Les développeurs d'extensions Safari doivent retrousser leurs manches

Florian Innocente |

Comme annoncé depuis un peu plus d'un an, Apple a rompu le lien qui liait Safari à l'ancienne version de sa galerie des extensions, celle qui était proposée sur le web.

Si vous utilisez l'élément de menu Extensions Safari du menu Safari, le navigateur vous envoie dans la catégorie ad-hoc du Mac App Store. C'est depuis cet endroit, et lui seul, que l'on pourra faire son marché en extensions, lorsqu'on se mettra à jour vers Safari 13 cet automne.

Cette migration fait partie d'un plan démarré avec OS X El Capitan et visant à encadrer la distribution de ces petits modules et à rendre leur utilisation plus sûre.

Lorsque vous passerez sur Safari 13, les extensions installées à l'origine depuis les sites web de leurs auteurs ne fonctionneront plus. Il faudra tirer une croix dessus et récupérer les versions équivalentes sur le Mac App Store, si elles existent…

La nouvelle galerie dans le Mac App Store

Le problème est que tous les développeurs d'extensions existantes n'ont pas fait ce travail d'adaptation, malgré un large délai accordé par Apple (lire Fin échelonnée des extensions historiques de Safari, qui s'éloigne des autres navigateurs).

Ces extensions, ou "Safari App Extensions", ne font pas que déménager d'un endroit à l'autre. Elles deviennent de véritables micro-applications, développées non plus avec des langages du web (HTML, CSS et JavaScript) mais en Swift (ou Objective-C) comme les applications macOS classiques.

Non seulement un développeur ne peut plus distribuer son extension Safari d'où bon lui semble mais il doit créer une application à part entière, pour le Mac App Store, qui servira de passerelle pour installer l'extension dans Safari. Cette application n'aura souvent d'autre rôle que d'afficher un message d'explication à l'utilisateur.

Les Safari App Extensions sont à la base de véritables petites applications Mac qui vont installer, de façon transparente pour l'utilisateur, l'extension dans le navigateur

Financièrement, même si la charge n'est pas énorme, cela implique de souscrire au programme développeurs d'Apple (99 $ par an). Côté pile c'est plus rassurant pour l'utilisateur et on peut espérer des extensions plus sophistiquées, côté face la distribution est plus laborieuse pour le développeur.

Ces nouvelles procédures peuvent s'avérer dissuasives et actuellement on n'est pas à la fête. On n'a pour une large part que des bloqueurs de pubs, bien plus qu'on en aura jamais besoin. La diversité n'est pas encore très forte.

Des services importants comme Pocket (enregistrement et lecture différée de pages web) ou CamelCamelCamel (évolution des prix sur Amazon), qui étaient jusque-là bien intégrés à Safari, n'ont pas de présence dans le Mac App Store. À l'inverse on peut profiter de l'extension Wayback Machine de l'Internet Archive pour retrouver les versions antérieures d'une page web. On verra dans les prochains mois comment évolue ce choix en extensions.


avatar Rodri31 | 

Ublock origin n’est pas disponible sur le Mac App Store. On fait comment du coup ? Ils font chier Apple avec leurs décisions à la con...

avatar mmenfin | 

@Rodri31

On utilise AdGuard

avatar nespresso92 | 

@mmenfin

+1

avatar lost and found | 

@mmenfin

La limite des 50k liée à Safari est malheureusement vite atteinte sur Adguard si on veut avoir la même base de listes par défaut que sur Ublock Origin.

avatar macam | 

Sur Safari il me semble que c'est uBlock et non uBlock Origin.

avatar nicolaspatate | 

@macam

Non uBlock Origin

avatar reborn | 

@Rodri31

1blocker

avatar Rodri31 | 

@reborn

Ça marche bien ?

avatar reborn | 

@Rodri31

J’ai pas trop chercher à comprendre. Je l’avais sur iOS et c’était le meilleur donc j’ai foncé pour la version mac..

Ça bloque bien, et ça consomme moins de ressources qu’une extension classique 🤷‍♂️

avatar nemrod | 

@reborn

Je ne l’ai pas trouvé très performant

avatar Artefact3000 | 

@Rodri31

On utilise un autre navigateur, comme Firefox.

avatar iPop | 

@DareMac

Ça reviendra au même. Il possèdera les mêmes autorisations.

avatar SyMich | 

Non et heureusement !
Les restrictions que met Safari à ses extensions, c'est spécifique à Safari. Les autres navigateurs gèreront toujours leurs extensions comme ils l'entendent.

avatar iPop | 

@SyMich

C’est juste une question de temps.

avatar Mathieu_rc | 

@DareMac

Ou google chrome notre ami

avatar mimolette51 | 

Lol naviguer avec le navigateur du premier aspirateur de données du monde, il faut le faire quand même...

avatar macam | 

@daremac :
Je crains que les extensions de Firefox, qui font tout son sel, ne soient très intrusives.

avatar 8enoit | 

@Rodri31

Est-ce que cette astuce donnee par macg marche toujours pour réinstaller ses anciennes extensions ?

« Comment réinstaller temporairement ses anciennes extensions dans »
https://www.macg.co/logiciels/2018/09/comment-reinstaller-temporairement-ses-anciennes-extensions-dans-safari-12-103655

avatar SyMich | 

Non uniquement avec Safari 12, absolument pas avec Safari13 (de toutes façons ce n'était pas une vraie solution de contournement sachant qu'il fallait tout recommencer à chaque fermeture de Safari)....

avatar shaba | 

Quand (et si) les développeurs auront joué le jeu ça sera top pour le consommateur, tout au même endroit. Mais d’un autre côté je suppose que certaines extensions ne seront plus admises.

avatar oomu | 

le "consommateur" ?

avatar shaba | 

@oomu

Utilisateur si tu préfères. C’est juste de la sémantique, ça revient au même au final.

avatar Fennec72 | 

Et les gestionnaires de mots de passe, comme Dashlane ou 1Password par exemple ?

avatar Mozkateacher | 

@Fennec72

Il y a déjà une intégration 1Password avec Safari 13 : https://blog.1password.com/safari-13-is-awesome-upgrade-from-1password-6/

avatar SyMich | 

Précisons que ce n'est vrai que pour 1Password 7 (ceux qui sont restés sur la version 6 devront passer à la 7) et ce que passe sous silence cette page de blog, c'est que ce n'est vrai que pour la version de 1Password disponible sur l'AppStore, donc en abonnement.
Pour ceux qui préfèrent la version en licence perpétuelle, disponible via le site de 1Password, il n'y a plus d'extension Safari.

avatar oomu | 

" Pour ceux qui préfèrent la version en licence perpétuelle, disponible via le site de 1Password, il n'y a plus d'extension Safari."

et je ne passerai jamais à la version sous abonnement de 1pasword.

avatar 8enoit | 

@oomu

Pareil

avatar ney | 

C’est violent comme changement côté développeur non ? 🤔
On peut espérer un gain de performances avec du code natif j’imagine.
Mais est-ce que ce sera aussi pratique ? Par exemple pour un blogueur de pubs ça demande pas beaucoup plus de boulot en swift qu’en langages du web ?

avatar bl@ck warrior_69 | 

Bon bah bye bye Safari... je vais complètement migrer sous Firefox

avatar byte_order | 

Profitez-en tant qu'on a encore le droit d'utiliser un autre navigateur et un autre moteur web que celui d'Apple sur macOS...

avatar pat3 | 

@byte_order

Je n’ai aucun doute sur le fait qu’on continuer à avoir accès à d’autres navigateurs sur Mac OS.

avatar romainB84 | 

@bl@ck warrior_69

avatar macam | 

@blackwarrior :
J'envisage de faire le chemin inverse, de Firefox vers Safari, parce que je crois comprendre que les extensions de Firefox sont très intrusives. Ce serait dommage car l'extension Dark Reader est beaucoup plus efficace que le mode nuit sur Safari où il ne marche que rarement.

avatar vince29 | 

> les extensions de Firefox sont très intrusives

source quelconque pour cette affirmation (vs extensions safari) ?

avatar macam | 

@vince :
J'ai écrit : "je crois comprendre", c'est-à-dire que je n'étais pas sûr de ce fait (et que j'espérais justement un échange d'avis pour l'infirmer ou le confirmer).
L'installation des extensions sur Firefox requièrent l'accord pour diverses permissions :
https://support.mozilla.org/fr/kb/messages-de-demande-de-permission-pour-les-extensi?as=u&utm_source=inproduct
Et pour pas mal d'entre-elles la permission "d'accéder à vos données pour tous les sites web". C'est par exemple le cas de l'extension Video Downloader professionnal (https://addons.mozilla.org/fr/firefox/addon/video-downloader-profession/?src=search), dont je ne vois pas de quel droit, de par sa nature, elle serait amenée à lire tout le contenu d'une page web y compris les identifiants et mots de passe (cette extension est considérée par Malwarebytes comme un malware PUP).
Au final, je ne sais pas si Firefox se montre trop évasif sur la définition des permissions qui seraient en réalité utilisées par les extensions de manière plus strict, ou si au contraire Firefox n'exerce aucun contrôle sur la sécurité des extensions.

Et je me demande si le très faible nombre d'extensions sur Safari, comparé à la pléthore sur Firefox, ne serait pas lié à un contrôle strict des extensions par Apple.

avatar dodomu | 

@macam

Si j’ai bien compris, cette extension à pour but de télécharger les vidéos situées sur les sites web visités: c’est justement pour pouvoir analyser chaque page visitée (afin de détecter les vidéos) que l’extension demande d’accéder au contenu de toute les pages.

Finalement,c’est assez logique qu’une extension soit intrusive, c’est la base même de son fonctionnement, après (comme toujours) c’est une histoire de confiance, chacun est libre de l’accorder à son gré... (sauf sur Safari visiblement 😜)

En bonus, il me semble que les extensions Firefox ont (toutes? à verifier) leurs code sources disponibles, les licences utilisées étant libres.

avatar macam | 

@dodomu :
Oui c'est bien le rôle de cette extension, mais je pensais qu'elle était capable de ne repérer sur une page web que les contenus vidéos sans ratisser toutes les autres données : donc apparemment ça ne fonctionne pas comme ça.

Une extension ne devrait analyser que les données nécessaires à son fonctionnement. C'est d'ailleurs ce que dis Mozilla aux développeurs : "Assurez-vous que vous ne demandez pas de permissions inutiles." (https://developer.mozilla.org/fr/docs/Mozilla/Add-ons/WebExtensions/demander_les_bonnes_permissions).
Je ne pense pas que les utilisateurs courants soient en mesure d'évaluer si une extension est fiable ou non, et le risque d'installer une extension vérolée est d'autant plus élevé que ces extensions sont gratuites et faciles à installer. Selon moi c'est à Mozilla de faire ce travail, qu'elle ne fait que partiellement :
"Quand un développeur soumet une extension à addons.mozilla.org, celle-ci est analysée pour un ensemble de problèmes courants. Elle peut également faire l'objet d'un examen par une personne. Mais aucun de ces procédés ne garantit qu'une extension est absolument sûre à 100 %.
Grâce aux messages de permission, vous pouvez voir à quelles données et fonctionnalités une extension veut accéder, ainsi vous pouvez faire des choix informés par rapport au logiciel que vous considérez.
Si vous doutez de la décision à prendre par rapport à la sécurité d'une extension, voici quelques questions à vous poser :
L'extension provient-elle d'une marque ou d'un développeur en qui j'ai confiance ?
Etc."

avatar byte_order | 

@macam
> Et je me demande si le très faible nombre d'extensions sur Safari, comparé à la pléthore
> sur Firefox, ne serait pas lié à un contrôle strict des extensions par Apple.

La part de marché me semble bien plus une explication valide.

Les extensions Firefox partagent la même techno que celles pour Chrome.
Ce qui signifie qu'en développant pour cette techno, vous couvrez +70% des navigateurs web utilisés dans le monde.

La part de marché de Safari est arbitrairement élevé uniquement parce que Apple l'impose de force dans iOS. Ce qui ne représente toutefois que 20% des smartphones dans le monde, même si par endroit, comme aux USA, c'est 1 smartphone sur 2 certes.

Ensuite, faut pas réver, pour permettre des fonctionnalités complémentaires sur du contenu web, devoir accorder des droits d'accès à ce contenu web me semble relativement incontournable.

Par ailleurs, les extensions Firefox (et Chrome) sont en fait des fichiers zip qui contiennent du code Javascript + éventuellement quelques fichiers CSS, JSON. N'importe qui peut donc regarder dedans. Et les chercheurs en sécurité ne s'en privent d'ailleurs pas, ce qui est une très bonne chose.

Ce qui sera clairement moins facile à faire avec du code binaire compilé, en particulier avec une techno où rien n'est ouverte à la scrutation. Faudra du coup faire confiance à la surveillance unique d'Apple, qui malheureusement n'a pas un historique très positif en la matière avec le MAS vu le nombre de malwares qu'elle y laisse trainer ou a laissé trainer pendant des mois avant de réagir. Enfin.
Quand elle l'a fait. Car il en reste encore pas mal.

avatar macam | 

@byte_order :
D'accord, je comprends mieux pourquoi il y a beaucoup plus d'extensions sur Firefox que sur Safari.
Malheureusement, Apple ne donne pas plus de garanties quant à la sécurité des extensions : j'ai désactivé et réactivé AdBlock et uBlock, et pour les deux Safari affiche le message : "Peut lire des informations sensibles de pages web, y compris des mots de passe, des numéros de téléphone et des cartes bancaires dans : toutes les pages web". :(

avatar macam | 

@vince :
Apparemment Firefox n'exercerait qu'une surveillance assez lâche sur les extensions :
https://support.mozilla.org/fr/kb/recommandations-pour-evaluer-securite-extension

avatar bl@ck warrior_69 | 

@macam

C'est surtout que j'utilise certaines extensions qui ne sont pas sur le Mac App Store (dont Zotero notamment, absolument indispensable pour le taff). Donc plutôt que de me prendre la tête à jongler entre plusieurs navigateurs, je vais purement et simplement abandonner Safari. Et s'ils continuent à brider comme ça de plus en plus j'irai voir chez Linux si l'herbe y est plus verte.

avatar mouahaha | 

"Et s'ils continuent à brider comme ça de plus en plus j'irai voir chez Linux si l'herbe y est plus verte."

On a encore le droit de faire un rm -rf / en tant que root si l'envie nous en prend. ;)

avatar macam | 

@blackwarrior :
Je comprends, d'autant que Firefox est synchronisable entre les diverses plateformes.

avatar byte_order | 

> Financièrement, même si la charge n'est pas énorme, cela implique de souscrire au
> programme développeurs d'Apple (99 $ par an).

Cela nécessite surtout de se mettre à programmer dans un autre langage, avec un environnement de développement complètement différent, et ce uniquement pour cibler une seule et unique plateforme, par ailleurs de plus en plus minoritaire.

Perso, je pense que c'est bien plus que "pas énorme", c'est carrément rédhibitoire.

avatar Fennec72 | 

@byte_order

+1
Surtout que si je ne me trompe pas, Firefox à adopté le format des extensions de Chrome!

avatar fte | 

@byte_order

"Perso, je pense que c'est bien plus que "pas énorme", c'est carrément rédhibitoire."

Ça ne l’est pas encore. Sûrement pour certains. Ça ne l’est pas car iOS reste la plateforme avec les meilleurs retours sur investissement.

Mais ça glisse, ça glisse...

avatar byte_order | 

> Ça ne l’est pas encore. Sûrement pour certains.
> Ça ne l’est pas car iOS reste la plateforme avec les meilleurs retours sur investissement.

Ca l'est donc d'emblée pour tous ceux qui ne cherchaient pas à gagner de l'argent avec leurs extensions mais pour qui c'était pas très coûteux ni en argent ni en temps de le faire, avec une partie non négligeable du code portable.

avatar iPop | 

@byte_order

C’est comme sous iOS : c’est clair, c’est integré, cest sécurisé, c’est propre.

avatar byte_order | 

@iPop

Je vois pas en quoi c'est clair.
A la place d'extensions que n'importe qui peut inspecter pour en vérifier le comportement, vous aurez du code binaire sanctifié par la même équipe chez Apple qui a déjà laissé passer pleins de malwares sur le MAS.

Vous confondez le marketing avec la réalité.
Les failles de sécurité se comblent là où elles sont situées, pas en imposant un magasin de distribution unique.

avatar SyMich | 

Des malwares qui sont d'autant plus dangereux qu'ils sont distribués sur l'AppStore justement... en effet, l'utilisateur fait confiance au store, télécharge le faux antivirus ou anti malwares, lui donne son mot de passe admin ainsi que l'autorisation d'accéder à la totalité du disque (ce qui est légitime pour ce genre d'utilitaire) et on se retrouve avec un adware doctor qui subtilise allègrement l'historique Web et l'envoie à on ne sait qui sur un serveur en Chine.
(Adware doctor qui revient régulièrement sur l,AppStore, Apple mettant chaque fois plusieurs jours, voire semaines, pour réagir et le supprimer)

Pages

CONNEXION UTILISATEUR