On sait que Mozilla prépare activement l’arrivée de Firefox 4. Il s’agit pour l’éditeur de ne pas se tromper, car jamais avant une version de son produit n’a autant revêtu d’importance. Tandis que croît en effet l’importance de Chrome, Microsoft a de grandes ambitions pour son Internet Explorer 9. Nouvelle interface, performances, sécurité, synchronisation : Firefox 4 revoit à peu près tout. Une nouvelle page consacrée aux développeurs dévoile un peu plus certaines nouveautés très importantes.


Première modification de taille : l’utilisation du parseur HTML5. Cela signifie d’emblée plusieurs changements et nouveautés :

• La possibilité d’inclure du contenu SVG et MathML directement dans le code HTML
• La possibilité d’utiliser l’API WebSockets pour des communications en temps réel entre une application web et le serveur
• Des améliorations dans la prise en charge des web forms dans HTML5

Concernant les CSS, là encore des améliorations sont à prévoir, notamment dans le domaine des possibilités supportées. On notera ainsi le travail sur le support de calc(), ou encore de -moz-any() pour le groupement des sélecteurs.

Pour la partie graphique, les améliorations sont assez nombreuses :

• Le support de WebGL
• De meilleures performances graphiques
• Le support du format vidéo WebM, ce qui n’étonnera personne puisque Mozilla faisait partie des éditeurs à avoir annoncé leur support au projet de Google
• Une API pour le plein écran (les détails seront donnés plus tard)
• Le support des animations SMIL du SVG

À propos du SVG, il faut savoir que les développeurs vont pouvoir désormais l’inclure directement en tant que fond d’un site par exemple. Le degré de prise en charge permet en effet d’utiliser de tels contenus avec l’élément img ou via les CSS.

Mais c’est probablement du côté de la sécurité que les choses vont le plus bouger chez Mozilla. Firefox 4 introduira la CSP (Content Security Policy), qui est une proposition de l’éditeur pour aider les développeurs à définir comment les contenus de leurs sites interagissent. Le but est d’identifier clairement qui fait quoi afin d’empêcher un maximum d’attaques de type cross-site scripting ou injections de code.

L’un dans l’autre, il s’agit ni plus ni moins de donner de nouvelles habitudes aux développeurs. Les restrictions se feront au niveau du client et empêcheront par exemple le code JavaScript de générer lui-même du nouveau code, ou d’exécuter un autre code sans que ce dernier ait d’abord été signé. La CSP devrait être également suffisante pour empêcher les attaques de type clickjacking, une méthode malveillante, bien qu’ancienne, qui permet de récupérer à l’insu de l’utilisateur ses identifiants et mots de passe.

Pour rester dans le chapitre de la sécurité, Mozilla mettra également en place des « allocations de mémoire infaillibles ». Les développeurs qui connaissent les appels « malloc » pourront s’ils le souhaitent utiliser à la place « moz-xmalloc ()» dans le cadre d’un code JavaScript. Conséquence : aucune valeur nulle ne pourra être envoyée à  une variable qui y fait appel. L’allocation de mémoire elle-même utilisera d’ailleurs un algorithme plus agressif. Dans le cas d’un code JavaScript, il ne pourra pas y avoir d’échec. En-dehors, la possibilité existe, mais Firefox fera alors planter toute l’application web plutôt que de laisser la porte ouverte à une exploitation malveillante.

Les développeurs qui sont intéressés par une liste plus complète des nouveautés pourront se rendre sur cette page de Mozilla qui leur est consacrée. À noter que celle-ci sera mise à jour au fur et à mesure de l’avancée des travaux.