Forum Linux.général A quelles informations ont accès les extensions firefox ?

Posté par .
Tags :
7
5
sept.
2011

Bonjour à tous,

Ayant récemment agrémenté mon firefox de quelques sympathiques extensions, je me suis demandé dans quelle mesure elles pouvaient être méchantes avec moi.

J'ai du mal à trouver des informations sur le sujet, alors si vous pouviez m'éclairer :

  • A quoi les extensions ont-elles accès (historique, marque-pages, mots de passe) ? Et surtout est-il préférable d'utiliser un autre navigateur/profil pour les opérations sensibles (banque, etc.) ?
  • Quelle confiance peut-on accorder à ce qu'on trouve sur le site de mozilla ? Y a-t-il une vérification avant la publication ? Ou a posteriori par de bonnes âmes ?

Merci !

  • # Tout

    Posté par . Évalué à 3.

    Les extensions ont accès à absolument tout.

    Y a-t-il une vérification avant la publication ?

    Non

    • [^] # Re: Tout

      Posté par . Évalué à 0.

      D'un autre coté si l'extension est libre tu devrais pouvoir lire le code puis la compiler :)

      Concernant les mots de passe, j'imagine que les extensions ne peuvent avoir accès qu'à un hash de ses mots + une clé secrète qui n'est accessible que par le noyau de mozilla... Sinon les boules effectivement.

      Perso j'ai jamais été trop fan des extensions pour mozilla/firefox. C'est mon coté j'aime le "out of the box". Dis-moi quelles extensions tu utilises. Je te dirai comment t'en passer :)

      • [^] # Re: Tout

        Posté par . Évalué à 0.

        Dis-moi quelles extensions tu utilises. Je te dirai comment t'en passer :)

        NoScript, Certificate Patrol, Dictionnaire français « classique et réforme », Long URL Please, Flashblock, HTTPS-Everywhere, Web Developper.

        J'ai aussi quelques extensions désactivées car j'en ai besoin que rarement (pour cela je redémarre (Modify Headers, FoxyProxy, DownloadHelper, Cookie Safe).

        C'est vrai que ça serait bien de pouvoir s'en passer mais là je vois pas trop comment faire facilement :/

        207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

        • [^] # Rien

          Posté par . Évalué à -1.

          NoScript : Tu désactives le javascript entièrement.
          Certificat Patrol : De toute façon c'est troué, les autorités de certification des certificats (huhu), centralisées, c'est defective by design. Tu oublies.
          Dictionnaire français : un icône dans ta toolbar.
          Flashblock : Désinstalle flash immédiatement. Adobe ça pue c'est pas libre. Et hop plus besoin de Flashblock.
          HTTPS-Everywhere : Lève les yeux et regarde ta barre d'adresse. Pose toi simplement la question de savoir si ton site utilise HTTPS.
          Web Developper : Utilises un vrai outil de développeur, comme KompoZer.
          Cookie Safe : Cookies sur liste blanche et c'est tout.
          Modify Headers et FoxyProxy et Long URL Please : Bon là je sèche. (Bien pratique le Long URL Please)

          Voilà.

          • [^] # Re: Rien

            Posté par . Évalué à 2.

            Web Developper : Utilises un vrai outil de développeur, comme KompoZer.

            C'est une blague ? Komposer n'est absolument pas un outil de développeur, et il n'est plus maintenu depuis 4 ans.

            Sinon au vu du reste de la liste, le plus simple serait finalement de ne pas utiliser d'ordinateur.

            • [^] # Re: Rien

              Posté par . Évalué à 1.

              Oui j'avais vu que Komposer n'était plus maintenu. En fait au départ je pensais même à Nvu !

              Mon poste était pas sérieux hein ;) J'aurai pu lui dire d'utiliser elinks aussi...

              Donc il n'y a pas d'éditeur HTML/CSS/Javascript WYSIWYG, libre et maintenu ? Ah si, il y a SeaMonkey. Après je ne sais pas si ça offre les fonctionnalités recherchées.

              • [^] # Re: Rien

                Posté par . Évalué à 1.

                Je veux dire qu'un éditeur WYSIWYG n'est pas un outil de développeur.

                • [^] # Re: Rien

                  Posté par . Évalué à 1.

                  Donc une personne qui fait des programmes en utilisant Visual C++ ou QtCreator n'est pas un développeur ?

                  Trop gros.

                  • [^] # Re: Rien

                    Posté par . Évalué à 1.

                    Je réagissais à

                    Firebug : Utilises un vrai outil de développeur, comme KompoZer

                    qui gagne haut la main en terme de grosseur.

    • [^] # Re: Tout

      Posté par . Évalué à 1.

      Y a-t-il une vérification avant la publication ?

      Non

      FUD.

      Pour avoir proposé mon extension, il y a une vérification (vraiment). Les extensions non vérifiées sont classées « expérimentales » (avec un bouton doré).

      Knowing the syntax of Java does not make someone a software engineer.

      • [^] # Re: Tout

        Posté par (page perso) . Évalué à 2.

        Donc correction: celles qui ne sont pas vérifiées... ne sont pas vérifiées.

  • # Utilise Chromium

    Posté par (page perso) . Évalué à 0.

    Si cela te travaille vraiment, utilise Chromium, c'est libre et il y a une politique de droit d'accès aux informations, un peu comme avec Android.

    • [^] # Re: Utilise Chromium

      Posté par . Évalué à 0.

      Disons que je reste sous firefox pour certaines extensions (firebug, webdev).
      Ce qui m'amène à une autre question : y a-t-il une extension qui se charge de surveiller l'activité réseau des autres extensions ?

      • [^] # Re: Utilise Chromium

        Posté par . Évalué à 1.

        y a-t-il une extension qui se charge de surveiller l'activité réseau des autres extensions ?

        une extension qui ferait parefeu en somme ou proxy pour extension ?

      • [^] # Re: Utilise Chromium

        Posté par . Évalué à 2.

        oui mais non.

        une extension peut très bien contenir du binaire (enfin, du code compilé, au contraire du XUL ou Javascript qui reste lisible), qui apportera son propre support d'un protocole de communication éventuellement chiffré (ou du bête HTTPS pour ne pas se faire repérer trop vite) et le reste de Firefox ne verra rien. et si son créateur est suffisement astucieux pour ne pas utiliser le réseau de suite, c'est dur à détecter.

        maintenant bon la plupart des extensions se reposent sur le support de HTTP(S) de Xulrunner dans Firefox et il y a quelques mécanismes déjà en place pour surveiller ce qui se passe (Adblock+ montre des requetes faites par Flash comme des Object Subrequest, par exemple) mais pas tout (il ne voit pas les flux RTMP par exemple, initié depuis le plugin Flash)

        Slogger et HTTP Request Logger peuvent donc te fournir des logs des requêtes faites par Firefox, mais pas toutes, ou plutot pas celles initiées par des plugins ou des extensions qui n'utilisent pas directement les fonctions de Firefox

        comme dit au dessus, si tu mets du code tiers dans Firefox, il faut surveiller Firefox de l'extérieur, éventuellement en l'isolant (ce qui peut se détecter, voir ensuite les machines virtuelles qui montreront un faux environnement Internet, un peu comme un honeypot...)

    • [^] # Re: Utilise Chromium

      Posté par . Évalué à 0.

      Si cela te travaille vraiment, utilise Chromium, c'est libre […]

      Kof kof…

      Google is forking existing FOSS code bits for Chromium like a rabbit makes babies: frequently, and usually, without much thought. Rather than leverage the existing APIs from upstream projects like icu, libjingle, and sqlite (just to name a few), they simply fork a point in time of that code and hack their API to shreds for chromium to use.

      (pour les non anglophones :

      Google forke les projets libres pour les utiliser dans Chromium comme un lapin fait des petits : souvent et de manière récurrente, sans trop réfléchir. Plutôt que de faire remonter des patches aux projet libres comme icu, libjingle et sqlite (pour ne citer que ceux là), il forkent à un instant donné le code du projet et bidouillent leur propre version pour l'utiliser dans Chromium.

      )

      C'est de l'« Open Source » (à la limite), mais libre, j'ai du mal à y croire.

      Knowing the syntax of Java does not make someone a software engineer.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.