Firefox 88 prend des mesures contre les abus de la propriété window.name
Comment window.name persiste entre les sites. Image : Mozilla.
Firefox 88 a été publié lundi. Parmi les changements, il y a une modification de la façon dont le navigateur gère la propriété window.name.
Auparavant, cette propriété persistait pendant toute la durée de vie d’un onglet, ce qui signifie que lorsqu’un utilisateur passait d’un site à l’autre, la valeur de la propriété demeurait, et les données d’un site pouvaient être lues par un autre.
Une meilleure protection des données
« Les sociétés de tracking ont abusé de cette propriété pour faire fuiter des informations, et l’ont effectivement transformée en un canal de communication pour transporter des données entre sites web », affirme Tim Huang, ingénieur de Firefox Privacy, dans un billet de blog. « Pire encore, des sites malveillants ont pu observer le contenu de window.name pour recueillir des données privées d’utilisateurs qui ont été divulguées par inadvertance par un autre site web. »
A l’avenir, Firefox effacera désormais la propriété lorsqu’il passera d’un site à l’autre, et si un utilisateur retourne sur un site, la valeur de window.name de ce site sera restaurée. « Ensemble, ces deux règles d’effacement et de restauration des données window.name confinent effectivement ces données au site web où elles ont été créées à l’origine, de la même manière que la protection totale des cookies de Firefox confine les cookies au site web où ils ont été créés », explique Tim Huang.
« Ce confinement est essentiel pour empêcher les sites malveillants d’abuser de window.name pour collecter les données personnelles des utilisateurs. »
Le début de la fin pour le FTP
L’utilisation du FTP est désactivée avec la sortie de Firefox 88, mettant en œuvre le début du plan de suppression totale du protocole dans Firefox 90. Désormais, lorsqu’un utilisateur cliquera sur un lien FTP, Firefox tentera de le transmettre à une application externe.
« FTP est un protocole non sécurisé et il n’y a aucune raison de le préférer à HTTPS pour télécharger des ressources », affirmait l’année dernière Michal Novotny, ingénieur logiciel chez Mozilla. « De plus, une partie du code FTP est très ancienne, peu sûre et difficile à maintenir et nous y avons trouvé de nombreux bugs de sécurité par le passé. »
Parmi les autres nouveautés de Firefox 88, on peut citer la prise en charge de JavaScript dans les formulaires PDF, le zoom par pincement fluide via un pavé tactile sous Linux, et le fait que les lecteurs d’écran ne lisent plus le contenu visuellement caché. Le bouton de capture d’écran a également été supprimé de la barre d’URL, et les développeurs ont maintenant un bouton permettant de basculer entre les réponses JSON brutes et formatées.
Source : ZDNet.com
