La nouvelle version du navigateur est disponible, mettant fin au support de Flash, intégrant des améliorations pour les développeurs comme le support du préchargement de ressources, mais pas seulement.
Le gestionnaire de mot de passe permet de supprimer tous ceux stockés en une seule étape. Celui en charge des favoris se rappellera désormais de votre emplacement préféré pour leur stockage, affichera la barre de favoris par défaut sur les nouveaux onglets, etc.
Mais on retiendra surtout l'annonce faite dans un billet de blog dédié, où l'équipe vante une nouvelle fonctionnalité devant améliorer le respect de la vie privée des internautes en s'attaquant aux Super Cookies, pensés pour perdurer même lorsque l'utilisateur demande la suppression de données locales.
La solution trouvée est « simple », l'équipe y travaillant depuis longtemps maintenant : toutes les connexions réseau et tous les caches sont segmentés par domaine. Une solution moins efficace puisque les données ne pourront pas être réutilisées d'un site à l'autre, mais rendues nécessaires du fait des abus constatés dans les divers scripts de pistage.
Selon l'équipe, l'impact reste faible sur le temps de chargement. Il faudra maintenant voir comment l'industrie publicitaire et autres adeptes du pistage des utilisateurs s'adapteront à cette nouveauté.
Généralisant depuis quelques mois le CNAME cloaking, visant à cacher des domaines tiers sous celui du site visité pour éviter de tels contournements, il y a fort à parier que la tendance va s'accélérer. Quand bien même elle pose des soucis de sécurité.
Commentaires (12)
Il ne faudrait pas à ce moment la directement segmenter par sous domaine ?
Ca ne résoud pas le problème malheureusement.
CF le problème de Boursorama : https://www.nextinpact.com/lebrief/43429/cookies-connexion-tracking-utilisateurs-failles-corrigees-boursorama
Et si firefox donnait de nouveau la possibilité de configurer facilement le cache ?
C’est quand même triste qu’à cause du comportement moisi de certains, on soit obligé de dégrader les performances des outils et de casser volontairement des fonctionnalités pourtant utiles et intelligentes…
On aimerait bien en savoir plus sur ces “soucis de sécurité”.
En suivant le lien vers le site de la CNIL, on lit :
Cette pratique n’est pas illégale, mais elle peut provoquer d’importantes failles de sécurité, notamment en termes de lecture par des tiers de jetons d’authentification (« tokens ») stockés dans des cookies. Si une telle pratique est utilisée, il est donc conseillé de séparer les sous-domaines gérés par des tiers de ceux déposant et lisant des informations sensibles.
Merci, je n’avais pas vu le lien.
En fait, Firefox ne fait que mettre en place ce qui est déjà depuis longtemps sur Safari et depuis peu sur Chrome :
https://developers.google.com/web/updates/2020/10/http-cache-partitioning
Vu les abus des publicitaires, je pense aussi que les sous-domaines seront concernés à terme par le cloisonnement du cache.
Sans oublier que s’il veulent une connexion sécurisée sur leur serveur ils doivent posséder la clef privée du dit sous domaine, et un admin peut consciencieux qui envoit sa clef privée wildcar “*.domaine.tld” étant si vite arrivé, ma main a coupé que dans quelque temps on trouvera des scandale du style revente/vol de clef privée a cause de ca.
Un truc de sécurité évident est que tout les cookies du domaine sont envoyé à chaque URL demandé. Si il y a un token de sécurité dedans, il est envoyé avec.