Firefox 47, version de transition

66
12
juin
2016
Mozilla

La 47e version de Firefox est sortie le 7 juin 2016 avec peu de nouveautés visibles pour l'utilisateur (citons tout de même une synchronisation optimisée des onglets ouverts à travers vos appareils, de multiples améliorations dans la gestion des vidéos et une nouvelle page de suivi des performances pour les développeurs), mais un important travail de fond qui se poursuit pour peaufiner l'existant (WebRTC…) et préparer la suite (WebExtensions, Electrolysis…).

logo Firefox

Par ailleurs, de nouvelles façons de contribuer en testant tôt les prochaines versions et futures fonctionnalités apparaissent avec cette version (programme Test Pilot, canal nightly).

Sans plus attendre, voici le détail des nouveautés pour les versions de bureau et mobile, ainsi que pour les développeurs. Suivent comme d'habitude quelques digressions autour de Firefox et Mozilla.

Forum général.cherche-matériel Modem ADSL, IPv6 OpenWrt ?

Posté par . Licence CC by-sa
0
31
oct.
2014

Bonsoir,
Possesseur du modem Netgear DGN1000, je suis restreint (notamment) par le non support de l'ipv6. Malheureusement OpenWRT ne semble pas supporter officiellement. Un mec a entrepris de recompiler le micrologiciel, car les sources sont fournis, mais sa modif n'est plus à jour et je ne connais pas la manipulation à faire pour recompiler à partir des sources et ajouter l'ipv6 :/ Quel dommage…

Aussi je m'oriente vers le DGN2200 v4 qui lui semble bien supporté sous openwrt. Mais (...)

Les journaux LinuxFr.org les mieux notés du mois d'avril 2014

13
2
mai
2014
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois d'avril passé.

Revue de presse de l'April pour la semaine 17 de l'année 2014

18
29
avr.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Forum Linux.général [HeartBleed] Quels certificats mettre à jour ?

Posté par (page perso) . Licence CC by-sa
4
27
avr.
2014

Bonjour à tous,

j'ai suivi avec intérêt l'affaire HeartBleed, mais je n'arrive pas à savoir concrètement quels sont les certificats que je dois mettre à jour sur mes postes clients et sur mes serveurs.

J'utilise la distribution Debian 7.0 Wheezy, mise-à-jour régulièrement.

Cependant, dans mon répertoire /etc/ssl/certs, la quasi totalité de mes certificats datent de 2010 à 2013 !!!
Puis-je les détruire sans craindre de ne plus accéder à certains services ?
Par ailleurs, puis-je détruire sans soucis le fichier /etc/ssl/private/ssl-cert-snakeoil.key ?

Côté (...)

Taxonomie des attaques Heartbleed

Posté par . Édité par Benoît Sibaud, ZeroHeure, Florent Zara et Xavier Teyssier. Modéré par Florent Zara. Licence CC by-sa
27
23
avr.
2014
Sécurité

Pour ceux qui se demandent encore si ils doivent vraiment changer leurs mots de passe suite à l'affaire Heartbleed, qui veulent comprendre pourquoi il ne fallait pas le faire trop tôt, ou qui n'ont pas vérifié si leur navigateur détecte les certificats révoqués, l'article Taxonomie des attaques Heartbleed recense et explique schématiquement les diverses attaques rendues possibles par le bug, y compris contre les logiciels clients (reverse heartbleed), Tor et les VPN.

logo Heartbleed

« Heartbleed » est une des pires failles qui soient arrivées à la sécurité sur Internet. À cause d'elle, les pirates ont pu ou peuvent obtenir des données confidentielles sans avoir besoin d'intercepter les échanges. Après les premières réactions centrées sur la mise à jour des serveurs web vulnérables, la révocation des certificats et le renouvellement des mots de passe, il a fallu quelques jours de plus pour comprendre que la faille Heartbleed affecte également les logiciels clients, les échanges SSL/TLS autres que HTTPS, et une multitude d'appareils embarqués qui ne recevront jamais de mise à jour logicielle.

Plus de détails dans la suite de la dépêche.

Revue de presse de l'April pour la semaine 16 de l'année 2014

Posté par (page perso) . Modéré par Nÿco. Licence CC by-sa
21
22
avr.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal OpenSSL est mort, vive (le futur) LibreSSL

Posté par (page perso) .
70
22
avr.
2014

Salut les jeunes,

Vous n'êtes pas sans savoir qu'OpenSSL, la librairie plus ou moins standard implémentant les protocoles SSL/TLS, a récemment fait beaucoup parler d'elle pour un bug extrêmement grave. La librairie n'en était pas à son premier coup, elle a déjà fait parler d'elle à plusieurs reprises par le passé par sa piètre qualité (j'ai pas vu moi-même, je ne fais que rapporter ce que j'entends sur la toile).

Et bien les gens de chez OpenBSD en ont (...)

Lots de correctifs pour NetBSD

Posté par (page perso) . Édité par Xavier Claude, Nÿco et BAud. Modéré par Xavier Claude. Licence CC by-sa
26
21
avr.
2014
NetBSD

La fondation NetBSD a annoncé le 25 janvier dernier une nouvelle fournée de versions de leur système d'exploitation éponyme. Point de nouvelle fonctionnalité ici, il ne s'agit que de correctifs de bugs, et surtout de sécurité. Le nombre de nouvelles versions mineures peut sembler important, mais il n'est que l'application du plan de version tel qu'il est défini par la fondation. Ces versions sont les suivantes : 6.1.3, 6.0.4, 5.2.2 et 5.1.4.

De plus, le 12 avril dernier, deux nouvelles versions de la branche 6 ont été rendues disponibles, afin de corriger la désormais connue faille Heartbleed : 6.1.4 et 6.0.5. La branche 5 n'est pas affectée par cette faille.

Une partie de ces corrections est abordée en deuxième partie de dépêche.

Journal [vidéo] heartbleed pour les nuls

Posté par . Licence CC by-sa
14
19
avr.
2014

Bonjour,

Pour cette fin de semaine pascale, je ne saurais vous recommander une émission pédagogique sur Heartbleed, on y aborde divers points :

  • l'origine et le marketing de Heartbleed
  • qu'est-ce-qu'openssl ? Logiciels concurrents ?
  • explication de la faille avec xkcd
  • quels sites sont touchés ?
  • depuis quand cette faille existe et si elle a été exploitée
  • problématique du logiciel libre (peu de contributeurs, beaucoup d'utilisateurs)
  • problématique du mot de passe

Les intervenants sont :

Le seul petit hic c'est (...)

Journal journal bookmark : vers un fork d'OpenSSL ?

55
15
avr.
2014

Bonjour Nal,

je t'écris pour te faire part d'un possible fork d'OpenSSL par les développeurs d'OpenBSD qui ont démarré depuis quelques jours un nettoyage complet.

Entre autres :

  • suppression des fonctionnalités heartbeat qui ont conduit au bug de la semaine dernière;
  • suppression de beaucoup de code cryptographique en trop;
  • suppression de wrappers autour de fonctions standard, en particulier pour malloc qui entravait des techniques de mitigation d'exploit

et autres nettoyages divers (cf premier lien), ce qui vu de loin (...)

Revue de presse de l'April pour la semaine 15 de l'année 2014

20
14
avr.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal Heartbleed : petit best of des journalistes

70
11
avr.
2014

Aaah, pas facile d'écrire un article sur un sujet aussi technique que le récent bug sur OpenSSL, baptisé Heartbleed, quand on est journaliste généraliste. Forcément, ça donne des erreurs et approximations dans l'article final, ce qui ne manque pas de nous font osciller entre le rire gras et le désespoir, nous, techniciens. Petit tour d'horizon du best of des journalistes sur Heartbleed.

Avant de commencer, notons que je passerai sur les trop nombreuses occurrences de l'adjectif crypté et ses variantes (...)

Nouvelle vulnérabilité dans l’implémentation OpenSSL

86
8
avr.
2014
Sécurité

Une vulnérabilité dans l’implémentation de l’extension heartbeat (RFC 6520) d’OpenSSL a été découverte conjointement par une équipe de chercheurs en sécurité (Riku, Antti and Matti) à Codenomicon et Neel Mehta de Google Securité. On retrouve ici un vieux bogue des familles : le read overrun.

OpenSSL 1.0.1, jusqu’à 1.0.1f inclus, et OpenSSL 1.0.2-beta1 sont affectés. Ce sont les versions utilisées dans la plupart des distributions.

Cette dernière permet la lecture de 64 Kio dans la mémoire des clients et serveurs affectés (mais l’attaque peut être rejouée à chaque heartbeat), autorisant la lecture de données comme les clés privées et, bien sûr, les données échangées une fois ces dernières retrouvées (et ce, même en mode hors ligne s’il n’y avait pas de forward secrecy utilisé).

Il est difficile, voire impossible, de faire une détection post‐mortem d’infiltration, l’attaque ne laissant pas d’entrée suspecte dans le journal système.

Passer à OpenSSL 1.0.1g, redémarrer tous les services utilisant libssl et remplacer l’intégralité de ses certificats (la clef privée étant vulnérable) est donc nécessaire.

Journal Openssl: de battre mon coeur s'est arrété

Posté par . Licence CC by-sa
36
8
avr.
2014

Bonjour nal,

Si je prends la plume si précipitamment aujourd'hui, c'est parce qu'il est urgent de t'avertir d'une faille critique dans le code d'une librairie qui t'es chère. En effet, un dépassement de tampon dans l'implémentation Openssl de l'extension "heartbeat" du protocole TLS a été découvert. Je suppose que tu as le coeur brisé par cette nouvelle, mais je t'en supplie, ton sang ne doit faire qu'un tour, et tu dois migrer vers une version sûre, comme la 1.0.1.g.