La semaine dernière, Mozilla a annoncé qu’elle allait inviter les utilisateurs de Firefox sur Windows de mettre à jour les anciennes versions d’Adobe Reader, Adobe Flash et Microsoft Silverlight, mais nous n’avions aucun détails sur la façon dont le système allait fonctionner.
Vendredi dernier, comme me l’a mentionné @HTeuMeuLeu la Fondation a dévoilé le « click-to-play plugin blocks » qui sera activé par défaut la future version du navigateur, Firefox 17, en commençant par les trois plugins mentionnés ci-dessus (avant que d’autres soient ajoutés par la suite). En outre, vous pouvez essayer la fonctionnalité pour vous-même dès maintenant dans Firefox 17 bêta pour Windows, Mac et Linux.
Comme vous allez le voir, Mozilla a eu l’idée de fusionner click-to-play plugins qui vous permet de contrôler la manière dont les plugins fonctionnent à l’aide d’un bouton « activer » dans le but de charger uniquement le contenu nécessitant un plugin cliqué, avec le concept d’une liste de blocage (une liste d’addons et de plugins qui sont désactivés).
En tant que tel, « click-to-play plugin blocks » consistera en une liste de plugins que Mozilla juge dangereux pour les utilisateurs de Firefox. Cependant, au lieu de désactiver complètement ce qui est sur la liste, l’entreprise pourra les empêcher de s’exécuter lorsque la page est chargée : vous devrez d’abord cliquer.
Voici à quoi il ressemblera :
Comme vous pouvez le voir ci-dessus, les utilisateurs de Firefox seront avertis dès lors qu’un plugin est vulnérable et l’empêchera de se charger automatiquement. S’il y a une mise à jour disponible, vous serez invité à mettre à jour le plugin. De toute façon, vous serez en mesure d’utiliser le plugin en cliquant sur le bouton play gris si vous le souhaitez.
En outre, si les plugins sont bloqués sur la page Web, Mozilla mettra le contenu en avant à l’aide d’une icône bleue à gauche de la barre d’adresse pour plus d’informations. Voici à quoi il ressemblera une fois ouvert :
Mozilla estime que c’est la meilleure solution d’être alerté pour que les plugins qui sont obsolètes et donc potentiellement dangereux. Voici ce que la société précise :
By combining the safety of the blocklist with the flexibility of click-to-play, we now have an even more effective method of dealing with vulnerable or out-of-date plugins. Instead of choosing between vulnerable but useful (by allowing an old plugin to run automatically) and safe but less useful (by completely disabling old plugins), click-to-play blocklisted plugins gives the user the ability to make an informed decision depending on their current activity.
Comme déjà mentionné, cette fonction sera activée par défaut dans Firefox 17. Cependant, il y a une préférence possible du plugin disponible depuis about:config
qui peut être réglé sur true
pour activer le click-to-play pour tous les plugins, et pas seulement ceux qui ne sont pas à jour. Mozilla affirme qu’elle continue à développer cette partie.
Bien que ce ne soit pas un système de gestion complet , cette fonctionnalité va être particulièrement utile en tant que mécanisme de prévention contre les attaques ciblant les plugins qui sont connues pour être vulnérables. Ceux-ci sont souvent trouvés sur les sites qui essaient d’insérer des logiciels malveillants, que ce soit en cliquant sur le lien d’une vidéo, ou encore en se cachant dans les publicités sur un site Web légitime.
Cette fonctionnalité ne sera pas utile dans le scénario où les utilisateurs sont convaincus d’activer un plugin vulnérable sur un site malveillant…
Nous voilà protégés ? Je ne pense pas …