Quelques aspects de la sécurité qui n'ont rien a voir avec le « Sandboxing »

Posté par (page perso) . Édité par Xavier Claude et Lucas Bonnet. Modéré par Xavier Claude.
55
22
jan.
2012
Mozilla

Ceci est une traduction de mon entrée de blog récente. Quelques remarques avant de commencer :

  • Mon biais : je travaille chez Mozilla Corporation sur WebGL ;
  • le titre original de mon entrée de blog était trop long pour la limite de longueur de titres. Il ne s'agit pas seulement de « Sandboxing » ;
  • la traduction est parfois un peu libre, un peu différente de l'original.

D'autre part, comme ici on est chez les Français râleurs, je n'ai pas à prendre autant de pincettes que dans mon blog agrégé sur Planet Mozilla. Donc soyons clairs, ce texte se veut un coup de gueule. Il y a des soi-disant experts en sécurité qui prétendent que Firefox est vulnérable parce qu'il lui manque telle ou telle fonctionnalité présente chez tel concurrent. Sans vouloir nier l'utilité de ces fonctionnalités, j'ai pensé qu'il était temps de remettre les pendules à l'heure : la sécurité des navigateurs est un sujet trop vaste pour qu'une ou deux techniques en particulier puissent faire une grande différence au total, et ces « experts » et autres journalistes se ridiculisent en répétant, sans distance critique, le marketing d'une entreprise… avec laquelle je ne tiens pas à me brouiller, car si je critique son marketing, j'ai souvent eu à travailler avec ses ingénieurs dans les comités de standards, et ça se passe très bien.

Au fil de mon blog, j'ai largement dévié sur un autre sujet qui me tient à cœur : la sécurité de WebGL, qui a elle aussi été victime d'une campagne de dénigrement de la part, cette fois-ci, d'un autre concurrent, qui lui n'a vraiment pas fait dans la dentelle alors qu'ils avaient eux-mêmes une technologie avec les mêmes « failles ».

Sur ce, la traduction de ce blog se trouve en seconde partie

NdM : merci à Benoit Jacob pour son journal.

Journal Quelques aspects de la securite qui n'ont rien a voir avec le "Sandboxing"

24
22
jan.
2012

Sommaire

Ceci est une traduction de mon entree de blog recente. Quelques remarques avant de commencer:
- mon biais: je travaille chez Mozilla Corporation sur WebGL.
- desole pour (...)

Conférence « À quoi sert encore Mozilla en 2012 ? » à Mons le 19 janvier

Posté par (page perso) . Édité par Benoît Sibaud et Malicia. Modéré par Malicia. Licence CC by-sa
Tags :
10
10
jan.
2012
Communauté

Ce jeudi 19 janvier 2012 à 19h se déroulera la cinquième séance montoise des Jeudis du Libre de Belgique.

Thématique : Internet
Public : tout public

L’animateur conférencier : Benoît Leseul (contributeur Mozilla et représentant de la communauté Mozilla Belgium)

Lieu de cette séance : Université de Mons, Campus Plaine de Nimy, avenue Maistriau, Grands Amphithéâtres, Auditoire Curie (cf. ce plan sur le site de l’UMONS)

La participation sera gratuite et ne nécessitera que votre inscription nominative, de préférence préalable, ou à l’entrée de la séance. Merci d’indiquer votre intention (même incertaine) en vous inscrivant via la page http://jdl-mons-2012-janvier.eventbrite.com/

Cette séance sera suivie d’un verre de l’amitié, offert par la fondation Mozilla.

Si vous êtes intéressé(e) par ce cycle mensuel, n’hésitez pas à consulter l’agenda et à vous inscrire sur la liste de diffusion afin de recevoir systématiquement les annonces, ou à nous contacter à l’adresse jeudisdulibre@loligrub.be

Pour rappel, les Jeudis du Libre se veulent des rencontres autour de thématiques des Logiciels Libres. Les rencontres montoises se déroulent chaque troisième jeudi du mois, et sont organisées dans des locaux et en collaboration avec des Hautes Écoles et Facultés Universitaires du Pôle Hainuyer d’enseignement supérieur impliquées dans les formations d’informaticiens (UMONS, HECFH et Condorcet), et avec le concours de l’A.S.B.L. LoLiGrUB, active dans la promotion des logiciels libres.

Le train de sorties liées à Mozilla

Posté par (page perso) . Édité par Manuel Menal et Florent Zara. Modéré par Bruno Michel. Licence CC by-sa
15
24
déc.
2011
Mozilla

En même temps que le vaisseau-mère Firefox 9 pour Linux (et les deux autres OS propriétaires), quelques logiciels autour de la plateforme Mozilla ont été diffusés :

  • Firefox (pour Android)
  • Thunderbird (pour les OS de bureau)
  • et Lightning (pour Thunderbird).

Un petit bonus pour ceux qui liront jusqu'au bout de cet article.

Accord entre la fondation Mozilla et Google

Posté par . Édité par Nÿco, Florent Zara et Benoît Sibaud. Modéré par Nÿco.
28
21
déc.
2011
Mozilla

Tout juste au moment de la sortie de Firefox 9, les craintes quant au financement de Firefox sont dissipées : la fondation Mozilla et Google ont annoncé être parvenus à un accord portant sur une durée de 3 ans. Les détails du contrat n'ont pas été divulgués. Rappelons que pour la période entre 2008 et 2011, environ 85 % du budget de la fondation Mozilla provenait de Google, d'où son importance pour Firefox.

Google restera donc le moteur de recherche par défaut de Firefox, lui offrant ainsi une belle visibilité si on cumule les parts de marché de Firefox et de Chrome. Si en France Google atteint 90 % d'utilisation pour les recherches, ce n'est pas le cas aux États-Unis où Yahoo! et Bing sont plus présents (il était d'ailleurs question que Bing de Microsoft remplace Google sur Firefox en cas de non reconduction du contrat).

NdM : merci à ekyo pour son journal.

Journal Accord fondation Mozilla - Google

Posté par . Licence CC by-sa
18
21
déc.
2011

Les craintes quant au financement de Firefox sont dissipées : la fondation Mozilla et Google ont annoncé être parvenu à un accord portant sur une durée de 3 ans. Les détails du contrat n'ont pas été divulgués. Rappelons que pour la période 2008-2011 85% du budget de la fondation Mozilla provenait de Google, d'où son importance pour Firefox.

Google restera donc le moteur de recherche par défaut de Firefox, lui offrant ainsi une belle visibilité si on cumule les parts (...)

Journal Mozilla, son cycle de développement de 6 semaines et Eletrolysis

Posté par . Licence CC by-sa
Tags :
16
18
nov.
2011

Dans son objectif de colmatage des fuites d'utilisateurs vers Chromium/Google Chrome, la MoFo avait entre autre annoncé le projet Electrolysis en 2009. Une des disruptive innovations de Chromium était d'isoler chaque onglet dans un processus indépendant et avec ses propres droits, améliorant sensiblement la tolérance aux fautes. Plus ambitieux encore, Electrolysis comptait scinder la gestion du rendu, de l'UI et même des greffons (partie intégrée dans FF 3.6.4).

Entre temps, l'exode vers Chromium ayant pris de l'ampleur, la MoFo cède (...)

B2G : Mozilla « Boot To Gecko », un OS pour mobiles et tablettes

Posté par (page perso) . Modéré par patrick_g. Licence CC by-sa
25
14
nov.
2011
Mozilla

Un gecko « désigne l’ensemble des lézards de la famille des geckonidés » et Gecko « est un moteur d’affichage libre de pages Web utilisé par de nombreux navigateurs Web, tels que SeaMonkey (anciennement Suite Mozilla), Firefox, Camino ou encore Netscape ». Le projet de la Fondation Mozilla Boot to Gecko (aka B2G) n’a pas pour but de mettre des bottes à un lézard, mais de faire de Gecko le cœur d’un système d’exploitation pour téléphones intelligents et tablettes.

Projet de R & D Boot to Gecko a pour objectif de trouver les manques de l’intégration du Web avec le matériel, et de promouvoir de nouvelles interfaces de programmation (API) comblant ces manques dans les autres implémentations Web et de systèmes d’exploitation. Un peu comme presque‐feu‐WebOS l’a fait, mais de manière un tantinet plus ouverte.

N’attendez donc pas de smartphones ou tablettes Boot to Gecko sur le marché pour très bientôt. Comptez sur le courant 2012 pour un système hackable et installable comme un Cyanogen ou Replicant.

Livraisons de Thunderbird 8.0, Lightning 1.0 et Firefox Mobile 8.0

Posté par (page perso) . Modéré par Lucas Bonnet. Licence CC by-sa
29
10
nov.
2011
Mozilla

Avec l’arrivée de Firefox 8.0, c’est tout l’ensemble des logiciels reliés à la Fondation Mozilla qui suit le mouvement, avec un numéro de version généralement harmonisé.

Au passage, Firefox fête ses 7 ans.

Thunderbird 8.0

Thunderbird 8.0 utilise lui aussi le moteur de rendu Gecko 8 et profite donc de ses améliorations et corrections de bogues. Parmi les autres points notables, la gestion des extensions (add‐ons) se rapproche de celle de Firefox (vérification de compatibilité au démarrage, mise à jour, désactivation par défaut de ceux configurés par des tiers, etc.). Ensuite, il y a les raccourcis de recherche, une amélioration de l’accessibilité de la liste des pièces jointes, et les usuelles corrections de bogues.

Lightning 1.0

Lightning, ajoutant des fonctions d’agenda à Thunderbird, passe enfin en version 1.0. Il intègre la gestion d’informations personnelles, de plusieurs agendas, de tâches, etc..

Dans les changements de cette version, on trouve (traduction libre) :

  • la gestion complète du mode déconnecté pour un agenda quand l’option « Cache » est activée ;
  • l’amélioration des diagnostics des sources iCalendar (ICS providers) ;
  • la correction d’un plantage au démarrage. N’hésitez pas à essayer à nouveau si vous aviez ce problème ;
  • des corrections diverses pour le système de notification, notamment reliées aux événements récurrents ;
  • la possibilité de l’affichage d’événements déjà acceptés via une invitation ;
  • un nouveau style graphique pour la vue agenda.

Firefox Mobile 8.0

L’offre Firefox Mobile se présente en réalité sous la forme de deux produits bien distincts :

  • Firefox for Android 8.0, disponible sur l’Android Market, qui, outre le fait qu’il améliore encore un peu plus ses performances (ce qui n’est pas un mal, en attendant l’abandon prévu de XUL au profit de technos natives), se voit ajouter les marque‐pages en écran d’accueil et un mot de passe principal  pour chiffrer les mots de passe enregistrés ;
  • Firefox Home for iOS 1.1.1, qui déjà présent sur l’AppStore, et qui, rappelons‐le, n’est pas un navigateur et ne suit donc pas le cycle de développement des autres produits.

Firefox  8 est disponible

Posté par (page perso) . Modéré par Davy Defaud. Licence CC by-sa
Tags :
37
9
nov.
2011
Mozilla

Firefox 8 a été mis à disposition du public aujourd’hui même, soient six semaines après Firefox 7. La Mozilla Foundation maintient donc son rythme de version annoncé.

Voici la liste des changements :

  • les modules complémentaires installés par des programmes tiers sont inactifs par défaut ;
  • ajout d’une boîte de dialogue de sélection de modules complémentaires pour gérer les modules installés ;
  • Twitter a été ajouté à la barre de recherche pour certaines versions localisées. D’autres langues seront ajoutées dans le futur ;
  • ajout d’une préférence pour charger les onglets à la demande, améliorant ainsi le démarrage lorsque la session est restaurée ;
  • meilleures performances et gestion de la mémoire lors de l’utilisation des éléments <audio> et <video> ;
  • prise en charge de CORS pour les textures cross-domain dans WebGL ;
  • prise en charge des menus contextuels HTML 5 ;
  • ajout de la méthode insertAdjacentHTML() dans le DOM ;
  • meilleure césure pour de nombreuses langues ;
  • prise en charge améliorée de WebSocket ;
  • corrections de bogues sur la stabilité et la sécurité.

Journal Mozilla abandonne XUL...

Posté par . Licence CC by-sa
20
17
oct.
2011

...pour la version Android de Firefox. :)

Afin de rendre la version mobile de Firefox, Fennec, plus rapide et moins gourmande en mémoire, l'équipe de développement a décidé de lâcher la technologie XUL et de construire l'interface en utilisant l'API native d'Android.

Seul l'interface est touchée, Gecko restera toujours le moteur de rendu du navigateur. Les développements ont d'ors et déjà commencé sous le nom de code « birch » avec une page Wiki dédiée.

De nombreuses questions sont (...)

Journal Mozilla se lance dans le propriétaire

Posté par (page perso) . Licence CC by-sa
4
22
sept.
2011

On n'est pas vendredi, mais vu leur dernière idée, Mozilla risque sans forcément s'en rendre compte de se lancer dans du logiciel pas libre.

Donc, pour résoudre certains problèmes induits par l'accélération des sorties de nouvelles versions du navigateur Firefox, Mozilla envisage de fournir une version longue durée. Cette version serait destinée aux entreprises — les distributions sont visiblement royalement ignorées —, et l'ennui, c'est qu'ils sont partis pour imposer cette restriction :

Public (re)distribution of Mozilla-branded versions of the ESR will (...)

Journal Firefox 6.0.1 : où sont les signatures pour Linux ?

Posté par .
24
2
sept.
2011

Bonjour Naux !

Le navigateur étant une pièce maîtresse et sensible du bureau contemporain, j'attache une importance particulière à sa mise-à-jour régulière afin de bénéficier des correctifs de sécurité. Aussi je ne compte pas sur les paquetages Firefox de ma distribution Linux qui arrivent souvent après 2 ou 3 jours de retard sur la disponibilité de la MAJ officielle : afin de réduire la fourchette d'exposition aux vulnérabilités, j'utilise les archives officielles de la fondation Mozilla.

Ces archives étaient jusqu'à (...)

Journal La MoFo se met au travail sur une WebAPI.

Posté par .
Tags :
12
24
août
2011

La MoFo vient de lancer un nouveau projet, la création d’une interface de programmation qui permettrait aux applications oueb d’accéder aux ressources des appareils mobiles (caméra, carnet d’adresses, etc), dans un premier temps ils souhaiteraient mettre en place des specs, voir des exemples d’implémentation, avant de soumettre ça au W3C pour en faire une norme, en espérant que les autres éditeurs de navigateurs mobiles l’implémentent. Bon, je ferais l’impasse du troll sur la pdm de Firefox sur les mobiles (...)

Firefox 6 est sorti

Posté par (page perso) . Modéré par Xavier Teyssier. Licence CC by-sa
44
17
août
2011
Mozilla

Mozilla continue son cycle de sortie rapide et a publié la version 6 ce 16 août. Les nouveautés se font toujours dans la continuité :

  • le démarrage est plus rapide lors de l'utilisation de Panaroma ;
  • un menu Web developpers a été créé et les outils relatifs y ont été migrés ;
  • la gestion du dernier brouillon de la norme Websocket a été intégré (les fonctions de l'API en JavaScript sont pour l'instant préfixées pour marquer l'état de brouillon) ;
  • le site identity block, c'est-à-dire le bloc qui indique l'identité d'un site en HTTPS a vu son look modifié ;
  • l'utilisation de la console Web a été facilitée ;
  • Scratchpad, un outil qui permet de taper son code JavaScript et de l'exécuter directement sur la page courante, a été ajouté.

On peut aussi noter que l'accélération via la carte graphique qui n'était possible qu'avec les pilotes propriétaires nVidia est désormais disponible pour les pilotes classic de Mesa et les pilotes propriétaires d'AMD.

NdM : Thunderbird 6 est également disponible.