"Javascript et Flash" sont les deux failles de sécurité que j'entends revenir le plus souvent en matière de protection d'identité sur internet et de sécurité. L'un est libre (Javascript), l'autre est propriétaire (Flash).

Cette page est destinée à lister les alternatives (logicielles ou astuces) pour utiliser internet sans avoir à utiliser DU TOUT ces 2 logiciels, et même d'autres (les scripts en général) pouvant créer des failles de sécurité d'une part, et n'étant pas libres (comme Flash) d'autre part.

Il est important de lister des solutions à la fois pour les utilisateurs et pour les développeurs afin de pouvoir utiliser internet sans Javascript et Flash.

Introduction

Article parlant de Flash, de Gnash (alternative libre à Flash) et de Javascript: (Source: Mathieu's Blog trouvé en lien dans le commentaire de gnuzer).

Gnash est un trojan

(Oui, titre tendancieux, etc)

On entend toujours les gens se plaindre de flash, mais étrangement, la critique qui revient souvent, c’est que le player flash officiel fourni par adobe n’est pas libre, et constitue une tâche dans leur système tout beau, tout propre, et épuré de tout ce qui est propriétaire (au niveau logiciel, du moins). La réaction du mec de base, c’est de chercher un équivalent côté libre, et le premier équivalent vient du côté de gnash.

Pour bien assimiler ce que je dis, je vais replacer le contexte. Flash est une technologie (aux spécifications ouvertes) qui s’appuie sur des fichiers binaires exécutables au format .swf , ou plus précisément (puisque comme chacun sait, l’extension d’un fichier ne veut rien dire), le mimetype « Macromedia Flash data (compressed)». Ces fichiers .swf, les gens ont eu la bonne idée d’en intégrer dans plein de pages, parce que ça fait joli, et il paraîtrait que le logiciel fourni par adobe permet de faire des choses plus rapidement et facilement qu’en html/css, personnellement j’ai comme un doute, et le code généré doit probablement être à faire vomir un développeur actionscript.

Donc voilà, le flash, c’est un bon gros paquet d’applications binaires qu’on fout dans des pages web, pour afficher des vidéos, des images (!) (même pour faire des boutons ou encore des menus de navigation, voire des sites complets). Pour prendre une image, c’est un peu comme si vous aviez des pages web remplies de fichiers .exe (PE{32,64} executable for MS Windows) qui vous demandent d’installer un plugin l’implémentant pour voir le contenu (oui, les spécifications des .exe sont ouvertes).

Vous voyez le problème ? Non ? Alors je vais l’exposer clairement, installer le plugin gnash pour naviguer avec est dans 99.9% des cas de l’hypocrisie totale, puisqu’en l’utilisant (pour ne pas utiliser le vilain flash player propriétaire) , on passe du coup son temps à exécuter sur sa machine – qu’on ne me parle pas de code php non libre, ça n’a juste rien à voir (j’ai déjà vu ça); par contre on peut allègrement parler de javascript, à la différence que le code est lisible – des binaires précompilés au code source inconnu et à la licence très probablement propriétaire. Je dis 99.9% pour ne pas faire de procès d’intention global, mais c’est mon ressenti, car j’ai vraiment du mal à imaginer quelqu’un installant gnash uniquement pour l’activer pour juste les applications qu’il sait libre (mais comme ça peut exister, je laisse la possibilité ouverte).

Attention, par contre, à ne pas se tromper sur ma pensée, je pense à peu près autant de bien de java (voire pire, vu que c’est encore moins performant). Et j’ajoute que je n’ai bien sûr rien contre le java ou l’actionscript/flex (en dehors que ce sont des langages moisis à utiliser), c’est juste que je ne peux pas encadrer la présence de binaires sur le web, et surtout, le fait que des gens qui se disent libristes les exécutent sans broncher. Car les applications flash pourraient tout à fait avoir la même place que les applications java sur une machine de travail – bon, pas la mienne, certes, mais pour des raisons plus personnelles –, mais étrangement, ça se fait très peu (je pense quand même notamment à dofus, jeu de rôle propriétaire en flash, qui est prévu pour se lancer en stand-alone, ce qui devrait être le comportement normal d’une application).

Le titre était prévu pour faire réagir, mais c’est bien parce qu’avoir un plugin flash pour le web qui est libre est une fausse bonne idée (après, j’ai pas d’ordres à donner aux devs de gnash, ils font ce qu’ils veulent – encore heureux –, mais je trouve que c’est de l’énergie gâchée en faveur du propriétaire et du pourrissage du web). Gnash ne contient bien évidemment en lui même aucun code malicieux ;) . Vous l’aurez compris, si vous trouvez qu’avoir le flash player non libre c’est mal, la meilleur solution c’est de ne pas installer de plugin.

Sinon, à propos du javascript (qui commence à produire des applications d’une taille relativement affreuse), je trouve cette tâche très intéressante dans l’idée.

Fin de l'article

Scripts

ZEROS SCRIPTS:

• Extension Firefox NoScript pour bloquer les scripts Java, Flash, Silverlight, CSS, IFrame etc.

Javascript

Il est utile de connaitre la différence entre Java et Javascript ici et ici. JavaScript, développé pour le compte de Netscape, portait d'ailleurs le nom LiveScript avant de devenir JavaScript. LiveScript s'est simplement inspiré de Java en simplifiant la syntaxe pour les débutants. Quelques jours avant sa sortie, Netscape change le nom de LiveScript pour JavaScript. Sun Microsystems et Netscape étaient partenaires, et la machine virtuelle Java de plus en plus populaire. Ce changement de nom servait les intérêts des deux sociétés. Source: Wikipédia. Ceci dit, Java reste un danger en terme de sécurité.

Le piège JavaScript.

ZERO JAVASCRIPT:

• Extension Firefox NoScript pour bloquer les scripts Java, Flash, Silverlight, CSS, IFrame etc.

JAVASCRIPT (Alternatives à Javascript, si vous avez VRAIMENT besoin de Javascript):

• Javascript installe aussi des cookies que MEME votre navigateur internet n'efface pas. Voir Evercookie qui est une API de création de cookies Javascript qui ne s'effacent jamais... | Article sur Wikipédia (en) (Source: Commentaire de gnuzer sur l'article du Blog.mathieui.net.

• SpyJax espionne votre historique de navigateur internet.

Pour les développeurs:

• HTML5 Context Menu: Focus sur les menus contextuels en HTML5.
• HTML5 Notifications - Les notifications HTML5 sur Webkit.

Autres

Flash

ZERO FLASH:

• Rubrique No Flash sur le blog de PaulK.

• 10 moyens de regarder YouTube sans logiciels propriétaires / 10 ways to watch YouTube without non-free software (fr + en).

• Extension Firefox Flash Video Replacer qui permet de lire les vidéos Flash de Youtube etc sous un autre format, en temps réel.

• Comment forcer la désinstallation du plugin Flash Player (bon méthode de Adobe... le fabriquant même de Flash).

• Extension Firefox Flashblock pour bloquer tout le contenu Flash d'internet.

FLASH (Alternatives à Flash, si vous avez VRAIMENT besoin de Flash):

• Gnash (mais est ce que Gnash offre pour autant plus de sécurité que Flash, ou créé t'il les mêmes failles au travers d'un proxy/VPN/SSH? Voir l'article dans l'introduction).
• Lightspark.
• Swfdec.
• FLV Flash Player - Un lecteur vidéo flash open-source.
• OS FLV: un lecteur de vidéo FLV open source.
• Flash Doctor va soigner vos petits problèmes avec Flash.
• Flash installe aussi des cookies flash que MÊME votre navigateur internet n'efface pas. Il est important d'utiliser l'extension Better Privacy pour Firefox.

Pour les développeurs:

• Wallaby – Convertir du flash en HTML5.
• Swiffy – Convertissez vos flash en animation HTML5.
• HTML5 – Convertissez vos vidéos et uploadez les sur votre FTP.
• Créer des animations en HTML5 comme sous Flash Professional.

Divers:

• Gianduia de Apple, est décrit comme un mélange de Cocoa, CoreData, WebObjects, le tout écrit en JavaScript (Gianduia remplace donc Flash mais est écrit en Javascript...).

PDF

Le format PDF est très utilisé pour lire des documents dans une page web.

http://korben.info/un-lecteur-pdf-utilisant-des-standards-du-web.html

Logiciels et Services

• E-mail:
  • Safe-mail: Service sécurisé en SSL. Inscription ultra rapide (login + mot de passe et rien de plus). Nombreux services internes (Chat sécurisé etc), Symphony logiciel téléchargeable (non obligatoire) pour Windows. Possibilité d'utiliser l'interface sans script (Javascript etc) ni icônes (léger et sécurisé). Il est aussi possible d'envoyer un mail directement sans se connecter à sa boite avec QuickMail. Inconvénient: Boite mail gratuite minuscule (3 Mo), il faut payer pour augmenter sa taille.

• Microblogging:
  • Juick | Aide en français sur Juick | Article 1, Article 2, Article 3 | Débutez dans les sites de Microblogging/Juick. Juick est extrêmement simple. Pour créer un login, rajoutez simplement le login "juick@juick.com" et envoyez un message. Vous pouvez tout commander à partir de votre messenger XMPP (Voir la Liste des commandes). Pour vous loguer, envoyez la commande "LOGIN" dans votre messenger XMPP (Explications ICI. Traduisez l'explication ICI). Juick ne nécessite pas d'activer Javascript ou Flash (sauf pour quelques rares choses comme obtenir les contacts du site). Juick n'est PAS un site libre/open source, contrairement à Identi.ca. Il existe des modules Juick pour Wordpress ou Drupal, Pidgin, etc.

• Gate One – Un client SSH en HTML5. Pas besoin d’installer un plugin java, c’est un logiciel SSH 100% en HTML5, c’est capable de gérer plusieurs connexions simultanées, et vu que le code est libre, vous pouvez l’utiliser et l’intégrer dans vos propres applications web.

• BrowserQuest – Le MMO de Mozilla: Pour faire la promo du HTML5 et des standards actuels du web et montrer au monde que leur suprématie n'est plus à discuter, Mozilla a mis le paquet en lancer un jeu d'aventure multijoueur totalement open source. Ce jeu baptisé BrowserQuest se joue uniquement à travers le navigateur et ressemble à un bon vieux Zelda ou Secret of Mana des familles. La techno phare ici, ce sont les WebSockets qui permettent une communication dans les 2 sens entre le navigateur et le serveur de jeu.