Le navigateur Firefox bloque les téléchargements non sécurisés sur les pages HTTPS
Lentement mais sûrement, le Web a principalement évolué pour utiliser HTTP ou HTTPS sécurisé par défaut pour la navigation sur les pages Web.
Cependant, il existe encore quelques exceptions, en particulier lorsqu’il s’agit de contenu téléchargé via ces pages Web censées être sécurisées.
Il ne suffit plus de marquer les pages Web comme «sécurisées», mais aussi les ressources qui en découlent.
À partir du mois prochain, Mozilla suivra les traces de Chrome et fera en sorte que Firefox bloque les téléchargements sur les pages HTTPS provenant de contenu HTTP non sécurisé.
La poussée agressive pour mettre HTTPS au premier plan peut avoir un effet secondaire malheureux. La plupart des gens peuvent confondre sécurité et sécurité, en supposant que tout sur une page Web HTTPS est sûr.
Techniquement parlant, HTTPS garantit uniquement que la connexion à la page est sécurisée par cryptage, mais le contenu sur ou à partir de la page peut toujours être un jeu équitable pour les pirates.
Le danger est encore plus grand lorsqu’il s’agit de contenu téléchargé qui ne provient pas de la même page HTTPS.
Appelé « téléchargements de contenus mixtes », cela présente le risque que les pages Web HTTPS créent une connexion non sécurisée à une ressource HTTP, annulant ainsi les avantages de cette page Web sécurisée.
Les navigateurs Web actuels avertissent normalement les utilisateurs de la visite de pages Web non HTTPS, mais pas du téléchargement à partir de connexions non sécurisées.
Google a commencé à apporter des modifications à Chrome au début de l’année dernière, et Mozilla suivra.
À partir de Firefox 92, prévu pour le 7 septembre, le navigateur Web bloquera et avertira les utilisateurs lorsqu’ils essaieront de télécharger quelque chose via HTTP lorsqu’ils sont sur un HTTPS page.
Bien sûr, ce n’est pas un blocage dur, et les utilisateurs peuvent toujours choisir de procéder au téléchargement à leurs risques et périls.
Comme le souligne XDA, ce nouveau comportement n’affecte que les téléchargements HTTP sur des pages HTTPS. Les téléchargements HTTP sur des pages HTTP normales ne déclencheront pas l’avertissement.
De plus, coller un lien de téléchargement HTTP directement dans Firefox le laissera passer normalement.
