Blocage publicitaire et Manifest V3 : les visions contraires de Chrome et Firefox

Des chapelles aux cathédrales

Blocage publicitaire et Manifest V3 : les visions contraires de Chrome et Firefox

Blocage publicitaire et Manifest V3 : les visions contraires de Chrome et Firefox

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Dans un an, le Manifest V2 de Chrome ne sera plus supporté, obligeant les développeurs d’extensions à s’adapter à la V3. Derrière ce changement, Chrome parle de sécurité et de performances. Mais la problématique est plus profonde et touche au blocage publicitaire. Explications.

En matière d’extensions, Google fait un peu la pluie et le beau temps. Chrome dispose d’une imposante part de marché dans les navigateurs, et sa base open source Chromium sert de socle à de nombreux autres.

Les règles de conception des extensions sont presque dictées par la firme de Mountain View, tant son influence est grande, avec plus ou moins d’adaptations selon les réactions de la communauté des développeurs.

Dans un an, ces règles changeront radicalement. Pour Google, c’est une question de sécurité et de performances. Pour d’autres, l’entreprise n’est pas sincère, car les nouvelles règles casseront les actuelles extensions dédiées au blocage de contenus, dont les « adblockers ».

Comprendre le cœur du problème

Pour saisir l’enjeu qui se joue actuellement dans les choix des éditeurs, il faut se pencher sur le manifeste, ou plutôt « Manifest », qui sert de norme et de soubassement aux extensions dans Chrome. En clair, il définit, au sein du navigateur, les droits des extensions. Elles ne peuvent pas sortir de ce périmètre, d’où l’intérêt crucial de le préparer avec soin.

Dans l’actuelle version 2, on trouve une API nommée Web Request. Dans les grandes lignes, elle permet d’examiner ce qui circule entre un site web et un navigateur et d’y agir. Cette interface de programmation est à la base de très nombreuses fonctions de blocage publicitaire, puisqu’elle permet de modifier à la volée les requêtes vers un domaine, y compris de les bloquer.

Les extensions spécialisées dans le blocage de contenu analysent ainsi les requêtes et les comparent à une liste de domaines. Si du contenu doit en être téléchargé, la requête est bloquée et rien n’est affiché. C’est bien sûr l’idée générale, car la guerre intense entre producteurs et bloqueurs de publicité passe par de nombreuses subtilités. On connaît le goût prononcé désormais de ces mêmes producteurs pour les techniques de fingerprinting, c’est-à-dire tout ce qui peut identifier de manière unique un navigateur.

Web Request est une API puissante dans ses capacités. Elle est également souple d’utilisation, ce qui a largement contribué à son succès. Cependant, cette puissance la rend potentiellement dangereuse, car elle peut être utilisée pour introduire des comportements malveillants.

Puisque Web Request peut examiner ce qui transite entre un site et un navigateur, il devient un outil de choix pour espionner ces mêmes communications ou introduire du contenu. Car oui, la même API peut servir à bloquer la publicité et à en ajouter. Quand elle n’est pas utilisée pour créer des botnets destinés au vol de cryptomonnaies, comme l’avait montré Trend Micro en avril 2018.

Même si les navigateurs ont augmenté les mesures de sécurité autour des extensions et lancé des programmes de certification, l’un des éléments centraux du manifeste reste incertain. On savait donc que la révision suivante introduirait de gros changements destinés à sécuriser les extensions. Cependant, puisque le manifeste est publié par Google, les objectifs véritables sont troubles.

Ce que propose le Manifest V3

C’est en septembre de l’année dernière que Google a partagé ses vues sur la V3 du Manifest et ses objectifs. Ceux-ci sont clairs quand ils sont présentés par la firme : des performances, de la sécurité et de la vie privée.

Parmi les changements prévus, la suppression de l’API Web Request, comme on pouvait s’en douter. Elle est remplacée par une autre interface, nommée Declarative Net Request. Elle introduit une modification radicale : l’impossibilité pour une extension de surveiller tout le trafic. Pour des raisons de sécurité, la nouvelle API oblige les concepteurs d’extensions à déclarer à l’avance comment un certain type de trafic sera géré. Hors de ce champ, point de salut.

Il est évident que ce passage de Web Request à Declarative Net Request va apporter une amélioration notable de la sécurité, puisque les extensions auront des droits limités sur ce qui circule entre le navigateur et le site web. Et cette fois de manière inhérente. Parmi les autres changements importants, signalons l’impossibilité d’accéder à du code distant – toujours pour des questions de sécurité –, ou encore le remplacement des « background pages » persistantes par les services workers, pour des gains significatifs de performances.

Plus globalement, le passage à un manifeste beaucoup plus déclaratif est une avancée pour les internautes. De nombreux comportements d’extensions liés à l’actuelle version du manifeste vont être rendus optionnels par la V3, avec un intérêt majeur : un contrôle plus strict par les sas de validation, et surtout par l’utilisateur qui pourra interdire certains comportements.

C’est du moins tel que Google l’avait présenté.

Des intérêts contraires

Dès la publication du billet de l’entreprise, l’EFF (Electronic Frontier Foundation) avait réagi en critiquant les véritables objectifs de Google.

L’avis était tranché : « Si l’on en croit Google, Manifest V3 améliorera la protection de la vie privée, la sécurité et les performances. Nous ne sommes absolument pas d’accord. Ces changements n’arrêteront pas les extensions malveillantes, mais ralentiront l’innovation, réduiront les capacités des extensions et heurteront les performances réelles ».

Pourquoi ? Parce que « sous Manifest V2, les extensions sont traitées comme des applications de première classe, avec leur propre environnement d’exécution persistant. Mais avec la V3, elles sont traitées comme des accessoires, avec des privilèges limités et ne peuvent s’exécuter qu’en réaction ».

Une semaine avant déjà, Daly Barnett, également de l’EFF, critiquait vertement l’entreprise, pour une raison plus précise encore : « Manifest V3 […] réduira les capacités des extensions web, tout particulièrement celles conçues pour surveiller, modifier et calculer en parallèle de la conversation que votre navigateur entretient avec le site que vous visitez. Avec ces nouvelles spécifications, de telles extensions – comme certains bloqueurs protecteurs de vie privée – auront des capacités largement réduites ».

Le remplacement de Web Request par Declarative Net Request impose de changer radicalement de méthode pour le blocage de contenus. Car cette V3 émane de Google, dont 90 % du chiffre d’affaires environ provient de la publicité. Et là, pas de secret puisque l’entreprise en parle dans des documents remis à la SEC (Securities and Exchange Commission) américaine. Elle se réfère ainsi à plusieurs reprises aux technologies nouvelles et actuelles de blocage publicitaire comme autant d’éléments pouvant affecter ses revenus.

Il est donc complexe d’afficher une volonté de booster la sécurité et la protection de la vie privée quand, en parallèle, la même technologie peut également servir à préserver le chiffre d’affaires. C’est cette ambiguïté que dénonçait déjà l’EFF à l’automne dernier, et la situation n’a pas évolué. Même si Eyeo, éditeur d'Adblock, avait indiqué apprécier les évolutions du Manifest V3, ses développeurs ont des liens financiers avec Google. Chez Ghostery, presque aussi célèbre, le son de cloche est déjà très différent.

Le Manifest V3 ne sera pas cantonné non plus à Chrome. Il est en fait accolé au projet Chromium et donc à tous les navigateurs qui s’en servent de base, comme Edge chez Microsoft, Brave, Opera ou encore Vivaldi.

Et Mozilla dans tout ça ? Bien que Firefox ne soit pas basé sur Chromium, le support du Manifest est un élément important, car il simplifie le travail des développeurs d’extensions : un module créé sur Chrome (ou l’un de ses dérivés) est facilement transposable à Firefox, une grande partie du socle étant identique. Mais face à cette version 3, Mozilla fera les choses à sa manière.

Le Manifest V3 oui, mais avec Web Request !

La fondation a donné son avis dans un billet publié le 18 mai. Elle y explique, dans les grandes lignes, qu’elle adoptera le Manifest V3 comme nouvelle base de fonctionnement des extensions. L’éditeur ne s’en cache pas : ce support est essentiel, pour des raisons très simples de compatibilité. Mozilla tient à ce que les développeurs puissent passer facilement de Chrome à Firefox.

Il y aura cependant une différence de taille : même si le Manifest V3 sera supporté en intégralité, l’API Web Request sera préservée. Son avenir ne dépendant pas de Google, rien n’empêche effectivement d’autres développeurs de s’en servir. La direction prise sera donc hybride, avec à la fois la possibilité de récupérer la nouvelle génération d’extensions, tout en préservant Web Request et les capacités qui vont avec. Une version amendée du Manifest V3, en quelque sorte.

Une question de cohérence pour Mozilla, qui a fait de la vie privée l’un de ses chevaux de bataille. Firefox bloquant par défaut le tracking, il serait illogique d’empêcher les utilisateurs de bloquer les publicités s’ils souhaitent aller plus loin.

À quoi s’attendre l’année prochaine ?

Le Manifest V2 sera supporté pendant encore un an, jusqu’en juin 2023. Ensuite, le règne de la V3 commencera, bon an mal an. À partir de là, deux visions s’affronteront.

D’un côté, le projet Chromium et son Manifest V3 pur-sang, avec une nouvelle génération d’extensions aux capacités certes réduites, mais contraintes par ce cadre strict à beaucoup plus de sécurité. De l’autre, Mozilla et sa vision hybride, avec son Manifest « V3+ ».

Il est évident que chacun milite pour sa paroisse. Mozilla y voit une manière de se distinguer dans ce qui sera potentiellement un « petit scandale entre initiés ». Le message sera alors clair : venez chez nous, vos extensions y fonctionneront comme avant. Du moins pas tout à fait, puisque Firefox abandonnera lui-aussi le support du Manifest V2 à la même date.

Rien n’empêchera donc les développeurs d’extensions de proposer une version pour Chrome, et une autre pour Firefox. Il n’est pas dit cependant que tout le monde fasse l’effort, selon le but recherché. En effet, le but derrière le support de la V3 par Firefox est justement de permettre aux développeurs de passer très rapidement de l’un à l’autre, presque sans modifications. Ajouter le support de Web Request requerrait forcément du travail, puisqu’il faudrait le greffer sur la nouvelle base du Manifest V3, qui réclamera déjà plus ou moins de travaux.

Le message sera bien là cependant : pour de vraies extensions de blocage publicitaire, mieux vaut aller sur Firefox. Suffisamment accrocheur pour que les utilisateurs reviennent vers lui ? Pas certain, d’autant que Mozilla est loin d’être seul à jouer sur la protection de la vie privée.

Les dérivés de Chromium ne sont en effet pas démunis face au changement annoncé. Brave, Opera et Vivaldi ont ainsi en commun d’inclure directement des mécanismes de blocage publicitaire dans leur code. Bien que cette fonction s’appuie toujours sur des listes (et continuera de le faire) elle n’a pas besoin d’un quelconque manifeste pour donner des résultats, car il ne s’agit – justement – pas d’une extension. Mais comme l'a résumé Microsoft dans une note technique sur la migration à venir, la compatibilité avec le Manifest V3 n'est pas une option.

Commentaires (45)


Pour ma part, je suis favorable au Manifest V3, les extensions ont des permissions envahissantes sous le Manifest V2, La plupart des extensions de blocage publicitaire avec Manifest V2 ont un accès complet à ce que vous visitez pour effectuer le filtrage, beaucoup de gens utilisent aveuglément une extension sous Manifest V2 sans être pleinement conscients des inconvénients considérables qu’elle présente. Il est préférable que le navigateur supprime ce système d’extension peu sûr et le remplace par un meilleur, pour les bloqueurs de publicités, en échange d’un blocage un peu moins bon, le blocage des publicités n’est de toute manière que pure commodité, et les sites peuvent voir que vous bloquer le contenu, puis ils peuvent utiliser ses données pour vous suivre plus facilement encore, maintenant, je commence à renifler les sites qui seront bourrés de pubs à la con.


Qu’est ce qu’il faut pas lire… Oui il peut y avoir des abus, c’est pas pour ça que nerfer complètement le truc règle le problème. Des solutions il y en a plein… Et google, un des plus gros publicitaire du monde n’est pas étranger à cela



Les dérivés de Chromium ne sont en effet pas démunis face au changement annoncé. Brave, Opera et Vivaldi ont ainsi en commun d’inclure directement des mécanismes de blocage publicitaire dans leur code.




C’est une des raisons pour lesquelles j’avais historiquement préféré feu Opera Presto à Firefox à l’époque, je n’aimais pas l’idée de devoir compléter le navigateur avec trouze mille extensions pour avoir quelque chose de correspondant à mes besoins.



Car au final, il suffit d’un changement dans les API sur lesquelles reposent les extensions pour voir le chateau de cartes s’écrouler. Encore quand elles sont maintenues ça peut passer relativement inaperçu, mais quand on s’aperçoit qu’elles ne le sont plus à cause de ça on se retrouve pris au dépourvu.



La direction prise par Vivaldi d’intégrer le plus possible dans le navigateur va dans le même sens. Je suis content de voir que j’ai pu retirer uBlock Origin par exemple après un test // entre la fonctionnalité native et cette extension pendant quelques semaines. S’ils améliorent par la suite la gestion des cookies avec quelque chose d’aussi fin que CookieAutoDelete et qu’ils mettent le support natif du mode sombre dans la version Desktop (comme la version Android), ça me fera encore 2 autres add-ons en moins. Au final il ne me resterait que Privacy Redirect, Don’t Fuck with Paste, détection de flux RSS, et le module pour KeepassXC en indispensables.



Du moins pas tout à fait, puisque Firefox abandonnera lui-aussi le support du Manifest V2 à la même date.




Hum, j’aimerais bien connaître la source de cette information. Ça a déjà été un bordel d’abandonner XUL et Jetpack…



(reply:2076837:marba) Manifest V2 accorde aux extensions beaucoup de privilèges extrêmement élevées, Manifest V3 veux corriger ce problème, c’est aussi simple que ça.



Sinon on interdit les extensions ça limite encore + les risques ? C’est aussi simple que ça.


Donc parce qu’une partie des extensions est malveillante on bloque TOUTES les extensions ? C’est comme si je disais que parce qu’il y des accidents en voiture, alors il faut interdire TOUTES les voitures.



Ou alors que comme il y a des virus sous Windows, il faut interdire tous les exécutables qui ne sont pas dans le Windows Store.



Chrome ferait mieux de mieux mettre en avant les dangers liés à l’utilisation d’une extension, par exemple un bandeau en rouge qui indique que l’extension peut accéder à tout, que ça a de sérieuses implications en matière de vie privée, avec un lien vers une page expliquant en termes simples le problème. Ce ne sera pas parfait mais il n’y a pas de solutions parfaites de toutes façons.


Google fait sauter Web Request parce que c’est mauvais pour son business. Ni plus ni moins. Le reste c’est de la flute.



Il veut plus de sécurité sur les extensions ? Qu’il contrôle sérieusement ce qu’il y a sur son chrome store qui est quand même le principal fournisseur de cochonneries et cela bien avant d’autres sources d’extension.



Si j’étais complotiste je dirais que google est pompier pyromane : regardez y’a plein d’extensions dangereuses sur mon store : je vais les brider pour votre sécurité !


wanou2

Google fait sauter Web Request parce que c’est mauvais pour son business. Ni plus ni moins. Le reste c’est de la flute.



Il veut plus de sécurité sur les extensions ? Qu’il contrôle sérieusement ce qu’il y a sur son chrome store qui est quand même le principal fournisseur de cochonneries et cela bien avant d’autres sources d’extension.



Si j’étais complotiste je dirais que google est pompier pyromane : regardez y’a plein d’extensions dangereuses sur mon store : je vais les brider pour votre sécurité !


Ah oui, merci, un gros +1


L’équipe de Brave a annoncé qu’ils allaient sûrement allonger le support des extensions au manifest v2 le temps de trouver une solution. Affaire à suivre…



QTrEIX a dit:



Et dire que je garde encore un Palemoon parce qu’il dispose d’une extension qui à le droit d’enregistrer un fichier HTML en local (un TiddlyWiki), et qu’il supporte encore FireSSH et FireFTP, plein d’autres bidules “legacy” qui en font un véritable outil de travail, et pas seulement une interface de consommation de média…
À méditer, une citation de Benjamin Franklin (je croyais que c’était Churchill :oops: )



Clairement hors sujet, mais j’utilise https://slaymaker1907.github.io/tiddlywiki/plugin-library.html pour sauvegarder mon tiddlywiki. Ca ne pourrait pas correspondre à ton besoin ?



Couplé à un onedrive/netxtcloud/whatever pour synchro et restauration, ça marche pas mal



SomeDudeOnTheInternet a dit:


Donc parce qu’une partie des extensions est malveillante on bloque TOUTES les extensions ?




Il n’a jamais été question de bloquer les extensions.




Chrome ferait mieux de mieux mettre en avant les dangers liés à l’utilisation d’une extension, par exemple un bandeau en rouge qui indique que l’extension peut accéder à tout, que ça a de sérieuses implications en matière de vie privée, avec un lien vers une page expliquant en termes simples le problème. Ce ne sera pas parfait mais il n’y a pas de solutions parfaites de toutes façons.




C’est exactement le problème que cherche à atténuer Manifest V3, il vise à fournir à l’utilisateur une meilleure protection et une meilleure confidentialité contre les extensions tierces. Le filtrage est maintenant le travail du navigateur plutôt que de l’extension elle-même. Bien sûr, la portée de l’extension est plus limitée, mais elle est mise en œuvre d’une manière beaucoup plus sûre et saine.



Afficher un bandeau en rouge qui t’indique ce l’extension peut faire est informatif, mais dans les faits, il ne résous rien, n’atténue rien et l’utilisateur moyen ne s’en soucie probablement pas.




(reply:2076843:GruntZ) J’ai un peu essayé Pale Moon à une époque, mais je n’avais aucunes raisons de l’utiliser alors que j’avais déjà Firefox.




PS : Je connais cette citation de Benjamin Franklin, merci, mais elle n’est pas pertinente avec le sujet.


Tout dépend de la confiance que l’on accorde à Google, or en l’occurrence compte tenu de son fond de commerce, elle ne peut pas être très élevée en la matière contrairement à d’autres acteurs du marché.
Car en se qui concerne les navigateurs, il s’agit bien d’un marché pour Google et non d’une entreprise de bienfaisance en vue valoriser son activité principale qui est de revendre de l’information issue de données personnelles…



SomeDudeOnTheInternet a dit:


L’équipe de Brave a annoncé qu’ils allaient sûrement allonger le support des extensions au manifest v2 le temps de trouver une solution. Affaire à suivre…




L’équipé Vivaldi n’a pas les ressources nécessaires pour maintenir les API liées au manifest V2 quand elles auront disparu de Chromium.
Son bloqueur de pub et traqueur intégré n’est toutefois pas concerné par ces manifestations, si j’ose dire :oops: .


Sacrifier la liberté sur l’autel de la sécurité ? Encore ? Diantre, les bras m’en tombent 😄



Plus sérieusement, la mainmise de Google sur ces gros projets open-source (avec Android), ça fait flipper …


PB des utilisateurs de chrome en masse qui ne voient pas plus loin que le bout de leur nez sous couvert dopen Source blabla…. Je caricature a peine
Tout ça donne a chrome plein de force pour avancer dans son coin.
Il suffirait que les gens n’ achètent plus pour que ça se vende pas. Coluche
Il suffirait qu’il n’y ait pas d’utilisateur pour que ça ne suive pas. Moi.
^^


Et pourquoi pas un système de permission comme Android? En laissant une permission “Accès Total”.



manus a dit:


Et pourquoi pas un système de permission comme Android? En laissant une permission “Accès Total”.




Pour une extension, Chromium propose déjà l’accès contrôlé au site de son choix ou “accès total”, l’autre problème est qu’à moins d’utiliser ChromeOS ou Qubes OS pour les utilisateurs expérimentés, le modèle de sécurité de l’ordinateur de bureau est loin d’être robuste comme l’est celui de Android, Windows 10 / 11 n’a aucun bac à sable d’applications sauf si l’on utilise uniquement les applications du Microsoft Store, Linux n’a rien non plus, Android isole chaque applications en bac à sable et intègre des politiques SELinux. Les navigateurs de bureau sont vecteurs de beaucoup de surface d’attaque parce qu’ils exécutent littéralement du code aléatoire sur Internet.



Avoir un système de permission comme le fait déjà Chromium, c’est bien, mais ce n’est pas suffisant à mon avis, de plus, je ne suis pas certains que l’ensemble des utilisateurs de Chrome soient même au courant de cette fonctionnalité, par défaut, l’extension à un accès total à tous les sites.


D’accord mais l’ennemi, c’est Google, pas l’attaquant random qu’on ne croisera jamais. (message d’humeur, je comprends tes arguments mais pour l’instant la dissonance est trop grande).



ElCroco a dit:


Clairement hors sujet, mais j’utilise https://slaymaker1907.github.io/tiddlywiki/plugin-library.html pour sauvegarder mon tiddlywiki. Ca ne pourrait pas correspondre à ton besoin ?



Couplé à un onedrive/netxtcloud/whatever pour synchro et restauration, ça marche pas mal




Merci pour le signalement, je ne connaissais pas.
Mais je crains que ce soit lié à la nouvelle version de tiddlywiki (TW5), alors que j’ai plus de dix ans d’historique de doc technique dans des dizaines de tiddlywiki “legacy” sur mon Nextcloud.



Et je ne me sentais pas vraiment hors sujet, les remarques de SomeDudeOnTheInternet me semblent logiques.
Castrer (je sais, le mot est fort) une API pour “éviter les risques et les dérives potentielles”, c’est pour moi comme justifier une guerre préventive; c’est un pas dans la mauvaise direction.
Après, probablement qu’un fork de Chromium émergera, comme les Palemoon et Waterfox l’ont fait pour Firefox. J’espère qu’il aura les reins assez solides pour tenir…


My bad, j’ai pas été assez clair, c’est moi qui étais hors sujet à répondre uniquement pour tiddlywiki et pas pour la news sur manifestV3 ^^
Effectivement, c’est pour TW5 donc pas possible pour toi, dommage :/


Bon, si les extensions de navigateur viennent à faire défaut pour bloquer la pub, Adguard propose une solution qui bloque la pub AVANT qu’elle arrive, à travers une sorte de VPN.
Sur Android, ça marche à merveille et on ne paie pas pour les données consommées par la pub. Je ne connais pas la version pour Windows. Problème : pas de version GNU-Linux.


Il existe une version Docker Ad Guard qui fonctionne très bien ( chez moi sur un serveur UnRaid)
Régler en DNS par défaut au niveau de la freebox. plus de problème ou presque.


Ossito

Il existe une version Docker Ad Guard qui fonctionne très bien ( chez moi sur un serveur UnRaid)
Régler en DNS par défaut au niveau de la freebox. plus de problème ou presque.


Merci de l’information et ravi pour Adguard. Un peu prise de tête et complexe pour moi. J’utilise le VPN de Proton dans une INVIZBOX branchée sur la box du FAI. Le filtrage des pubs est aussi réalisé et je n’en ai aucune. À quel niveau le blocage, navigateur ou INVIZBOX, je ne saurais dire.



QTrEIX a dit:


Manifest V2 accorde aux extensions beaucoup de privilèges extrêmement élevées, Manifest V3 veut corriger ce problème, c’est aussi simple que ça.




Il suffit de gérer finement les autorisations comme le fait… google avec Android :




  • Cette extension souhaite accéder à votre “Caméra/Micro/Intercepter le traffic internet” : Refuser / Autoriser une seule fois / Autoriser seulement pour ce site / Autoriser l’exécution en arrière-plan



Et ajouter un rapport de confidentialité :




  • Ont utilisé votre caméra cette semaine :
    Extension visio 10x par jour
    Site web visio.com 4x

  • Ecoute et Modifie le traffic web :
    Adbloc 5millions de requêtes

  • Ecoute le traffic web :
    extension Bigbrother…


Mais pour arriver à cette finesse sur les applications, il a fallu faire évoluer… leur manifeste



(reply:2076864:fofo9012) Il s’agit ici d’extensions pour navigateur de bureau, qui fonctionnent tous côté client, si tu vas dans le gestionnaire d’autorisations de Android, il te donne un certains contrôle sur quoi les applications ont accès, il n’a pas la main sur les extensions de navigateur.




Par conception, le modèle de Android est aussi différent de celui de l’ordinateur de bureau.


C’est justement beaucoup plus simple dans une extension qu’au niveau d’un OS ! Les langages binaires (qui pouvaient accéder directement à l’OS) sont bloqués depuis une éternité (c’était des plugins type macromedia flash, codec vidéo, module PDF…) Une extension c’est simplement du javascript qui est totalement isolé dans son environnement d’exécution et doit demander l’autorisation et passer par le navigateur pour tout accès local :




  • fichier local c’est maintenant totalement bloqué (pour info avant tu pouvais lire le disque dur file://C:/windows… ou un partage réseau et balancer ces fichiers en arrière-plan sur un site qui n’avait rien à voir ou une autre fenêtre du navigateur !)

  • caméra / micro / position : il y’a un processus de demande de droits pour autoriser l’accès ou non.


les nouvelles règles casseront les actuelles extensions dédiées
au blocage de contenus, dont les « adblockers »…




  • sera-t-on OBLIGES de subir leur Pub. à la con ? :mad:



Comprendre le cœur du problème




Le cœur du problème c’est que la majorité subis les excès d’une minorité et que les bloqueurs de pubs sont de véritable usines à gaz avec un manque cruel d’option. L’utilisateur choisis donc la facilité et 100% des sites ce retrouvent bloqués.



Argonaute a dit:


en vue valoriser son activité principale qui est de revendre de l’information issue de données personnelles…




Google fait de la collecte de données à grande échelle, mais ne les vendent pas, ils les gardent pour eux en interne afin de proposer des services personnalisés et de la publicité qui pourrait correspondre à tes goûts, de petites entreprises à qui tu pourrais, à tord, faire plus confiance, collecte non seulement tes données, mais les vendent à des tiers, dont à Google.



Il y a des problèmes avec Google, comme il en existe avec Amazon et Apple, mais si Google était réellement malveillant (ils ne le sont pas) ça serait bien pire que la réalité, parce que Google a le pouvoir de faire beaucoup plus.



Quand Google a mis en ligne sur livre blanc pour Chrome, je l’ai lu et la transparence est bonne, ou plutôt bonne, un tas d’entreprises ont ensuite rattrapés leurs retards.



Manifest V3 vise à offrir un terrain plus sain et plus sûre pour les extensions et les applications, je ne dis pas que les compromis seront absents, ou que ça fonctionnera à coup sûr, mais au moins ils ont sous le bras une évolution pour tenter d’améliorer la version obsolète actuelle.


Je vois surtout que le service communication de Google fait feux de tout bois…


Ah. Ben ça confirme que je dois rester sous Firefox (je ne comptais pas le quitter de toute façon).



SebGF a dit:


et le module pour KeepassXC en indispensables.




Cela fait belle lurette que je n’utilise plus ce module. J’utilise maintenant la saisie automatique de KeepassXC.
https://github.com/keepassxreboot/keepassxc/wiki/Autotype-Custom-Sequence
https://keepassxc.org/docs/KeePassXC_UserGuide.html#_auto_type




QTrEIX a dit:


Linux n’a rien non plus, Android isole chaque applications en bac à sable et intègre des politiques SELinux.




Il existe quand même firejail sous linux. Par contre je trouve que c’est galère quand cela ne fonctionne sur un profile.




JnnT a dit:



Et plus globalement, Pi Hole, Adguard Home, NextDNS…



« Il existe quand même firejail sous linux »



Intéressant : un bac à sable pour lancer en ligne de commande quand on n’est pas sûr.
À tester, donc. Merci.



dyox a dit:


Cela fait belle lurette que je n’utilise plus ce module. J’utilise maintenant la saisie automatique de KeepassXC.




C’est ce que j’utilisais avant de découvrir l’intégration navigateur via l’extension et je préfère cette dernière. L’accès est plus direct sachant que mon instance KeepassXC est toujours ouverte sur mon PC, je n’ai besoin que de la déverrouiller si elle l’est.



(reply:2076982:Ced-le-pingouin)
:kimouss:




  • 3 ! :kimouss:



QTrEIX a dit:


Google fait de la collecte de données à grande échelle, mais ne les vendent pas, ils les gardent pour eux en interne afin de proposer des services personnalisés et de la publicité qui pourrait correspondre à tes goûts, de petites entreprises à qui tu pourrais, à tord, faire plus confiance, collecte non seulement tes données, mais les vendent à des tiers, dont à Google.




C’est bien beau, mais en fait c’est faux, le système d’enchères des publicités (RTB) repose sur l’échange de profils publicitaires, donc de données personnelles. Google vend bien des données personnelles.



Vincent_H a dit:


Mais pour arriver à cette finesse sur les applications, il a fallu faire évoluer… leur manifeste




J’ai bien compris, plutôt que de virer carrément tout le bouzin dans cette v3, ils auraient pu conserver et gérer finement les demandes d’autorisation.
C’est un peu comme si du jour au lendemain, on avait viré les requêtes cross sites : ç’aurait grandement améliorer la sécurité tout en flinguant les 90% des sites web d’un coup. Évidemment, ç’a été fait finement par étape : en alertant les devs avec des warnings dans la console à chaque requête, puis en ajoutant un processus de demande d’autorisation (CORS) entre js et serveur : d’abord optionnel puis obligatoire, et enfin en bloquant les requêtes non CORS d’abord sur HTTP puis HTTPS et enfin entre protocole http<>https.


Le roi est mort, vive le roi.



IE est mort, vive Chrome :craint: (oui, c’est la fin de vie officielle pour IE aujourd’hui pour ceux qui ne le saurait pas !).



C’est quand même triste de retourner dans les méandres du passé, où au final, une entité va décider de l’évolution de ce qui est faisable ou pas…



fdorin a dit:


Le roi est mort, vive le roi.



IE est mort, vive Chrome :craint: (oui, c’est la fin de vie officielle pour IE aujourd’hui pour ceux qui ne le saurait pas !).



C’est quand même triste de retourner dans les méandres du passé, où au final, une entité va décider de l’évolution de ce qui est faisable ou pas…




Internet Explorer était mauvais et une vraie passoire, déjà à son époque, c’était le temps où les utilisateurs un minimum informés l’utilisaient uniquement pour pouvoir télécharger Firefox.



fdorin a dit:


IE est mort, vive Chrome :craint: (oui, c’est la fin de vie officielle pour IE aujourd’hui pour ceux qui ne le saurait pas !).



C’est quand même triste de retourner dans les méandres du passé, où au final, une entité va décider de l’évolution de ce qui est faisable ou pas…




J’ai posté mon post-mortem de mon expérience d’IE sur HFR.



Exagone313 a dit:


C’est bien beau, mais en fait c’est faux, le système d’enchères des publicités (RTB) repose sur l’échange de profils publicitaires, donc de données personnelles. Google vend bien des données personnelles.




Non. Google vend des services en utilisant des données personnelles qu’il a collecté, comme Facebook.
Ces données restent en leur possession et ne sont pas transmises à leurs clients: c’est la base de leur modèle économique.


Fermer