Firefox 83, dont la sortie est prévue ce mardi, sera livré avec une nouvelle fonction de sécurité pour ne charger les sites web que via le protocole HTTPS, plus sécurisé que le protocole HTTP.
Firefox 83, dont la sortie est prévue ce mardi, sera livré avec une nouvelle fonction de sécurité appelée « Mode HTTPS uniquement », qui tentera de charger tous les sites web via HTTPS ou affichera un message d’erreur sur les sites qui ne supportent que l’ancien protocole HTTP, peu sécurisé.
Par défaut, la nouvelle fonction est désactivée, mais les utilisateurs peuvent l’activer en se rendant sur la page des options de Firefox, dans la section « Vie privée et sécurité », puis en recherchant les paramètres du mode HTTPS uniquement.
Selon Mozilla, ce nouveau service fonctionne en essayant de trouver la version HTTPS de n’importe quel site web, même si l’utilisateur a accédé au site en tapant ou en cliquant sur un lien HTTP. Si Firefox ne peut pas mettre automatiquement à jour un site en utilisant une connexion HTTPS, le navigateur affichera une erreur à l’utilisateur et lui demandera de cliquer sur un bouton pour confirmer qu’il veut accéder à un site web via une ancienne connexion HTTP.
Une fonction désactivable en cas de besoin
La nouvelle fonction « Mode HTTPS uniquement » peut également être activée ou désactivée en cliquant sur l’icône de verrouillage dans la barre d’adresse et en la sélectionnant dans le panneau déroulant qui apparaît. Aujourd’hui, le protocole HTTP est considéré comme peu sécurisé car tout le trafic se fait par le biais de messages en texte clair qui peuvent être interceptés et exposer le trafic web d’un utilisateur.
Pour rappel, le protocole HTTPS est l’évolution naturelle du protocole HTTP, la connexion étant établie et s’effectuant via un canal chiffré.
La direction de Mozilla indique s’attendre à ce que le HTTPS devienne la norme pour naviguer sur le web. Comme de plus en plus de sites web vont migrer vers le HTTPS, Mozilla explique qu’il sera bientôt possible pour les fabricants de navigateurs de déprécier complètement les connexions HTTP, faisant effectivement du mode HTTPS seul l’état de navigation par défaut à l’avenir.
Source : zdnet.com