Développeurs Mozilla sans créer de nouvelle version via le système d'expérimentation Parmi les utilisateurs de Firefox 76 et Firefox 77-beta, une mise à jour qui désactive le nouveau mécanisme de confirmation d'accès aux mots de passe enregistrés, utilisé sur les systèmes sans mot de passe principal. Rappelons que dans Firefox 76, pour les utilisateurs Windows et macOS sans mot de passe principal défini, afin d'afficher les mots de passe enregistrés dans le navigateur, une boîte de dialogue d'authentification du système d'exploitation a commencé à apparaître, nécessitant la saisie des informations d'identification du système. Après avoir saisi le mot de passe système, l'accès aux mots de passe enregistrés est fourni pendant 5 minutes, après quoi le mot de passe devra être à nouveau saisi.
La télémétrie collectée a montré un niveau anormalement élevé de problèmes d'authentification utilisant les informations d'identification du système lors de la tentative d'accès aux mots de passe stockés dans le navigateur. Dans 20 % des cas, les utilisateurs n'ont pas pu terminer la vérification et n'ont pas pu accéder à leurs mots de passe enregistrés. Deux raisons principales ont été identifiées qui sont probablement à l'origine des problèmes survenus :
- L'utilisateur peut ne pas se souvenir ou ne pas connaître son mot de passe système car il utilise une session de connexion automatique.
- En raison d'explications insuffisamment claires dans la boîte de dialogue, l'utilisateur ne comprend pas qu'il doit saisir le mot de passe système et essaie de saisir le mot de passe du compte Firefox utilisé pour synchroniser les paramètres entre les appareils.
On supposait que l'authentification du système protégerait les informations d'identification des regards indiscrets si l'ordinateur était laissé sans surveillance et qu'un mot de passe principal n'était pas défini dans le navigateur. En fait, de nombreux utilisateurs n’ont pas pu accéder à leurs mots de passe enregistrés. Les développeurs ont temporairement désactivé la nouvelle fonctionnalité et ont l'intention de revoir la mise en œuvre. En particulier, ils prévoient d'ajouter une description plus claire de l'obligation de saisir les informations d'identification du système et de désactiver la boîte de dialogue pour les configurations avec connexion automatique.
Source: opennet.ru