Sur le papier, c’est pavé de bonnes intentions : forcer les auteurs de sites à chiffrer la communication entre le serveur et le client. Plus de sécurité pour les utilisateurs, tant pis pour les dev paresseux, pas vrai ?

Sauf que HTTPS fonctionne sur le principe d’autorités centrales. Vous devez obtenir un certificat auprès d’une autorité de confiance, sans quoi le navigateur va afficher ça :

Michou ne va pas lire ce texte, encore moins chercher et trouver comment accéder au site. Elle va courir. Un virus !

Les moteurs de recherche vont vous plomber, l’utilisateur va fuir, bref, votre site est mort.

Et c’est la que ça devient fun, car les autorités centrales sont des organismes privés, et il n’y en a pas beaucoup. Ils ne sont pas tenus de vous filer un certificat, et peuvent le retirer à tout moment.

En clair, forcer SSL partout, c’est donner la main à quelques grosses boites pour décider qui a le droit d’être sur le Web ou pas. Vous voulez faire un truc qui ne leur plait pas ? Attention, montrer un tableau classique avec des nichons ne plait pas à Apple, faire un noeud Tor ne plait pas à Amazon, les bitcoins ne plaisent pas à Paypal et être gay ne plait pas à plein de gouvernements.

Toutes ces entités travaillent main dans la main avec les autorités de certification, et avoir Mozilla en proposer une n’y changera rien. Si vous faites un truc que ces gens ne veulent pas, vous effacer du Web sera aussi facile que de faire pression pour révoquer votre certificat.

Sans jugement. Sans procès. Sans recours possible.

Le Web deviendra un app store.

EDIT :

Je rajoute mon commentaire sur let’s encrypt ici sinon je sens que tout le monde va radoter

L’article a un lien qui pointe vers let’s encrypt. Ca ne change rien : c’est centralisé, privé, et subira des pressions comme tous les autres. J’aime Mozilla, j’ai confiance en eux, mais ils n’ont aucun moyen de garantir la neutralité de let’s encrypt, ne serait que par rapport aux gouvernements.

Et puis quoi ? A la fin tous les sites “border line” seront chez eux ? Comme ça bam, un bon single point of failure à attaquer pour tout faire tomber d’un coup ?

FBI. FBI. FBI.

Problème, le data channel actuellement marche entre Firefox, et entre Chrome, mais pas entre Firefox et Chrome. Safari, IE, Opera et autre ne marchent juste pas.

Histoire de simplifier les choses, on va le lancer pour un seul navigateur et prétendre que ça ne marche pas sur l’autre, pour éviter que l’utilisateur se retrouve avec un comportement “on/off” selon la personne qu’il a en face.

On ne va pas se baser sur les stats générales d’utilisation car on est interessé par les lecteurs qui commentent, c’est à dire ceux qui seront les premiers concernés par le projet quand on le sortira.

Donc petit sondage : quel navigateur utilisez-vous le plus toute la journée ?

Un comment, une réponse : soit Firefox, soit Chrome.

Si autre, ce sera pour une prochaine fois ^^ (évidement on va ajouter les autres nav au fur et à mesure)

:-)

Avec Opéra c’est rigolo aussi.

La solution est de forcer le refresh de la page et du cache avec Ctrl + Shift + R.

10 ans d’extensions. 10 ans à installer et désinstaller des trucs, à faire planter ce qui s’est appelé Phoenix, puis Firebird, puis Firefox. Puis à chercher des équivalents sous Chrom(e|ium). En voici le florilège.

1 – Last pass

J’espère que vous en entendez parler souvent. J’espère qu’on vous gave avec last pass tellement souvent que vous en êtes lassés. On ne communiquera jamais suffisamment sur ce service, qui est le seul gestionnaire de mots de passe valable:

– chiffrement côté client (last pass ne possède pas vos mots de passe);
– génération de mots de passe aléatoires;
– bonne ergonomie;
– multi-plateforme (client mac, windows, linux, android, iphone, app web, extension FF, Chrome, Opera, IE, etc);
– synchronisation automatique entre toutes les plateformes;
– notes sécurisées (on peut mettre autre chose que des mots de passe);
– très bonne réactivité (lors de la dernière attaque sur leurs serveurs, l’équipe a été très pro);
– tous les mots de passes sont accessibles hors ligne.

Site officiel

2 – Adblock (plus)

Je doute qu’il existe encore un lecteur de blog qui ne connaisse pas ce bloqueur de pub donc ne nous attardons pas dessus. Naviguer sans, c’est naviguer à poil.

Site officiel

3 – Flash block

Parce qu’une seule page contenant un applet Flash peut faire ramer tout un ordi, cette extension qui les bloque jusqu’à ce que l’on appuie sur le bouton “play” est une petite merveille.

Pour FF
Pour Chrome

4 – Ghostery

Bloque les mouchards: boutons sociaux (+1, partager, etc), libs de stats (analytics, etc) et commentaires (disqus, FB comment). Tout est configurable, et ça libère l’esprit.

Site officiel

5 – WOT

À installer par défaut sur l’ordinateur de tous les membres de votre cercle familial et social afin qu’ils arrêtent de vous appeler une fois que leur ordinateur est pourri par leurs habitudes de surf merdiques.

Affiche un rond vert, jaune ou rouge sur chaque lien pour indiquer si il est sûr ou pas. Si on va sur un site à risques, affiche une GROSSE bannière. Leur système collaboratif a jusqu’ici bien réussi à éviter le détournement de leur notation.

Site officiel

6 – Lazarus form recovery

Vous saisissez un formulaire. Quelque chose se passe mal.

– Option 1: vous vous retapez tout le formulaire;
– Option 2: vous cliquez sur le bouton “sauve moi la vie je t’en prie je t’en prie putain” de lazarus, et il vous restaure tout ça en une seconde.

Site officiel

7 -Raccourcisseur d’URL

Créer une URL courte en un clic. Pratique quand on chat/twit beaucoup, d’autant qu’il y a une option pour twitter l’URL en question. Plein de choix de providers.

Pour chrome
L’équivalent FF est moins sympa

8 – Awesome Screenshot

Capturer une page web complète sous forme d’image, l’annoter avec des mots doux et des flèches taquines, la mettre en ligne, et passer à son voisin.

Site officiel

9 – Forcer l’HTTPS

Force le navigateur à toujours passer par une connexion sécurisée quand c’est possible. Fire and forget.

Attention à l’extension que vous choisissez pour faire ce boulot. Certaines comme HTTPS enforcer redirigent vos requêtes par un proxy privé.

Chrome
FF

Problème, parfois si un site redirige https sur http, ça boucle :-(

10 – Download video helper

Télécharger les vidéos des tubes, et les encoder. On peut même récupérer uniquement la bande son en mp3. Mais cette extension n’existe que sur Firefox, car il me semble que Google refuse ce genre d’extensions sur sa Web store. C’est là qu’on voit tout l’intérêt d’avoir Mozilla dans la course, ils ont gardé l’esprit de leurs débuts.

Ce qui n’est pas dans le lot

– noscript: trop contraignant. On passe des heures à configurer chaque acceptation pour chaque site.
– web developer et firebug. Indispensables il y a quelques années, c’est maintenant un poids inutile au regard de la qualité des outils d’introspection intégrés au navigateur.
– mouse gesture. Au début je ne jurais que par ça. Comme tous les gadgets, on se lasse.
– grease monkey. Idem.
– live HTTP Headers. Utile une fois tous les 6 mois. On installe, on utilise, on désinstalle.
– selenium. Uniquement dans un navigateur spécialisé pour ça.
– stumble uppon. Génial. Trop génial. Je n’ai qu’une vie.

Rappel

Malgré l’apparente légèreté des extensions Chrome, chacune d’elles bouffe énormément de ressources. Pour vous en convaincre, ouvrez un logiciel qui vous liste les process tels qu’htop, et regardez:

Ressources consommées par chromium du fait des extensions

Ici, Chromium spawn un process pour chaque extension. C’est le prix à payer du sand boxing. Vous noterez qu’à lui tout seul le navigateur bouffe 10,9 + 3,8 + 3,4 + 3 + 2, 4 + 2,3 + 2, 1 = 27,9% de la mémoire sans même une page d’ouverte. Certes, je suis sur une machine toute pourrie qui possède 715Mo de RAM et qui fait tourner Lubuntu, mais tout de même, c’est plus que l’OS…

Cela dit, Firefox et Opera ne font guère mieux, le seul navigateur un peu respectueux de ma config de secours étant Epiphany. Mais il faut dire adieu aux extensions, à Flash et au débugger. En clair, l’expérience Web des années 2010 demande une machine de guerre.

Les navigateurs Web ne peuvent plus êtres classés dans la catégorie des clients légers: local storage, accélération matérielle, video, 3D, web socket, web worker, machine virtuelle super optimisée et sandboxée, compilation just in time… Vous vous souvenez de l’époque à laquelle on se moquait des applets Java parce qu’ils étaient trop lourds ?

Pour ceux qui se demandent où ils peuvent faire l’acquisition de l’item utilisé pour illustrer l’article sur la page d’accueil, c’est par ici. Notez que l’utilisation des puces qui font penser à un blog bien connu est un pur hasard.