Bonjour à tous,
Ayant récemment agrémenté mon firefox de quelques sympathiques extensions, je me suis demandé dans quelle mesure elles pouvaient être méchantes avec moi.
J'ai du mal à trouver des informations sur le sujet, alors si vous pouviez m'éclairer :
- A quoi les extensions ont-elles accès (historique, marque-pages, mots de passe) ? Et surtout est-il préférable d'utiliser un autre navigateur/profil pour les opérations sensibles (banque, etc.) ?
- Quelle confiance peut-on accorder à ce qu'on trouve sur le site de mozilla ? Y a-t-il une vérification avant la publication ? Ou a posteriori par de bonnes âmes ?
Merci !
# Tout
Posté par __o . Évalué à 3.
Les extensions ont accès à absolument tout.
Non
[^] # Re: Tout
Posté par Marotte ⛧ . Évalué à 0.
D'un autre coté si l'extension est libre tu devrais pouvoir lire le code puis la compiler :)
Concernant les mots de passe, j'imagine que les extensions ne peuvent avoir accès qu'à un hash de ses mots + une clé secrète qui n'est accessible que par le noyau de mozilla... Sinon les boules effectivement.
Perso j'ai jamais été trop fan des extensions pour mozilla/firefox. C'est mon coté j'aime le "out of the box". Dis-moi quelles extensions tu utilises. Je te dirai comment t'en passer :)
[^] # Re: Tout
Posté par ᴼ ᴹᴬᴺᴺ . Évalué à 0.
NoScript, Certificate Patrol, Dictionnaire français « classique et réforme », Long URL Please, Flashblock, HTTPS-Everywhere, Web Developper.
J'ai aussi quelques extensions désactivées car j'en ai besoin que rarement (pour cela je redémarre (Modify Headers, FoxyProxy, DownloadHelper, Cookie Safe).
C'est vrai que ça serait bien de pouvoir s'en passer mais là je vois pas trop comment faire facilement :/
207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶
[^] # Rien
Posté par Marotte ⛧ . Évalué à -1.
NoScript : Tu désactives le javascript entièrement.
Certificat Patrol : De toute façon c'est troué, les autorités de certification des certificats (huhu), centralisées, c'est defective by design. Tu oublies.
Dictionnaire français : un icône dans ta toolbar.
Flashblock : Désinstalle flash immédiatement. Adobe ça pue c'est pas libre. Et hop plus besoin de Flashblock.
HTTPS-Everywhere : Lève les yeux et regarde ta barre d'adresse. Pose toi simplement la question de savoir si ton site utilise HTTPS.
Web Developper : Utilises un vrai outil de développeur, comme KompoZer.
Cookie Safe : Cookies sur liste blanche et c'est tout.
Modify Headers et FoxyProxy et Long URL Please : Bon là je sèche. (Bien pratique le Long URL Please)
Voilà.
[^] # Re: Rien
Posté par kursus_hc . Évalué à 2.
C'est une blague ? Komposer n'est absolument pas un outil de développeur, et il n'est plus maintenu depuis 4 ans.
Sinon au vu du reste de la liste, le plus simple serait finalement de ne pas utiliser d'ordinateur.
[^] # Re: Rien
Posté par Marotte ⛧ . Évalué à 1.
Oui j'avais vu que Komposer n'était plus maintenu. En fait au départ je pensais même à Nvu !
Mon poste était pas sérieux hein ;) J'aurai pu lui dire d'utiliser elinks aussi...
Donc il n'y a pas d'éditeur HTML/CSS/Javascript WYSIWYG, libre et maintenu ? Ah si, il y a SeaMonkey. Après je ne sais pas si ça offre les fonctionnalités recherchées.
[^] # Re: Rien
Posté par kursus_hc . Évalué à 1.
Je veux dire qu'un éditeur WYSIWYG n'est pas un outil de développeur.
[^] # Re: Rien
Posté par Marotte ⛧ . Évalué à 1.
Donc une personne qui fait des programmes en utilisant Visual C++ ou QtCreator n'est pas un développeur ?
Trop gros.
[^] # Re: Rien
Posté par kursus_hc . Évalué à 1.
Je réagissais à
qui gagne haut la main en terme de grosseur.
[^] # Re: Tout
Posté par Niniryoku . Évalué à 1.
FUD.
Pour avoir proposé mon extension, il y a une vérification (vraiment). Les extensions non vérifiées sont classées « expérimentales » (avec un bouton doré).
Knowing the syntax of Java does not make someone a software engineer.
[^] # Re: Tout
Posté par Kerro . Évalué à 2.
Donc correction: celles qui ne sont pas vérifiées... ne sont pas vérifiées.
# Utilise Chromium
Posté par Ludo . Évalué à 0.
Si cela te travaille vraiment, utilise Chromium, c'est libre et il y a une politique de droit d'accès aux informations, un peu comme avec Android.
[^] # Re: Utilise Chromium
Posté par kursus_hc . Évalué à 0.
Disons que je reste sous firefox pour certaines extensions (firebug, webdev).
Ce qui m'amène à une autre question : y a-t-il une extension qui se charge de surveiller l'activité réseau des autres extensions ?
[^] # Re: Utilise Chromium
Posté par NeoX . Évalué à 1.
une extension qui ferait parefeu en somme ou proxy pour extension ?
[^] # Re: Utilise Chromium
Posté par Gniarf . Évalué à 2.
oui mais non.
une extension peut très bien contenir du binaire (enfin, du code compilé, au contraire du XUL ou Javascript qui reste lisible), qui apportera son propre support d'un protocole de communication éventuellement chiffré (ou du bête HTTPS pour ne pas se faire repérer trop vite) et le reste de Firefox ne verra rien. et si son créateur est suffisement astucieux pour ne pas utiliser le réseau de suite, c'est dur à détecter.
maintenant bon la plupart des extensions se reposent sur le support de HTTP(S) de Xulrunner dans Firefox et il y a quelques mécanismes déjà en place pour surveiller ce qui se passe (Adblock+ montre des requetes faites par Flash comme des Object Subrequest, par exemple) mais pas tout (il ne voit pas les flux RTMP par exemple, initié depuis le plugin Flash)
Slogger et HTTP Request Logger peuvent donc te fournir des logs des requêtes faites par Firefox, mais pas toutes, ou plutot pas celles initiées par des plugins ou des extensions qui n'utilisent pas directement les fonctions de Firefox
comme dit au dessus, si tu mets du code tiers dans Firefox, il faut surveiller Firefox de l'extérieur, éventuellement en l'isolant (ce qui peut se détecter, voir ensuite les machines virtuelles qui montreront un faux environnement Internet, un peu comme un honeypot...)
[^] # Re: Utilise Chromium
Posté par Niniryoku . Évalué à 0.
Kof kof…
(pour les non anglophones :
)
C'est de l'« Open Source » (à la limite), mais libre, j'ai du mal à y croire.
Knowing the syntax of Java does not make someone a software engineer.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.