Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Firefox 87 disponible aujourd’hui, des règles strictes pour les en-têtes HTTP Referrer

Firefox 87 disponible aujourd’hui, des règles strictes pour les en-têtes HTTP Referrer

Le 23 mars 2021 à 08h54

La nouvelle mouture du navigateur doit sortir aujourd’hui, plus vraisemblablement dans la soirée. La version sera relativement mineure, avec quelques améliorations pratiques. Firefox 87 introduit cependant un changement majeur dans son traitement des URL.

Dans un billet publié hier, les développeurs de Firefox Dimi Lee et Christoph Kerschbaumer expliquent les travaux réalisés. Objectif général, proposer une règle plus stricte et orientée vers la vie privée pour les référents des URL.

Un référent, pour reprendre la définition donnée par Wikipedia, est « une information transmise à un serveur HTTP lorsqu'un visiteur suit un lien pour accéder à l'une de ses ressources, lui indiquant l'URL de la page où se situe ce lien qu'il a suivi ».

Problème, ces informations représentent une menace potentielle pour la vie privée aussi bien que pour la sécurité. Elles sont pour la plupart stockées dans l’historique et peuvent donc servir à identifier plus précisément un internaute.

Puisque les référents contiennent parfois des informations très précises sur le site d’où vient l’utilisateur et ce qu’il y a fait ou recherché, ils peuvent être exploités par des sites malveillants, en particulier quand on passe d’un site HTTPS à un autre en HTTP classique.

Par défaut, Firefox 87 nettoie ces informations et implémente une politique « strict-origin-when-cross-origin ». Le chemin suivi par l’utilisateur et la chaine de requête seront notamment supprimés.

Parmi les autres améliorations, signalons que la case « Tout surligner » pendant une recherche affiche – enfin ! – des petits traits jaunes dans la barre de défilement pour marquer les occurrences dans le texte. Le bouton Bibliothèque peut supprimer en outre les doublons et Backspace n’effectue plus par défaut l’action Précédent pour éviter les pertes de données dans les formulaires.

Le 23 mars 2021 à 08h54

Commentaires (16)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Cela veut-il dire que par exemple en php $_SERVER[‘HTTP_REFERER’] ne retournera plus rien ?

votre avatar

Ils ont juste changé la valeur par défaut de Referrer-Policy, elle passe de no-referrer-when-downgrade à strict-origin-when-cross-origin. La seule différence est que dans le cas d’une navigation d’une origine (un site) à une autre la valeur de Referer ne contiendra plus le path. Voir https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy



D’autres navigateurs ont déjà basculé vers strict-origin-when-cross-origin.

votre avatar

Essaie et tu verras. ¯\(ツ)

votre avatar

Le coup dans la barre de défilement c’est vraiment top!!

votre avatar

Pour ceux qui se demanderaient, la préférence modifiée est “network.http.referer.defaultPolicy”, passant de 3 à 2 :
https://wiki.mozilla.org/Security/Referrer

votre avatar

il faudrait que je repasse en lts chez moi…

votre avatar

Backspace n’effectue plus par défaut l’action Précédent pour éviter les pertes de données dans les formulaires.


Enfin ! c’est une plaie ces raccourcis historiques non modifiables ! Ici où dans jira, il suffit de perdre le focus (un chargement un peu plus lent), et tu te retrouvais sur la page précédente. Les sites étaient contraints de coder des sauvegardes à chaque touche appuyée ou afficher des popup à la sortie d’une page !

votre avatar

Soriatane a dit:


Le coup dans la barre de défilement c’est vraiment top!!


C’est quoi qui a changer sur la barre de défilement ?! Je ne vois pas de différence :craint:

votre avatar

Si j’ai bien compris, Firefox aura le même comportement que Chrome: du jaune dans la barre de défilement lorsque le mot recherché apparaît plusieurs dans la page web.

votre avatar

Les notes de version parce que le résumé de nextImpact c’est quand même partiel :
https://www.mozilla.org/en-US/firefox/87.0/releasenotes/

votre avatar

Un résumé exhaustif, ce n’est plus un résumé !

votre avatar

Quand il manque plein d’infos, ce n’est pas un résumé non plus :)

votre avatar

c’est moi ou c’est devenu vachement reactif ff ?



tenez si vous voulez tester la nouelle interface de electron avec la derniers maj ff



https://laptrinhx.com/how-to-enable-the-new-firefox-proton-design-now-1330316226/



https://i.imgur.com/AvXfBTE.png

votre avatar

Est-ce que la politique « strict-origin-when-cross-origin » rend obsolète les extensions qui nettoient les url comme Pure URL ou au-revoir-utm ?



Merci !

votre avatar

Je ne pense pas, parce que ça ne concerne que le referer.

votre avatar

Couper tout le chemin (pour ne laisser que le domaine), ça m’a l’air quand même un peu excessif. Personnellement, j’aurai juste coupé la query string (après le “?”), car souvent en effet il y a des informations relatives à “l’état” dedans (recherche, session…).
Cela va devenir compliqué, pour ceux qui font des statistiques, de connaître les points d’entrée des utilisateurs quand ils cliquent sur un lien sur Facebook ou Twitter par exemple…

Firefox 87 disponible aujourd’hui, des règles strictes pour les en-têtes HTTP Referrer

Fermer