dimanche 16 novembre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Journal : Politique de sécurité Firefox

Posté par manuell () le 09 juin 2006
0
Pour certains projets (le kernel par exemple), je crois qu'il y a des ML "vendors", à accès restreint. Normalement, les distributions sont prévenues à l'avance, les références "CVE" sont créées mais le détail en est caché au commun des mortels. Quand la bug est rendue publique, toutes les distros sont capables de fournir un correctif dans la foulée, même s'il leur a fallu au préalable quelques jours ou semaines de préparation ("QA")

Les distros qui ont moins de moyens fournissent peut être les correctifs plus tard, mais on ne peut pas non plus attendre que "tout le monde soit prêt".

Bref, ça marche a peu prêt correctement, me semble-t-il.

Pour FireFox, on dirait que c'est différent. J'écris ce qui suit au conditionnel, ceux qui savent pourront corriger.

1) personne n'est prévenu avant que la bug ne soit rendue publique par la fondation Mozilla

2) du coup les vendors sont à la traîne. J'ai l'impression qu'il n'y a aujourd'hui 9 juin pas de correctifs disponibles aux versions RHEL, Debian Sarge et Mandriva 2006 pour les 5 failles critiques corrigées le 1er juin dans Firefox 1.5.0.4

3) du coup, la fondation Mozilla laisse le descriptif des bugs "caché", le temps que les vendors se mettent à jour. D'un autre côté, les sources sont disponibles...

Bref, ça incite a utiliser le FF de la fondation et pas celui des distros. Ne serait-il pas préférable que timing et coordination soient meilleures ?

PS: oui, c'est un TROLL.

> Lire le journal (32 commentaires, moyenne: 2,4).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

mes commentaires

Posté par lezardbreton (Jabber id, page perso, ) le 09/06/2006 à 17:02. (lien). Évalué à 1.

troll de mauvaise qualité trop tard pour un vendredi et en plein match de foot.
sinon, le fond est très juste, mais troller sur mozilla, c'est même plus drôle.
On pourrait parler du support des windows<2000 qui s'arrête spontanément aussi tant qu'on y est :)

Tant qu'a faire...

Posté par Jean-Philippe (page perso, ) le 09/06/2006 à 18:23. (lien). Évalué à 1.

Mais si ils sont synchros.
Regarde, tu prend ton windows, et ben firefox te fera sa mise à jour tout seul!

(vendredi c'est permi \o/ )

  • [^]Re: Tant qu'a faire...

    Posté par Matthieu MARC () le 09/06/2006 à 18:30. (lien). Évalué à 3.

    heu, ça ne marche que si tu es administrateur (ou peut-être si tu es utilisateur avec pouvoir).

    Mais comme je n'aime pas naviguer en tant qu'administrateur (on dit bien de ne pas être root), j'utilise un compte de base, et la mise à jour n'est pas automatique.

    • [^]Re: Tant qu'a faire...

      Posté par L () le 10/06/2006 à 12:36. (lien). Évalué à 3.

      Enfin quelqu'un de raisonnable ! Ça me tue d'entendre les gens d'ici dire et considéré comme acquis qu'il faut un compte administrateur et un compte utilisateur d'un côté, et de l'autre scander haut et fort que Firefox se met à jour automatiquement. Car il est évident que sous Linux comme sous Windows, quand on a une séparation standard et propre administrateur/utilisateur, Firefox ne se met pas à jour automatiquement, surtout quand il a été proprement installé à partir d'un paquet en tant qu'administrateur.

      Encore un faux mythe défectueux by design : si Firefox se met à jour automatiquement sur un système, c'est seulement grâce au fait qu'il est mal installé (en tant qu'utilisateur) ou que le système est utilisé avec des droits excessifs.

      • [^]Re: Tant qu'a faire...

        Posté par Jean-Philippe (page perso, ) le 10/06/2006 à 13:03. (lien). Évalué à 4.

        Autant sur un système bien fait, un unix-like comme linux par exemple, la séparation root/ utilisateur va de soit et est acquise par tous, autant sur un système windws :

        - les developpeurs s'en foutent donc on a des jeux ou des programmes à lancer en tant qu'utilisateur.
        - les devs de chez microsoft et les assembleurs s'en foutaient donc jusqu'a aujourd'hui on a rien qui incite à créer un compte utilisateur (puisque par defaut sur les pc grands publics ou sur un install de windows on obtient uniquement un compte administrateur)

        Résultat tout le monde s'en fout complètement, alors que sur un système linux, même grand public (ubuntu, mandriva, et certainement suse) on est prévenu dès le depart

        Enfin bon, ca c'est un autre troll :)

        • [^]Re: Tant qu'a faire...

          Posté par Matthieu MARC () le 10/06/2006 à 16:53. (lien). Évalué à 2.

          il me semble comprendre que ce problème sera réglé avec vista. J'ai même cru comprendre que les employés de chez microsoft se verront supprimer leurs droits administrateurs sur leurs postes de travail, droits qu'ils avaient besoin pour bidouiller leur poste (genre ils sont béta-testeurs).

      • [^]Re: Tant qu'a faire...

        Posté par Matthieu MARC () le 10/06/2006 à 16:52. (lien). Évalué à 2.

        Mais peut-être qu'ils pourraient régler ce problème en utilisant le mécanisme runas (similaire à sudo) : quand je suis utilisateur et que je cliques sur un setup.exe, parfois, il me donne la fenêtre runas et me demande de m'identifier sous un compte administrateur.

        • [^]Re: Tant qu'a faire...

          Posté par Jean-Philippe (page perso, ) le 10/06/2006 à 19:11. (lien). Évalué à 2.

          Mouais, je suis pas convaincu, j'ai du attendre d'être en iut pour decouvrir le "executer en tant que"

          Enfin bon, wait and see, peut-etre que vista sera moins foutage de gueule de ce côté la

      • [^]Re: Tant qu'a faire...

        Posté par Laurent J (page perso, ) le 10/06/2006 à 17:47. (lien). Évalué à 1.

        En quoi est ce mal d'installer un soft, en l'occurence un browser, sur son propre compte ?? Surtout si je suis seul à utiliser ma machine ?

        • [^]Re: Tant qu'a faire...

          Posté par Matthieu MARC () le 10/06/2006 à 19:49. (lien). Évalué à 1.

          Le compte par défaut créé par Windows à les droits administrateurs du poste, c'est l'équivalent du compte root.
          Si tu veux un peu de sécurité, tu peux te créer un autre compte sans droits avancés que tu utiliseras pour travailler, et ainsi tu es mieux protégé des éventuels problèmes : si quelqu'un utilise une faille d'un programme que tu utilises, il héritera de tes droits et non de ceux de l'administrateur du poste.

          Bien entendu, le mieux serait de pouvoir installer firefox sur son propre compte, mais je n'ai pas l'impression que ce soit possible sous windows qui ne veut installe les logiciels qu'à un endroit précis qui nécessite des droits administrateurs.

          • [^]Re: Tant qu'a faire...

            Posté par Jean-Philippe (page perso, ) le 10/06/2006 à 21:25. (lien). Évalué à 2.

            c'est possible
            portableapps a l'air pas mal du tout d'ailleurs

          • [^]Re: Tant qu'a faire...

            Posté par Sufflope (Jabber id, page perso, ) le 10/06/2006 à 21:39. (lien). Évalué à 3.

            Euh... 99,9% voir 100% des logiciels demandent où on veut les installer... À toi de choisir ton dossier perso.

            --
            Le meilleur hébergeur de forums, gratuit et sans pub !

            • [^]Re: Tant qu'a faire...

              Posté par Matthieu MARC () le 11/06/2006 à 08:13. (lien). Évalué à 4.

              Ce n'est qu'illusion. Si le soft doit écrire des trucs dans la base de registre, il faut avoir le droit de le faire, et ces écritures sont pour tout le monde.
              Choisir un emplacement c'est juste si tu n'aimes pas c:\program files\ ou si tu n'as plus de place sur ta partition. Ca ne veut pas dire que tu installe le logiciel uniquement pour toi (comme on peut faire sous linux en installant un paquet dans son répertoire personnel).

              • [^]Re: Tant qu'a faire...

                Posté par Thomas Douillard () le 11/06/2006 à 10:38. (lien). Évalué à 3.

                Les écritures dans la base de registre forcément pour tout le monde, j'y crois pas, tu as des clés personelles, un peut comme les fichiers/dossiers .* du home sous unix, stockés dans le "Document and settings" de l'utilisateur. Rien n'empêche d'utiliser ces clés pour l'install d'un logiciel sous windows. Après j'ai très peu d'expérience dans l'installation de logiciel sous windows en tant que non administrateur, donc je sais pas comment ça s passe en pratique.

                Deuxième remarque, quand tu installes un logiciel 'uniquement pour toi' sous linux, et si les droits y sont, n'importe qui d'autre peut aussi l'exécuter. J'imagine qu'on peut parvenir à un comportement équivalent sous windows avec des ACL.

                • [^]Re: Tant qu'a faire...

                  Posté par Matthieu MARC () le 11/06/2006 à 17:53. (lien). Évalué à 3.

                  Tu peux avoir des clés personnelles, mais elles doivent être écrites dans ton profil utilisateur. Sachant que si tu as un profil obligatoire, alors ton profil ne changera jamais.... Ensuite, on peut très bien imaginer qu'un logiciel ne se serve pas de la base de registre, mais je ne pense pas que dans la pratique, ça existe beaucoup !

                  Concernant l'installation de programme sous linux uniquement pour moi, je pensais en l'installation par exemple d'un rpm dans son répertoire personnel (en changeant l'option root du rpm pour changer / en /home/moi). Bien entendu, il faut régler les problèmes de dépendances, mais il y a 7 ans, je faisais comme cela pour m'installer des logiciels sur mon compte informatique à la fac.
                  Comme le logiciel est dans mon home, il n'y a que moi qui y avait accès

                  • [^]Re: Tant qu'a faire...

                    Posté par pasBill pasGates () le 11/06/2006 à 20:33. (lien). Évalué à 2.

                    Tu peux avoir des clés personnelles, mais elles doivent être écrites dans ton profil utilisateur. Sachant que si tu as un profil obligatoire, alors ton profil ne changera jamais....

                    Je vois pas la difference avec Unix. Tu veux un truc pour tout le monde, tu le mets dans /etc, tu veux un truc par utilisateur tu le mets dans leur home, sous Windows c'est la meme chose : un truc pour un user particulier tu le mets dans la branche de la base de registre pour ce user precis, sinon tu le mets en global dans la branche globale.

                    • [^]Re: Tant qu'a faire...

                      Posté par Matthieu MARC () le 12/06/2006 à 05:52. (lien). Évalué à 2.

                      sauf que la branche pour ce user précis, n'est-elle pas stockée dans le profil de l'utilisateur ? et si cet utilisateur a un profil obligatoire ?

                      • [^]Re: Tant qu'a faire...

                        Posté par Thomas Douillard () le 12/06/2006 à 07:52. (lien). Évalué à 2.

                        C'est quoi exactement un profil obligatoire ? Ramarque que si le logiciel va systématiquement rechercher sa conf dans /etc/ et pas rep_install/etc ou ~/.conf, ca ressemble quand même pas mal avec ce que je m'imagine être un "profil obligatoire".

                        • [^]Re: Tant qu'a faire...

                          Posté par Matthieu MARC () le 12/06/2006 à 09:15. (lien). Évalué à 2.

                          Pour moi un profil obligatoire sous environnement windows, c'est lorsque dans active directory tu donnes à tous les utilisateurs le même profil qui va être chargé à chaque ouverture de session de l'utilisateur, et qui ne changera pas au fils du temps.

                          Tous les changements que tu fais sur ton profil ne seront sauvegardés. Donc tu peux changer ton fond d'écran, mais tu devras le refaire à chaque fois que tu ouvriras ta session.

                          • [^]Re: Tant qu'a faire...

                            Posté par Thomas Douillard () le 12/06/2006 à 09:22. (lien). Évalué à 2.

                            Ouais enfin si ce genre de truc est activé, c'est clairement pour restreindre l'usage de la machine au strict nécessaire ... genre typiquement le genre de cas ou on veut pas que t'installes n'importe quoi sur la machine, et que tu te limites à ce que tu es censé y faire. Un peu comme si /home était montés en "noexec" sous linux. Tu pourrais éventuellement utiliser /tmp si possible, mais là les données sont "volatiles" aussi ;)

                          • [^]Re: Tant qu'a faire...

                            Posté par pasBill pasGates () le 12/06/2006 à 15:07. (lien). Évalué à 2.

                            Ben c'est la meme chose qu'avoir un seul compte Unix pour 20 personnes differentes, ca s'appelle juste differemment...

                            • [^]Re: Tant qu'a faire...

                              Posté par Matthieu MARC () le 12/06/2006 à 16:28. (lien). Évalué à 1.

                              pas du tout. Si tu as un seul compte unix pour 20 personnes différentes, tu partages le mot de passe et les données personnelles entre les 20 personnes.

                              De plus, j'ai l'impression que l'on s'égare un peu car l'affirmation de départ était qu'un programme sous windows devait souvent être installé par l'administrateur du poste, que celui-ci en général écrivait des données dans la base de registre dans l'espace commun. Donc qu'il fallait avoir un accès administrateur pour pouvoir installer un logiciel (ce qui peut être une politique de sécurité normale), mais dans le cas de firefox, qu'il fallait lancer ce dernier en tant qu'administrateur pour pouvoir profiter des mises à jour de sécurité (idem sous linux).
                              Ensuite a découlé l'idée que si l'on voulait profiter des mises à jour de sécurité, une solution était d'installer le logiciel sous son compte utilisateur, chose possible sous linux, mais impossible sous windows du fait que le logiciel écrit des choses dans la base de registre de la machine (HKLM)

                              • [^]Re: Tant qu'a faire...

                                Posté par Sufflope (Jabber id, page perso, ) le 12/06/2006 à 16:52. (lien). Évalué à 4.

                                Ah bon alors je dois être magicien pour avoir installé Fx 1.5 dans mon rep perso Windows dans mon école.

                                --
                                Le meilleur hébergeur de forums, gratuit et sans pub !

                                • [^]Re: Tant qu'a faire...

                                  Posté par Thomas Douillard () le 12/06/2006 à 17:02. (lien). Évalué à 2.

                                  Et la mise a jour automatique marche ? (je vois pas de raisons pour qu'elle ne marche pas perso)

                                  • [^]Re: Tant qu'a faire...

                                    Posté par plic () le 13/06/2006 à 08:04. (lien). Évalué à 2.

                                    installé sur répertoire personnel aussi, et la mise à jour automatique marche.

                                    --
                                    «La faculté de citer est un substitut commode à l'intelligence» — Sommerset Maugham

                                    • [^]Re: Tant qu'a faire...

                                      Posté par Matthieu MARC () le 13/06/2006 à 08:34. (lien). Évalué à 2.

                                      il faut quand même avouer que ce n'est pas une installation "normale" de firefox, et que "monsieur tout le monde" ne l'installera pas de cette manière et continuera à travailler en tant qu'administrateur.

                                • [^]Re: Tant qu'a faire...

                                  Posté par Matthieu MARC () le 12/06/2006 à 18:17. (lien). Évalué à 2.

                                  tu as utilisé la version firefox pour clé usb ?

Firefox

Posté par patrick_g (page perso, ) le 09/06/2006 à 18:45. (lien). Évalué à 5.

On appprends pas mal de chose sur la fondation Mozilla et les problèmes pour assurer la sécurité de Firefox ici :
http://lwn.net/Articles/186614/

On trouve notamment ceci :
The diff between 1.5.0.3 and 1.5.0.4 is very large and contains
many changes that could not be described as security or stability
fixes. It includes (just as an example) dozens of changes to files
which are not compiled or used in any sane configuration of firefox
1.5.0.3.

ben oui

Posté par Éric (Jabber id, page perso, ) le 09/06/2006 à 20:32. (lien). Évalué à 5.

Ben oui, ne pas annoncer les failles ça leur permet après de faire plein de pub "oui on a plus de faille mais notre navigateur est celui qui reste le moins longtemps avec une faille non patchée" (entendons : une faille non patchée *et* connue du public). Résultat le navigateur est aussi troué mais au moins personne ne le sait.

Note: je ne critique pas forcément l'idée d'annoncer les solutions avant les problèmes, mais il faut être conscient de ce que ça implique et ne pas trop être dupe des effets d'annonce que ça entraine.

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.1268s (dont 0.011 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !