Mise à jour de la base de données, veuillez patienter...

Firefox 31 introduit la vérification des téléchargements avec SafeSearch, de Google. Plusieurs problèmes me viennent à l'esprit:
- de façon éthique, je déteste que Google ait un pouvoir discrétionnaire de dire "ce site est malware" et le bloquer dans le navigateur, or là on lui permet la même pour les fichiers téléchargés
- Mozilla confirme implicitement ce que fait Chrome, dans l'ordre:
* blacklist locale: URL source, URL referrer, URL intermédiaires, SHA256 du contenu, détails de certificat TLS, longueur en bytes, nom de fichier suggéré pour le téléchargement
* whitelist locale: si le téléchargement correspond à un élément de la blacklist, un retour positif sur la whitelist autorise l'enregistrement
* contrôle en ligne: vérification directe auprès de Google

Qu'est-ce qui est cafté à Google, alors ? Je parcours le code source de "ApplicationReputation.cpp" de Firefox, la variable "rv" utilisée prend en compte des fonctions traitant.. "uri", "fileSize", "sha256Hash", "fileName". J'ai pas d'expérience en code C++, mais je crois deviner que Google peut savoir de votre téléchargement:
- son URL
- sa taille
- son hachage SHA-256
- son nom

Voilà donc une fonction que je m’empresserai de désactiver. NB: la vérification à distance sera introduite avec Firefox 32, la vérification envers listes locales est déployée avec Firefox 31.
(Permalink)