Firefox : le chargement de ressources FTP dans une page Web ne sera plus autoris�
Le protocole FTP ne supportant pas le chiffrement moderne

Le , par Blondelle M�lina, Chroniqueuse Actualit�s
Mozilla Firefox commencera � bloquer le chargement de ressources � partir des serveurs FTP dans les pages HTTP et HTTPS. Cette mesure de s�curit� s'appliquera d�s Firefox 61 (qui sera disponible en juin prochain selon les ing�nieurs de Mozilla) et les versions ult�rieures. Les ressources FTP sont les fichiers charg�s via le protocole FTP dans les balises <img>, <script> et <iframe> avec src = � ftp://  ï¿½.


Le probl�me est que FTP est un protocole non s�curis� qui ne supporte pas les techniques de chiffrement modernes et va casser par lui-m�me de nombreuses autres fonctions de s�curit� et de confidentialit� du navigateur, telles que HSTS, CSP, XSA ou autres. En outre, de nombreuses campagnes de distribution de logiciels malveillants reposent souvent sur la compromission de serveurs FTP et la redirection ou le t�l�chargement de logiciels malveillants sur les ordinateurs des utilisateurs via des ressources FTP.

La modification permettra d'acc�der aux ressources FTP dans les hyperliens ou lorsque l'adresse d'un serveur FTP est entr�e dans la barre d'adresse de Firefox, mais le navigateur ne permettra plus d'invoquer les ressources FTP � l'aide de l'attribut src HTML.

Google a pris une d�cision similaire avec Chrome 63 sorti en septembre dernier en bloquant le chargement des ressources FTP. Le navigateur a commenc� � bloquer le chargement de la ressource FTP, et a �galement commenc� � �tiqueter les sites FTP dans la barre d'adresse du navigateur comme � non s�curis�s ï¿½. Google a d�clar� � l'�poque que 0,0026 % de tous les liens charg�s dans la barre d'adresse du navigateur �taient des liens FTP, un nombre susceptible d'�tre tr�s similaire sur Firefox.

FTP envoie des donn�es en clair et n'a pas �t� con�u pour le web moderne. En effet, le protocole a pr�c�d� le web de plus de 15 ans. Peu de gens pleureront ou remarqueront la d�pr�ciation de FTP � l'int�rieur de Firefox. Le protocole est maintenant si marginalis� que m�me les services de t�l�chargement sous Linux ont cess� de l'offrir en option.

Source : Firefox Site Compatibility

Et vous ?

Qu'en pensez-vous de cette mesure de s�curit� ?


Vous avez aim� cette actualit� ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une r�ponse

Avatar de tanaka59 tanaka59 - Membre confirm� https://www.developpez.com
le 12/04/2018 � 10:30
Quand on sait que certain FTP acceptent encore les connexion en "anonymous" cela fait peur ... .

Il reste le FTPS et le SFTP

Pour transmettre de la date entre serveur c'est quand m�me plus secure .
Avatar de Jarodd Jarodd - Membre exp�riment� https://www.developpez.com
le 12/04/2018 � 18:20
Dommage, c'est pratique pour t�l�charger des fichiers publics. Par exemple, des versions de... Firefox.
Avatar de vayel vayel - Nouveau Candidat au Club https://www.developpez.com
le 12/04/2018 � 18:27
ftp est tr�s utilis�, notamment pour t�l�charger des fichiers "sans droits" au hasar Debian 10

bon au pire y'a le torrent ou r-sync qui sont de toute mani�re meilleur pour le download fiability.
Avatar de 23JFK 23JFK - Membre exp�riment� https://www.developpez.com
le 12/04/2018 � 18:56
La news n'a pas l'air de dire que le FTP allait �tre banni de firefox, mais que les balises html de type img ou embbed dont le src commence par ftp:// allaient �tre bloqu�es.
Avatar de tes49 tes49 - Membre averti https://www.developpez.com
le 12/04/2018 � 19:56
Salut

Il n'y aura blocage des ftp qu'� partir des pages Http (� partir de https � contenu mixe, il y aurait d�j� blocage, ce que je n'ai pas v�rifi� moi-m�me..)...

Une adresse ftp pourra �tre charg� directement, donc pas de quoi s'affoler pour le moment.... Mais une personne sur le bug � tout de m�me pos� la question pour venir � interdire tout simplement les connexions aux ftp !...

Citation Envoy� par fxsitecompat.com
Those FTP resources can still be loaded if opened directly within the browser or any FTP page, and links to FTP servers are also not blocked.
Citation Envoy� par traduc auto
Ces ressources FTP peuvent toujours �tre charg�es si elles sont ouvertes directement dans le navigateur ou sur une page FTP, et les liens vers les serveurs FTP ne sont pas non plus bloqu�s.
Citation Envoy� par Jarodd
Dommage, c'est pratique pour t�l�charger des fichiers publics. Par exemple, des versions de... Firefox.
Tu garderas ce ftp pour un client comme FileZilla , quoi que ce dernier prenant aussi les adresses ci-dessous, tu pourra mettre ton ftp � la poubelle...

https://ftp.mozilla.org/
https://download-installer.cdn.mozilla.net/
https://releases.mozilla.org/

Cela dit, les http passant �norm�ment en https depuis 6-8 mois (pas mal de rectifications effectu�es dans mes marque-pages), je vois pas pour pourquoi les ftp resteraient tel qu'ils sont... (j'en ai encore quelques-un dans ma r�serve..)
 Poster une r�ponse
Contacter le responsable de la rubrique Accueil
OSZAR »