lundi 6 avril 2020

Détails techniques sur l'affaire des messages privés de Twitter mis en cache dans Firefox

Twitter : Informations importantes à l'attention des utilisateurs de Firefox, publié le 2020-04-02 Un message affiché par Twitter sur tous les comptes de ses utilisateurs et utilisatrices sur Firefox laissait entendre qu’un bogue de Firefox était en cause dans la mise en cache des informations sensibles que sont les messages privés échangés sur le réseau social. Il n’en est rien.

Twitter avait développé son site web en se basant sur le comportement non standard de certains navigateurs que Firefox lui, qui suivait le standard du Web, ne mettait pas en œuvre.

Eric Rescorla, le directeur technique de Firefox, nous a fait part de ses réflexions sur ce que vous devez savoir à propos de Twitter sur Firefox sur le blog de Mozilla et Martin Thomson, ingénieur chez Mozilla, nous livre les détails techniques derrière cette affaire. Comme le premier billet, la communauté Mozilla francophone vous a aussi traduit ce billet :

La mise en cache des messages privés de Twitter et Firefox

Twitter communique à ses utilisateurs et utilisatrices que leurs messages privés personnels pourraient être stockés dans le cache web de Firefox.

Ce problème touche toutes les personnes qui utilisent Twitter sur Firefox à partir d’un compte d’ordinateur partagé. Ces utilisateurs et utilisatrices devraient vider leur cache.

Ce billet explique la manière dont ce problème est survenu, les implications pour les personnes susceptibles d’être touchées et la manière dont les problèmes de cette nature pourraient être évités à l’avenir. Pour y parvenir, nous devons nous pencher un peu sur la manière dont fonctionne la gestion du cache web.

Sur le blog de Mozilla, Eric Rescorla, le directeur technique de Firefox, nous fait part de ses réflexions sur ce que vous devez savoir à propos de Twitter sur Firefox, avec cet important rappel :

Le Web est compliqué et il est difficile de tout savoir à son sujet. Mais c’est aussi un bon rappel de l’importance de disposer de standards pour le Web plutôt que de compter uniquement sur ce qu’un navigateur particulier fait par hasard.

Les bases de la confidentialité de la mise en cache web

La mise en cache est essentielle aux performances sur le Web. Les navigateurs mettent en cache le contenu afin de pouvoir le réutiliser sans communiquer avec les serveurs, ce qui peut être lent. Cependant, la manière dont le contenu du web est mis en cache peut être assez déroutante.

L’Internet Engineering Task Force a publié la spécification RFC 7234 qui définit le fonctionnement de la mise en cache web. Un mécanisme clé est l’en-tête Cache-Control qui permet aux serveurs web de déclarer comment ils veulent que les caches traitent le contenu.

Les sites peuvent utiliser Cache-Control pour faire savoir aux navigateurs ce qui peut être stocké en toute sécurité dans les caches. Certains contenus doivent être récupérés à chaque fois, d’autres contenus ne sont valables que pour une brève durée. Cache-Control indique au navigateur ce qui peut être mis en cache et pendant combien de temps. Ou, comme c’est le cas ici, Cache-Control peut indiquer au navigateur que le contenu est sensible et qu’il ne doit pas être stocké.

Par ailleurs, en l’absence d’instructions Cache-Control en provenance des sites, les navigateurs font souvent des suppositions sur ce qui peut être mis en cache. Les sites ne fournissent souvent aucune information de mise en cache pour le contenu. Mais la mise en cache du contenu accélère le Web. Les navigateurs mettent donc en cache la plupart des contenus, sauf si on leur dit de ne pas le faire. Cette pratique est appelée « mise en cache heuristique » et diffère d’un navigateur à l’autre.

La mise en cache heuristique implique que la navigation devine quel contenu mettre en cache et pendant combien de temps. La mise en cache heuristique de Firefox stocke pendant 7 jours la plupart des contenus dépourvus d’informations de mise en cache explicites.

Il existe un tas de contrôles fournis par Cache-Control, mais le plus pertinent en l’espèce est une directive appelée « no-store ». Lorsqu’un site dit « no-store », cela indique au navigateur de ne jamais enregistrer une copie du contenu dans son cache. L’utilisation de « no-store » est le seul moyen de garantir que les informations ne sont jamais mises en cache.

L’affaire Twitter

Dans cette affaire, Twitter ne prévoyait pas de directive « no-store » pour les messages privés. Le contenu des messages privés est sensible et n’aurait donc pas dû être stocké dans le cache du navigateur. Sans Cache-Control ou Expires, cependant, les navigateurs utilisaient une logique de mise en cache heuristique.

Les tests de Twitter ont montré que la requête n’était pas mise en cache dans d’autres navigateurs. En effet, certains autres navigateurs désactivent la mise en cache heuristique si un en-tête HTTP sans rapport, Content-Disposition, est présent. Content-Disposition est une fonctionnalité qui permet aux sites d’identifier le contenu à télécharger et de suggérer un nom pour le fichier dans lequel ce contenu sera enregistré.

En comparaison, Firefox traite légitimement Content-Disposition comme sans rapport et ne désactive donc pas la mise en cache heuristique lorsqu’elle est présente.

Les messages HTTP utilisés par Twitter pour les messages privés ne comprenaient aucune directive Cache-Control. Pour les utilisateurs et utilisatrices de Firefox, cela signifiait que même lorsque la personne se servant de Twitter se déconnectait, les messages privés étaient stockés dans le cache du navigateur sur leur ordinateur.

Qui est affecté ?

Dans la mesure du possible, Firefox maintient séparés les caches.

Les personnes qui ont plusieurs comptes utilisateur sur le même ordinateur auront leurs propres caches qui sont complètement inaccessibles aux autres. Les personnes qui partagent un compte mais utilisent des profils différents de Firefox auront des caches différents.

Firefox fournit également des commandes qui permettent de contrôler ce qui est stocké. L’utilisation de la navigation privée implique que les données mises en cache ne sont pas conservées dans un stockage permanent et que tout cache est supprimé lorsque la fenêtre est fermée. Firefox propose également d’autres commandes, comme Effacer l’historique récent, Oublier ce site et l’effacement automatique de l’historique. Ces options sont toutes documentées ici.

Ce problème affecte uniquement les personnes qui partagent un compte sur le même ordinateur et qui n’utilisent aucune de ces techniques de confidentialité pour vider leur cache. Même si elles se sont déconnectées de Twitter, leurs messages privés restent dans leur cache.

Il est peu probable que d’autres utilisateurs ou utilisatrices qui utilisent plus tard le même profil de Firefox accèdent par inadvertance aux messages privés en cache. Cependant, un utilisateur ou une utilisatrice qui partage un même compte sur un ordinateur peut être en mesure de trouver et d’accéder aux fichiers de cache qui contiennent ces messages.

Ce qu’utilisateurs et utilisatrices peuvent faire

Les personnes qui ne partagent pas de compte sur leur ordinateur avec quelqu’un d’autre peuvent être assurées que leurs messages privés sont en sécurité. Aucune action n’est requise.

Les personnes qui utilisent des comptes sur des ordinateurs partagés peuvent vider leur cache de Firefox. Effacer uniquement le cache du navigateur à l’aide d’Effacer l’historique récent supprimera tous les messages privés de Twitter.

Ce que développeurs et développeuses de sites web peuvent faire

Nous recommandons que les sites identifient soigneusement les informations privées à l’aide de Cache-Control: no-store.

Une idée fausse répandue ici est que Cache-Control: private résoudrait ce problème. La directive « private » est utilisée pour les caches partagés, tels que ceux fournis par les réseaux de diffusion de contenu (CDN). Marquer le contenu comme « private » n’empêchera pas la mise en cache par le navigateur.

De manière plus générale, les développeurs et développeuses qui développent des sites doivent comprendre la différence entre les standards et les comportements observés. Ce que les navigateurs font aujourd’hui peut être observé et mesuré, mais, à moins que le comportement ne soit basé sur un standard documenté, rien ne garantit qu’il restera ainsi pour toujours.



Traduction et relecture : Mozinet, Hellosct1 et anonymes

Comme la version originale, cette traduction est disponible sous la licence CC By-SA 3.0.

La capture ajoutée à la traduction est disponible sous licence CC0.

samedi 4 avril 2020

Ce que vous devez savoir à propos de Twitter sur Firefox

Message de Twitter : Informations importantes à l'intention des utilisateurs de Firefox

Message de Twitter : Informations importantes à l'intention des utilisateurs de Firefox Eric Rescorla sur le blog de Mozilla le 3 avril 2020

Hier, Twitter a annoncé que pour les utilisateurs et utilisatrices de Firefox, des données telles que les messages privés (DM) pourraient rester sur leur ordinateur même en cas de déconnexion. Dans ce billet, je vais essayer de vous aider à comprendre la situation.

Lire la suite

dimanche 22 mars 2020

Les moments forts du Capitole du Libre 2019

Capitole du libre 2019

Capitole du libre 2019 Nous étions au Capitole du Libre à Toulouse les 16 et 17 novembre derniers comme nous vous l’avions annoncé. Il est temps de revenir sur les moments forts que vous avez loupés (ou pas).

Lire la suite

vendredi 13 mars 2020

Firefox 74 améliore votre sécurité en ligne

À propos de Mozilla Firefox 74

À propos de Mozilla Firefox 74 Le gros changement de Firefox 74 dont seuls les effets se feront voir est l’abandon de la prise en charge des protocoles de chiffrement TLS 1.0 et 1.1 qui utilisent des algorithmes cryptographiques faibles pour la navigation sécurisée (https). Les principaux éditeurs de navigateur ont décidé de ne plus prendre en charge ces versions anciennes du protocole publiées respectivement en 1996 et 2006.

MÀJ : Mozilla est revenu sur cette désactivation pour ne pas gêner la diffusion d’informations officielles sur des sites qui n’auraient pas quitté TLS 1.0 ou 1.1.

Nous avons annulé ce changement pour une durée indéterminée afin de permettre un meilleur accès aux sites gouvernementaux essentiels partageant des informations relatives au COVID-19.

Lire la suite

dimanche 1 mars 2020

Mozilla passe à Matrix

Welcome to chat.mozilla.org

Welcome to chat.mozilla.org Ce 1ᵉʳ mars, bon nombre de Mozilliennes et de Mozilliens vont ressentir une vague de nostalgie en repensant aux discussions et au bon temps passés toutes ces années sur IRC. En effet, c’est aujourd hui que Mozilla ferme son serveur IRC qui permettait jusqu’ici la discussion textuelle en temps réel dans de nombreux canaux thématiques.

Pour le remplacer, Mozilla a choisi une solution basée sur le protocole Matrix. Outre les fonctionnalités avancées proposées par cette solution, Mozilla a apprécié parce qu ’étaient proposés des outils spécifiques aux Directives relatives à la participation communautaire et à la modération. Mozilla a aussi apprécié le travail fait autour de l’accessibilité.

Lire la suite

mardi 25 février 2020

Confoo vous attend demain à Montréal !

Confoo 2020

Confoo 2020 L’événement Confoo vous attend du 26 au 28 février 2020 à Montréal au Canada, une occasion de rencontrer la communauté francophone de Mozilla.

La communauté francophone ne se limite pas à la France métropolitaine. Nos activités dépassent les frontières comme notre présence dans de nombreux pays comme la Belgique, la Suisse, l’Afrique… et une présence régulière à de nombreux événements tels que le Fosdem.

Lire la suite

samedi 15 février 2020

Les extensions dans le nouveau Firefox pour Android

Firefox Preview : gestionnaire de modules complémentaires > activés > uBlock Origin.jpg

Firefox Preview : gestionnaire de modules complémentaires > activés > uBlock Origin.jpgAlors que Firefox mobile a fêté ses 10 ans il y a peu, Mozilla se prépare à déployer sa plus importante mise à jour depuis le lancement de Firefox pour Android. Ce printemps, Mozilla va remplacer progressivement les Firefox sur les appareils Android par son navigateur de nouvelle génération en cours de développement et de test. Son nom de code est Fenix et il a été publié sur le Play Store sous le nom de Firefox Preview.

Le changement pourra être sensible en termes d’interface et de performances, mais Mozilla essaie de le rendre aussi transparent que possible pour les données personnelles. Les extensions se trouvent au croisement de ces deux catégories et elles vont connaître des changements importants. Le blog des modules complémentaires répond aux questions que vous pourriez vous poser et la communauté francophone a traduit questions et réponses pour vous :

Lire la suite

mercredi 12 février 2020

Firefox 73 avec un zoom global

Boîte À propos de Firefox 73

Boîte À propos de Firefox 73 Avec la réduction de l’intervalle entre les versions (qui sera de 4≤semaines avec la prochaine version), le nombre de nouveautés est lui aussi réduit.

Les deux nouveautés mises en avant par Mozilla améliorent l’accessibilité des contenus et sont disponibles pour tous et toutes.

Firefox plus accessible

Firefox 74 présente comme principale nouveauté le niveau de zoom global applicable à tous les sites web (voir sur SUMO). Cette option est disponible dans les options (about:preferences) dans la section Langue et apparence de l’onglet Général. Il peut être spécifié de 30 à 300 pour cent. Le niveau de zoom par site est toujours disponible sur cette base.

Lire la suite

vendredi 31 janvier 2020

Mozilla sera au FOSDEM ce week-end

DevRoom Mozilla - Fosdem 2017

DevRoom Mozilla - Fosdem 2017 Le Fosdem vous donne rendez-vous ce week-end, les 1er et 2 février 2020, à Bruxelles en Belgique.

Il s’agit du premier rassemblement de l’année regroupant des milliers de développeurs et développeuses, venu·e·s de toute l’Europe et du monde entier, réuni·e·s autour de l’open source et du Libre, dont Mozilla est un acteur important depuis le début de l’événement.

Lire la suite

jeudi 26 décembre 2019

Our Firefox tips: 2019 French-speaking Mozilla Community Advent Calendar

Les Fox en luge 25-12

Les Fox en luge 25-12 Our Advent calendar ended yesterday, exclusively on our social networks this year: Mastodon, Twitter and Facebook with the following topic: tips for Firefox.

Enjoy!

Lire la suite

mercredi 25 décembre 2019

Calendrier de l'Avent : toutes nos astuces

Les Fox en luge 25-12

Les Fox en luge 25-12 Notre calendrier de l’Avent s’est achevé hier. Cette année, il s’est exclusivement passé sur nos réseaux sociaux : Mastodon, Twitter et Facebook avec comme fil rouge : les astuces pour Firefox.

(Re)découvrez-les tranquillement.

Lire la suite

dimanche 22 décembre 2019

Calendrier de l’Avent 2019 – astuces pour Firefox – semaine 3

Les Fox en luge 22-12

Les Fox en luge 22-12 Cette année, notre calendrier de l’Avent se déroule exclusivement sur nos réseaux sociaux : Mastodon, Twitter et Facebook avec comme fil rouge : les astuces pour Firefox.

Pour ceux qui en auraient loupé une astuce au cours des semaines précédentes, lisez notre second récapitulatif ou même le premier. Pour la troisième semaine, découvrez notre nouveau récapitulatif :

Lire la suite

dimanche 15 décembre 2019

Calendrier de l’Avent 2019 – astuces pour Firefox – semaine 2

Les Fox en luge 15-12

Les Fox en luge 15-12 Cette année, notre calendrier de l’Avent se déroule exclusivement sur nos réseaux sociaux : Mastodon, Twitter et Facebook avec comme fil rouge : les astuces pour Firefox.

Pour ceux qui en auraient loupé une astuce au cours de la première semaine, lisez notre premier récapitulatif et pour la deuxième semaine découvrez ce second récapitulatif :

Lire la suite

lundi 9 décembre 2019

Mozilla au Paris Open Source Summit dès demain

Salle conférence Paris Open Source Summit 2018

Salle conférence Paris Open Source Summit 2018 Le Paris Open Source Summit, premier événement européen du Libre et de l’open source, est le fruit de la fusion de Solutions Linux et de l’Open World Forum, deux événements emblématiques du FLOSS, se déroulera les 10 et 11 décembre prochains aux Docks de Paris à Aubervilliers. Vous y trouverez un salon, des conférences, des tables rondes et un village associatif où vous nous trouverez.

Ce rendez-vous rassemble la communauté open source comme les années précédentes. Ce rendez-vous devenus incontournable pour les Français et les Européens est l’occasion de retrouver les professionnels de ce secteur et de nombreuses offres open source.

POSS propose 200 conférences autour de 9 thématiques (intelligence artificielle, e-commerce web, IoT, applications métier, gestion des données et blockchain, cloud, devops, infrastructure, développement de langages émergents, gouvernance, sécurité), des ateliers, un sommet communautaire, des prix acteurs et actrices du Libre et un concours de programmation (intelligence artificielle).

Lire la suite

dimanche 8 décembre 2019

Calendrier de l’Avent 2019 – astuces pour Firefox – semaine 1

Les Fox en luge 08-12

Les Fox en luge 08-12 Cette année, notre calendrier de l’Avent se déroule exclusivement sur nos réseaux sociaux : Mastodon, Twitter et Facebook avec comme fil rouge : les astuces pour Firefox.

Pour ceux qui en auraient loupé une au cours de cette première semaine, nous vous proposons un premier récapitulatif :

Lire la suite

samedi 7 décembre 2019

Il y a 15 ans Thunderbird 1.0 – Coup d’œil dans le rétro

Thunderbird 1.0

Thunderbird 1.0 Dans la foulée de Firefox 1.0, Thunderbird 1.0 sortait un peu moins d’un mois plus tard le 7 décembre 2004.

Comme Firefox, Thunderbird est issu du démembrement de la suite Mozilla. En avril 2003, le projet Mozilla avait été recentré autour des applications indépendantes Phoenix, le futur Firefox, et Minautor, le futur Thunderbird. En juillet 2003, le projet Mozilla a acquis son indépendance avec la création de la fondation qui, avec une poignée d’employé·e·s et beaucoup de bénévoles, sort en novembre 2004 Firefox 1.0 et le 7 décembre Thunderbird 1.0.

Lire la suite

lundi 2 décembre 2019

Retour sur notre soirée réalité virtuelle

public meetup VR

public meetup VR En novembre, nous vous invitions à notre soirée sur la réalité virtuelle pour un usage au quotidien.

Il est important de mieux comprendre le phénomène qui touche de nombreux métiers, de l’éducation et de la formation, à la construction de pages web, mais aussi dans le secteur médical comme pour la rééducation.

Lire la suite

samedi 30 novembre 2019

Calendrier de l'Avent : astuces pour Firefox

Calendrier de l’avent – Astuces Firefox 2019

Calendrier de l’avent – Astuces Firefox 2019 Nous approchons de la fin de l’année et ses nombreuses annonces de calendriers de l’Avent. Cette année encore, nous n’échappons pas à la règle (par exemple en 2018 ou en 2016).

Cette année, nous vous proposons de découvrir notre calendrier de l’Avent directement sur nos réseaux sociaux avec comme thème : les astuces pour Firefox.

Lire la suite

jeudi 14 novembre 2019

Soirée réalité virtuelle (VR, AR, XR) vendredi à Paris

scène VR

scène VR Disponible maintenant depuis de nombreuses années, la réalité virtuelle est en constante évolution. C’est le moment de s’y intéresser pour une utilisation au quotidien.

La réalité virtuelle sera le thème de notre prochain Meetup Firefox. Il se déroulera le 15 novembre à l’école européenne des métiers de l’Internet, l’école du web (EEMI) de Paris.

Lire la suite

mardi 5 novembre 2019

Capitole du Libre les 16 et 17 novembre à Toulouse

Le capitole du libre

Le capitole du libre Le Capitole du Libre a 10 ans cette année et vous donne rendez-vous les 16 et 17 novembre 2019 à Toulouse.

Il s’agit d’un week-end dédié au logiciel libre à travers 100 conférences et 25 ateliers, pour aussi bien les expertes et les experts que le grand public.

Retrouvez les impressions de l’édition 2018 avec notre interview de Ludovic.

Lire la suite

- page 1 de 22