partage d'écran WebRTC
Dans le même temps, on apprend que les cookies sécurisés sont désormais gérés de manière stricte. Ainsi, un site HTTP ne pourra plus gérer un cookie ayant le même nom qu'un cookie sécurisé depuis le même domaine. Si un certificat utilise SHA-1, une alerte sera aussi levée (voir notre analyse).
Enfin, la gestion du partage d'écran WebRTC a été assouplie, une liste des éléments pouvant être partagés étant désormais accompagnée d'une preview afin d'éviter toute fausse manipulation. Notez au passage que Google Hangouts ne fonctionnera pas, le problème étant en cours de résolution.
CSS Grid, await, support NPAPI, portails Wi-Fi captifs et versions mobiles
L'équipe de Mozilla indique avoir amélioré la gestion des portails Wi-Fi captifs avec une alerte affichée à l'utilisateur l'invitant à se connecter lorsque cela est nécessaire, mais aussi la synchronisation en permettant aux utilisateurs d'envoyer et d'ouvrir des onglets entre différentes machines.
Elle a aussi implémenté plusieurs améliorations pour les développeurs. Il est notamment question des grilles CSS (CSS Grid) et du Grid Inspector, d'un outil plus performant pour l'analyse du responsive design, ou les fonctions asynchrones d'ECMAScript 2017 (async) et l'opérateur await. Vous trouverez plus de détails dans ce billet de Mozilla Hacks.
Le support des Netscape Plugin API (NPAPI) plugins autres que Flash a été retiré. Ainsi, Silverlight, Java, les outils Acrobat et autres ne sont plus supportés. Il en est de même pour Battery Status API, comme nous l'avions déjà évoqué. Et ce, notamment pour des raisons de sécurité.
Du côté des versions mobiles, on apprend que l'APK sous Android a été allégé d'au moins 5 Mo, et que les cookies sécurisés ont aussi été implémentés de manière stricte. Une barre de notification permettant de gérer la mise en pause des contenus multimédias est aussi intégrée. La version iOS, elle, n'a pas été mise à jour depuis le 17 février dernier.
Comme toujours vous pouvez mettre à jour Firefox sur votre ordinateur en vous rendant dans l'aide du navigateur (menu hamburger > point d'interrogation) puis dans À propos de Firefox. Vous pouvez aussi télécharger directement la dernière version :
Commentaires (42)
Que de nouveautés ! Un changelog qui fait plaisir !
" />
Enfin, les CSS Grid arrivent !!!
" />
Désormais, ce message sera affiché directement au sein du formulaire
Ce nouveau système me casse les pieds depuis les bétas sous Linux.
Avant, on n’avait pas à cliquer pour dire “OUI JE SIGNE AVEC MON SANG QUE LA METHODE DE CONNEXION DU SITE EST PAS BIEN ET QUE J’AIME CA”, le login était renseigné on cliquait sur connexion et basta , il ne fallait pas faire 2 clics mais un seul pour se connecter !
Sur toutes les fois qu’on doit se connecter par jour, on perd un temps fou !
Qui sait déjà comment désactiver cette innovation qui fait perdre systématiquement, à chaque page de connexion : 1 clic de souris ?
Pitié, à vot’ bon coeur M’ssieurs dames.
Mouais, avec tous les gens qui ne migrent pas sous Windows 10, on ne pourra pas les utiliser avant combien d’année
" /> :ie6style:
Ainsi, Silverlight, Java, les outils Acrobat et autres ne sont plus supportés.
Et comme d’habitude les plateformes de dématérialisation de réponses aux appels d’offres publiques sont à la ramasse, la plupart utilisent encore le plugin Java donc il nous faut refuser l’update de Firefox ou utiliser IE9 (pratique quand on a Win10)…
Regarde du côté de la valeur security.insecure_password.ui.enabled dans about:config
" />
Sinon il y a aussi security.insecure_field_warning.contextual.enabled mais je ne sais pas ce que ça concerne…
L’Epic garden de la démo est magnifique
" />
" />)
Mais ça lagouille un peu quand même (ça m’a même fait planter… VLC
Sinon tu as Firefox ESR …
J’ai firefox 52, et pourtant la démo epic garden m’indique que mon navigateur ne supporte pas webgl 2 et m’indique d’utiliser firefox 52. Une idée d’où provient cette erreur ?
La démo unity webgl fonctionne bien par contre.
Exactement. Ce serait peut-être bien d’en toucher un mot dans l’article ?
et ben tu le désactive, c’est par défaut pour les Michus.
Change de sites
Merci pour ton retour, c’est bon à savoir. Du coup la première valeur n’agit pas là-dessus ?
Truc sympa que je viens de remarquer : désormais, quand un onglet plante, les autres ne plantent pas (dans la v51 ils passaient aussi à l’état planté).
Ca fait du bien, surtout sur NextINpact, où de nombreux articles font planter mes onglets (mais ça semble aléatoire, un F5 et ça remarche).
Les onglets restaurés mais non chargés n’ont plus leur favicon, c’est fâcheux, c’est devenu uniforme donc illisible…
security.insecure_field_warning.contextual.enabled
Chez moi, ça donne le login “ A sélectionner” juste en dessous de la case de login.
Ca ne renseigne pas le login DANS la case … comme avant.
Du coup, on est obligé de cliquer quand même sur le login pour que la case soit remplie :(
En fait, ça ne fait que désactiver le message d’erreur … c’est déjà une avancée, mais pas complete. merci quand même :)
edit : pas tous les sites web en fait ???? ! certains ont un comportement normal.
Au fait … la première, elle sert à … ça
" />
" />
https://www.nextinpact.com/news/98292-connexion-aux-sites-sans-https-alerte-acti…
C’est loin d’être idiot en fait, ça va forcer les sysadmins à faire du boulot correct.
Le message de login non-sécurisé est important car bcp de sites en HTTP servent le formulaire de login dans un iframe en HTTPS mais même ça, ça peut être intercepté et donc non sécurisé.
Pour réactiver le remplissage automatique d’un login sur un site non sécurisé, d’après mes tests, il faut passer signon.autofillForms.http à true.
La valeur security.insecure_field_warning.contextual.enabled sert à désactiver le warning.
Changer la valeur security.insecure_password.ui.enabled n’a pas d’effet chez moi.
Quand on a un paquet de sites en local qui n’ont pas de HTTPS, c’est quand même super utile que le login/pwd soit directement rempli sans avoir à faire deux clics supplémentaires.
Essaie simplement de passer signon.autofillForms.http à true.
SI je ne m’abuse ca doit être à cause d’Electrolys le coup de l’onglet, donc depuis quelques versions de FF
" />
Je n’ai pas vos problèmes, l’identifiant si enregistré sur firefox sync, s’affiche quand même
https://image.noelshack.com/fichiers/2017/10/1488987439-sans-titre.jpg
Merci l’ami :)
" />
Non mais justement, avec FFox 51 + e10s, un onglet planté faisant planter les autres (mais pas Firefox en lui-même) ;)
T’inquiètes, j’ai les mêmes en pire (agents préfecture en particulier). Donc je sais de quoi je parle.
Ca m’a l’air d’être ça en effet, j’ai une vieille carte vidéo.
Perso j’ai Firefox qui prend plus de ressource qu’avant :-(