CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

Firefox 46 bêta renforce la sécurité du code JavaScript JIT

Posted by CercLL sur 14 mars 2016

image dediée

Depuis quelques jours, les testeurs peuvent récupérer la bêta de Firefox 46. Peu de nouvelles fonctionnalités, mais on y note quelques changements importants pour la sécurité. Les sites sans HTTPS proposant un formulaire de connexion seront ainsi marqués comme non sécurisés.

Firefox 46 ne brillera pas par ses nouveautés visibles. La grande majorité des changements se trouve sous le capot. L’intégration GTK3 pour Linux est ainsi présente, et cette fois-ci pourrait être enfin la bonne. Rappelons que cette prise en charge fait des allers retours dans Firefox depuis quelques versions, Mozilla n’étant finalement pas satisfait du niveau de qualité pour une version finalisée. Le support de GTK3 permet de réduire la dépendance à X11, une meilleure intégration dans les thèmes ou encore une compatibilité renforcée avec le HiDPI.

De la sécurité avant tout

La nouvelle version présente également deux changements importants pour la sécurité. D’une part, l’activation du marquage des sites comme non sécurisés quand ils proposent un formulaire de connexion sans HTTPS. Nous avions abordé en détails ce mécanisme, qui établit un changement significatif de paradigme : ne plus mettre en avant les sites possédant une connexion sécurisée, mais uniquement ceux qui n’en ont pas. Le fait qu’un site possède une connexion chiffrée devient ainsi la situation « normale ».

D’autre part, Mozilla annonce une meilleure sécurité pour la compilation Just-in-Time de JavaScript. Elle se fait au travers d’un mécanisme baptisé W^X, qui intervient sur le code RWX (read-write-execute). Ce dernier peut présenter des soucis de sécurité car il constitue une exception à certaines règles fixées par les systèmes d’exploitation, comme le stockage du code dans une zone où la mémoire peut être exécutée, mais non écrite.

L’activation de W^X permet d’interdire par défaut l’écriture dans les pages mémoire contenant du code JIT. Les développeurs ont donc intérêt à jeter un œil pour vérifier que la compatibilité est préservée, même s’il ne devrait y avoir aucun problème particulier. Il existe cependant un petit écart de performances, Mozilla estimant la chute comprise entre 1 et 4 % selon la configuration et le type de code.

La version Android sait mieux exploiter les onglets en cache

Pour le reste, Firefox 46 corrige divers bugs, l’utilisation du Content Decryption Module pour lire les contenus AAC et H.264 quand c’est possible, de meilleures performances pour WebRTC ou encore le support de HKDF pour l’API Web Crypto.

Quant à la version 46 pour Android, elle apporte une paire de fonctionnalités bienvenues. Par exemple, les onglets contenant des sites mis en cache peuvent maintenant être lus sans aucune connexion internet. Cet ajout n’est pas forcément compatible avec tous les sites, mais Firefox indiquera dans tous les cas en bas de l’écran quand il est exploité. Outre une compatibilité avec le nouveau système de permissions de Marshmallow (Android 6.0), le navigateur indique également l’adresse de la page quand il lance une notification au sujet d’un onglet ouvert en arrière-plan.

Attention tout de même, il s’agit de la toute première version Android à se débarrasser du support d’Honeycomb, plus précisément les versions 3.0 à 3.2.6 du système mobile. Les utilisateurs concernés ne pourront donc pas installer ce navigateur.

Source nextinpact.com

Sorry, the comment form is closed at this time.

 
%d blogueurs aiment cette page :