C'est un souci pour certains et pas pour d'autres (dans mon cas rien a battre qu'un site puisse obtenir mon IP privée), donc certains caractérisent ça de 'faille de sécurité' alors que d'autre catégorisent ça comme étant un probleme de 'confidentialité/vie privée' (privacy) ou d' 'entreprise' (en gros = ça doit être laissé a l'appréciation de la politique de l'entreprise donc "réglable" par un administrateur).
Pour la plupart des gens c'est une faille de sécurité.
Pour moi c'est très clairement une faille, donc le débat est clos. Si même moi je dis que c'est une faille alors c'est une faille merci au revoir.
Chrome et Firefox respectent les specs de la norme WebRTC et se doivent donc
NON
Il doivent rien du tout à la norme et tout aux utilisateurs, et énormèment d'utilisateurs n'aiment pas ça.
Et l'IP privée ne servira que très très rarement en pratique.
Les normes, c'est des mecs qui s'autorisent à penser des trucs, hein. C'est souvent remplis de conneries, que les connards péteux croient devoir suivre (les très gros connards qui décident pour Firefox, ou pour GNU C). Cela me met hors de moi.
Ces mecs se branlottent avec la norme et crache à la gueule des utilisateurs.
Moi j'ai participé à des normalisations, je sais comment ça se passe, déjà la moitié des mecs ne bittent RIEN à ce qui se trament, souvent il y a 3 mecs qui comprennent les subtilités et les autres qui font confiance. C'est le principe même des comités, la plupart des mecs (et les nanas, hein) font de la figuration.
de fonctionner comme cela. Ils ont donc décider , par défaut, d'autoriser ce comportement plutôt que de le bloquer (opt-in par défaut).
Ceux qui veulent empêcher ce fonctionnement peuvent, avec Chrome, installer cette extension pour bloquer.
Installer une extension pour combler une faille n'est PAS une solution acceptable.
(Je cherche une solution en modifiant le binaire à la main, comme pour virer le support HSTS.)
Dans Firefox ca se fait directement dans les flags (about:config) avec en désactivant "media.peerconnection.enabled".
C'est déjà moins pire.
Le débat si c'est une faille de sécurité ou juste un probleme de privacy/entreprise n'est bien sur pas tranché
Si beaucoup de gens pensent que c'est une faille alors c'est une faille.
et ne le sera peut-être jamais mais ce débat n'a rien à faire dans le bugtracker de Chrome et n'a pas a le polluer (ca n'est pas non plus aux devs de Chrome de trancher la question mais plus a l'IETF et/ou ceux qui mettent au point les specs de WebRTC).
Non! Le débat est tout à fait à sa place dans le bugtracker. C'est fait pour ça un bugtracker. Dire que la norme est la merde est à sa place dans un bugtracker. C'est comme ça.
C'est un peu le même débat qu'avec le "user-agent" qui communique l'OS, sa version, le nom du navigateur, sa version a tout les sites qu'on consulte. Personne ne parle de faille de sécurité la ... sauf les extrémistes parano Et avec IPv6 la question ne se pose même plus (sauf cas tordus).
Je vois pas le rapport avec IPv6.