Dans un billet de blog, Mozilla annonce son intention de marquer le protocole HTTP comme étant obsolète afin de privilégier l’utilisation du protocole HTTPS utilisant le cryptage lors du transfert de données pour assurer l’intégrité et une meilleure sécurité.
Pour cela, Mozilla propose de définir une date après laquelle toute nouvelle fonctionnalité ne sera disponible qu’aux sites web utilisant le protocole sécurisé. Après cela, tous les autres sites se verront révoquer le droit d’utiliser certaines fonctions du navigateur, en particulier celles qui présentent des risques pour la sécurité et le respect de la vie privée des utilisateurs. Le but final de cet effort est d’envoyer un message d’alerte aux développeurs Web pour les inciter à adopter le protocole HTTPS partout sur leurs sites.
Mais Mozilla veut aller plus loin en proposant cette stratégie au W3C à travers son groupe de travail responsable sur la sécurité des applications web. En effet, si une telle décision est adoptée par le groupe de standardisation international, l’initiative serait beaucoup plus efficace puisqu’elle serait coordonnée et adoptée par l’ensemble de la communauté web et en particulier par les autres navigateurs.
Toutefois, après une discussion approfondie sur le sujet, la communauté active sur la liste de diffusion de Mozilla s’est mise d’accord sur la nécessité de bien étudier le compromis entre la sécurité et la compatibilité Web. Comme cité sur le billet de blog, « interdire des fonctionnalités pour les sites web non-sécurisés est susceptible de rompre le fonctionnement certains sites. Nous devons donc surveiller le degré de rupture et l'équilibrer avec les gains en termes de sécurité ». Une telle décision ne devrait donc pas être prise à la légère.
D’autres propositions ont également été proposées sur la liste de diffusion de Mozilla telles que la limitation de la portée des cookies générés par les sites non sécurisés, ou encore la traduction automatique du schéma HTTP en HTTPS par le navigateur, ce qui permettrait aux internautes de visiter, en toute sécurité, des sites web utilisant encore le protocole obsolète.
Source: Mozilla Blog
Pour cela, Mozilla propose de définir une date après laquelle toute nouvelle fonctionnalité ne sera disponible qu’aux sites web utilisant le protocole sécurisé. Après cela, tous les autres sites se verront révoquer le droit d’utiliser certaines fonctions du navigateur, en particulier celles qui présentent des risques pour la sécurité et le respect de la vie privée des utilisateurs. Le but final de cet effort est d’envoyer un message d’alerte aux développeurs Web pour les inciter à adopter le protocole HTTPS partout sur leurs sites.
Mais Mozilla veut aller plus loin en proposant cette stratégie au W3C à travers son groupe de travail responsable sur la sécurité des applications web. En effet, si une telle décision est adoptée par le groupe de standardisation international, l’initiative serait beaucoup plus efficace puisqu’elle serait coordonnée et adoptée par l’ensemble de la communauté web et en particulier par les autres navigateurs.
Toutefois, après une discussion approfondie sur le sujet, la communauté active sur la liste de diffusion de Mozilla s’est mise d’accord sur la nécessité de bien étudier le compromis entre la sécurité et la compatibilité Web. Comme cité sur le billet de blog, « interdire des fonctionnalités pour les sites web non-sécurisés est susceptible de rompre le fonctionnement certains sites. Nous devons donc surveiller le degré de rupture et l'équilibrer avec les gains en termes de sécurité ». Une telle décision ne devrait donc pas être prise à la légère.
D’autres propositions ont également été proposées sur la liste de diffusion de Mozilla telles que la limitation de la portée des cookies générés par les sites non sécurisés, ou encore la traduction automatique du schéma HTTP en HTTPS par le navigateur, ce qui permettrait aux internautes de visiter, en toute sécurité, des sites web utilisant encore le protocole obsolète.
Source: Mozilla Blog
Aucun commentaire:
Enregistrer un commentaire