et si on sécurisait (un peu plus) Firefox ? - le retour

Vous avez un didactiel ou une astuce particulière concernant un logiciel, partagez votre expérience dans cette partie.
Avatar de l’utilisateur
le Manchot Masqué
Administrateur du site
Messages : 420
Inscription : lun. 26 mai 2008, 21:05
Distribution : Debian, Ubuntu
Niveau : Moitié plein !
Localisation : Guebwiller

et si on sécurisait (un peu plus) Firefox ? - le retour

Message par le Manchot Masqué » lun. 13 août 2018, 21:45

Dans mon post précédent de 2018
http://lug68.org/phpBB3/viewtopic.php?f ... efox#p1778
j'expliquais les principes de sécurisation du navigateur Firefox suivant les recommandations de l'ANSSI.

Sauf que des enfoirés chez Mozilla ont, comme par hasard, changé le système de gestion des préférences SANS AUCUN MESSAGE D'AVERTISSEMENT !!!

Ainsi le lockPref("clé","valeur_texte"); a été remplacé par pref("clé","valeur_texte",locked);, et le lockPref("clé",booléen); a été remplacé par pref("clé",booléen,locked);, ce qui nous donne au final le fichier /etc/firefox/syspref.js suivant :

Code : Tout sélectionner

// This is the Debian specific preferences file for Firefox ESR
// You can make any change in here, it is the purpose of this file.
// You can, with this file and all files present in the
// /etc/firefox-esr directory, override any preference you can see in
// about:config.
//
// Note that lockPref is allowed in these preferences files if you
// don't want users to be able to override some preferences.
// Use LANG environment variable to choose locale
pref("intl.locale.matchOS", true,locked);
// Disable openh264.
pref("media.gmp-gmpopenh264.enabled", false,locked);
// Default to classic view for about:newtab
pref("browser.newtabpage.enhanced", false,locked);
// ------------------------------------------------------------------
// https://www.ssi.gouv.fr/uploads/2015/01/NP_NavigateurSecurise_FireFox_1-1.pdf
// ------------------------------------------------------------------
// PAGE 16
// Les extensions peuvent être désactivées automatiquement en fonction de leur localisation.
// 3 (les extensions déposées dans le profil Firefox de l’utilisateur ou dans le profil utilisateur Windows seront automatiquement désactivées20 )
pref("extensions.autoDisableScopes",3,locked);
// Les extensions peuvent être activées automatiquement en fonction de leur localisation
// 12 (seules les extensions référencées par une entrée en base de registres ou déposées dans le sous-dossier d’extensions à l’emplacement de l’exécutable FireFox seront activées.Attention, ce paramètre a priorité sur extensions.autoDisableScopes
pref("extensions.enabledScopes",12,locked);
// PAGE 17
// Téléchargement régulier d’une liste noire de modules référencés comme étant malveillants
// false si seuls les modules télé-déployés par les équipes informatique sont installés, ou true si l’utilisateur est en mesure d’installer des modules lui-même
pref("extensions.blocklist.enabled",true,locked);
// URL de la page qu’un utilisateur peut visiter pour en savoir plus sur la liste noire de modules
// Celle par défaut (https://www.mozilla.org/%LOCALE%/blocklist/)
pref("extensions.blocklist.detailsURL","https://www.mozilla.org/%LOCALE%/blocklist/",locked);
// URL de la page qu’un utilisateur peut visiter pour en savoir plus sur la liste noire de modules (variante)
// Celle par défaut (https://addons.mozilla.org/%LOCALE%/%APP%/blocked/%blockID%)
pref("extensions.blocklist.itemURL","https://addons.mozilla.org/%LOCALE%/%APP%/blocked/%blockID%",locked);
// Intervalle de téléchargement de la liste noire de modules, en secondes
// 86400 (soit 1 fois par jour)
pref("extensions.blocklist.interval",86400,locked);
// Niveau de blocage
// 2 (pour bloquer les extensions de la liste)
pref("extensions.blocklist.level",2,locked);
// Adresse de téléchargement de la liste noire de modules
// Celle par défaut (https://addons.mozilla.org/blocklist/3/%APP_ID%/%APP_VERSION%/% PRODUCT%/%BUILD_ID%/%BUILD_TARGET%/%LOCALE% /%CHANNEL%/%OS_VERSION%/%DISTRIBUTION%/%DISTRIBUTION_VERSION%/%PING_COUNT%/%TOTAL_PING_COUNT%/%DAYS_SINCE_LAST_PING%/)
pref("extensions.blocklist.url","https://addons.mozilla.org/blocklist/3/%APP_ID%/%APP_VERSION%/% PRODUCT%/%BUILD_ID%/%BUILD_TARGET%/%LOCALE% /%CHANNEL%/%OS_VERSION%/%DISTRIBUTION%/%DISTRIBUTION_VERSION%/%PING_COUNT%/%TOTAL_PING_COUNT%/%DAYS_SINCE_LAST_PING%/",locked);
// Modules activés au démarrage de Firefox
pref("extensions.enabledAddons","",locked);
// Désactiver la visionneuse PDF intégrée à Firefox (pdf.js)
// true pour que l’utilisateur télécharge les PDF et les visionne via un lecteur PDF tiers maintenu en conditions de sécurité par l’entité et ne faisant pas l’objet de vulnérabilités fréquentes, ou false pour autoriser l’usage du lecteur de PDF intégré.
pref("pdfjs.disabled",false,locked);
// Configuration d’activation du plugin Flash
// 1 (demander l’autorisation à l’utilisateur avant chaque exécution du plugin Flash) ou 2 (toujours activer) au choix de l’entité et en fonction des utilisateurs et des contraintes de sécurité
pref("plugin.state.flash",1,locked);
// Configuration d’activation du plugin Java
// 0 pour ne jamais activer le plugin Java (à moins que l’entité souhaite utiliser ce plugin malgré les risques de sécurité encourus, auquel cas la valeur à donner serait 1 pour demander l’autorisation à l’utilisateur à chaque exécution du plugin Java)
pref("plugin.state.java",1,locked);
// Configuration d’activation du plugin x, où x est à remplacer par le nom court du plugin à désactiver (exemple : npctrl pour Microsoft Silverlight.Les noms courts des plugins sont indiqués en affichant leurs informations détaillées depuis l’interface graphique)
// 0 pour ne jamais activer le plugin, ou 1 pour demander l’autorisation à l’utilisateur avant chaque exécution du plugin
pref("plugin.state.x",1,locked);
// Configuration d’activation des autres plugins
// 0 pour ne jamais activer un plugin non explicitement autorisé par les règles précédentes
pref("plugin.default.state",0,locked);
// Configuration d’activation des autres plugins au format XPI
// 0 pour ne jamais activer un plugin au format XPI non explicitement autorisé par les règles précédentes
pref("plugin.defaultXpi.state",0,locked);
// Cliquer pour lire le contenu nécessitant un plugin
// true pour activer le mode « Cliquer pour lire »
pref("plugins.click_to_play",true,locked);
// Chargement automatique des plugins depuis des emplacements utilisés avant Firefox 21
pref("plugins.load_appdir_plugins",false,locked);
// PAGE 18
// BLOCAGE DES MODULES COMPLEMENTAIRES POUR LES UTILISATEURS
// URL de récupération d’un module complémentaire
//pref("extensions.getAddons.getWithPerformance.url","",locked);
// Nombre de résultats maximum
//pref("extensions.getAddons.maxResults",0,locked);
// URL de consultation d’un module complémentaire
//pref("extensions.getAddons.get.url","",locked);
// URL de consultation des modules complémentaires recommandés
//pref("extensions.getAddons.recommended.browseURL","",locked);
// URL de consultation des modules complémentaires recommandés, par API
//pref("extensions.getAddons.recommended.url","",locked);
// URL de recherche de modules complémentaires
//pref("extensions.getAddons.search.browseURL","",locked);
// URL de recherche de modules complémentaires, par API
//pref("extensions.getAddons.search.url","",locked);
// Afficher le panneau d’ajout de modules complémentaires
//pref("extensions.getAddons.showPane",false,locked);
// Cacher le bouton d’installation manuelle d’extensions
//pref("extensions.hideInstallButton",true,locked);
// URL du catalogue d’extensions
//pref("extensions.webservice.discoverURL","",locked);
// Autoriser l’installation manuelle de modules au format XPI
//pref("xpinstall.enabled",false,locked);
// Obligation pour une archive XPI d’être en liste blanche pour être installée manuellement
//pref("xpinstall.whitelist.required",true,locked);
// Liste blanche d’archives XPI pouvant être installées manuellement
//pref("xpinstall.whitelist.add xpinstall.whitelist.add.*","",locked);
// STRATEGIES DE MAJ DES EXTENSIONS
// Vérifie les attributs du certificat de signature des correctifs téléchargés
//pref("extensions.hotfix.cert.checkAttributes",true,locked);
// Empreintes attendues du certificat de signature des correctifs téléchargés
// Laisser la valeur par défaut (91:53:98:0C:C1:86:DF:47 :8F:35:22:9E:11:C9:A7:31 :04:49:A1:AA en date de rédaction de ce document).
//pref("extensions.hotfix.certs.1.sha1Fingerprint",Laisser la valeur par défaut (91:53:98:0C:C1:86:DF:47 :8F:35:22:9E:11:C9:A7:31 :04:49:A1:AA en date de rédaction de ce document).,locked);
// Télécharger et installer automatiquement les mises à jour d’extensions
//pref("extensions.update.autoUpdateDefault",true,locked);
// URL de téléchargement des mises à jour d’extensions URL en arrière plan
//pref("extensions.update.background.","",locked);
// Activer la mise à jour des extensions
//pref("extensions.update.enabled",false,locked);
// Intervalle de téléchargement des mises à jour des extensions
// 86400 (soit 1 fois par jour)
//pref("extensions.update.interval",86400,locked);
// Notifier l’utilisateur de la présence d’une mise à jour pour ses modules complémentaires
//pref("plugins.update.notifyUser",false,locked);
// URL de mise à jour des modules complémentaires
//pref("plugins.update.url","",locked);
// PAGE 19
// SSL/TLS et certificats
pref("security.ssl3.dhe_dss_aes_128_sha",false,locked);
pref("security.ssl3.dhe_dss_aes_256_sha",false,locked);
pref("security.ssl3.dhe_dss_camellia_128_sha",false,locked);
pref("security.ssl3.dhe_dss_camellia_256_sha",false,locked);
pref("security.ssl3.dhe_rsa_aes_128_sha",true,locked);
pref("security.ssl3.dhe_rsa_aes_256_sha",true,locked);
pref("security.ssl3.dhe_rsa_camellia_128_sha",false,locked);
pref("security.ssl3.dhe_rsa_camellia_256_sha",false,locked);
pref("security.ssl3.dhe_rsa_des_ede3_sha",false,locked);
pref("security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256",true,locked);
pref("security.ssl3.ecdhe_ecdsa_aes_128_sha",true,locked);
pref("security.ssl3.ecdhe_ecdsa_aes_256_sha",true,locked);
pref("security.ssl3.ecdhe_ecdsa_rc4_128_sha",false,locked);
pref("security.ssl3.ecdhe_rsa_aes_128_gcm_sha256",true,locked);
pref("security.ssl3.ecdhe_rsa_aes_128_sha",true,locked);
pref("security.ssl3.ecdhe_rsa_aes_256_sha",true,locked);
pref("security.ssl3.ecdhe_rsa_des_ede3_sha",false,locked);
pref("security.ssl3.ecdhe_rsa_rc4_128_sha",false,locked);
pref("security.ssl3.rsa_aes_128_sha",true,locked);
pref("security.ssl3.rsa_aes_256_sha",true,locked);
pref("security.ssl3.rsa_camellia_128_sha",false,locked);
pref("security.ssl3.rsa_camellia_256_sha",false,locked);
pref("security.ssl3.rsa_des_ede3_sha",false,locked);
pref("security.ssl3.rsa_fips_des_ede3_sha",false,locked);
pref("security.ssl3.rsa_rc4_128_md5",false,locked);
pref("security.ssl3.rsa_rc4_128_sha",false,locked);
pref("security.ssl3.rsa_seed_sha",false,locked);
// Version maximum de SSL/TLS : TLS 1.2
pref("security.tls.version.max",3,locked);
// Version minimum de SSL/TLS : TLS 1.1
pref("security.tls.version.min",2,locked);
// Activer la renégociation SSL pour remédier à une attaque par le milieu connue
pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref",false,locked);
// Activer « SSL False Start » car non standardisé et amenant de potentielles vulnérabilités
pref("security.ssl.enable_false_start",false,locked);
// Activer l’OCSP stapling
// https://blog.mozilla.org/security/2013/07/29/ocsp-stapling-in-firefox/
pref("security.ssl.enable_ocsp_stapling",true,locked);
// PAGE 20
// Nécessite une négociation SSL qui n’utilise pas une ancienne version SSL/TLS vulnérable à des attaques par le milieu
// true est la valeur idéale en termes de sécurité, mais false reste conseillé pour éviter que de nombreux sites couramment visités ne soient plus utilisables
pref("security.ssl.require_safe_negotiation",true,locked);
// Liste d’hôtes autorisés à faire de la renégociation SSL avec d’anciennes versions vulnérables du protocole
// Liste d’hôtes séparés par des virgules (ne supportant  pas  les wildcards ) et  qu’il  est  utile  de  renseigner si security.ssl.require_safe_negotiation est configuré à true
pref("security.ssl.renego_ unrestricted_hosts","",locked);
// Informer l’utilisateur (cadenas cassé rouge dans la barre de status) lorsque les négociations SSL/TLS sont non sécurisées
pref("security.ssl.treat_unsafe_negotiation_as_broken",true,locked);
// Charger la liste de sites déclarés comme utilisant HSTS (HTTP Strict Transport Security)
pref("network.stricttransportsecurity.preloadlist",true,locked);
// Autoriser les WebSockets non sécurisées pour un site consulté en HTTPS
pref("network.websocket.allowInsecureFromHTTPS",false,locked);
// Activer OCSP
// 2 pour vérifier le certificat à partir de l’URL de service OCSP et de l’autorité de certification ayant signé le certifi- cat.Notons que cette fonctionnalité est critiquée pour des questions de latence des répondeurs OCSP (de l’or- dre de 300ms pour les plus rapides à plus d’une seconde pour les plus lents).OCSP tend donc à être remplacé par des listes locales de certificats révoqués dans d’autres navigateurs, mais Firefox ne dispose pas encore d’une telle liste.Une entité ayant des contraintes particulières quant à la latence induite par OSCP pourrait opter pour une désactivation d’OCSP avec la valeur 0
pref("security.OCSP.enabled",2,locked);
// Nécessite la validation du certificat par OCSP avant de continuer la navigation sur le site
// true si security.OCSP.enabled a été configuré à true , ou false dans le cas contraire.
pref("security.OCSP.require",true,locked);
// Niveau de certificate pinning (épinglage de certificats) à partir de Firefox 32
// 2 pour utiliser l’épinglage strict
pref("security.cert_pinning.enforcement_level",2,locked);
// GESTION DES MOTS DE PASSE
// Effacer les mots de passe enregistrés à la fermeture du navigateur
pref("privacy.clearOnShutdown.passwords",false,locked);
// Active le gestionnaire de mots de passe
pref("signon.rememberSignons",true,locked);
// Remplissage automatique des formulaires de login
pref("signon.autofillForms",true,locked);
// PAGE 21
// DESACTIVATION DE FIREFOX SYNC
// Synchronisation des modules complémentaires
pref("services.sync.engine.addons",false,locked);
// Synchronisation des marque-pages
pref("services.sync.engine.bookmarks",false,locked);
// Synchronisation de l’historique de navigation
pref("services.sync.engine.history",false,locked);
// Synchronisation des mots de passe stockés
pref("services.sync.engine.passwords",false,locked);
// Synchronisation des préférences
pref("services.sync.engine.prefs",false,locked);
// Synchronisation des onglets ouverts
pref("services.sync.engine.tabs",false,locked);
// Moteurs de synchronisation enregistrés
pref("services.sync.registerEngines","",locked);
// URL du serveur synchronisation jpake
pref("services.sync.jpake.serverURL","",locked);
// URL du serveur de synchronisation
pref("services.sync.serverURL","",locked);
// URL du serveur de synchronisation
pref("services.sync.serverURL","",locked);
// URI du serveur de jetons
pref("services.sync.tokenServerURI","",locked);
// Planification de la prochaine synchronisation
pref("services.sync.nextSync",0,locked);
// DESACTIVATION DES RAPPORTS DE MOZILLA
// URL de rapport de santé
pref("datareporting.healthreport.about.reportUrl","",locked);
// Activer la journalisation (console) du service de rapports de santé
pref("datareporting.healthreport.logging.consoleEnabled",false,locked);
// Activer la journalisation (dumps) du service de rapports de santé
pref("datareporting.healthreport.logging.dumpEnabled",false,locked);
// Date de prochaine soumission de rapport de santé
pref("datareporting.healthreport.nextDataSubmissionTime","",locked);
// Activer le service de rapport de santé
pref("datareporting.healthreport.service.enabled",false,locked);
// Autoriser l’envoi de données au serveur de rapports de santé
pref("datareporting.healthreport.uploadEnabled",false,locked);
// Activer l’envoi de données à Mozilla à des fins d’amélioration
pref("datareporting.policy.dataSubmissionEnabled",false,locked);
// Accepter les conditions d’envoi de données à Mozilla à des fins d’amélioration
pref("datareporting.policy.dataSubmissionPolicyAccepted",false,locked);
// Contourner l’acceptation des conditions d’envoi de données à Mozilla à des fins d’amélioration
pref("datareporting.policy.dataSubmissionPolicyBypassAcceptance",false,locked);
// Réponse aux conditions d’envoi de données à Mozilla à des fins d’amélioration
pref("datareporting.policy.dataSubmissionPolicyResponseType","accepted-info -bar-dismissed",locked);
// Intégrer l’URL au rapport de crash de plugins
pref("dom.ipc.plugins.reportCrashURL",false,locked);
// Activer le rapport de crash du sousprocessus flash
pref("dom.ipc.plugins.flash.subprocess.crashreporter.enabled",false,locked);
// Activer la fonctionnalité de télémétrie
pref("toolkit.telemetry.enabled",false,locked);
// Adresse du serveur de télémétrie
pref("toolkit.telemetry.server","",locked);
// URL du rapport de crash
pref("breakpad.reportURL","",locked);
// PAGE 22
// GESTION DES DONNEES PRIVEES (CLEAR PRIVATE DATA)
// Supprimer le cache lors d’une suppression des données privées
pref("privacy.cpd.cache",false,locked);
// Supprimer les cookies lors d’une suppression des données privées
pref("privacy.cpd.cookies",false,locked);
// Supprimer l’historique des téléchargements lors d’une suppression des données privées
pref("privacy.cpd.downloads",false,locked);
// Supprimer l’historique de remplissage automatique des formulaire lors d’une suppression des données privées
pref("privacy.cpd.formdata",false,locked);
// Supprimer l’historique lors d’une suppression des données privées
pref("privacy.cpd.history",false,locked);
// Supprimer les applications disponibles hors connexion lors d’une suppression des données privées
pref("privacy.cpd.offlineApps",false,locked);
// Supprimer les mots de passe enregistrés lors d’une suppression des données privées
pref("privacy.cpd.passwords",false,locked);
// Supprimer les sessions en cours enregistrées lors d’une suppression des données privées
pref("privacy.cpd.sessions",false,locked);
// Supprimer les paramètres par site lors d’une suppression des données privées
pref("privacy.cpd.siteSettings",false,locked);
// Supprimer les données privées à la fermeture du navigateur
pref("privacy.sanitize.sanitizeOnShutdown",false,locked);
// AUTRES PARAMETRES LIES A LA CONFIDENTIALITE
// effacer les sessions de navigation en cours lors de la fermeture du navigateur
pref("privacy.clearOnShutdown.sessions",true,locked);
// effacer les cookies de navigation lors de la fermeture du navigateur
pref("privacy.clearOnShutdown.cookies",true,locked);
// Activer Do-Not-Track
pref("privacy.donottrackheader.enabled",true,locked);
// désactiver la géolocalisation
pref("geo.enabled",false,locked);
// URI du service de géolocalisation à utiliser
pref("geo.wifi.uri","",locked);
// Téléchargement prédictif anticipé des documents liés à la page Web visités (link prefetching)26
// false pour éviter l’établissement de connexions et le téléchargement de contenu non sollicités
pref("network.prefetch-next",false,locked);
// Contourne la permission d’accéder à la webcam
pref("media.navigator.permission.disabled",false,locked);
// Activer l’envoi de l’entête referer
// 0 pour plus d’anonymat, ou 2 pour ne pas empêcher le fonctionnement de certains sites
pref("network.http.sendRefererHeader",0,locked);
// Activer l’envoi de requête POST lors du clic sur un lien (fonctionnalité souvent utilisée pour tracer les clics)
pref("browser.send_pings",false,locked);
// PAGE 23
// FILTRAGE DE CONTENU / ACTIONS AUTORISEES
// Autoriser les scripts à fermer une fenêtre
pref("dom.allow_scripts_to_close_windows",false,locked);
// Interdire la modification des images sources par script
pref("dom.disable_image_src_set",false,locked);
// Interdire le changement de fenêtre active par script
pref("dom.disable_window_flip",true,locked);
// Détermine si les fenêtres peuvent être bougées or redimensionnées par script
pref("dom.disable_window_move_resize",false,locked);
// Interdire la création fenêtre sans bouton fermeture
// true pour éviter les popups invasifs
pref("dom.disable_window_open_feature.close",true,locked);
// Interdire la création de fenêtre sans barre d’adresse
// true pour que l’utilisateur puisse toujours vérifier être à l’adresse prévue
pref("dom.disable_window_open_feature.location",true,locked);
// Interdire la création de fenêtre sans barre de status
// true pour que l’utilisateur puisse se rendre contre plus facilement des tentatives de spoofing
pref("dom.disable_window_open_feature.status",true,locked);
// Interdire la création de fenêtre sans barre de titre
// true pour que l’utilisateur puisse bien voir qu’il s’agit d’un popup Firefox
pref("dom.disable_window_open_feature.titlebar",true,locked);
// Interdire la création de fenêtre sans barre d’outils
pref("dom.disable_window_open_feature.toolbar",false,locked);
// Permettre à un script de saisir les événements du presse papier
pref("dom.event.clipboardevents.enabled",false,locked);
// Permettre à un script de saisir les événements d’accès au menu contextuel (clic droit)
pref("dom.event.contextmenu.enabled",false,locked);
// Activer la communication par API entre applications
pref("dom.inter-app-communication-api.enabled",false,locked);
// Activation du plugin container
// true pour exécuter les plugins dans le plugin-container
pref("dom.ipc.plugins.enabled",true,locked);
// Exécuter Java au sein du plugin-container
// false pour éviter des problèmes de stabilité
pref("dom.ipc.plugins.java.enabled",false,locked);
// PAGE 24
// Utiliser la navigation sécurisée (protection contre le phishing et les logiciels malveillants)
pref("browser.safebrowsing.enabled",true,locked);
// Activation de Javascript
pref("javascript.enabled",true,locked);
// Autoriser le scripting de plugins par des scripts qui ne sont pas de confiance
// false à moins d’une incompatibilité avec des plugins et/ou pages Web nécessaires à l’entité
pref("security.xpconnect.plugin.unrestricted",false,locked);
// Bloquer le contenu mixte actif
pref("security.mixed_content.block_active_content",true,locked);
// Bloquer le contenu mixte passif
pref("security.mixed_content.block_display_content",false,locked);
// Politique d’origine stricte pour les URi de type fichiers
// true sauf pour les populations de développeurs qu’un tel paramètre pourrait bloquer pour le développement en local
pref("security.fileuri.strict_origin_policy",true,locked);
// Politique de gestion des cookies
// 1 pour n’autoriser que les cookies du serveur d’origine, et bloquer les cookies tiers
pref("network.cookie.cookieBehavior",1,locked);
// Politique d’expiration des cookies
// 2 pour conserver les cookies pendant toute la durée de la session seulement
pref("network.cookie.lifetimePolicy",2,locked);
// Restreindre les cookies tiers à la durée de la session seulement
pref("network.cookie.thirdparty.sessionOnly",true,locked);
// N’ouvrir que les .jar servis avec un content-type adéquat
pref("network.jar.open-unsafe-types",false,locked);
// Politique de popups
// 1 pour activer les popups, ou 2 pour les rejeter mais cela rendrait la navigation difficile voire impossible sur une quantité de sites Internet non négligeable
pref("privacy.popups.policy",1,locked);
// Afficher un message lorsqu’un popup a été bloqué
pref("privacy.popups.showBrowserMessage",true,locked);
// Afficher l’icône du bloqueur de popups dans la barre de status
pref("browser.popups.showPopupBlocker",true,locked);
// Activer la Content Security Policy (politique de sécurité des contenus) qui permet de détecter et de limiter l’impact de certains types d’attaques
pref("security.csp.enable",true,locked);
// Activer l’API permettant d’afficher du contenu en plein écran pour les modules complémentaires
pref("full-screen-api.enabled",true,locked);
// Désactiver les notifications sur le bureau
pref("notification.feature.enabled",false,locked);
// PAGE 25
// MOTEUR DE RECHERCHE
// Moteur de recherche par défaut
pref("browser.search.defaultenginename","Qwant.com",locked);
// URL du moteur de recherche par défaut
pref("browser.search.defaulturl","https://www.qwant.com/web",locked);
// Journalisation de l’utilisation des services de recherche à des fins de déboggage
pref("browser.search.log",false,locked);
// Ouvrir les résultats de recherche dans un nouvel onglet
pref("browser.search.openintab",false,locked);
// Moteur de recherche à utiliser en priorité 1
pref("browser.search.order.1","Qwant.com",locked);
// activer les suggestions
pref("browser.search.suggest.enabled",false,locked);
// Recherche de mises à jour pour les modules de recherche
pref("browser.search.update",false,locked);
// Permettre de faire une recherche depuis la barre d’adresse
pref("keyword.enabled",true,locked);
// PAGES D'ACCUEIL
// Page d’accueil après une mise à jour de Firefox
pref("startup.homepage_override_url","https://www.qwant.com/web",locked);
// Page d’accueil au premier démarrage
pref("startup.homepage_welcome_url","https://www.qwant.com/web",locked);
// Page d’accueil
pref("browser.startup.homepage","https://www.qwant.com/web",locked);
// Page d’accueil
// 1 pour ouvrir la page d’accueil indiquée par le paramètre browser.startup.homepage
pref("browser.startup.page",1,locked);
// Restauration de session après crash
pref("browser.sessionstore.resume_from_crash",false,locked);
// Activer le service de restauration de session
pref("browser.sessionstore.enabled",false,locked);
// Page ouverte par défaut lors de la création d’un nouvel onglet de navigation
// about:blank pour une page vide, ou l’adresse d’un site Web ou intranet selon le choix de l’entité
pref("browser.newtab.url","about:blank",locked);
// PAGE 26
// AUTHENTIFICATION HTTP / NOM DE STRATEGIE
// Utiliser le module d’authentification NTLM de Firefox plutôt que celui fourni par les APIs du système
pref("network.auth.force-generic-ntlm",false,locked);
// Utiliser SSPI plutôt que GSSAPI pour l’authentification Kerberos
// true sous Windows
pref("network.auth.use-sspi",true,locked);
// Envoyer le LM Hash dans la réponse NTLM
pref("network.ntlm.send-lm-response",false,locked);
// Authentification par NTLM automatique avec les serveurs proxy
// Au choix de l’entité en fonction du système d’authentification utilisé par le serveur proxy d’entreprise
pref("network.automatic-ntlmauth.allow-proxies",false,locked);
// Liste des URIs autorisées pour l’authentification par NTLM automatique
// Liste de valeurs séparées par des virgules (exemple : monsite.fr, https://monsite.fr.
// L’entité y fera figurer les adresses de tous les sites ayant recours à une authentification NTLM automatique
pref("network.automatic-ntlmauth.trusted-uris","",locked);
// Autoriser l’authentification NTLM automatique avec des sites sans FQDN
// false à moins que la liste network.automaticntlm-auth.trusted-uris comporte des adresses sans FQDN
pref("network.automatic-ntlmauth.allow-non-fqdn",false,locked);
// Autoriser l’authentification SPNEGO avec des sites sans FQDN
// En fonction de l’entité
pref("network.negotiate-auth.allow-nonfqdn",false,locked);
// Autoriser SPNEGO29 si demandé par un serveur proxy
// Au choix de l’entité en fonction du système d’authentification utilisé par le serveur proxy d’entreprise
pref("network.negotiate-auth.allowproxies",false,locked);
// Liste des URIs autorisées pour lesquels le navigateur peut déléguer l’autorisation de l’utilisateur
// Liste de valeurs séparées par des virgules (exemple : monsite.fr, https://monsite.fr.L’entité y fera figurer les adresses de tous les sites auxquels elle souhaite permettre la délégation SPNEGO
pref("network.negotiate-auth.delegationuris","",locked);
// Liste des URIs autorisées pour engager une authentification SPNEGO
// Liste de valeurs séparées par des virgules (exemple : monsite.fr, https://monsite.fr.L’entité y fera figurer les adresses de tous les sites ayant recours à une authentification SPNEGO
pref("network.negotiate-auth.trusted-uris","",locked);
// Chemin vers une librairie GSSLIB spécifique
pref("network.negotiate-auth.gsslib","",locked);
// Utiliser la librairie GSSLIB native du système
pref("network.negotiate-auth.usingnative-gsslib",true,locked);
// Choix du certificat d’authentification client
pref("security.default_personal_cert","Ask Every Time",locked);
// PAGE 27
// SERVEUR MANDATAIRE
// URL de configuration automatique du proxy
pref("network.proxy.autoconfig_url","",locked);
// Adresse du proxy FTP
// À renseigner selon la configuration de l’entité et si un tel proxy est utilisé
pref("network.proxy.ftp","",locked);
// port du proxy FTP
// À renseigner selon la configuration de l’entité et si un tel proxy est utilisé
pref("network.proxy.ftp_port","",locked);
// Adresse du proxy proxy HTTP
// À renseigner selon la configuration de l’entité et si un tel proxy est utilisé
pref("network.proxy.http","",locked);
// port du proxy HTTP
// À renseigner selon la configuration de l’entité et si un tel proxy est utilisé
pref("network.proxy.http_port","",locked);
// Liste d’exceptions à l’utilisation du serveur proxy
// A minima localhost, 127.0.0.1 et davantage en fonction de l’entité et du périmètre d’utilisation du navigateur
pref("network.proxy.no_proxies_on","localhost,127.0.0.1",locked);
// Utiliser le même proxy pour tous les protocoles
pref("network.proxy.share_ proxy_settings",false,locked);
// Adresse du proxy socks
// À renseigner selon la configuration de l’entité et si un tel proxy est utilisé
pref("network.proxy.socks","",locked);
// port du proxy socks
// À renseigner selon la configuration de l’entité et si un tel proxy est utilisé
pref("network.proxy.socks_port","",locked);
// Réaliser les requêtes DNS via le proxy socks
pref("network.proxy.socks_ remote_dns",false,locked);
// Version du proxy socks
// À renseigner selon la configuration de l’entité et si un tel proxy est utilisé
pref("network.proxy.socks_version","",locked);
// Adresse du proxy HTTPS
// À renseigner selon la configuration de l’entité et si un tel proxy est utilisé
pref("network.proxy.ssl","",locked);
// port du proxy HTTPS
// À renseigner selon la configuration de l’entité et si un tel proxy est utilisé
pref("network.proxy.ssl_port","",locked);
// Type d’utilisation du proxy
// 1 pour utiliser les valeurs indiquées par les paramètres ci-dessus (network.proxy.*)
pref("network.proxy.type",0,locked);
// version de proxy
// 1.1 par défaut et en fonction du serveur proxy de l’entité
pref("network.http.proxy.version","1.1",locked);
// Activer le pipelining30 par proxy
// false pour des raisons de compatibilité.L’entité peut choisir de l’activer si le pipelining est supporté par son serveur proxy d’entreprise
pref("network.http.proxy.pipelining",false,locked);
// Saisie automatique du mot de passe de proxy
pref("signon.autologin.proxy",false,locked);
// PAGE 28
// PERIMETRE DE NAVIGATION
// Détermine si le navigateur essaye d’ouvrir les liens cliqués dans le navigateur en priorité avant de laisser le système s’en charger en cas d’échec (si le protocole du lien en question n’est pas supporté par le navigateur)
pref("network.protocolhandler.expose-all",true,locked);
// Avertir l’utilisateur avant charger un gestionnaire protocole tiers
pref("network.protocol-handler.warnexternal-default",true,locked);
// Action pour l’ouverture d’un protocole non pris en charge par le navigateur
// false de manière à ne pas essayer de charger des protocoles non pris en charge nativement par le navigateur.L’entité renseignera éventuellement des gestionnaires de protocoles tiers pour des protocoles qu’elle souhaite explicitement permettre, tels que NNTP :, Mailto :, etc.Pour illustrer par l’exemple avec Mailto :, le paramètre network.protocolhandler.external.mailto aurait pour valeur true et le paramètre network.protocolhandler.app.mailto avec pour valeur le chemin d’un exécutable comme Mozilla Thunderbird ou Microsoft Outlook
pref("network.protocolhandler.external-default",false,locked);
// Gestionnaire de protocole file:// sous Firefox
pref("network.protocolhandler.external.file",false,locked);
// Gestionnaire de protocole ftp:// sous Firefox
pref("network.protocolhandler.external.ftp",false,locked);
// Autoriser les sites Web à installer des gestionnaires de protocoles ou de contenus utilisable pour des hôtes tiers
pref("gecko.handlerService.allowRegisterFromDifferentHost",false,locked);
// PAGE 29
// ADMINISTRATION SYSTEME / MAINTENANCE / OPTIONS DIVERSES
// Activation de la mise à jour automatique
pref("app.update.enabled",true,locked);
// Téléchargement et installation automatiques (nécessite que le paramètre app.update.enabled ait pour valeur true)
pref("app.update.auto",true,locked);
// Vérifie les attributs du certificat du serveur de mise à jour
pref("app.update.cert.checkAttributes",false,locked);
// Requiert l’intégration des certificats du serveur de mise à jour et de toutes les redirections intermédiaires
pref("app.update.cert.requireBuiltIn",false,locked);
// Canal de mise à jour
// esr pour la version ESR de Firefox
// pref("app.update.channel","esr",locked);
// Temps de pause (en secondes) entre chaque téléchargement, en arrière plan, d’un morceau de 300 Kb de mise à jour
pref("app.update.download .backgroundInterval",60,locked);
// Temps de pause (en secondes) entre chaque téléchargement, à la demande de l’utilisateur, d’un morceau de 300 Kb de mise à jour
pref("app.update.idletime",60,locked);
// Intervalle de temps entre chaque vérification de disponibilité de nouvelles mises à jour
pref("app.update.interval",43200,locked);
// Détermine quelles mises à jour sont téléchargées en arrière plan
// 0 pour télécharger toutes les mises à jour sans intervention de l’utilisateur
pref("app.update.mode",0,locked);
// Active le service de mise à jour de Firefox
pref("app.update.service.enabled",true,locked);
// Détermine si, après installation de mise à jour, une boîte de dialogue informe l’utilisateur qu’une mise à jour a été installée
pref("app.update.showInstalledUI",true,locked);
// Active le mode de mise à jour silencieux
// true pour une mise à jour silencieuse en arrière plan
pref("app.update.silent",true,locked);
// URL de récupération des mises à jour de Firefox
// En fonction de la stratégie de mise à jour de l’entité.Pour une mise à jour depuis les serveurs de Mozilla : https://aus3.mozilla.org/ update/3/%PRODUCT%/%VERSION% /%BUILD_ID%/%BUILD_TARGET%/% LOCALE%/%CHANNEL%/%OS_VERSION% /%DISTRIBUTION%/%DISTRIBUTION_ VERSION%/update.xml, sinon l’URL du serveur de mise à jour interne de l’entité (qu’il faudra également renseigner dans le paramètre app.update.url.override)
//pref("app.update.url","https://aus3.mozilla.org/ update/3/%PRODUCT%/%VERSION% /%BUILD_ID%/%BUILD_TARGET%/% LOCALE%/%CHANNEL%/%OS_VERSION% /%DISTRIBUTION%/%DISTRIBUTION_ VERSION%/update.xml",locked);
// URL de récupération des mises à jour de Firefox
// Paramètre à renseigner uniquement dans le cas ou la mise à jour de Firefox se fait depuis l’URL d’un serveur de mise à jour interne de l’entité (à renseigner en plus du paramètre app.update.url)
//pref("app.update.url.override","",locked);
// URL de consultation des informations relatives aux mises à jour disponibles
// Laisser la valeur par défautr https://www.mozilla.org/ %LOCALE%/firefox/notes
//pref("app.update.url.details","https://www.mozilla.org/ %LOCALE%/firefox/notes",locked);
// PAGE 30
// CONFIGURATION DU CACHE
// Quand vérifier la mise à jour d’une page en cache disque
// 3 (vérifier quand la page est périmée)
pref("browser.cache.check_doc_frequency",3,locked);
// Niveau de compression du cache disque
// Au choix de l’entité, de 0 (pas de compression) à 9 (haut taux de compression avec forte sollicitation du processeur)
pref("browser.cache.compression_level",7,locked);
// Espace disque alloué au cache disque, en Kb
pref("browser.cache.disk.capacity",100000,locked);
// Utiliser le cache disque
pref("browser.cache.disk.enable",true,locked);
// Taille maximum (en Kb) d’une entrée en cache disque
pref("browser.cache.disk.max_entry_size",300,locked);
// Allocation intelligente de l’espace disque alloué au cache en fonction de l’espace disponible
pref("browser.cache.disk.smart_size.enabled",true,locked);
// Mettre en cache disque les pages visitées en HTTPS
// False de manière à ne pas mettre en cache le contenu SSL
pref("browser.cache.disk_cache_ssl",false,locked);
// Utiliser le cache mémoire
pref("browser.cache.memory.enable",true,locked);
// Taille maximum (en Kb) d’une entrée en cache mémoire
pref("browser.cache.memory.max_entry_size",300,locked);
// Mémoire maximum utilisée pour le cache mémoire, en Kb
pref("browser.cache.memory_limit",100000,locked);
// Espace disque alloué au cache des applications Web
pref("browser.cache.offline.capacity",300,locked);
// Utiliser le cache des applications Web permettant une utilisation hors ligne
pref("browser.cache.offline.enable",true,locked);
// Utilisation du nouveau système de cache
// 0 (ne pas utiliser pour des questions de stabilité)
pref("browser.cache.use_new_backend",0,locked);
// Utiliser le cache des documents HTTP
pref("network.http.use-cache",true,locked);
// Taille du cache pour les fichiers multimedia
// Au choix de l’entité, par défaut 512000
pref("media.cache_size",512000,locked);
// Quota de stockage côté client pour les pages Web
// 5120, taille par défaut
pref("dom.storage.default_quota",5120,locked);
// Active le stockage côté client pour les pages Web
// true à défaut de vulnérabilités connues pour cette fonctionnalité
pref("dom.storage.enabled",true,locked);
// PAGE 31
// OPTIONS DE DEVELOPPEMENT
// Activation des outils de développement, module appmanager
pref("devtools.appmanager.enabled",false,locked);
// Activation des outils de développement, module débogueur
pref("devtools.debugger.enabled",false,locked);
// Activation des outils de développement, module console d’erreurs
pref("devtools.errorconsole.enabled",false,locked);
// Activation des outils de développement, module inspecteur de polices
pref("devtools.fontinspector.enabled",false,locked);
// Activation des outils de développement, module inspecteur
pref("devtools.inspector.enabled",false,locked);
// Activation des outils de développement, module réseau
pref("devtools.netmonitor.enabled",false,locked);
// Activation des outils de développement, module profileur
pref("devtools.profiler.enabled",false,locked);
// Activation des outils de développement, module vue adaptive
pref("devtools.shadereditor.enabled",false,locked);
// Activation des outils de développement, module editeur de styles
pref("devtools.styleeditor.enabled",false,locked);
// Activation des outils de développement, module tilt
pref("devtools.tilt.enabled",false,locked);
// Activation des outils de développement, module barre de développement
pref("devtools.toolbar.enabled",false,locked);
// CONFIGURATIONS DIVERSES
// Activer seer sur SSL
pref("network.seer.enable-hover-on-ssl",false,locked);
// Activer seer
pref("network.seer.enabled",false,locked);
// Activer le pipelining pour le surf HTTP/1.1
// false pour des raisons de compatibilité avec les serveurs Web.Le pipelining peut éventuellement être utilisé pour un navigateur dédié à l’intranet si l’entité sait l’ensemble de ses serveurs compatibles
pref("network.http.pipelining",false,locked);
// Activer le pipelining pour le surf HTTPS/1.1
// false pour des raisons de compatibilité avec les serveurs Web.Le pipelining peut éventuellement être utilisé pour un navigateur dédié à l’intranet si l’entité sait l’ensemble de ses serveurs compatibles
pref("network.http.pipelining.ssl",false,locked);
// Activer SPDY31
pref("network.http.spdy.enabled",false,locked);
// Activer SPDY v2
pref("network.http.spdy.enabled.v2",false,locked);
// Activer SPDY v3
pref("network.http.spdy.enabled.v3",false,locked);
// Activer SPDY v3.1
pref("network.http.spdy.enabled.v3-1",false,locked);
// Vérifier si Firefox est configuré comme navigateur par défaut
// false dans le cadre de double navigateurs.
pref("browser.shell.checkDefaultBrowser",false,locked);
// Scan antivirus d’un fichier lorsque son téléchargement est terminé
pref("browser.download.manager.scanWhenDone",true,locked);
// Utiliser le répertoire de téléchargement par défaut
// false pour que l’utilisateur indique à quel emplacement il souhaite télécharger le fichier
pref("browser.download.useDownloadDir",false,locked);
// Cacher la barre d’outils et d’onglets en mode plein écran
pref("browser.fullscreen.autohide",false,locked);
J'avoue avoir été particulièrement énervé en découvrant ce changement majeur, qui porte directement atteinte à la sécurité. Un très mauvais point de plus pour Mozilla, qui ne semble pas avoir compris que dans un environnement professionnel, où le navigateur est un élément clé, on n'impose pas un changement des règles sans au moins prévenir clairement les usagers !

Répondre