Firefox 37 : tous les chemins mènent à la sécurité

MacPCPoste de travail
firefox-37

Débogage, chiffrement, certificats : la sécurité est au coeur de Firefox 37, désormais disponible en version stable.

Firefox 37 a fait son entrée en version stable ce 31 mars, sur Windows, OS X, Linux et Android.

Les fonctionnalités introduites fin février avec Firefox 36 sont reconduites. Notamment la prise en charge intégrale du HTTP/2, protocole d’accélération du chargement des pages Web.

En première position sur la liste des nouveautés figure Heartbeat. Cet outil permet aux utilisateurs des moutures desktop de faire remonter leurs remarques auprès des développeurs. Il est également actif sur les préversions du navigateur. Pour le désactiver, il faudra ouvrir la page about:config et supprimer la valeur associée à browser.selfsupport.url.

Mozilla annonce également la prise en charge de l’Opportunistic Encryption. Cette technologie peut être exploitée pour proposer du chiffrement sur un serveur en HTTP. Le trafic est automatiquement redirigé sur un port chiffré avec un certificat qui pourra être autosigné. Une méthode plus sécurisée que le HTTP pur, mais qui ne remplace en aucun cas le HTTPS (elle est par exemple inefficace contre les attaques de type « Man-in-the-Middle »).

Quelques modifications sont à recenser sur la recherche en ligne. D’une part, les requêtes sur Bing sont désormais effectuées en HTTPS. De l’autre, la prise de distance vis-à-vis de Google se poursuit : Yandex est maintenant proposé par défaut sur la version turque de Firefox.

Mais le principal volet concerne la sécurité, avec non seulement une prise en charge plus stricte du SSL et du TLS, mais aussi une protection améliorée contre les sites usurpés, grâce au système centralisé OneCRL. Des listes de certificats révoqués sont régulièrement communiquées au navigateur, en arrière-plan, sans nécessiter de redémarrage.

Mozilla corrige aussi 13 failles, dont 4 classées critiques. Deux d’entre elles consistent à tromper Firefox – via des modules complémentaires – sur le type de données qu’il manipule en créant plusieurs pointeurs se référant à une même adresse mémoire, mais incompatibles entre eux.

En plus d’un tableau de bord dédié à la sécurité, les développeurs bénéficieront d’un module complémentaire expérimental baptisé Valence et qui doit permettre de déboguer d’autres butineurs que ceux basés sur le moteur de rendu Gecko.

A noter, pour les utilisateurs de Windows, la prise en charge native de la lecture HTML5 sur YouTube (Vista et versions ultérieures) ainsi qu’un rendu WebGL plus rapide, via DirectX 11 et non plus DirectX 9.

Crédit photo : Matthew J. Glass – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur