Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  01.06.2024      r-  10.07.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Le 13 mars 1989, au CERN, Tim Berners-Lee a une idée, la soumet, et obtient le feu vert. Le Web est fonctionnel le 25.12.1990 au sein du CERN, et est rendu public le 06.08.1991 (Invention du Web). Toutes les technologies actuelles émergent dès le début. Des aigrefins tentent de breveter des inventions (Acacias et ses brevets scélérats) que d'autres, simples passionnés, inventent et publient. L'invention des plug-ins et des objets embarqués va donner lieu au plus long cauchemar du Web : l'affaire EOLAS v. Microsoft.

Un peu d'histoire des tout premiers navigateurs Web :



NavigateurDébutCommentaireSystèmeFin

NCSA Mosaic

23.01.1993

Mosaic est inventé et développé par Marc Andreessen et son équipe, au NCSA (National Center for Supercomputing Applications) à partir de décembre 1992, après avoir vu Viola (ViolaWWW - publié le 09.03.1992) en fonctionnement. Ils décident de partir de zéro et de tout écrire par eux-mêmes.

Mosaic a été, initialement, porté sous UNIX (X Mosaic sous X Windows) avant de s'ouvrir à Macintosh (Mac Mosaic) puis enfin à Windows et de rafler la mise, devenant quasiment l'unique navigateur Web utilisé et propulsant l'usage de l'Internet.

La version 0.1a, de juin 1993, comporte, parmi d'autres caractéristiques :

  • Support for inlined GIF images in HTML hypertext documents

  • Internal sound support for Sun/NeXT/DEC .AU audio files

  • Support for GIF, JPEG, MPEG, QuickTime for Windows, Microsoft Video for Windows, Postcript and other documents via forking to appropriate viewers (user configurable)

NCSA Mosaic dispose de la gestion d'images et de l'intégration de visualiseurs (plug-ins), 16 mois avant que Doyle (un plaideur faiseur de procès - affaire Eolas vs Microsoft où Microsoft perd) prétende l'avoir inventé et pour lesquelles il déposera une demande de brevet le 17.10.1994 et qu'il réussira à faire breveter, plus de 4 ans plus tard, après d'âpres bagarres, le 17.11.1998. Ainsi commence, le 17.10.1994, le plus long cauchemar du Web qui va durer 10 ans.

La première version publiée (publique) de Mosaic est la 0.5, le 23.01.1993.

NCSA Mosaic est distribué gratuitement auprès des sociétés commerciales qui développent alors leurs sites Web sur la base des caractéristiques de Mosaic. Si certaines sociétés veulent personnaliser Mosaic, ou l'intégrer dans un autre produit, le NCSA vend des licences Mosaic.

En 1994, NCSA se consacre à d'autres projets plus proches de son cœur de métier et ne soutient plus, financièrement, Mosaic. NCSA Mosaic connaît alors deux avatars :

  1. En août 1994, le NCSA vend une licence complète de Mosaic à la société Spyglass qui va développer Spyglass Mosaic avec succès (il sera le cœur d'Internet Explorer jusqu'à la version 6 inclue et, à partir d'Internet Explorer 4, sera considéré comme meilleur que Netscape navigator, en plus d'être livré gratuitement avec Windows).

  2. Marc Andreessen et son équipe partent et fondent le noyau de la société Netscape qui va développer Netscape navigator et atteindre jusqu'à 90% de parts de marché jusquà ce que IE4, gratuit et meilleur, ne les lamine.

Entre NCSA Mosaic, Netscape Navigator et Internet Explorer 4 (Internet Explorer) débute la première guerre des navigateurs.

Ressources :

Unix, Macintosh et Windows

Abandonné (dernière version le 07.01.1997 mais il peut toujours être téléchargé).
Il sera poursuivi avec Netscape et Spyglass.




Un navigateur Web est composé de 3 modules :

  1. Un moteur de rendu

    Un moteur de rendu (qui n'est pas le navigateur). Il calcul graphiquement et affiche le contenu Web consulté. Tous les moteurs de rendu sont open source puisqu'ils ne doivent faire, avec une stricte exactitude, que et tout ce que le W3C normalise et ordonne (et strictement rien d'autre. Ils peuvent tenter de se différencier par l'exactitude du rendu et la vitesse d'exécution. Nous avons, chez assiste.com, observé un bug dans le moteur de rendu de tous les navigateurs basés sur Chromium dont le moteur de rendu (Blink) rendait mal les flèches à droite de chaque titre de chapitre de notre site (nous avons dû modifier de très nombreuses fois le dessin de ces images pour en sortir, durant longtemps, avant de comprendre que cela venait du moteur de rendu de certains navigateurs utilisés en tests qui utilisent Blink). Le moteur de rendu Gecko du navigateur Web Mozilla Firefox (ainsi que du courriéleur Thunderbird et de dizaines d'autres navigateur Web) est meilleur et plus rapide.

    Un moteur de rendu est, lui-même, composé de 3 éléments :

    • Le moteur de rendu HTML 5 (il en existe 3 qui doivent répondre strictement, rien de plus, rien de moins, aux directives des standards du Web édictés par le W3C. Ils sont donc tous plus ou moins identiques (Quantum, WebKit, Blink). Le 8 décembre 2018, Microsoft a annoncé abandonner le moteur de rendu d'Edge, EdgeHTML, au profit de Blink. Les 2 ou 3 autres moteurs de rendu qui restent sont en voie de disparition. Par exemple : bug d'affichage dans Blink (corrigé depuis).

    • Le moteur/compilateur JavaScript. Il existe une course à la vitesse dans laquelle le moteur JavaScript de Firefox (Ion) sort premier (voir les captures d'écran des tests dans Firefox).

    • Le moteur de styles CSS (les « feuilles de style en cascade »).

  2. Le navigateur Web proprement dit

    Le navigateur Web proprement dit, qui sert à naviguer sur le Web. Mis à part celui de Firefox qui est open source, ils sont tous en code propriétaire (secret) avec interdiction contractuelle d'ingénierie inverse. C'est là que se cache tous les outils d'espionnage, suivi, surveillance, etc.

  3. Des modules additionnels

    Des modules additionnels (add-on), parfois obligatoires, parfois optionnels, aux goûts et usages de l'utilisateur. C'est du code injecté dans le navigateur. Certains sont « propres », d'autres sont de véritables espions ou de pures malveillances.

Tout cela sert :

  • À afficher une page Web visitée

  • À naviguer sur le Web

  • À personnaliser le navigateur

Choisir un navigateur Web pour se rendre sur l'Internet
Choisir un navigateur Web
pour se promener sur le Web


  • 01  Le moteur de rendu

    Le « moteur de rendu », c'est ce qui fait comment vous voyez, à l'écran, une page Web, juste la page Web, indépendamment de tout le reste qui s'affiche à l'écran, autour de la page Web visitée (entête, menu, bare de navigation, bare d'outils, panneaux latéraux, bas de la fenêtre, etc.), et relève du navigateur Web, pas du « moteur de rendu » (le navigateur Web peut demander au « moteur de rendu » d'afficher certains objets graphiques qui n'appartiennent pas à la page Web, comme les ascenseurs, les barres d'outils et les menus). Le « moteur de rendu » :

    • Interprète et affiche plus ou moins bien le code HTML selon les standards du W3C (y compris les formulaires et la prise en charge de l'interaction avec l'internaute)

    • En respectant plus ou moins bien les styles et formats décripts dans les feuilles de style en cascade (CSS) selon les standards du W3C

    • En interprétant plus ou moins bien, et plus ou moins rapidement, les codes Javascript (les scripts) de la page Web (il y a divers « moteurs javascript » (« interpréteur javascript ») dans les navigateurs Web dont les tests comparatifs de vitesse font l'objet de combats homériques : SpiderMonkey, TraceMonkey, JägerMonkey, IonMonkey, V8, JavaScriptCore, Chakra, Rhino, Tamarin, Carakan, Futhark, etc.

    • Avec un comportement dit « à tolérance de panne » (« fault tolerant ») qui passe son temps à tenter de rendre visible et cohérente une page bourée de fautes de syntaxe HTML et CSS, comportement hautement et admirablement abracadabrantesque (une véritable gymnastique les pieds au mur) qui fait des merveilles, mais permet aussi beaucoup de laxisme de la part des webmasteurs.

    Il existe désormais (normalisation forte) très peu de « moteur de rendu » (Quantum, Webkit, Blink, Gecko et c'est presque tout). Ils sont tous open source (sauf Khtml et Trident, tous deux en voie de disparition).

    Les critères de choix vont donc être :

    • Respect des standards du W3C

    • Vitesse

    Aucun souci du côté des « moteurs de rendu » en termes de sécurité et de protection ou violation de la vie privée - Les « moteurs de rendu » n'interviennent absolument pas dans ce domaine et ne communiquent pas avec l'ordinateur (sauf les routines appelant les APIs du processeur graphiques et les requêtes en ressources matérielles).

    ATTENTION : LE MOTEUR DE RENDU N'EST PAS LE NAVIGATEUR WEB.

    Qui utilise quoi ? Quels navigateurs Web (et autres applications) utilisent Webkit ou Gecko ou Quantum ou Blink ?

    • Gecko puis Quantum :
      Un des objectifs de Gecko a été, dès le départ, le strict respect des standards du web et des recommandations du W3vC. Les standards reconnus par Gecko sont notamment HTTP, HTTPS, FTP, FTPS, SSL, Unicode, JPEG, GIF, HTML, XHTML, XML, CSS, Javascript, ECMAScript, DOM, MathML, RDF, XSLT, SVG, PNG, RSS, Atom, Ajax et XUL. Gecko est remplacé par Quantum dans Firefox (mais continue d'exister dans des dizaines de navigateurs Web dérivés de Firefox.

    • Trident :
      L'un des objectifs de Microsoft, avec Trident, est de ne respecter aucun standard si ce ne sont pas des « standards » de Microsoft. A ce petit jeu, façe au W3C et face à tous les autres « moteurs de rendu », Microsoft a perdu.

    Moteurs de rendu

    #

    Gecko

    Fondation Mozilla

    Webkit

    Apple-Nokia

    Dérivé de KHTML du projet Unix KDE

    WebCore

    Apple

    Dérivé de KHTML du projet Unix KDE

    Blink

    Google

    Dérivé de Webkit

    Trident

    Microsoft

    EdgeHTML

    Microsoft

    Un fork de Trident

    Quantum

    Fondation Mozilla

    FirefoxKonquerorEpiphanyGoogle ChromeInternet Explorer (toutes les versions, depuis la version 4.0 à 11.0)Edge (jusqu'au passage à Blink annoncé le 8 déc 2018Firefox à partir de la version 57 le 14 novembre 2017
    ThunderbirdABrowseFlock (depuis version 3)ChromiumNetscape (dans la version 8)
    SeaMonkeyGtkHTML du projet GNOMEiCab (depuis version 4)Opera depuis sa version 15Maxthon (peut utiliser Gecko à la place de Trident)
    ServoNetFront (microbrowser pour petits appareils)iWebVivaldiAvant Browser
    CaminoOmniWebEdge (annonce du 8 déc 2018)AOL Explorer
    Flock (avant la version 3)RapidWeaverYahoo! Explorer
    Beonex CommunicatorSafariiRider
    Netscape (depuis la version 6)ShiiraGoogle Talk
    K-MeleonSunriseBrowserImpulse
    GaleonSwift
    KazehakaseMidori
    Pale Moon (moteur Goanna, basé sur Gecko)Origyn Web Browser
    CyberfoxSputnik
    WaterfoxNaveo
    NvuProtom Navigator
    Kompozer
    BlueGriffon
    Songbird
    Lunascape
    SmartNet Browser
    Epiphany
    Fennec
    Symphony OS (une distribution de Linux)
    Maxthon (peut utiliser Gecko à la place de Trident)


  • 02  Le navigateur Web proprement dit

    C'est lui qui permet de :

    • Cliquer sur un lien pour y aller (l'ouvrir et l'afficher).

    • Aller à la page précédente / page suivante.

    • Permettre des zoom avant / arrière.

    • Permettre de faire des captures d'écran avec plus ou moins de sélections.

    • Précharger les contenus pointés dans la page Web (c'est une mauvaise bonne idée, ça) pour y accéder plus rapidement si on clique sur l'un de ces liens.

    • Demander le rafraîchissement de la page (afficher sa dernière mise à jour).

    • Gérer les paramètres et options.

    • Gérer les certificats.

    • Gérer les marque-pages.

    • Gérer toutes les fonctions et activités cachées, secrètes, avec interdiction d'ingénierie inverse du code lorsque celui-ci n'est pas open source.

      • Code open source : tout le monde peut voir ce qu'il y a dedans, ce qu'il fait et ne fait pas (il ne cache rien). Il n'y en a qu'un : Firefox.

      • Code fermé, propriétaire, secret, et personne ne sait ce qu'il y a dedans, ni ce qu'il fait, ni comment il le fait (filtrage du Web servant au suivi, suivi, pistage, espionnage, tracking, clickstream, suivi des déplacements du pointeur de la souris même sans action (sans clic) de l'utilisateur, géolocalisation, horodatage, mots clé, page précédente, page suivante, préalable au chiffrement HTTPS, exploitation de la caméra, exploitation du micro, contournement du hosts local, collectes de données privées, etc.). Sauf Firefox, ils sont tous à code fermé, dont Google Chrome et Yandex.

    • Etc...


  • 03  Les add-on (modules additionnels)

    Choisis et installés par l'utilisateur, certains add-on sont de confiance, comme ceux développés par la Fondation Mozilla elle-même ou l'EFF (Privacy Badger, HTTPS Everywhere...), NoScript, Ghostery, Decentraleyes, AdBlock Plus, d'autres sont extrêmement suspects, voire de véritables attaques et virus.





Chronologie des navigateurs Web
Chronologie des navigateurs Web
(un travail d'ADeveria en licence CC BY-SA 3.0)