Deux extensions originales pour Firefox

Posté par (page perso) . Édité par Nÿco, Lucas Bonnet et baud123. Modéré par baud123. Licence CC by-sa
Tags :
40
15
fév.
2012
Mozilla

Développé par la fondation Mozilla, le navigateur web Firefox est connu pour avoir un vaste écosystème d'extensions. Récemment deux nouvelles extensions originales et intéressantes sont apparues et elles méritent qu'on s'y intéresse d'un peu plus près.

Memchaser

La première extension se nomme « Memchaser » et elle est issue de l'équipe qualité de Mozilla (QA Automation Service Team). Cette équipe est confrontée en permanence à des rapports de bugs concernant la consommation mémoire de Firefox ou bien des problèmes de ramasse-miettes (garbage collector). Pour visualiser en détail la consommation mémoire du navigateur il est facile d'avoir en permanence un onglet ouvert sur about:memory... sauf qu'en réalité c'est très ennuyeux de faire ainsi des allers-retours entre les onglets.

Ce serait bien mieux d'avoir, dans la barre de statut en bas, un affichage de la consommation mémoire (la mémoire résidente, c'est à dire ce qui est occupé par le processus dans la mémoire physique) ainsi que des informations sur la gestion de cette mémoire. Par exemple, un affichage du statut du ramasse-miettes ou du collecteur de cycles (qui détecte et récupère les objets qui se référencent mutuellement).
Si en plus on ajoute un bouton pour permettre d'enregistrer les changements de situation, alors cette extension devient un paradis pour le testeur !

Memchaser

Ici on peut voir que Firefox occupe 264 Mo, que la dernière activation de mon ramasse-miette a eu lieu il y a 20,3 secondes et que le nettoyage a duré 94 millisecondes. Enfin, on voit que le collecteur de cycle a tourné il y a 24,5 secondes et qu'il a travaillé pendant 78 millisecondes.

Un clic sur le bouton rouge active l'enregistrement de l'activité mémoire et le fichier de log se trouve dans le répertoire Memchaser de votre profil Firefox :

{"memory":{"resident":402960384},"garbage_collector":{"gc":{"timestamp":"2012-02-15T15:52:11.127Z","duration":"250","age":"3.9"},"cc":{"timestamp":"2012-02-15T15:51:56.360Z","duration":"31","age":"20.2"}},"timestamp":1329321131128}
{"memory":{"resident":343752704},"garbage_collector":{"gc":{"timestamp":"2012-02-15T15:52:11.127Z","duration":"250","age":"3.9"},"cc":{"timestamp":"2012-02-15T15:51:56.360Z","duration":"31","age":"20.2"}},"timestamp":1329321131626}
{"memory":{"resident":343752704},"garbage_collector":{"gc":{"timestamp":"2012-02-15T15:52:11.127Z","duration":"250","age":"3.9"},"cc":{"timestamp":"2012-02-15T15:52:11.978Z","duration":"94","age":"15.5"}},"timestamp":1329321131981}

Bien entendu, cette extension ne sera pas utile pour tout le monde, mais c'est un nouvel outil bien pratique dans la besace de Firefox. En plus le développeur Mozilla a annoncé sur son blog que le travail allait continuer pour intégrer de nouvelles fonctions et améliorer encore Memchaser :

We will make sure to enhance the extension drastically in the next couple of months

À noter que Memchaser est une extension Jetpack, ce qui signifie qu'il n'est pas nécessaire de redémarrer Firefox après l'avoir installée.

Password Reuse Visualizer

Cette seconde extension est bien plus utile pour le grand public que la précédente puisqu'elle a un but pédagogique. La question qui est examinée ici est celle de la réutilisation des mots de passe sur le Web. Votre navigateur stocke sans doute une multitude de ces passwords, un pour chacun des sites sur lesquels vous devez vous identifier.

Est-ce que vous avez toujours le même pour tous les sites (ce qui est fort dangereux) ? Si ce n'est pas le cas alors comment faites-vous pour les retenir tous ? Peut-être utilisez-vous un « truc » consistant à faire varier subtilement le mot de passe de site en site ?

L'extension « Password Reuse Visualizer » vous permet de visualiser graphiquement l'ensemble de vos mots de passe et d'évaluer leur proximité les uns envers les autres. Le graphique est basé sur les forces (Force based layout) ce qui signifie qu'on peut repositionner les noeuds à la souris pour améliorer la visibilité.

Password reuse visualizer

Les points verts représentent tous mes passwords stockées dans Firefox (d'ailleurs un clic de souris sur ces points me permet de voir directement le mot de passe). Les points bleus sont les domaines sur lesquels le mot de passe rattaché vous permet de vous identifier (là aussi, il suffit d'un clic de souris pour voir le domaine en question). Enfin les carrés oranges signalent une grande similarité entre les mots de passe (en se basant sur la distance de Levenshtein).

On voit bien sur l'image que j'utilise deux grandes « familles » de mots de passe pour me connecter sur des ensembles de sites. Ce n'est pas systématique puisqu'il y a de nombreux points isolés mais, en voyant ce graphique, il est clair que je pourrais améliorer la sécurité de mes identifiants.

Bien entendu cette extension ne corrige rien et ne renforce pas la sécurité de votre navigation sur le Web. Il ne s'agit que d'une piqûre de rappel pour vous inviter à utiliser des solutions adaptées (gestionnaires de mots de passe, générateurs automatiques, etc).

Comme « Memchaser », l'extension « Password Reuse Visualizer » ne nécessite aucun redémarrage de Firefox après son installation.

  • # En avant pour le concours de...

    Posté par (page perso) . Évalué à  10 .

    Franchement, patrick_g, tu me déçois ! :-P

    qualité de mes mdp

    • [^] # Re: En avant pour le concours de...

      Posté par . Évalué à  10 .

      Moi j'en ai aucun de stocké : ca devrait me donné une belle page blanche ...

      • [^] # Re: En avant pour le concours de...

        Posté par (page perso) . Évalué à  4 .

        Auquel cas, soit tu as une super mémoire (et tant mieux) soit tes MDP ne sont pas si introuvables que tu le crois... surtout si (probablement) tu as une base et une variation en fonction du site, et où l'un des sites stocke les MDP en clair.

        OK si mon ordi est corrompu je suis foutu ; en revanche si un site à la noix expose select password from user; bin je m'en fous un peu.

        • [^] # Re: En avant pour le concours de...

          Posté par (page perso) . Évalué à  2 .

          OK si mon ordi est corrompu je suis foutu

          Si la parano te gagne, tu peux toujours stocker tes mdp sur un ordi ou autre équipement non relié au réseau (mais c'est moins pratique, et au bout d'un moment, le keylogger de l'ordi connecté aura collecté tous ceux que tu utilises de toute façon).

          En fait, à bien y réfléchir, les mdp tous seuls, c'est foireux par définition quand on est connecté au Net. Et si ton PC est troué, même un certificat client peut être exfiltré. La meilleure solution serait la généralisation des puces crypto, mais TPM, sailemal©, alors on est pas sortis de l'auberge (mais au moins, on rigole à chaque fois qu'Anonymous fait un dump du users.sql de la dernière boîte trouée qui les a agacés ;-)

          Envoyé depuis mon PDP 11/70

          • [^] # Re: En avant pour le concours de...

            Posté par . Évalué à  1 .

            Le mieux est encore de les écrire sur une feuille gardée chez soi au milieu d'autres papiers...
            - A partir du moment où la feuille est trouvée, c'est qu'il y a accès physique à la machine, donc :(
            - Pas de possibilité de hack ou de virus

        • [^] # Re: En avant pour le concours de...

          Posté par . Évalué à  8 . Dernière modification : le 16/02/12 à 09:52

          Auquel cas, soit tu as une super mémoire (et tant mieux) soit tes MDP ne sont pas si introuvables que tu le crois

          Pas sûr : http://xkcd.org/936/

          • [^] # Re: En avant pour le concours de...

            Posté par (page perso) . Évalué à  2 .

            Le problème, c'est que les sites ont une politique différente vis à vis des caractères acceptés et la longueur maximale.

            Je propose le truc suivant:
            - un petit boîtier de la taille d'un téléphone (voire même un ancien smartphone) stocke tous les mot de passe. Il peut aussi en générer.
            - pour l'utiliser, il faut utiliser un mot de passe long (à la xkcd), son contenu est chiffré
            - quand on veut se connecter à un site, on photographie un code QR représentant l'URL du site. L'image est générée soit par une extension du navigateur, soit par un site web qui ne sert qu'à ça (si on est sur un ordi qui n'est pas le sien)
            - le boîtier trouve le login/mot de passe. Soit il l'affiche et il faut le retaper, soit il génère un QR code qu'on scanne avec une web-cam, et une extension se charge de remplir les champs.
            - de temps en temps, il faut faire une sauvegarde de la base chiffrée

            Pour ces histoires de mots de passe, j'ai l’impression qu'il n'y a que de mauvaises solutions.

    • [^] # Re: En avant pour le concours de...

      Posté par . Évalué à  3 .

      Comment on fait pour voir le graphique ? Je dois être un peu con parce que je trouve pas...

    • [^] # Re: En avant pour le concours de...

      Posté par . Évalué à  5 .

      Je suis content, mes seuls mots de passes souvent utilisés sont '1234' et '0000', aka "les mots de passes bidon pour les comptes de développement sur les VM".

      Ça serait sympa d'avoir le même pour gnome-keyring (et accessoirement d'avoir un moyen de stocker les mots de passes de firefox dans gnome-keyring)

    • [^] # Re: En avant pour le concours de...

      Posté par . Évalué à  2 .

      C'est là où tu vois surtout qu'il a beaucoup plus de mots de passe que toi :)

      • [^] # Re: En avant pour le concours de...

        Posté par (page perso) . Évalué à  1 .

        Ou alors qu'il utilise moins de site nécessitant des mdp que toi.

        Tu n'est pas obligé de "vivre" sur internet et d'avoir plus que le mot de passe de ta banque ou de ton mail/fai

        Il est facile de "retenir" 3 mots de passes très différents, ou d'utiliser un fichier crypté pour stoker les 500 mdp de tes 500 sites préférés puis de faire - mais lourd- des copier/coller...

        • [^] # Re: En avant pour le concours de...

          Posté par . Évalué à  2 .

          Moi je dirais que les mots de passe les plus faciles à retenir c'est ceux que tu entres régulièrement. Quand tu créer un compte sur un site obscure et que tu ne t'y reconnecte que plusieurs mois après c'est pas facile. Et ce, quelque soit la robustesse du mot de passe.

          1BonMotdepa$$

    • [^] # Re: En avant pour le concours de...

      Posté par . Évalué à  2 .

      Pourquoi quand les ronds de patrick_g sont verts, les tiens sont oranges?

  • # marche pas avec Firefox 11 Beta

    Posté par . Évalué à  1 .

    password reuse visualizer ne fonctionne pas avec firefox 11

    memchaser 0.1.1 : Ok avec firefox 11 beta

  • # Firefox / Mot de passe principal

    Posté par . Évalué à  1 .

    J'ai une question : Si l'on utilise une distribution Linux et Firefox, mais sans recourir au mot de passe principal de ce dernier, y a t il un risque important de vol de mots de passes ?
    J'imagine que ce risque est potentiellement présent en cas de faille de sécurité du navigateur, mais en dehors de ce cas de figure ?

    • [^] # Re: Firefox / Mot de passe principal

      Posté par (page perso) . Évalué à  4 .

      mais en dehors de ce cas de figure ?

      Faille de l'OS (si si, ça arrive)
      Trojan (non non, les linuxiens ne sont pas si parfaits à ne jamais rien faire mal)
      Vol physique (si si, ça arrive)

      bref, comme pour tout, pas que Linux, pas que Firefox.

      • [^] # Re: Firefox / Mot de passe principal

        Posté par . Évalué à  0 .

        Ok, merci Zenitram.

        Je me rappelle qu'à mes grands débuts sur Windows (Pas si vieux que ça, c'était avec Windows 2000) et n'y connaissant rien à rien, mais tout de même soucieux dès le départ des questions de sécurité / respect de la vie privée, j'avais mis en oeuvre un ensemble de protection qui au final allait au delà de mes réels besoins.

        Donc depuis y a toujours pour ma part cette recherche de compromis entre sécurité et confort on va dire.

        Ainsi si je prends mon exemple, soit 1 P.C. desktop partagé entre moi et ma conjointe ;
        Moi j'utilise Firefox + M.D.P. principal + KeePassX (Pour le stockage des M.D.P. des sites commerciaux) ;
        Elle de son côté, le duo Firefox + M.D.P. principal l'agace déjà suffisamment et utiliser de surcroît KeePassX est exclu.

        Par ailleurs je vois que par défaut Firefox stocke les mots de passes sans utiliser un M.D.P. principal, et que par exemple Epiphany propose de stocker les mots de passes sans faire usage de ce même M.D.P. principal.

        Et donc de me dire (Fin d'espérer) qu'avec une distribution à jour le risque devait être modérée.

        • [^] # Re: Firefox / Mot de passe principal

          Posté par . Évalué à  5 .

          Epiphany propose de stocker les mots de passes sans faire usage de ce même M.D.P. principal.

          Ce n'est pas tout à fait exact. Epiphany stocke les mots de passes dans le keyring de Gnome, qui est déverrouillé automatiquement lors du login, via PAM. Ceci ne fonctionne évidemment que si le mot de passe de session et le mot de passe du keyring sont identiques.

          Dans un autre cas, ou si tu récupères le fichier login.keyring et le mets sur une autre machine, tu auras besoin de ton mot de passe originel pour le déverrouiller.

  • # Gros trou de sécu

    Posté par (page perso) . Évalué à  5 . Dernière modification : le 16/02/12 à 10:22

    Aie aie aie.. Pour ceux qui ont un mot de passe principal, je vous recommande de désinstaller l'extension password reuse visualizer. Cette extension ne demande même pas le master password avant d'afficher les mots de passes, comme le fait le gestionnaire de mot de passe.

    Pour moi, ça craint...

    • [^] # Re: Gros trou de sécu

      Posté par . Évalué à  10 . Dernière modification : le 16/02/12 à 13:10

      Le trou existe avec ou sans l'extension non ?
      La question c'est plutôt de ce demander comment cette extension est capable de récupérer l'ensemble des mots de passe sans te demander de mot de passe qui peut être inquiétant.

      Je suis d'avis que le gestionnaire de mot de passe est conçu pour que tu puisse avoir des millions de mots de passe différents sans difficulté et non comme une protection à part entière. Mais je suis d'accord que ça pourrait être une bonne évolution de les stocker de manière plus sécuriser.

      Je suis dans ma tour d'ivoire (rien à foutre des autres, dites moi un truc pour moi), si je ne pose pas explicitement une question pour les 99%, les kévin, les Mm Michu alors c'est que je ne parle pas d'eux.

      • [^] # Re: Gros trou de sécu

        Posté par (page perso) . Évalué à  5 .

        ce trou existe avec l'extension.

        Elle devrait redemander le mot de passe principal pour afficher les mots de passe. Actuellement, elle peut récupérer les mots de passe parce que j'ai déjà tapé mon mot de passe principal. Mais elle devrait redemander ce mot de passe pour afficher. Comme le fait le gestionnaire de mot de passe. Que tu ais déjà tapé ou non le mot de passe principal en début de session, le gestionnaire te redemande le mot de passe principal, pour s'assurer que c'est bien toi qui veut voir TES mots de passe (et pas un gars qui squate ton PC pendant une absence de quelques minutes par exemple).

        • [^] # Re: Gros trou de sécu

          Posté par . Évalué à  5 .

          Actuellement, elle peut récupérer les mots de passe parce que j'ai déjà tapé mon mot de passe principal.

          C'est pas en soit déjà un problème ? Pourquoi le fait de l'avoir donné pour accéder à tes sites les a rendu disponibles à toutes les extensions ? Il faudrait que chacune redemandent le mot de passe (à minima une fois et tu pourrais cocher "se souvenir"). Comme ça par conception aucune extension ne pourrait accéder à tes mots de passe sans que tu l'en ai autorisée.

          Ainsi pour cette extension, il faudrait que quand tu clique sur l’icône, il te demande ton mot de passe. Ça limite déjà pas mal la possibilité pour quelqu'un de voir tes mots de passes via cette extension.

          Je suis dans ma tour d'ivoire (rien à foutre des autres, dites moi un truc pour moi), si je ne pose pas explicitement une question pour les 99%, les kévin, les Mm Michu alors c'est que je ne parle pas d'eux.

          • [^] # Re: Gros trou de sécu

            Posté par (page perso) . Évalué à  2 .

            C'est pas en soit déjà un problème ? Pourquoi le fait de l'avoir donné pour accéder à tes sites les a rendu disponibles à toutes les extensions ?

            Parce que le fait que j'ai donné mon mot de passe a débloqué le gestionnaire de mot de passe.

            Il est très difficile voir impossible pour un composant (donc ici le gestionnaire de mot de passe), de distinguer qui l'appel (c'est l'extension A? B?).

            Bon maintenant, je n'ai pas une connaissance assez approfondi du gestionnaire de mot de passe pour te dire ce qui est faisable ou pourquoi ça le fait exactement.

            Il faudrait que chacune redemandent le mot de passe

            Oui, c'est ce qu'il faut. Mais apparemment, c'est à l'extension de le faire.

            Ainsi pour cette extension, il faudrait que quand tu clique sur l’icône, il te demande ton mot de passe. Ça limite déjà pas mal la possibilité pour quelqu'un de voir tes mots de passes via cette extension.

            C'est que j'ai expliqué : c'est ce qu'il faudrait qu'elle fasse ! (au moins par elle-même)

            • [^] # Re: Gros trou de sécu

              Posté par . Évalué à  4 .

              Oui, c'est ce qu'il faut. Mais apparemment, c'est à l'extension de le faire.
              C'est que j'ai expliqué : c'est ce qu'il faudrait qu'elle fasse ! (au moins par elle-même)

              Ca ressemble a une faille beante dans l'API jetpack plus qu'un probleme de l'extension. Et laisser chaque extension gerer l'acces c'est du grand n'importe quoi quand meme. Il me semblait que Jetpack etait sandboxe et annonce comme plus securise que les extensions "normales", visiblement il y a encore du boulot.

              C'est un peu comme demander aux programmeurs d'applis Iphone d'afficher une boite de dialogue avant de pomper tes contacts. C'est cool pour les applis "clean", mais ca te fait une belle jambe quand une appli qui se torche avec les conditions d'utilisation de l'app store recupere ton carnet d'adresse complet sans te le dire.

              • [^] # Re: Gros trou de sécu

                Posté par . Évalué à  3 .

                C'est un peu comme demander aux programmeurs d'applis Iphone d'afficher une boite de dialogue avant de pomper tes contacts. C'est cool pour les applis "clean", mais ca te fait une belle jambe quand une appli qui se torche avec les conditions d'utilisation de l'app store recupere ton carnet d'adresse complet sans te le dire.

                De plus :

                1. Comme tu le dis laisser ça aux extensions c'est mauvais : chacune peut l'afficher de façon différente voir aller envoyer les triptyques nom d'utilisateur, mot de passe, domaine sur internet ;
                2. Même pour les appli « clean » c'est du travail en plus qui doit être maintenu etc ;
                3. Une mise à jour de cette sécurité (pour une raison x ou y) doit être réappliquée à toutes les extensions…

                C'est bizarre de faire de la sécurité en se basant sur l'idée où « dans le meilleur des mondes les extensions devraient toutes gérer comme il faut les mots de passe » (il y a des guidelines pour ça au moins ?).

                Je suis dans ma tour d'ivoire (rien à foutre des autres, dites moi un truc pour moi), si je ne pose pas explicitement une question pour les 99%, les kévin, les Mm Michu alors c'est que je ne parle pas d'eux.

                • [^] # Re: Gros trou de sécu

                  Posté par (page perso) . Évalué à  2 .

                  Ça veut quand même que le mot de passe doit être demander à chaque fois qu'une extension accède au mot de passe, ce qui est très lourd.

                  « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

                  • [^] # Re: Gros trou de sécu

                    Posté par . Évalué à  2 .

                    Ça peut se faire de pleins de manières différentes, tu as un bouton à cocher par exemple pour que pour tel extension elle n'est plus à demander le mot de passe. Personnellement , j'ai 8 extensions installées et il y en a une ou deux qui pourraient avoir besoin de mot de passe (et encore avec un système bien segmenter elles pourraient s'en passer). Par exemple DownloadThemAll, il peut chercher à télécharger des liens accessible qu'une fois connecté, mais il devrait passer par le navigateur ou la page pour le faire, ainsi il n'aurait pas besoin du mot de passe.

                    Je suis dans ma tour d'ivoire (rien à foutre des autres, dites moi un truc pour moi), si je ne pose pas explicitement une question pour les 99%, les kévin, les Mm Michu alors c'est que je ne parle pas d'eux.

                    • [^] # Re: Gros trou de sécu

                      Posté par (page perso) . Évalué à  2 .

                      Comment tu identifie de manière fiable une extension par rapport à une autre ? Mais ça revient à refaire toute la politique de sécurité des applications Android par dessus Firefox et après les gens se plaignent que ça ressemble de plus en plus à un OS complet.

                      « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

                      • [^] # Re: Gros trou de sécu

                        Posté par . Évalué à  2 .

                        Quand on crée un système d'extension qui peut faire n'importe quoi avec internet soit on défini un vrai modèle de sécurité soit on se débrouille pour que le système d'exploitation le fasse.

                        Je suis dans ma tour d'ivoire (rien à foutre des autres, dites moi un truc pour moi), si je ne pose pas explicitement une question pour les 99%, les kévin, les Mm Michu alors c'est que je ne parle pas d'eux.

                        • [^] # Re: Gros trou de sécu

                          Posté par (page perso) . Évalué à  2 .

                          L'utilisateur peut aussi faire un minimum attention à ce qu'il installe.

                          « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

                          • [^] # Re: Gros trou de sécu

                            Posté par . Évalué à  2 .

                            Oui et ne pas mettre son addresse e-mail n'importe où comme ça pas besoin d'anti-spam par exemple. C'est pas la vision que j'ai de la sécurité informatique.

                            Je suis dans ma tour d'ivoire (rien à foutre des autres, dites moi un truc pour moi), si je ne pose pas explicitement une question pour les 99%, les kévin, les Mm Michu alors c'est que je ne parle pas d'eux.

                            • [^] # Re: Gros trou de sécu

                              Posté par (page perso) . Évalué à  1 .

                              La plupart des utilisateurs ne mettent pas de mot de passe général, donc la question ne se pose pas pour eux. On parle d'utilisateurs qui se soucis un minimum de leurs mots de passe et font donc plus attention.

                              « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

                      • [^] # Re: Gros trou de sécu

                        Posté par . Évalué à  2 .

                        Mais ça revient à refaire toute la politique de sécurité des applications Android par dessus Firefox et après les gens se plaignent que ça ressemble de plus en plus à un OS complet.

                        Justement, c’est bien ce qu’on dit : le navigateur ressemble de plus en plus à un OS. Ce n’est pas à mon navigateur de gérer mes mots de passes !

        • [^] # Re: Gros trou de sécu

          Posté par . Évalué à  3 .

          ce trou existe avec l'extension.

          Qu'est-ce qui empêcherait un attaquant potentiel d'installer sa propre extension pour afficher les mots de passe ?

      • [^] # Apparentière ?

        Posté par . Évalué à  3 .

        À part entière!

        • [^] # Re: Apparentière ?

          Posté par . Évalué à  1 .

          Ouais, elle était violente celle-ci :)

        • [^] # Re: Apparentière ?

          Posté par . Évalué à  2 .

          Mea maxima culpa.

          Si un ayant droit veut bien corriger ma faute, il aura ma reconnaissance éternelle.

          Je suis dans ma tour d'ivoire (rien à foutre des autres, dites moi un truc pour moi), si je ne pose pas explicitement une question pour les 99%, les kévin, les Mm Michu alors c'est que je ne parle pas d'eux.

    • [^] # Re: Gros trou de sécu

      Posté par . Évalué à  0 .

      Je suis d'accord avec vous, cette extension va à l'encontre de son objectif initial : elle est une aide très efficace pour récupérer tous les mots de passe de ses amis (et ses ennemis)... Elle risque de causer beaucoup plus de mal que de bien... (même si à la base l'idée est bonne)
      Même une fois désinstallée, rien n'empêche quelqu'un qui accède à la session de son PC de la réinstaller et d'accéder aux mots de passe de tous ses sites favoris.
      A moins d'être parano, le cas de figure où on laisse un accès à son PC sur sa session est courant...

      Ça me semble être une faille énorme que Firefox permette à ses extensions d'accéder aux mots de passes sans avoir à taper un mot de passe...

      • [^] # Re: Gros trou de sécu

        Posté par (page perso) . Évalué à  2 .

        Même une fois désinstallée, rien n'empêche quelqu'un qui accède à la session de son PC de la réinstaller et d'accéder aux mots de passe de tous ses sites favoris.

        Non, quand tu réinstalle, il faut redémarrer Firefox qui va te redemander le mot de passe principal.

        « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

        • [^] # Re: Gros trou de sécu

          Posté par . Évalué à  1 .

          Je viens de réinstaller Password Reuse Visualize, et en aucun cas je n'ai eu besoin de rentrer un mot de passe lors de cette installation.

          Je suis sous Ubuntu 11.04, peut-être que c'est lié à la façon de gérer les mots de passe de cette distribution.

          Je confirme en tout cas que sous Ubuntu ce plugin est dangereux d'un point de vue de la sécurité. Mais peut-être que c'est du côté d'Ubuntu que se situe le problème.

          • [^] # Re: Gros trou de sécu

            Posté par . Évalué à  3 .

            sous Ubuntu ce plugin est dangereux d'un point de vue de la sécurité

            La sauvegarde des mots de passe et l'API des extensions sont dangereux surtout.

            L'extension elle-meme ne fait rien de special, si Firefox laisse l'acces a tout tes mots de passe sans rien demander, c'est pas le probleme de l'extension (surtout qu'ici, l'extension ne fait strictement rien de mal et n'envoie pas tes mots de passe a quelqu'un d'autre).

            Bref, la securite des extensions avec FF c'est un peu de la merde, mais ca on le savait deja.

            • [^] # Re: Gros trou de sécu

              Posté par (page perso) . Évalué à  2 .

              si Firefox laisse l'acces a tout tes mots de passe sans rien demander

              Il te demande un mot de passe au premier accès, comme pour les sites web.

              « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

  • # memory restart

    Posté par . Évalué à  3 .

    un autre plugin sur la mémoire
    memory restart
    on defini un seuil et une icône passe en rouge quand le seuil est atteint.
    si on clique sur l’icône ca redémarre FF, sans perdre les onglets.

    Il peut aussi redémarrer FF automatiquement si le seuil est atteint, mais c'est un peut violent je trouve ;)

  • # Iteractivité :-)

    Posté par (page perso) . Évalué à  10 .

    ce qui signifie qu'on peut repositionner les noeuds (sic) à la souris pour améliorer la visibilité.

    patrick_g, j'ai essayé de repositionner tes nœuds avec ma souris, mais ça ne semble pas fonctionner.

    un clic de souris sur ces points me permet de voir directement le mot de passe

    Et moi j'ai beau cliquer, je ne les voit pas, tes mots de passes. :-(

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.