uMatrix : la matrice « behind-the-scene »

Firefox - uMatrix

Ce bref article complète uMatrix avec Firefox – 3 : les «scopes», pour les internautes qui veulent mieux comprendre ce qui se passe dans les coulisses de Firefox, selon ce que uMatrix nous dévoile dans sa matrice « Behind-the-scene ».

À côté du reader.about-scheme (voir uMatrix avec Firefox – 3 : les «scopes»), uMatrix est capable de vous montrer toutes les requêtes qui se passent dans les coulisses de Firefox, « behind the scene » et sans que vous en ayez conscience, le plus souvent. Cette fonction existe aussi dans uBlockO.

Par défaut, la matrice pour ces requêtes est totalement désactivée, ce qui veut dire que toutes les requêtes sont autorisées. Si vous voulez l’explorer, affichez d’abord le tableau de bord puis la matrice. C’est instructif pour le moins, mais si vous interdisez toutes les requêtes, vos modules pour Firefox ne se mettront pas à jour, ni non plus les filtres statiques de uBlockO ni de uMatrix. Donc, prudence.

Le contenu de la matrice « behind the scene » dépend de votre navigation du moment, de la liste des filtres activés dans uBlockO ou dans uMatrix, donc ne vous étonnez pas si les domaines présents sur votre matrice sont différents des images ci-dessous.

Mozilla dans les coulisses

Voici un exemple de cette matrice avec des autorisations limitées :

uMatrix - behind-the-scene

Ici, le domaine mozilla.org est autorisé complètement, par commodité, car les mises à jour des modules sont, par défaut, automatiques. Donc, Mozilla vérifie régulièrement, à votre insus, l’état de vos modules. Si, comme moi, vous vérifiez vous-mêmes s’il y a des mises à jour pour vos modules, vous pouvez bloquer mozilla.org dans cette matrice.
Vérifiez aussi si cela n’a pas d’incidence sur la page about:addons (voir uMatrix avec Firefox – 3 : les «scopes»). Vous pouvez ne pas autoriser Mozilla complètement mais simplement autoriser les cellules où il se passe quelque chose, comme je l’ai fait pour un sous-domaine de mozilla.net : addons.cdn.mozilla.net, cellule « Other/Autre ».

Filtres en coulisses

Voici deux copies d’écran en guise d’exemple pour mieux comprendre ce qu’il faut autoriser pour que les filtres de uMatrix soient mis à jour.

Les domaines à autoriser varient évidemment selon la liste des filtres que vous avez activés (uMatrix avec Firefox – 2 : le tableau de bord. Voici un exemple avec quelques filtres activés dans uMatrix — vous pouvez bien sûr activer d’autres filtres :

uMatrix Liste de filtres

L’image ci-dessous montre uMatrix en action lorsque vous mettez à jour les filtres activés :

uMatrix Behind-the-Scene

Je n’ai autorisé que les sous-domaines d’où sont téléchargés les filtres activés dans le tableau de bord de uMatrix. Il est possible de les autoriser juste pendant la mise à jour et de les interdire au quotidien. À vous de voir.

Comme vous le voyez, il suffit de passer en vert (autorisation) les cellules marquées d’un chiffre, ici 1. C’est là qu’il se passe quelque chose. Inutile d’autoriser l’ensemble d’un domaine.

Mettez à jour les filtres (au besoin, videz les caches pour pouvoir activer le bouton de mise à jour) et regardez s’ils sont effectivement mis à jour. Regardez ce que vous indique le journal de uMatrix pendant que vous faites la mise à jour. Le journal de bord (chrome://umatrix/content/logger-ui.html, est aussi accessible depuis la barre des icônes de la matrice.
Voyez ce qui est bloqué et ce qui bloque la mise à jour de tel ou tel filtre.

Je n’ai pas autorisé d’autres domaines (qui ne sont pas sur l’image ci-dessus) car je pense que c’est inutile.

Les requêtes des CA dans les coulisses

Les CA sont les autorités de certification qui assurent et vérifient l’état des certificats TLS pour les sites web sécurisés.

En ce qui concerne Let’s Encrypt ou GlobalSign et d’autres autorités de certification pour les sites web sécurisés comme Liberté GNU/Linux, la cellule « Other / Autre » n’est guère explicite, comme je l’ai dit dans uMatrix avec Firefox – 1 : la matrice en action.

Il reste que les autorités de certification sont censées assurer que le site sécurisé que vous visitez a un certificat valide. Leurs requêtes devraient donc être autorisées sans risque, mais le protocol OCSP implique que les autorités de certification enregistrent votre navigation sur le web. Voyez le court article de Wikipédia, Agrafage OCSP.
Même si les requêtes de Let’s Encrypt et de GlobalSign sont bloquées, Firefox ne bronche pas pour afficher des pages de Liberté GNU/Linux car le navigateur contient les certificats de ces autorités.

Je vous laisse découvrir les requêtes de ces autorités grâce au journal de bord que uMatrix vous livre pour la matrice « Behind-the-scene », au cours de votre navigation sur le web. Si vous avez interdit les requêtes de Let’s Encrypt et GlobalSign, le journal vous les affichera en rouge lors de votre navigation sur Liberté GNU/Linux, par exemple. Un petit œil rouge devrait attirer votre œil et votre souris. Un clic sur cette icône fait surgir la matrice « Behind-the-scene » et vous pouvez directement passer en vert la cellule « Other » pour les sous-domaines de Let’s Encrypt et de GlobalSign, si cela vous rassure, et vous pouvez vérifier si ces requêtes ne ralentissent pas votre navigation.

Bonne exploration :-)

8 commentaires

  • Re,
    Je vois mieux la logique désormais. Merci pour le lien du log aussi :)
    Par contre, il semble qu’il faille autoriser des accès Mozilla car impossible d’installer des modules :

    Dans la colonne « Other », autoriser « addons.mozilla.org » et « addons.cdn.mozilla.net ». Merci le log uMatrix :-)

  • Problème tout bête : pas de soucis avec « about-scheme », mais je ne comprend pas comment on accède à « behind-the-scene ». Merci de bien vouloir éclairer ma lanterne. :D

  • Ainsi se termine ma lecture des tutoriels sur uMatrix. Merci pour ce super boulot !

    Au final, peut-être ai-je juste mal compris certains trucs, mais après avoir bien pris le temps de m’y attarder, uMatrix me semble plus intuitif, plus simple à comprendre et à paramétrer que ce cher uBlock. Mais peut être que c’est juste pour moi. ^^

    Reste deux petites incompréhensions petites incompréhensions, peut-être pourras-tu encore m’aider :

    – Lorsque je vais sur le tableau de bord de uMatrix > Fichiers Hosts et que je clique sur « Vider tous les caches », à côté de tous mes filtres s’affichent des encadrés « potentiellement obsolètes » qui disparaissent une fois que j’ai cliqué sur « Mettre à jour maintenant ». Cependant, si je clique à nouveau sur « Vider tous les caches », les dits-encadrés réapparaissent. Est-ce normal ? Je préfère être sûr.

    – Enfin, cas pratique tout bête, je suis allé sur le site des pages jaune et, quand j’ai voulu cliquer sur un bouton « Afficher le numéro », pas moyen de faire apparaître celui-ci. Le bouton reste en place. Je n’arrive pas à déterminer quel module et quel réglage est à mettre en cause pour cela. Peux-tu m’aiguiller ? :)

    Encore une fois, un grand merci pour tes articles !

    • Liberté GNU/Linux

      Si tu vides tous les caches, c’est normal de devoir remettre à jour
      Annuaire pages jaunes: l’astuce, d’après mon expérience (ça veut pas dire que ça te conviendra), c’est de tout interdire dans uMatrix les CSS compris et tous les scripts bien sûr. Affichage impeccable, juste en HTML.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *