BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités Firefox 26 bloque Java

Firefox 26 bloque Java

Mozilla Firefox 26 bloque maintenant par défaut tous les plugins Java pour des raisons de sécurité mais permet quand-même aux utilisateurs de les activer s'ils le souhaitent.

Mozilla avait déjà voulu bloquer Java dans son navigateur en 2011 par sécurité, mais aucune décision n'avait été prise à l'époque. Toute cette année, Mozilla a travaillé et testé une solution Click-to-Play (CtP) pour permettre à ses utilisateurs de sélectionner les plugins qu'ils souhaitent activer. Mais le processus n'a pas été aussi simple que prévu et a affecté les sites et la navigation des utilisateurs Java.

En septembre, Mozilla a décidé de déclarer dangereuses toutes les versions de Java et cette fonctionnalité a été implémentée dans la version 24 de Firefox. Cependant, beaucoup d'utilisateurs n'ont pas compris pourquoi leurs sites et applications habituels ont subitement cessé de fonctionner et ils n'ont pas réalisé que cette nouvelle interface CtP permettait de réactiver Java ou que certains des plugins étaient invisibles et donc inaccessibles par CtP ou encore que, dans certains cas, l'interface CtP était elle-même invisible. Beaucoup d'utilisateurs de sites bancaires semblent avoir été touchés, du moins dans certains pays :

Knud Berggreen : le plugin Java 7u45 ne devrait pas être bloqué ! Cela concerne tous les citoyens danois car cela bloque l'identifiant national.

etoxsg : en Norvège, seules quelques banques en ligne vous permettent d'accéder à leurs services sans recourir à un plugin Java. Je dirais que 90% des foyers norvégiens, suédois et danois ont besoin d'un plugin Java actif pour accéder à eurs comptes. Ainsi, quand vous avez décidé tout d'un coup de bloquer TOUT Java sans prévenir, j'ai été obligé de gérer 8 visites à domicile et 15 appels téléphoniques d'amis, de voisins et de parents.

D'autres réactions venant de la communauté :

Tomasz : désolé pour un message aussi direct mais en tant qu'utilisateur : qui a pris une décision aussi irresponsable que le blocage de Java dans Firefox ?!

Je ne peux plus me connecter à mon compte boursier en ligne à cause de vous. L'application de ma banque affiche maintenant 'version Java >1.5 requise" dans une boîte de dialogue, sans aucune alerte de sécurité. Ça a juste cessé de fonctionner.

ipatrol : êtes-vous tous devenus fous ? Java est une des 3 technologies centrales du contenu dynamique ! Vous sortez la grosse artillerie pour supprimer quelques bugs et vous en parlez calmement, comme si c'était un simple ajustement d'interface graphique ?

Roger, un responsable ingénieur Java SE commente ce point :

Nous voyons sur java.com un grand nombre de personnes se plaignant que Firefox indique que Java 7u45 est vulnérable. Beaucoup disent que leur solution est d'utiliser IE. Les recherches sur les termes associés crèvent le plafond. Je ne suis pas sûr que c'était le résultat attendu lorsque les développeurs Firefox ont implémenté cette solution. La confusion liée au message et comment réactiver Java semble être un problème de facilité d'utilisation. Y a-t-il des statistiques disponibles sur l'effet de ce nouveau blocage pour les utilisateurs de Firefox ?

À partir de ce moment, Mozilla a choisi d'annuler ce blocage, mais cette mesure était temporaire, dans l'attente que CtP soit corrigé. À la fin octobre, Mozilla a annoncé une version beta de Firefox qui bloque tous les plugins à l'exception de Flash, à nouveau pour des raisons de sécurité.

Finalement, Firefox 26 bloque par défaut tous les plugins Java pour tous les sites. Il reste à voir si l'interface CtP est suffisamment claire pour permettre aux utilisateurs de réactiver Java lorsqu'ils en ont besoin.

Windows et Flash ont longtemps été blamés pour leurs failles de sécurité mais il semblerait que ça soit maintenant le tour de Java. Oracle ne semblait pas trop inquiété auparavant mais cela semble avoir bien changé dernièrement, si l'on en croit les 127 corrections de sécurités livrées en octobre via le programme de mises à jour critiques qui est censé livrer des correctifs au moins une fois par trimestre.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT