La nouvelle mouture du navigateur doit sortir aujourd’hui, plus vraisemblablement dans la soirée. La version sera relativement mineure, avec quelques améliorations pratiques. Firefox 87 introduit cependant un changement majeur dans son traitement des URL.
Dans un billet publié hier, les développeurs de Firefox Dimi Lee et Christoph Kerschbaumer expliquent les travaux réalisés. Objectif général, proposer une règle plus stricte et orientée vers la vie privée pour les référents des URL.
Un référent, pour reprendre la définition donnée par Wikipedia, est « une information transmise à un serveur HTTP lorsqu'un visiteur suit un lien pour accéder à l'une de ses ressources, lui indiquant l'URL de la page où se situe ce lien qu'il a suivi ».
Problème, ces informations représentent une menace potentielle pour la vie privée aussi bien que pour la sécurité. Elles sont pour la plupart stockées dans l’historique et peuvent donc servir à identifier plus précisément un internaute.
Puisque les référents contiennent parfois des informations très précises sur le site d’où vient l’utilisateur et ce qu’il y a fait ou recherché, ils peuvent être exploités par des sites malveillants, en particulier quand on passe d’un site HTTPS à un autre en HTTP classique.
Par défaut, Firefox 87 nettoie ces informations et implémente une politique « strict-origin-when-cross-origin ». Le chemin suivi par l’utilisateur et la chaine de requête seront notamment supprimés.
Parmi les autres améliorations, signalons que la case « Tout surligner » pendant une recherche affiche – enfin ! – des petits traits jaunes dans la barre de défilement pour marquer les occurrences dans le texte. Le bouton Bibliothèque peut supprimer en outre les doublons et Backspace n’effectue plus par défaut l’action Précédent pour éviter les pertes de données dans les formulaires.
Commentaires (16)
#1
Cela veut-il dire que par exemple en php $_SERVER[‘HTTP_REFERER’] ne retournera plus rien ?
#1.1
Ils ont juste changé la valeur par défaut de Referrer-Policy, elle passe de no-referrer-when-downgrade à strict-origin-when-cross-origin. La seule différence est que dans le cas d’une navigation d’une origine (un site) à une autre la valeur de Referer ne contiendra plus le path. Voir https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
D’autres navigateurs ont déjà basculé vers strict-origin-when-cross-origin.
#1.2
Essaie et tu verras. ¯\(ツ)/¯
#2
Le coup dans la barre de défilement c’est vraiment top!!
#3
Pour ceux qui se demanderaient, la préférence modifiée est “network.http.referer.defaultPolicy”, passant de 3 à 2 :
https://wiki.mozilla.org/Security/Referrer
#4
il faudrait que je repasse en lts chez moi…
#5
Enfin ! c’est une plaie ces raccourcis historiques non modifiables ! Ici où dans jira, il suffit de perdre le focus (un chargement un peu plus lent), et tu te retrouvais sur la page précédente. Les sites étaient contraints de coder des sauvegardes à chaque touche appuyée ou afficher des popup à la sortie d’une page !
#6
C’est quoi qui a changer sur la barre de défilement ?! Je ne vois pas de différence
#7
Si j’ai bien compris, Firefox aura le même comportement que Chrome: du jaune dans la barre de défilement lorsque le mot recherché apparaît plusieurs dans la page web.
#8
Les notes de version parce que le résumé de nextImpact c’est quand même partiel :
https://www.mozilla.org/en-US/firefox/87.0/releasenotes/
#8.1
Un résumé exhaustif, ce n’est plus un résumé !
#8.2
Quand il manque plein d’infos, ce n’est pas un résumé non plus :)
#9
c’est moi ou c’est devenu vachement reactif ff ?
tenez si vous voulez tester la nouelle interface de electron avec la derniers maj ff
https://laptrinhx.com/how-to-enable-the-new-firefox-proton-design-now-1330316226/
https://i.imgur.com/AvXfBTE.png
#10
Est-ce que la politique « strict-origin-when-cross-origin » rend obsolète les extensions qui nettoient les url comme Pure URL ou au-revoir-utm ?
Merci !
#10.1
Je ne pense pas, parce que ça ne concerne que le referer.
#11
Couper tout le chemin (pour ne laisser que le domaine), ça m’a l’air quand même un peu excessif. Personnellement, j’aurai juste coupé la query string (après le “?”), car souvent en effet il y a des informations relatives à “l’état” dedans (recherche, session…).
Cela va devenir compliqué, pour ceux qui font des statistiques, de connaître les points d’entrée des utilisateurs quand ils cliquent sur un lien sur Facebook ou Twitter par exemple…