IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Mozilla s'est trompée sur les extensions malicieuses de Firefox

  1. #1
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 060
    Points
    149 060
    Par défaut Mozilla s'est trompée sur les extensions malicieuses de Firefox
    Mise à jour du 11/02/10
    NB : Les commentaires sur cette mise à jour commencent ici dans le topic


    Mozilla s'est trompée sur les extensions malicieuses de Firefox
    Une seule serait effectivement un malware : comment sécuriser efficacement les add-ons ?


    La Fondation Mozilla vient de faire savoir qu'elle avait commis une (grosse) erreur en accusant à tort une extension d'être un cheval de trois (lire ci-avant).

    "Sothink Web Video Downloader 4.0" avait été qualifiée de malware après que la Fondation a décidé de scanner la totalité des add-ons proposés officiellement pour Firefox. Un scan plus poussé, lié à un changement d'antivirus, avait ainsi montré que cette extension, ainsi que Master Filer, cachaient des applications malicieuses.

    Aujourd'hui, Mozilla fait machine arrière. Sothink Web Video Downloader serait une extension tout ce qu'il y a de plus normale.

    "Nous avons travaillé avec des experts et des développeurs d'extensions qui ont déterminé que le Cheval de Troie que nous avions cru détecté dans la version 4.0 de Sothink Video Downloader était un faux positif et que l'extension ne contenait aucun malware" explique Mozilla sur son blog officiel.

    A contrario, Master Filer - l'autre extension exclue de la galerie - contient bien un Trojan.

    Un de bon, un de faux, donc.

    Et toujours le même point faible pour la sécurité de Firefox.


    Source : Le billet sue le blog de Mozilla


    Et vous ?

    D'après vous, quelle est la meilleure solution pour que les extensions de Firefox soient sécurisées ? Et que dans le même temps elles ne soient pas accusées à tort d'être des malwares ?


    MAJ de Gordon Fowler



    Mise à jour du 05/02/10
    NB : Les commentaires sur cette mise à jour commencent ici dans le topic


    Sécurité : Firefox victime de ses extensions
    Mozilla reconnaît avoir échoué à détecter des malwares dans la galerie d'add-ons officiels de son navigateur


    En matière de sécurité, il existe deux types d'extensions pour Firefox : celles proposées sur le site officiel des add-ons et celles que l'utilisateur peut installer à ses risques et périls.

    Une étude assez critiquée avait mis en avant le gros problème d'insécurité de ce deuxième type d'extensions qui peuvent sortir de nulle part (lire ci-avant).
    Certes les auteurs étaient allés un peu loin en affirmant que le navigateur de Mozilla était le « plus vulnérable » mais ils avaient mis le doigt sur un gros point faible.

    Aujourd'hui on apprend que ce ne sont pas des extensions officieuses mais bien des extensions du tronc officiel qui ont... [Lire la suite]


    Et vous ?

    D'après vous, les extensions, qui ont fait le succès de Firefox, peuvent-elles lui être fatal avec les problèmes de sécurité qu'elles introduisent ?
    Comment la Fondation Mozilla pourrait-elle améliorer la sécurité des add-ons ?


    MAJ de Gordon Fowler



    Firefox : le navigateur le plus vulnérable ?
    Une étude affirme que Firefox serait à l'origine de 44 % des vulnérabilités de tous les navigateurs


    Cenzic est une société qui fournit des solutions de sécurité. Elle s'est donc sans surprise penchée sur les vulnérabilités des navigateurs recensées sur le premier semestre 2009.

    La surprise, elle, vient des résultats de l'étude. Firefox aurait été à l'origine de 44 % des vulnérabilités de tous les navigateurs. En deuxième position arrive Safari (35 %) puis Internet Explorer (15 %). Opera arrive bon dernier – la meilleure place donc – avec seulement 6 % des vulnérabilités.

    Le PDG de Cenzic explique et relativise ce résultat à contrecourant des idées reçues.

    Pour lui la popularité grandissante du Panda Roux explique l'augmentation de son exposition aux menaces. A contrario Opera est plus à l'abri de l'attention des hackers.

    D'autre part, le navigateur lui-même serait très sûr. Ce n'est pas le cas des plug-ins et des extensions.

    Les plug-ins tout d'abord, que les utilisateurs prennent trop de temps à mettre à jour (quand ils le font). Pour y remédier, Mozilla a mis en place une page de détection qui invite à les updater en cas de besoin. Cette fonction sera intégrée en natif dans les prochaines versions de Firefox et devrait donc logiquement faire baisser son score "de vulnérabilité" dans la prochaine étude.



    Process satirique "Browser Debugging in a Nutshell"


    Les extensions ensuite. Ces programmes qui ajoutent des fonctionnalités au navigateur ont fait son succès. Revers de la médaille, Mozilla ne peut (et n'a jamais voulu) contrôler leur sécurité. Certaines sont certifiées certes, mais les autres, malgré les messages d'alerte, peuvent être installées et ouvrir des failles.

    Cenzic reste assez flou sur la méthode employée pour classer les navigateurs. Car si Firefox possède le plus grand nombre de vulnérabilités recensées, le PDG de la société souligne pourtant que ses utilisateurs ne seraient pas pour autant les plus vulnérables...

    Aucun mot, non plus, sur les délais et les temps de réaction entre la découverte d'une faille et son patch.

    Cenzic précise également que ses solutions de sécurité utilisent des technologies de Mozilla.

    Une légère crainte d'être accusé d'instrumentalisation surtout après que le gouvernement Wallon a banni Firefox de ses institutions pour imposer l'usage exclusif d'Internet Explorer 6 ?

    Source : L'étude de Cenzic

    Lire aussi :

    Firefox met de plus en plus à mal l'hégémonie d'Internet Explorer

    Firefox victime d'une faille de sécurité ouverte par Windows Update, Microsoft reconnait qu'un plug-in pour .NET est concerné

    Firefox vers une nouvelle Interface Utilisateur : bilan des évolutions en cours

    La rubrique Développement Web (forum, actus, tutos)

    Et vous ? :

    Que pensez-vous des résultats de cette étude ? Vous étonnent-ils ?
    Pour vous qu'est-ce qu'un navigateur sûr ?

  2. #2
    Membre habitué
    Avatar de NoobX
    Profil pro
    Inscrit en
    Novembre 2004
    Messages
    195
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2004
    Messages : 195
    Points : 140
    Points
    140
    Par défaut
    Une fois de plus IE est dernier
    Ha ok pour le coup c'est la bonne place

  3. #3
    Membre émérite
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 537
    Points : 2 548
    Points
    2 548
    Par défaut
    Attention, encore une fois, il faut comprendre ce qui est dit.

    Déjà, ici, on compare le nombre de failles découvertes. Or il y a deux autres paramètres important à prendre en compte : la criticité des failles, ainsi que le temps pendant lesquelles elles sont effectives.

    De plus, il n'est pas surprenant de trouver en tête des navigateurs libre (ou au moins en partie comme pour safari). En effet, sur un tel projet, toutes les failles sont connus de tous. dans le cas des projets proprio comme IE ou Opera, des failles sont corrigées en interne, et sans communication au public. Le chiffre s'en trouve donc réduit, non pas parce que les navigateurs sont plus sécurisés, mais bien parce qu'un grande partie de l'info n'est pas publiquement connue.

    Bref, de la news à troll lancée par des soit disant expert en sécurité ayant besoin d'un bon coup de pub.

    Il n'y a strictement rien à sortir d'intéressant des données présentées comme ceci.

  4. #4
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 233
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 233
    Points : 28 261
    Points
    28 261
    Par défaut
    Cenzic est une société qui fournit des solutions de sécurité.
    ....
    Cenzic reste assez flou sur la méthode employée pour classer les navigateurs.
    D'un autre coté, c'est pas non plus leur intérêt, peut-être, de dévoiler les ficelles de ce qui pourrait être finalement qu'un moyen de se faire de la pub.


    Pourquoi, toujours ce type d'étude est fait par des sociétés intéressées qui ont tout intérêt à ce que les résultats ne soient pas excellents voire soient mauvais.

    C'est pour quand les mêmes études mais vraiment indépendantes ???

  5. #5
    Membre confirmé
    Avatar de chemanel
    Homme Profil pro
    Inscrit en
    Janvier 2005
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2005
    Messages : 173
    Points : 457
    Points
    457
    Par défaut
    "Ce qui ne vous tue pas vous rend plus fort!"

    Je pense que c'est le cas d'IE, il s'est fait attaqué pendant tellement de temps (du à sa place de numéro 1) qu'à force de se défendre il est devenu très sécurisé.

    Maintenant, le nombre de faille et le temps de réaction... ça c'est autre chose...

  6. #6
    Membre à l'essai
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2005
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Septembre 2005
    Messages : 7
    Points : 10
    Points
    10
    Par défaut
    Cette vulnérabilité inhérente aux extensions n'est pas nouvelle...

    Firefox a une telle image de "sécurité" aux yeux de ceux qui encouragent sa diffusion, qu'un problème apparaît lorsque tout le monde commence à installer des extensions dans tous les sens, en se disant que si le navigateur est sûr, il n'y aura aucun problème...

    Voir pour cela mon article traitant de ce problème plus en détail, afin de peut-être convaincre les plus circonspects sur les résultats de cette étude...

    « Firefox, Le navigateur Web le plus sûr »
    http://www.ni69.info/security-fr.php

  7. #7
    Membre confirmé
    Avatar de chemanel
    Homme Profil pro
    Inscrit en
    Janvier 2005
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2005
    Messages : 173
    Points : 457
    Points
    457
    Par défaut
    Citation Envoyé par ni69 Voir le message
    Cette vulnérabilité inhérente aux extensions n'est pas nouvelle...

    Firefox a une telle image de "sécurité" aux yeux de ceux qui encouragent sa diffusion, qu'un problème apparaît lorsque tout le monde commence à installer des extensions dans tous les sens, en se disant que si le navigateur est sûr, il n'y aura aucun problème...

    Voir pour cela mon article traitant de ce problème plus en détail, afin de peut-être convaincre les plus circonspects sur les résultats de cette étude...

    « Firefox, Le navigateur Web le plus sûr »
    http://www.ni69.info/security-fr.php
    Très très bon article ni69 ! Je ne croyais pas que le problème était a ce point la ! C'est un vrai problème, que ça soit dans un réseau d'entreprise, ou dans une université, ou même un cybercafé... Il suffit d'installer une petite extension... et tu auras accès à tout ce que tout le monde fait, même étant à distance... de plus, la méthode "rootkit" rend ça indétectable... ou presque... En tout cas pas pour le commun des mortel...

    Une raison en plus pour moi de la lourdeur croissante de Firefox de ne plus l'utiliser !

    Finalement, la région wallone avait pas tord de se cantonner a IE

  8. #8
    Membre émérite
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 537
    Points : 2 548
    Points
    2 548
    Par défaut
    C'est vrai, ceci dit, c'est aussi vrai avec IE par exemple (au moins les versions 6 et 7).

    Parmi les mode d'attaque précités, en fait ou bien l'utilisateur doit installer le rootkit lui-même (mouais, il y en a qui sont capables) ou bien il faut une faille ailleurs (il est donc dur de le reprocher à firefox, et de toute façon, la machine est corrompu).

    A mon avis, ceci est un problème principalement dans le cas d'un attaque interne dans el cadre d'une entreprise par exemple.

  9. #9
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Juin 2009
    Messages : 472
    Points : 1 587
    Points
    1 587
    Par défaut
    les extensions étant installées uniquement sur la session de l'utilisateur dans le cas d'une installation en entreprise correctement effectuée, je vois pas où est le problème.
    Elle n'ont pas accés aux données des autres comptes si l'administrateur de la société en question n'est pas dépourvu de bras et de son cerveau.

    Quand à l'argument IE 6, je doute fortement que sa gestion hasardeuse ActiveX et les divers failles que le navigateur traine depuis 2001 le rende plus sur.

  10. #10
    Inactif  
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    885
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France

    Informations forums :
    Inscription : Avril 2008
    Messages : 885
    Points : 1 320
    Points
    1 320
    Par défaut
    C'est quand même drôle la mauvaise foi :
    - IE : bouuuuuh, s'il est si peu sûr, c'est parce qu'il est tout pourri et n'est pas sécurisé, et non parce qu'il est la cible n°1 des attaques;
    - FF : rhhoooo mais non, s'il n'est pas sûr, c'est juste parce qu'il est populaire, il est très bien fait sinon. Rhooo et puis c'est la faute aux extensions et aux utilisateurs qui font n'importe quoi, surement pas notre petit panda qui ressemble sacrément à un renard.


  11. #11
    Membre expérimenté Avatar de BainE
    Inscrit en
    Mai 2004
    Messages
    1 327
    Détails du profil
    Informations forums :
    Inscription : Mai 2004
    Messages : 1 327
    Points : 1 572
    Points
    1 572
    Par défaut
    Citation Envoyé par ni69 Voir le message
    Cette vulnérabilité inhérente aux extensions n'est pas nouvelle...

    Firefox a une telle image de "sécurité" aux yeux de ceux qui encouragent sa diffusion, qu'un problème apparaît lorsque tout le monde commence à installer des extensions dans tous les sens, en se disant que si le navigateur est sûr, il n'y aura aucun problème...

    Voir pour cela mon article traitant de ce problème plus en détail, afin de peut-être convaincre les plus circonspects sur les résultats de cette étude...

    « Firefox, Le navigateur Web le plus sûr »
    http://www.ni69.info/security-fr.php
    mais lol.

    Pour pirater FF, connectez vous au préalable sur la machine que vous souhaitez attaquer ? Quel interet de faire ca si on a deja pénétré sur la machine ciblée ?

  12. #12
    Membre confirmé
    Avatar de chemanel
    Homme Profil pro
    Inscrit en
    Janvier 2005
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2005
    Messages : 173
    Points : 457
    Points
    457
    Par défaut
    Citation Envoyé par BainE Voir le message
    mais lol.

    Pour pirater FF, connectez vous au préalable sur la machine que vous souhaitez attaquer ? Quel interet de faire ca si on a deja pénétré sur la machine ciblée ?
    Pirater ta boite email ? Vider tes comptes banquaires?

    Te connecter a la machine ne te donnes pas forcément accès a les services online, installer une backdoor dans firefox qui peut voir TOUT ce que tu fais dessus... te donnerai accès a tout... de facebook a paypal en passant par ton homebanking...

  13. #13
    Membre expérimenté Avatar de BainE
    Inscrit en
    Mai 2004
    Messages
    1 327
    Détails du profil
    Informations forums :
    Inscription : Mai 2004
    Messages : 1 327
    Points : 1 572
    Points
    1 572
    Par défaut
    Citation Envoyé par chemanel Voir le message
    Pirater ta boite email ? Vider tes comptes banquaires?

    Te connecter a la machine ne te donnes pas forcément accès a les services online, installer une backdoor dans firefox qui peut voir TOUT ce que tu fais dessus... te donnerai accès a tout... de facebook a paypal en passant par ton homebanking...
    oui oui, un bete keylogger (qui ne marche que quand FF est lancé) j avais compris.
    Le pluggin ne te donne acces a rien, il t envoie juste les data des formulaires en esperant que ce soit des données sensibles.
    Tout soft a pluggin non signé est potentiellement dangereux, le tuto dit que pour installer silencieusement le dit pluggin il faut d abord trouver une autre faille dans le systeme, s y connecter, avoir les droits d ecriture... Une fois ces conditions réunies tu peux veroler ce que tu veux, Excel, Word et installer un keylogger qui marche meme sans FF...
    Ca prouverait que Word et Excel ont des failles ?

    (je parle pas de l autre méthode avec le pop up "Voulez vous bien installer ... ?")

    On pourrait polémiquer sur le choix d avoir des addon non signés, et le fait de pouvoir en camoufler un, sur la gentille innoncence des utilisateurs prets a installer tout et n importe quoi (surtout n importe quoi).
    Je trouve pas que ca mette vraiment en avant les problemes de FF (je ne nie pas qu il en ait par contre)

  14. #14
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2007
    Messages
    915
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Septembre 2007
    Messages : 915
    Points : 2 163
    Points
    2 163
    Par défaut
    Citation Envoyé par deadalnix Voir le message
    De plus, il n'est pas surprenant de trouver en tête des navigateurs libre (ou au moins en partie comme pour safari). En effet, sur un tel projet, toutes les failles sont connus de tous. dans le cas des projets proprio comme IE ou Opera, des failles sont corrigées en interne, et sans communication au public. Le chiffre s'en trouve donc réduit, non pas parce que les navigateurs sont plus sécurisés, mais bien parce qu'un grande partie de l'info n'est pas publiquement connue.
    ...et donc, étant plubliquement connues, ces failles n'en sont que plus dangereuses (dans le sens "elles risquent d'etre exploitées plus rapidement"). IE pourrait avoir 100 failles de plus, si elles ne sont connus qu'en interne, elles présentent moins de dangerosités. Donc d'un point de vue utilisateur, le navigateur libre avec 10 failles (connu du grand public) est plus dangereux que le proprio avec 100 failles (connus uniquement en interne). J'exagere exprès hein, sont tous aussi troués les uns que les autres.

    Citation Envoyé par deadalnix Voir le message
    Bref, de la news à troll lancée par des soit disant expert en sécurité ayant besoin d'un bon coup de pub.

    Il n'y a strictement rien à sortir d'intéressant des données présentées comme ceci.
    Je suis bien d'accord avec ça

  15. #15
    Modérateur

    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    12 567
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 12 567
    Points : 21 631
    Points
    21 631
    Par défaut
    Citation Envoyé par BainE Voir le message
    mais lol.

    Pour pirater FF, connectez vous au préalable sur la machine que vous souhaitez attaquer ? Quel interet de faire ca si on a deja pénétré sur la machine ciblée ?
    Bah, du coup l'étude montre qu'il n'est pas facile d'installer furtivement l'extension furtive. Il nous montre pourquoi, avec le détail des opérations à faire. Et ça, c'est le Bien.

    Mais elle montre aussi que si on installe des extensions non certifiées (genre, qui viennent d'un peu n'importe où,) on risque gros. Je pense que ça montre un problème. À mon avis, les extensions non certifiées devraient être plus compliquées à installer, par défaut.

  16. #16
    Membre confirmé
    Avatar de chemanel
    Homme Profil pro
    Inscrit en
    Janvier 2005
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2005
    Messages : 173
    Points : 457
    Points
    457
    Par défaut
    Citation Envoyé par BainE Voir le message
    oui oui, un bete keylogger (qui ne marche que quand FF est lancé) j avais compris.
    Le pluggin ne te donne acces a rien, il t envoie juste les data des formulaires en esperant que ce soit des données sensibles.
    Tout soft a pluggin non signé est potentiellement dangereux, le tuto dit que pour installer silencieusement le dit pluggin il faut d abord trouver une autre faille dans le systeme, s y connecter, avoir les droits d ecriture... Une fois ces conditions réunies tu peux veroler ce que tu veux, Excel, Word et installer un keylogger qui marche meme sans FF...
    Ca prouverait que Word et Excel ont des failles ?

    (je parle pas de l autre méthode avec le pop up "Voulez vous bien installer ... ?")

    On pourrait polémiquer sur le choix d avoir des addon non signés, et le fait de pouvoir en camoufler un, sur la gentille innoncence des utilisateurs prets a installer tout et n importe quoi (surtout n importe quoi).
    Je trouve pas que ca mette vraiment en avant les problemes de FF (je ne nie pas qu il en ait par contre)
    Je suis d'accord avec toi BainE, il y a tout plein de méthodes pour pirater... Ici c'est une combinaisons de plusieurs choses... Le code du navigateur est sur, celui des extensions pas tout le temps... du coup, tu pourrais utiliser une extension (qui a accès a toute l'interface, tout les flux http, etc...) pour faire un peu ce que tu veux avec le navigateur... :\

    J'imagine que juste en créant un jeu du type "Paf le chien" sur facebook et de proposer l'install d'une extension pour "enregistrer son score" et on serait étonné du nombre de gens qui le ferais...

    La plus grosse faille se trouve toujours entre le clavier et la chaise !!

  17. #17
    Candidat au Club
    Profil pro
    Inscrit en
    Novembre 2009
    Messages
    2
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2009
    Messages : 2
    Points : 4
    Points
    4
    Par défaut
    Une autre source, en anglais toujours, sur les problemes de securité des navigateurs ici

    These statistics cover all reported vulnerabilities in Windows versions of Internet Explorer, Firefox, Safari, and Opera.

    Qu'en pensez vous?

  18. #18
    Modérateur

    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    12 567
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 12 567
    Points : 21 631
    Points
    21 631
    Par défaut
    Citation Envoyé par Emasc Voir le message
    Une autre source, en anglais toujours, sur les problemes de securité des navigateurs ici

    These statistics cover all reported vulnerabilities in Windows versions of Internet Explorer, Firefox, Safari, and Opera.

    Qu'en pensez vous?
    Ça me semble assez proche des "impressions de sécurité" communément admises :

    - Ne pas s'approcher de IE7 ou inférieur.
    - Firefox se débrouille mieux que le pire des pires, mais il n'est pas aussi sûr qu'Opera.
    - Safari n'a pas beaucoup de failles connues mais prend son temps à corriger les failles, ce qui crée du danger.

  19. #19
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 419
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 419
    Points : 7 298
    Points
    7 298
    Par défaut
    Par contre, ce que peut nous apprendre cette étude, c'est que firefox donne beaucoup de permission a ces extensions, et que ca peut poser un problème de sécurité majeur.

    Pas besoin de pirater pour installer une extension chez quelqu'un.

    Faites une page web avec : Le super extension de la mort qui tu, et vous allait avoir 10 000 gogos qui vont l'installé.

    Firefox a débuté par une clientèle d'informaticien, qui sont naturellement moins vulnérable que le grand public. Peut être est il temps pour eux de créer des niveau de permissions pour les extensions(accès a tout, accès a la page courante, accès a rien...)

    Après, le problème des failles internes de microsoft IE, j'en vois 2 :
    - les passerelles entre IE et l'explorer windows qui font que les gens ayant accès a l'un peuvent foutre le bordel dans le second.
    - Le fait que microsoft s'est fait une réputation de correcteur de faille plutôt négligeant, et qu'il n y a pas de fumée sans feu. J'ai trainé avec des mecs qui piratait des comptes il y a des années de ca pour mettre des divx en ligne, ils utilisaient les mêmes failles pendant plus de 2 ans sans que le moindre correctif soit apporté(faille connue et documentée dans nombre d'articles d'alertes)

  20. #20
    Modérateur

    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    12 567
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 12 567
    Points : 21 631
    Points
    21 631
    Par défaut
    Citation Envoyé par pmithrandir Voir le message
    Pas besoin de pirater pour installer une extension chez quelqu'un.

    Faites une page web avec : Le super extension de la mort qui tu, et vous allait avoir 10 000 gogos qui vont l'installé.
    C'est du piratage. Du piratage où il suffit de convaincre la personne d'accepter de se faire pirater, comme avec la plupart des piratages.
    Là, la différence est que les gens semblent assez faciles à convaincre, ne semblant pas comprendre qu'une extension aussi peut "être un virus."

    Firefox a débuté par une clientèle d'informaticien, qui sont naturellement moins vulnérable que le grand public. Peut être est il temps pour eux de créer des niveau de permissions pour les extensions(accès a tout, accès a la page courante, accès a rien...)
    Possible, mais je ne suis pas sûr. Quand on y pense, accès à rien ça veut dire utile à rien. La plupart des extensions ont besoin d'accès à des choses qu'on ne leur confierait pas si on n'avait pas confiance. Autrement dit, à mon avis, toutes les extensions ou presque doivent être de confiance, ou ne pas être.

    Dans un tel contexte, a-t-on vraiment envie de compliquer encore l'architecture du programme alors que presque rien n'utilisera les différences fonctionnelles proposées ? Je crois que non. Je crois que l'accès aux extensions non certifiées devrait être rendu plus compliqué, à la manière de l'installation de programmes inconnus en dehors de Windows (et qui, sous Windows, est filtrée par l'antivirus et en partie par l'UAC.) Bref, "si vous voulez une extension, vous en prenez une certifiée, ou alors vous vous la faites installer par votre informaticien responsable, vous vous n'y arriverez pas tout seul."

    - Le fait que microsoft s'est fait une réputation de correcteur de faille plutôt négligeant, et qu'il n y a pas de fumée sans feu.
    Microsoft a un historique de correcteur de faille plutôt négligeant, pas seulement une réputation. Après, je ne dis pas que leur place est facile, qu'il est simple de corriger leurs failles rapidement, ni quoi que ce soit. En attendant, utiliser autre chose élude le problème.

Discussions similaires

  1. Précisions sur les extensions MAP
    Par WebPac dans le forum Delphi
    Réponses: 4
    Dernier message: 18/02/2007, 10h40
  2. travailler sur les extensions en vbs
    Par balthior dans le forum VBScript
    Réponses: 5
    Dernier message: 22/12/2006, 09h47
  3. comment savoir qui est connecté sur les db
    Par zoltix dans le forum Requêtes
    Réponses: 4
    Dernier message: 19/05/2006, 17h35
  4. [10g R2 Windows] Documentation sur les extensions .NET
    Par Laurent Dardenne dans le forum Oracle
    Réponses: 5
    Dernier message: 22/08/2005, 21h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo