Firefox 48 : API WebExtensions, Electrolysis et sécurité

59
17
août
2016
Mozilla

La 48e version de Firefox est sortie le 2 août 2016, et c’est un gros morceau, même si cela ne sautera pas immédiatement aux yeux de l’utilisateur ! L’essentiel des nouveautés consiste en effet en d’importantes mises à jour d’architecture qui vont permettre de débuter un nouveau cycle qui portera ses fruits progressivement :

  • l’arrivée à maturité des WebExtensions va autoriser la conversion progressive des extensions existantes à ce nouveau format qui offre plus de facilité pour les développeurs visant plusieurs navigateurs et plus de sécurité pour l’utilisateur ;
  • le déploiement progressif chez les utilisateurs du mode multi‐processus (cette avancée étant, in fine, liée à la précédente) permettant une meilleure réactivité de l’interface et, à terme, une plus grande sécurité ;
  • la préparation de Firefox pour recevoir du code Rust, qui offre une plus grande sécurité que le code C++, par exemple.

Fait notable de cette version : désormais il n’est plus possible de passer outre l’obligation de recourir à des extensions signées !

Logo horizontal de Firefox

Sommaire

Version bureau

Oxydation

La rouille va commencer à oxyder Firefox avec cette version qui est la première à comporter du code écrit en Rust ! En l’occurrence, il s’agit du nouvel analyseur de fichiers MP4 écrit par Ralph Giles et Matthew Gregan (cf. notre précédente dépêche), qui remplace donc son équivalent C++ dans Gecko. Ce remplacement se fait à performances identiques, mais avec les bénéfices en sécurité inhérents au langage Rust. L’objectif de long terme étant que Gecko et Servo partagent de plus en plus de code Rust.
Notons que l’oxydation débute avec la version bureau, et ce, simultanément pour tous les systèmes d’exploitation habituellement pris en charge par Firefox (Nathan Froyd, Nick Nethercote, Ted Mielczarek, Gregory Szorc et Alex Crichton ont préparé Firefox à cet effet). La version pour Android devrait suivre rapidement.
C’est également la première fois que du code Rust va être déployé à aussi grande échelle : la communauté derrière ce langage peut légitimement s’estimer satisfaite.

Signature requise pour les extensions

Les extensions (modules de type 2) doivent être signées par Mozilla, sinon elles ne pourront être installées (et les extensions déjà installées seront désactivées). Ce comportement n’est pas réversible dans la version bureau (la préférence cachée permettant de contrôler ce comportement sera supprimée de la version Android dans une prochaine version). Firefox ESR 45 (édition longue durée actuelle) imposait déjà la signature des extensions, mais réversible avec la préférence cachée. Ce ne sera plus le cas dans la prochaine ESR.

Ce comportement est gênant pour les développeurs d’extensions, car il bloque la possibilité de tester les versions de développement des extensions (en particulier les versions bêta). C’est pourquoi le blocage est désactivé pour les versions « Developer Edition » et nightly de Firefox [source]. En effet, ces versions clairement annoncées comme instables et prévues pour faire des tests de développement (Firefox est une marque de Mozilla qui annonce un gage de qualité), il est naturel de pouvoir y installer des versions instables des extensions. Malheureusement, ces versions n’ont pas de mises à jour automatiques et sont disponibles uniquement en anglais.

De plus, depuis Firefox 40, il n’est plus possible d’imposer l’installation et l’activation d’extensions pour améliorer la sécurité. Les admins sys d’écoles ou d’entreprises, par exemple, ont eu peur de voir arriver cette restriction dans Firefox ESR, la version à support étendu du navigateur Web. Firefox ESR 38 n’est plus pris en charge depuis peu, et Firefox ESR 45 possède ces restrictions : pour tous les cas qui ne sont plus pris en charge directement par Firefox, il est possible d’utiliser l’extension CCK2.

Modifications de l’interface utilisateur

Barre de recherche

La barre de recherche fait bouger les icônes correspondant aux onglets et aux marque‐pages sur le côté gauche, au lieu du côté droit.

La taille de la barre de suggestion remplit maintenant toute la largeur de la page.

Nouvelle page Catalogue des modules complémentaires

Comme le notait gHacks en juillet, Firefox 48 dispose dans son gestionnaire de modules complémentaires d’une page Catalogue refondue.

Amélioration de la protection des téléchargements malveillants

Grâce aux progrès du service de navigation sécurisé de Google, Firefox 48 améliore sa protection contre les téléchargements malveillants et en profite pour améliorer son interface et le contrôle des options par l’utilisateur. Voyez cet article en français et le billet du blog communautaire francophone expliquant comment fonctionne le blocage des sites malveillants dans Firefox.

Deux catégories sont ajoutées à la protection existante :

  • les logiciels potentiellement indésirables qui provoquent des changements inattendus sur votre ordinateur, qui sont utilisés pour collecter vos informations personnelles sans votre consentement et qui peuvent complexifier leur désinstallation ;
  • les téléchargements peu fréquents qui protègent contre le téléchargement d’un logiciel populaire comme Firefox ou VLC depuis une source inhabituelle et potentiellement malveillante vers laquelle un hameçonnage (phishing) vous aurait amené.

Les applications du Firefox Marketplace ne fonctionnent plus sur ordinateur

À compter de Firefox 48, les applications autonomes basées sur le moteur de Firefox qui pouvaient être installées depuis le Firefox Marketplace, la boutique d’applications de Mozilla pour Firefox OS surtout, ne fonctionneront plus. L’article de SUMO (support.mozilla.org) conseille de chercher l’application sur le Web, d’utiliser une application alternative ou Firefox ESR (édition longue durée qui les prend en charge pour un an encore).

Réduction de l’utilisation d’Adobe Flash

Comme l’annonce Benjamin Smedberg dans un billet traduit par la communauté Mozilla francophone :

Dès le mois d’août, Firefox bloquera certains contenus Flash qui ne sont pas indispensables à la navigation, tout en continuant de prendre en charge les anciens contenus Flash. Ces changements et ceux à venir vont faire bénéficier les utilisateurs de Firefox d’une sécurité renforcée, d’une réduction de la consommation énergétique, d’un chargement plus rapide des pages Web et d’une plus grande réactivité lors de la navigation.

Afin de minimiser les problèmes de compatibilité entre les sites Web, les modifications seront d’abord limitées à une liste courte, contrôlée, de contenus Flash pouvant être remplacés par du HTML.

Version Android

Qwant dans les moteurs de recherche

Qwant fait son entrée dans la liste des moteurs de recherche de Firefox pour Android (également, depuis le 27 juillet, dans Firefox pour iOS) pour les versions locales francophones, du Royaume‐Uni et d’Allemagne. Voyez cette interview de J-B Piacentino, un ancien de Mozilla, sur l’accord entre Qwant, le moteur de recherche français respectueux de la vie privée et de la neutralité des recherches, et Mozilla.

Écran d’accueil intelligent

Suggestions d’Amazon

Dans cette version 48 pour Android, les suggestions de recherche de produits chez Amazon ont été ajoutées à l’écran d’accueil intelligent.

Ajout des sites fréquemment visités possible

Dans le volet Les plus visités, une vignette « + » vous permet d’ajouter vos sites fréquemment visités à votre écran d’accueil.

Sync

Un nouveau point d’entrée a été ajouté à l’écran d’accueil intelligent pointant vers la création d’un compte Firefox pour les nouveaux utilisateurs.

Définition comme navigateur par défaut plus facile

Pour Android 6 Marshmallow et les versions supérieures, il est plus facile de définir Firefox comme le navigateur par défaut sur Android.

Commun

WebExtensions

Extensions logo
Les WebExtensions sont déclarées stables dans cette version de Firefox et Mozilla recommande aux développeurs d’extensions de commencer à utiliser l’API correspondante. Comme nous le soulignions dans la dépêche précédente, la fondation s’est assurée que l’API (notamment la partie WebRequest) permettait à des extensions populaires ayant trait à la sécurité et à la vie privée comme Ghostery, RequestPolicy, NoScript (cf. ce billet de blogue) et uBlock Origin de fonctionner avec ce nouveau modèle, quitte à étendre l’API de base qui est commune à Chrome. Par ailleurs, les WebExtensions débarquent sur la déclinaison Android du navigateur à partir de cette version 48.

Des corrections et compléments sont dans les tuyaux pour la version 49 : https://blog.mozilla.org/addons/2016/06/09/webextensions-for-firefox-49/

La documentation de Mozilla a été mise à jour pour l’occasion.

Multi‐processus

Electrolysis
Dans les versions actuelles de Firefox pour bureau, le navigateur ne s’exécute que dans un seul processus du système d’exploitation. En particulier, le JavaScript exécutant l’interface graphique du navigateur (également connu sous le nom « code Chrome ») s’exécute dans le même processus que celui présent dans les pages Web (appelé aussi « contenu » ou « contenu Web »).
Les versions futures de Firefox vont exécuter l’interface du navigateur dans un processus différent de celui des pages Web. Dans la première itération de cette architecture, tous les onglets tourneront dans le même processus et l’interface utilisateur du navigateur dans un processus différent. Dans les itérations suivantes, nous espérons avoir plus d’un processus pour le contenu. Le projet qui consiste à apporter le multi‐processus dans Firefox est appelé Electrolysis, qui s’abrège en e10s.
Les pages Web classiques ne sont pas affectées par l’apparition du multi‐processus dans Firefox. Les développeurs travaillant sur Firefox lui‐même ou les extensions du navigateur seront affectés si leur code repose sur la possibilité d’accéder directement à du contenu Web.

[https://developer.mozilla.org/fr/Firefox/Multiprocessus_Firefox]

Avec la version 48, 1 % des utilisateurs remplissant les conditions de déploiement à ce stade auront le mode multi‐processus activé pour commencer. Les utilisateurs exclus de la population éligible sont les utilisateurs sous Windows XP, les utilisateurs de lecteurs d’écran, les utilisateurs RTL (écriture de droite à gauche) et les utilisateurs d’extensions. Les 1 % permettront des comparaisons et des retours. Si tout va bien, tous les autres utilisateurs éligibles recevront e10s dans les semaines suivantes. Sinon, le déploiement pourra être ralenti ou suspendu, et e10s pourra même être désactivé chez ceux l’ayant déjà reçu [source].

Pour déterminer si le navigateur Firefox présent sur son ordinateur a activé e10s, il suffit de taper « about:support » dans la barre d’adresse. Si e10s est activé, le message « 1/1 (activé par défaut) » apparaîtra sur la ligne Fenêtres multi‐processus [source]. Les plus téméraires d’entre vous peuvent forcer l’activation d’e10s en allant dans about:config, clic droit → NouvelleValeur booléenne, lui donner pour nom browser.tabs.remote.force-enable et lui donner la valeur true, puis redémarrer le navigateur. Pour annuler, changez la valeur pour false.

https://blog.mozilla.org/futurereleases/2016/08/02/whats-next-for-multi-process-firefox/
https://mozillazine-fr.org/appel-a-laction-pour-firefox-multi-processus-et-les-extensions/
https://asadotzler.com/2016/06/06/firefox-48-beta-release-and-e10s/
https://wiki.mozilla.org/Electrolysis#Schedule
https://wiki.mozilla.org/E10s/Status/July22

Pour les développeurs

https://developer.mozilla.org/en-US/Firefox/Releases/48

Installer Firefox

Les systèmes Android 2.3 d’une part et Mac OS X 10.6, 10.7 et 10.8 d’autre part ne sont plus pris en charge à partir de cette version. Les MacOSeux concernés se tourneront vers Firefox 45 ESR pour bénéficier d’un petit sursis et continuer à recevoir des mises à jour pendant un temps.

Prochaines versions

Fonctionnalité de synthèse vocale

https://forums.mozfr.org/viewtopic.php?p=823117&sid=7671b0814735f38ef40afac9c65d3807#p823117
http://www.ghacks.net/2016/03/08/narrate-text-to-speech-firefox/

Modernisation de la version pour GNU/Linux

Après le passage chaotique de GTK+2 à GTK+3, voici venir : l’abandon des dépendances obsolètes libgnome et libgnomeui (obsolètes suite au projet Ridley qui prédate GNOME 3, les plus âgé[e]s s’en souviendront peut‐être), le bac à sable (bogue général toutes plates‐formes), OpenGL accelerated layers par défaut, portage de X.Org vers Wayland (un paquet expérimental est disponible pour Fedora).

Fonctionnalité Container Tab

Comme expliqué par Abraxas sur le forum Geckozone :

« En gros, un conteneur offre un degré de cloisonnement pour le surf au sein d’un même profil. Ça peut être utile si vous souhaitez ne pas polluer votre session actuelle par vos comptes sociaux qui aiment souvent bien savoir quel(s) site(s) vous avez visité(s). Ou, par exemple, lancer une session shopping, divertissement, etc., au boulot, en dehors de la session de travail.

On pourra aussi ouvrir plusieurs comptes sur un même site sans changer de profil, car le conteneur sépare les cookies, le cache HTTP, localStorage, indexedDB, etc. Un conteneur se lance depuis le menu Fichier ou en mettant une icône “nouveau conteneur” depuis le menu de personnalisation. »

Comme le rappelle ce billet de Genma, vous pouvez d’ores et déjà tester cette fonctionnalité (et bien d’autres) si vous choisissez la version nightly, évoquée sommairement dans notre précédente dépêche. Pascal Chevrel qui est à l’origine de ce reboot Nightly l’explique dans cette interview du blog communautaire francophone.

Version 50 

Option de sélection des sous‐titres

https://bugzilla.mozilla.org/show_bug.cgi?id=887934

Le certificat racine de Let’s Encrypt sera reconnu par Firefox dès la version 50

http://www.nextinpact.com/news/100908-le-certificat-racine-lets-encrypt-sera-reconnu-par-firefox-des-version-50.htm

Évolution du programme Test Pilot

Il n’est plus nécessaire d’avoir un compte Firefox pour souscrire au programme Test Pilot évoqué dans notre précédente dépêche.

Fin programmée de la prise en charge des différents greffons NPAPI

« Firefox prévoit d’arrêter le support des différents greffons NPAPI, à l’exception de Flash, en mars 2017. La prochaine version ESR de Firefox, également planifiée pour mars, continuera à prendre en charge les greffons tels que Silverlight et Java jusqu’en début 2018, pour permettre aux utilisateurs de mettre en place une transition. »

Et, s’agissant du cas particulier de Flash : « En 2017, Firefox rendra obligatoire la demande d’activation affichée aux utilisateurs avant qu’un site Web puisse activer le greffon Flash, quel que soit le contenu. »
Vous en saurez plus en lisant ce billet.

Disparition de Hello

Hello, la fonctionnalité de discussion audio et vidéo basée sur WebRTC disparaît à partir de la version 49, le rapport de bogue le demandant n’explique pas les raisons derrière ce choix. Il n’y a pas non plus de date de suppression de la version serveur, mais, comme ce n’était pas inclus dans les versions ESR, on peut supposer que cela disparaîtra assez vite.

Autour de Firefox

Firefox 5.0 pour iOS

Cette déclinaison, qui, rappelons‐le, s’appuie obligatoirement sur le moteur de rendu WebKit proposé par Apple au sein d’iOS (au lieu, en l’occurrence, de Gecko, celui conçu par Mozilla), reçoit également une mise à jour : vous pouvez découvrir la liste des nouveautés ici.

Servo/Rust

logo Rust

B2G OS

logo B2G

  • B2G OS (ex‐Firefox OS pour smartphones).

https://firefoxos.mozfr.org/post/2016/06/B2G-OS-pour-smartphones-c-est-votre-moment

Code Markdown de l’article de MozFr : https://public.etherpad-mozilla.org/p/Firefox_48_MozFr — Mozinet.

  • # Extensions

    Posté par . Évalué à 10.

    Je déteste quand les navigateurs verrouillent leurs extensions en obligeant à passer par leur "store" qui est soumis à des conditions.

    Surtout que leur processus de validation est très strict (voir stupide parfois) et très long. D'ailleurs si je dis pas de bêtise, ça veut dire que si une extension corrige une vulnérabilité importante, celle ci ne sera pas disponible immédiatement.

    Et si j'ai bien compris, impossible également pour les développeurs de développer leur extension sur une version stable de Firefox. Donc impossible de voir si il y a des bugs avant que l'extension soit validée ?

    • [^] # Re: Extensions

      Posté par . Évalué à 10.

      oui, c'est pénible. Franchement, ils ne peuvent pas faire une version "noob" pour le grand public, incapable de voir s'ils se font installer des extensions de m**** à l'insu de leur plein gré, et une version pour les utilisateurs plus avancés qui sauront ce que ça implique d' « autoriser les applications tierces qui ne viennent pas de leur store » ? Oui je sais ça s'appelle « recompile le toi-même ou utilise seamonkey » (ce que je vais sans doute faire).

      et les extensions déjà installées seront désactivées).

      désactivées ou désinstallée ?

      J'ai un peu peur, quelqu'un vient de me dire que son firefox s'était mis à jour, et suite à ça, cela avait absolument effacé / désinstallé toutes ses extensions, l'obligeant à tout réinstaller à la main… (bug ou mauvaise manip ?). J'ai peur de mon retour de vacance au boulot si ça a fait la même chose là-bas…

      Entre leur course face à chrome, l'installation imposée de trucs style pocket ou hello (qu'ils retirent ensuite, bonjour la cohérence), j'ai un peu mal à mon fox

      • [^] # Re: Extensions

        Posté par (page perso) . Évalué à 9.

        Suite à la mise à jour vers 48, mon extension perso n'a été ni désinstallée ni désactivée.

        Sinon, je trouve que Firefox prend un chemin dangereux avec les restrictions mises en place petit à petit. Pour moi, ca force résidait en cela, faire ce que l'on veut avec son navigateur.

        • [^] # Re: Extensions

          Posté par . Évalué à 6.

          mon extension perso n'a été ni désinstallée ni désactivée.

          La mienne par contre, si :/

      • [^] # Re: Extensions

        Posté par . Évalué à 7.

        J'ai un peu peur, quelqu'un vient de me dire que son firefox s'était mis à jour, et suite à ça, cela avait absolument effacé / désinstallé toutes ses extensions, l'obligeant à tout réinstaller à la main… (bug ou mauvaise manip ?). J'ai peur de mon retour de vacance au boulot si ça a fait la même chose là-bas…

        D'une part faut respirer un peu. D'autre part, je te conseil de toujours, tout le temps, quoi qu'il arrive, faire une sauvegarde de ton profile. C'est sain et ça permet de respirer (quoi qu'il arrive tu retrouvera toujours tes petits) ;)

        Entre leur course face à chrome, l'installation imposée de trucs style pocket ou hello (qu'ils retirent ensuite, bonjour la cohérence), j'ai un peu mal à mon fox…

        Je préfère largement un logiciel qui essaie, qu'un qui passe des années à réfléchir si tel ou tel bouton devrait ou non apparaître par défaut.

        Firefox est dans une situation où quoi qu'ils fassent, ils ont des gens pour leur dire qu'ils font n'importe quoi. Je vois pas pourquoi ils les écouteraient :)

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Extensions

      Posté par . Évalué à 10.

      Je déteste quand les navigateurs verrouillent leurs extensions en obligeant à passer par leur "store" qui est soumis à des conditions.

      Moi, j’en avais marre de virer des toolbars de merde que les utilisateurs n’avaient pas demandées…
      Je peux comprendre que ça ennuie (un peu) les dévs, mais pour les utilisateurs, ça ne pose aucun problème.

      Surtout que leur processus de validation est très strict (voir stupide parfois) et très long.

      Très strict? Ça se discute. Qu’est-ce que tu trouves trop strict? Qu’est-ce que tu trouves stupide?
      La première mise en ligne d’une extension, c’est un peu long en effet, une à deux semaines.

      D'ailleurs si je dis pas de bêtise, ça veut dire que si une extension corrige une vulnérabilité importante, celle ci ne sera pas disponible immédiatement.

      Pour une mise à jour, le délai est de quelques jours. C’est parfaitement raisonnable. De plus, si ton correctif ne change que quelques lignes, la mise à jour sera plus rapide. (Pas grand-chose à analyser.)

      Et si j'ai bien compris, impossible également pour les développeurs de développer leur extension sur une version stable de Firefox. Donc impossible de voir si il y a des bugs avant que l'extension soit validée ?

      Il devrait bientôt y avoir des versions stables non verrouillées:
      https://bugzilla.mozilla.org/show_bug.cgi?id=1135781

      • [^] # Re: Extensions

        Posté par . Évalué à 1.

        Très strict? Ça se discute. Qu’est-ce que tu trouves trop strict? Qu’est-ce que tu trouves stupide?
        Par exemple l'interdiction absolue du .innerHTML même quand ça ne présente aucun risque.

        • [^] # Re: Extensions

          Posté par . Évalué à 6.

          l'interdiction absolue du .innerHTML

          J’utilise justement .innerHTML dans mon extension. On m’en a déconseillé l’usage. Mais c’est passé. Donc, non, l’interdiction n’est pas absolue. Et j’ai pu l’utiliser puisque ça ne présente aucun risque dans mon cas.

          • [^] # Re: Extensions

            Posté par . Évalué à 2.

            Ah, bah moi ils avaient pas voulu :D

            • [^] # Re: Extensions

              Posté par (page perso) . Évalué à 6.

              En fait, ça doit dépendre du relecteur. Pour radial context, ils ont successivement refusé, accepté puis refusé la même extension (les seules différences entre les trois étaient le remplacement d'appels à des API obsolètes par la nouvelle API).

    • [^] # Re: Extensions

      Posté par . Évalué à 5.

      Je déteste quand les navigateurs verrouillent leurs extensions en obligeant à passer par leur "store" qui est soumis à des conditions.

      A priori la Mofo ne fonctionne pas tout à fait comme ça.

      Surtout que leur processus de validation est très strict (voir stupide parfois) et très long. D'ailleurs si je dis pas de bêtise, ça veut dire que si une extension corrige une vulnérabilité importante, celle ci ne sera pas disponible immédiatement.

      Oui… Mais à contrario, j'ai vu un bon paquet de machines vérolées avec des extensions qui se sont installées "toutes seules".

      Et si j'ai bien compris, impossible également pour les développeurs de développer leur extension sur une version stable de Firefox. Donc impossible de voir si il y a des bugs avant que l'extension soit validée ?

      D'après la page citée plus haut, les versions "unbranded" de firefox permettent de désactiver le switch de signature obligatoire. Restriction, pas de build autres qu'en anglais.
      Le code de la version release reste, j'imagine (?), téléchargeable et compilable.

      • [^] # Re: Extensions

        Posté par . Évalué à 9.

        A priori la Mofo ne fonctionne pas tout à fait comme ça.

        Super lien !

        En m'intéressant un peu, j'ai découvert :

        • une mailing list qui devraient intéresser beaucoup de monde ici : la liste UX de mozilla, l'endroit idéal où rager (et c'est bien ce qui est fait là bas ^^) ;
        • qu'il est encore possible d'installer des versions non signées sur les nightly, la version non brandée (suit les version beta et release), la version ESR et la version développeur (mais comment est-ce que les développeurs d'extension vont-il pouvoir tester leurs extensions ? ^^).

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: Extensions

        Posté par . Évalué à 0.

        C'est fou !

        Les extensions sont signées "en quelques secondes" par un process automatisé.

        C'est à dire qu'à part vérifier que ce n'est pas un doublon d'une extension malicieuse déjà bannie, pas grand chose n'est vérifié par Mozilla.

        Confier autant de pouvoir à Mozilla pour si peu de sécurité, c'est pas un très mon marché.

        BeOS le faisait il y a 15 ans !

        • [^] # Re: Extensions

          Posté par . Évalué à 9.

          La signature n’est qu’un aspect. Il y a une vérification du code, qui est plus ou moins longue…

          Par ailleurs, la signature, c’est aussi pour éviter que des applications tierces installent de force des extensions/toolbars/crapwares sur Firefox.

          Confier autant de pouvoir à Mozilla pour si peu de sécurité, c'est pas un très mon marché.

          C’est en partie une communauté de volontaires qui contrôlent le code des extensions.
          N’utilise pas et tout va bien.

          Par ailleurs, tu ne confies rien à Mozilla. C’est eux qui t’autorisent à utiliser un logiciel et le modifier par le biais d’une licence libre. Tu peux toujours utiliser une boîte noire propriétaire qui se laissent phagocyter par d’autres applis si tu penses que c’est plus sécurisé ainsi.

          Tu peux même utiliser un Firefox non marqué pour installer des trucs non signés.

          Qu’est-ce qu’il faudrait de plus pour arrêter de râler ?

          • [^] # Re: Extensions

            Posté par . Évalué à 1.

            Je viens de voir que si on distribue à part, la vérification de code peut être automatisée, donc ça review manuelle.

            Après ça me fait toujours rire ces histoires de toolbars installés par une applications tierce.
            Sachant que ces toolbars sont installés lors de l'install d'un autre logiciel, vous pensez qu'ils vont faire quoi quand ce sera plus possible de mettre des toolbars ? Ils vont simplement installer un logiciel qui tournera en permanance en fond pour récupérer les infos / afficher de la pub. Et là ça peut même être invisible.

            • [^] # Re: Extensions

              Posté par . Évalué à 10.

              Ils vont simplement installer un logiciel qui tournera en permanance en fond pour récupérer les infos / afficher de la pub. Et là ça peut même être invisible.

              Oui, c’est toujours faisable. Mais passer de crapware à malware, c’est un autre niveau de compétences et de risques. En fait, c’est un autre métier.

              — Il faudra hacker des binaires de Firefox qui se mettent à jour toutes les 6 semaines. Difficile.
              — Il faudra convaincre les installeurs d’installer un logiciel malveillant qui sera la cible des antivirus, au risque de voir son site web rendu inaccessible par les navigateurs qui bloquent les sites fournissant des logiciels malveillants.
              — Il faudra apprendre à éviter les antivirus.

              Bref, ce n’est pas du tout le même problème qu’installer une extension sur un logiciel qui autorise tout.

              • [^] # Re: Extensions

                Posté par . Évalué à 6.

                Pas du tout, c'est bien plus simple que cela, et ce n'est pas une activité fondamentalement malveillante et recherchée par les antivirus (qui soit dit en passant utilisent pour certains la même technique) :
                1. modifier les paramètres du profil firefox pour rediriger les flux sur un proxy, ainsi que la base des certificats d'autorités de confiance pour y insérer une autorité propre au logiciel : dans les deux cas c'est facile, une simple base SQLite ou un fichier json à aller modifier ;
                2. installer sous forme de service un proxy avec interception SSL.
                3. observation des flux et injection dans les pages des éléments désirés
                4. …
                5. Profit!

                • [^] # Re: Extensions

                  Posté par . Évalué à 4.

                  La solution du proxy semble la plus simple et pérenne (c'est pas ce que faisait déjà superfish ?), mais il y a encore d'autres possibilités:

                  • Installer silencieusement GreaseMonkey (puisqu'elle est signée), masquer l'icône et installer un script malicieux.

                  • Bricoler la configuration de firefox (sans pour autant modifier l'exécutable) pour passer outre la vérification des extensions. On a un exemple ici: http://www.ghacks.net/2016/08/14/override-firefox-add-on-signing-requirement
                    .Je suppose que Mozilla finiront par virer une bonne partie des moyens de personnalisation restant pour éviter ce genre de failles…

            • [^] # Re: Extensions

              Posté par . Évalué à 5.

              Et j'ai du mal à voir comment un script qui met quelques secondes à valider une extension pourra filtrer les toolbars au lieu de les signer.

              BeOS le faisait il y a 15 ans !

          • [^] # Re: Extensions

            Posté par . Évalué à 1.

            Tu peux même utiliser un Firefox non marqué pour installer des trucs non signés.

            ça aurait été sympa des liens pointant vers des tuto ^ ^

            Par ailleurs, la signature, c’est aussi pour éviter que des applications tierces installent de force des extensions/toolbars/crapwares sur Firefox.

            Et si elles installent une extension signée? Ça marche ou pas?

            Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

            • [^] # Re: Extensions

              Posté par . Évalué à 2.

              ça aurait été sympa des liens pointant vers des tuto ^ ^

              https://wiki.mozilla.org/Addons/Extension_Signing#Unbranded_Builds

              Et si elles installent une extension signée? Ça marche ou pas?

              Je ne sais pas, mais je présume que oui.
              Quoi qu’il en soit, lors de la revue du code des extensions, modifier le code HTML fait partie des choses très surveillées. Inclure de la pub, ça ne passera pas.
              On m’a laissé utiliser la modification du HTML uniquement parce que ça se passe dans un panneau annexe et que le HTML injecté ne provient pas d’un serveur en ligne. Tout fonctionne en mode hors-ligne, du coup, pas de mauvaise surprise : le HTML que j’injecte est visible dans le code de l’extension.

        • [^] # Re: Extensions

          Posté par . Évalué à 2.

          Il y a une case à cocher pour signaler si ton extension va être déployée via un installeur. C'est peut-être moins automatisé si on la coche.

    • [^] # Re: Extensions

      Posté par (page perso) . Évalué à 4. Dernière modification le 17/08/16 à 16:34.

      Ça s'appelle du DRM d'applications, de l'informatique déloyale ou de la Tivoïsation : une plate-forme qui ne permet d'exécuter que ce qui a été approuvé par l'éditeur de cette plate-forme.

      Microsoft avait rêvé de le faire avec Palladium, mais avait dû renoncer. Apple avait réussi à l'introduire avec l'iPhone, et maintenant tout le monde s'y met. Mozilla qui suit Apple dans leur politique de verrouillage, c'est vraiment la fin des haricots. Enfin, on peut toujours forquer.

      • [^] # Re: Extensions

        Posté par . Évalué à 5.

        Enfin, on peut toujours forquer.

        Hein ? Ton fork à la noix existe déjà : https://wiki.mozilla.org/Addons/Extension_Signing#Unbranded_Builds

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Extensions

          Posté par (page perso) . Évalué à 1.

          Ah, très bien. Dommage que ce soit en anglais seulement, mais je suppose que les extension de langue sont toujours installables.

          J'espère que ce sera empaqueté dans Debian, parce que je déteste vraiment l'idée de DRM logiciel non facultatif. (Non, je ne suis pas trop volontaire pour un tel boulot malheureusement.)

        • [^] # Re: Extensions

          Posté par . Évalué à 1.

          Une build disponible qu'en anglais, et sans mises à jour automatiques:
          https://bugzilla.mozilla.org/show_bug.cgi?id=1290548#c9

          To the people that requested that we provide updates for this build, we don't intent to provide updates at this time. Please install a new addon devel build if you want test your addons with a different build.

          A priori c'est seulement prévu pour tester ses extensions sur la version stable de firefox…

          J'ai pu passer la build en français en téléchargeant un pack de langue et en installant l'addon Language Manager, mais je sais pas si le pack de langue se met à jour automatiquement.

      • [^] # Re: Extensions

        Posté par (page perso) . Évalué à 9.

        C’est toujours possible pour celles et ceux qui le veulent vraiment et ça évite pas mal de merdes à la plupart des gens. Parler de DRM, dont le but est de nous emmerder pour les profits de quelques grosses et opulentes firmes, alors qu’il s’agit de protections que l’on peut facilement outrepasser, cas ça me semble un peu exagéré.

        Écrit en Bépo selon l’orthographe de 1990

        • [^] # Re: Extensions

          Posté par (page perso) . Évalué à -10.

          Cet argument est celui de Apple.

          rigolo de voir que quand Apple fait c'est mal mais quand Mozilla fait c'est bien.
          (Libre? Faux argument, Android est libre aussi, être libre devient banal et le pouvoir est dans celui qui contrôle la marque)

          2 poids, 2 mesures.
          Au final on voit que les principes de pas mal de monde se disant libriste n'est que de l'affichage.

          • [^] # Re: Extensions

            Posté par (page perso) . Évalué à 10.

            Aux dernières nouvelles, Apple empêche d'installer une version alternative de magasin d'application et empêche la recompilation d'iOS pour enlever ces limites.

            • [^] # Commentaire supprimé

              Posté par . Évalué à -10.

              Ce commentaire a été supprimé par l'équipe de modération.

            • [^] # Re: Extensions

              Posté par (page perso) . Évalué à -6. Dernière modification le 18/08/16 à 12:59.

              Rigolo les réponses automatiques : l'argument a déjà une réponse mais il revient comme si on avait fait un copier coller sans avoir vraiment lu le message auquel on répond.

              Pas touche à Mozilla, même si il a changé (tous ceux avec des principes se sont barrés parce que bon la il ne reste plus que les "je suis contre la peine de mort… enfin sauf si"), la marque suffit (et justement c'est la réponse qui casse le faux argument).

              tu pourrais avoir un minimum de répondant et contre-argumenter…

              note : donc Google avec Android c'est super libre, vu qu'on peut xxx… ha non oups Google ne s'appelle pas Mozilla donc l'argument n'est pas valable, j'avais oublié. ..

              • [^] # Re: Extensions

                Posté par . Évalué à 3.

                Android n'est pas libre dans l'immense majorité des cas. Montre moi ne fut-ce qu'un constructeur qui donne l'ensemble des sources accompagnées des recettes de compilation ? Bref vouloir positionner Mozilla, Android et Apple au même point sur la ligne qui va de plus à moins de libertés, c'est un peu fort de café.

                Mode je peux aussi anticiper ton prochain argument: oui effectivement il n'y a aucun matériel libre pour le grand publique, et alors c'est pour cela que l'on doit accepter des restrictions supplémentaires (dit d'une manière polie) ?

                • [^] # Re: Extensions

                  Posté par . Évalué à 5.

                  Montre moi ne fut-ce qu'un constructeur qui donne l'ensemble des sources accompagnées des recettes de compilation ?

                  Au moins un

                  Android est libre, les GMS ne le sont pas. Mais c’est surtout le verrouillage du bootloader qui rend les téléphones android non libres.

                  Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0

                  • [^] # Re: Extensions

                    Posté par (page perso) . Évalué à 4.

                    De plus en plus de composants libres d’Android sont remplacés par des «Google App» non-libres et ne sont plus maintenus. On peut le voir ici: Google Calculator, Calendar, Camera, Contacts, Desk Clock, Dialer, Keyboard, Now Launcher, Photos, Hangouts (remplace l’appli SMS/MMS), et quelques autres. Et si ça n’est pas le composant Google, c’est probablement un composant du constructeur de l’appareil.

                    Donc à moins d’installer une distribution alternative comme CyanogenMod (qui créé et maintient un certain nombre de remplacements pour ces composants non-maintenus) sans installer de Google Apps ou en installant uniquement le Play Store, la majeure partie des composants n’est pas libre (à part le noyau et l’application «Paramètres» en gros…).

                    Écrit en Bépo selon l’orthographe de 1990

                  • [^] # Re: Extensions

                    Posté par . Évalué à 2.

                    Au moins un

                    Primo: ça n'est pas l'OS livré avec le téléphone, le "defaultOS", mais un autre, probablement pour les raisons évoquées par ariasuni.

                    Deusio: il y a un gros blob compressé de 60M qui contient tout un tas de trucs. "Ouvert", il faut le dire assez vite quand même…

                    Mais bon admettons, ça en fait un qui livre des instructions de compilation avec une partie des sources. Très certainement un exemple à suivre même s'il on peut faire mieux. Malheureusement, actuellement cela reste l'exception.

                    • [^] # Re: Extensions

                      Posté par (page perso) . Évalué à 3.

                      Bah, s'il en faut au moins un, voici le GTA04.

                      C'est un téléphone de bidouilleur (tinkerphones, le nouveau nom de la communauté OpenPhoenux autour de cet engin et de quelques autres). Son bootloader est libre, compilable, remplaçable et peut gérer plusieurs OS sur une même carte uSD. Il est encore en cours de production (une dernière production est en cours ou va bientôt commencer, le temps que les composants soient en stock chez le fabricant).

                      Le constructeur fournit les moyens de modifier tous les logiciels. Il fournit lui-même une version en test de Replicant avec le blob binaire wifi. La communauté Replicant a elle-même une version sans blob binaire (excepté celui du GSM, comme d'habitude).

                      PS: dans ces téléphones bidouillables, il y a également le Neo900, mais je n'ai pas trop suivit où en était le projet et si Android sera utilisable avec.

                      • [^] # Re: Extensions

                        Posté par . Évalué à 3.

                        Moi qui croyais qu'indefero était mort… C'est cool de le revoir (même s'il a bien l'air mort)

                        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                  • [^] # Re: Extensions

                    Posté par . Évalué à 3.

                    Non, android n'est pas libre.
                    AOSP, lui l'est. Et sans les services google, tu vas pas tres loin en pratique.

                    Linuxfr, le portail francais du logiciel libre et du neo nazisme.

              • [^] # Re: Extensions

                Posté par (page perso) . Évalué à 4.

                Je répondais surtout à la phrase:

                rigolo de voir que quand Apple fait c'est mal mais quand Mozilla fait c'est bien.

                Tu ne peux pas dire que Mozilla fait la même chose qu'Apple.

                Le premier laisse clairement utiliser son logiciel sans DRM, à la condition de le reconstruire ou d'utiliser une version instable. Le second ne laisse aucun choix.

                Et je ne porte pas de jugement sur "mal" ou "bien", c'est surtout 2 cas différents.

        • [^] # Re: Extensions

          Posté par (page perso) . Évalué à 4. Dernière modification le 18/08/16 à 10:37.

          Désolé, mais un système qui vise à empêcher l'utilisation de contenu non approuvé, c'est du DRM. Enfin, s'agissant de logiciels, il s'agit plus précisément de ce qu'on appelle l'informatique déloyale, mais c'est très proche comme sujet.

          (Officiellement, ça s'appelle l'informatique « de confiance », mais ce terme est très mauvais, parce qu'en mettant en œuvre ces systèmes qui permettent de décider quel logiciel peut ou non s'exécuter, les fabricants de plate-formes ont choisi de ne pas faire confiance à l'utilisateur, et de décider à sa place)

          Ce genre de restriction est acceptable lorsqu'elle est désactivable, comme c'est le cas sous Android à ce qu'il me semble. Avec Firefox, ce n'est pas vraiment désactivable, mais si on peut installer à la place une version déplombée officiellement mise à disposition pour cela, c'est bon.

          • [^] # Re: Extensions

            Posté par (page perso) . Évalué à -1.

            Sous Android c’est plus chiant car on doit posséder un compte Google pour accéder au magasin d’applications officiel, et qu’on doit recoder un magasin alternatif si on veut bénéficier de mises à jour (alors qu’on peut visiblement héberger ses modules n’importe où, pourvu qu’ils soient signés ils peuvent être mis à jour automatiquement).

            Pour moi la différence entre Firefox et une distribution n’est pas bien loin: les canaux officiels de la distribution ne proposent que les logiciels approuvés, les autres sont un peu moins faciles à installer mais c’est toujours possible pour qui sait un minimum bidouiller. On peut aussi comparer ça vaguement aux autorités de certifications qui apportent une certaine confiance supplémentaire dans le site auquel on accède.

            Si Firefox empêchait d’utiliser des modules non-signés, ça serait un vrai frein pour les développeurs et je ne pense pas qu’il ferait ça (ou alors là faudrait gueuler/forker mais à priori ils ont conscience de l’importance de permettre à une certaine partie de leur base d’utilisateurs d’installer des modules non-signés).

            Écrit en Bépo selon l’orthographe de 1990

            • [^] # Re: Extensions

              Posté par . Évalué à 8.

              Si Firefox empêchait d’utiliser des modules non-signés, […]

              C'est précisément de quoi on discute : à partir de Firefox 48, les modules (de type 2, aka extensions) devront impérativement être signées par Mozilla pour s'exécuter dans Firefox.

              Et le moyen de contournement (versions de dev/test/non officielles) ferment la possibilité à l'écrasante majorité des utilisateurs de Firefox d'utiliser des extensions indépendamment du bon-vouloir de Mozilla c'est à dire quelques critères techniques (cf. https://developer.mozilla.org/en-US/Add-ons/AMO/Policy/Reviews) mais surtout des restrictions d'usage et de finalité (cf. https://www.mozilla.org/en-US/about/legal/acceptable-use/ ).

              OK, c'est un positionnement de principe : très concrètement, les politiques de signature de Mozilla sont aujourd'hui très raisonnables et l'impact réel sur les utilisateurs finaux tout à fait insignifiant (les développeurs utiliseront une version spéciale de Firefox pour tester et utiliseront la procédure rapide et automatisée de signature par Mozilla).

              Mais le principe est inquiétant.

              BeOS le faisait il y a 15 ans !

          • [^] # Re: Extensions

            Posté par . Évalué à 4.

            La question est plus complexe que ça.
            Les extensions de firefox ne sont pas des logiciels ou des données, ce sont des extensions: elles nécessitent toutes des éléments de firefox pour fonctionner.
            Ce sont plutôt des "parties du code de firefox", plutôt que des logiciels.

            On peut même aller plus loin en appliquant le raisonnement que tu proposes à d'autres logiciels.
            Par exemple, imagine que je prenne le code source d'un logiciel que tu codes, et j'y rajoute une fonctionnalité.
            Si je veux diffuser cette fonctionnalité, j'ai trois possibilités:
            - forker ton logiciel
            - te proposer la fonctionnalité, et tu peux alors accepter la modification ou non dans la branche principale de développement
            - proposer un patch à appliquer avant la compilation
            La situation est très proche de celle de firefox, les trois éléments étant dans l'ordre:
            - forker firefox
            - voir son extension être approuvée par firefox
            - devoir recompiler firefox pour y inclure l'extension (soit en l'y incluant directement, soit en désactivant la vérification de l'extension)

            Bref, je pense qu'il est difficile de définir une frontière absolue, et je pense que considérer que ce que fait firefox est du drm, ça revient à dire que n'importe quel développeur qui refuse une modification à son projet fait du drm car il interdit à l'utilisateur de pouvoir utiliser cette modification sur son logiciel (à moins d'appliquer les mêmes solutions que dans le cas de firefox: utiliser un fork ou tripatouiller dans le code et compiler).

            • [^] # Re: Extensions

              Posté par (page perso) . Évalué à -2. Dernière modification le 24/08/16 à 14:26.

              Bref, je pense qu'il est difficile de définir une frontière absolue, et je pense que considérer que ce que fait firefox est du drm, ça revient à dire que n'importe quel développeur qui refuse une modification à son projet fait du drm car il interdit à l'utilisateur de pouvoir utiliser cette modification sur son logiciel (à moins d'appliquer les mêmes solutions que dans le cas de firefox: utiliser un fork ou tripatouiller dans le code et compiler).

              Ici c'est complexe seulement pour qui ne veut pas regarder les choses en face.

              Ton exemple est foireux parce que tu compares avec l'obligation d'accepter une modification dans ton projet alors qu'on parle de plugins donc d'utilisation en dehors du code du repo, justement (c'est l’intérêt des plugins : ne pas dépendre du code du repo officiel)

              En pratique, on regarde 2 choses :
              - Existe-t-il un interface? pour Netflix, c'est oui, pour FF, c'est oui (l'API des plugins)
              - Cette API est-elle limitée à "qui a le droit" ? pour Netflix, c'est oui, pour FF, c'est oui (faut avoir une signature par Mozilla)
              donc Netflix ou FF, c'est pareil : c'est du DRM. que ça plaise ou pas, c'est un fait (Mozilla contrôle qui a le droit ou pas, que ce soit de manière "relâchée" ou pas ne change pas que le DRM est la; sérieux, la on parle de savoir si Netflix a un DRM ou pas suivant le nombre d'équipement qu'il autorise? non, car cette notion n'a rien à voir avec la définition, la définition est sur qui autorise)

              ça me rappelle la belle blague de Mozilla qui milite pour Do Not track et après s'étonne qu'on lui demande de respecter cette demande pour son propre site et refuse (parce qu'en fait c'est vachement pratique de tracer), comme si ce à quoi on est contre ne s'applique pas à soit-même. Faut assumer : Mozilla aime maintenant les DRM (que ce soit pour FF ou de défunt FFOS qui était pas mieux en DRM) quand ça l'arrange lui.

              A noter que https://fr.wikipedia.org/wiki/Gestion_des_droits_num%C3%A9riques donne une traduction "mesures techniques de protection (MTP)" qui est exactement la pub de Mozilla dessus ("c'est pour protéger, promis juré"), à noter que la page de Wikipedia parle de "restriction" ce qui est exactement l'objet de la fonctionnalité (pour que ce soit pour mon bien n'est pas dans la définition, et si elle l'était Netflix pourrait dire que c'est pour m'empêcher de violer la loi donc pour mon bien, comme quoi on peut toujours tourner comme ça nous arrange).

              Perso, je me demande pourquoi les gens ne peuvent pas appeler un chat un chat, comme si ils en avaient honte.
              Tanguy l'a d'ailleurs bien rappelé : les DRM, ça s'appelle aussi "informatique de confiance", c'est un truc super positif (on se demande pourquoi du monde aime quand Mozilla le fait et pas quand Microsoft le fait avec SecureBoot pour les même raisons et en mettant que sa clé par défaut, bizarre non?)

              • [^] # Re: Extensions

                Posté par . Évalué à 3. Dernière modification le 24/08/16 à 15:02.

                Ton exemple est foireux

                Je trouve son exemple est très pertinent au contraire. Si on applique ton raisonnement, la plupart des projets de logiciels libres mettent en place des DRM parce qu'ils mettent en place des "mesures de protection technique", le plus communément une clef ssh, pour limiter la modification de code (donc du fonctionnement) à des personnes approuvées. C'est complètement absurde comme idée, n'est-ce pas ?

              • [^] # Re: Extensions

                Posté par . Évalué à -1.

                Ton exemple est foireux parce que tu compares avec l'obligation d'accepter une modification dans ton projet alors qu'on parle de plugins donc d'utilisation en dehors du code du repo, justement (c'est l’intérêt des plugins : ne pas dépendre du code du repo officiel)

                Reprenons le cas du logiciel pour lequel je veux ajouter une fonctionnalité.
                - Existe-t-il une interface ? Oui, le code contient des classes et des fonctions, que je peux utiliser dans ma fonctionnalité additionnelle, il y a donc une API.
                - Cette API est-elle limitée à "qui a le droit" ? Pareil que firefox: si je veux l'intégrer, je dois ou bien forker, ou bien proposer un hack que l'utilisateur doit réaliser, ou bien avoir l'accord du créateur.

                Le but principal du plugin est et a toujours été de faciliter l'introduction de fonctionnalités, rien de plus. La possibilité d'être indépendant du développeur n'a jamais été considérée comme une condition sine-qua-non d'un plugin, et si tu connais un endroit qui dit explicitement que cette possibilité est nécessaire, alors, je suis intéressé d'y jeter un coup d'œil.

                Personnellement, je n'ai aucune sympathie pour Mozilla. Simplement, j'appelle un chat un chat, même quand ça ne m'arrange pas et va dans le sens de Mozilla dans ce cas-ci: le fait d'accepter ou non une fonctionnalité sur son logiciel n'est pas un DRM, le simple fait d'avoir rendu la vie facile à ceux qui veulent rajouter une fonctionnalité n'est pas une bonne raison pour considérer que ça devienne soudainement un DRM.
                Par ailleurs, la restriction peut être critiquée sur d'autre plan, le fait de prétendre que Mozilla fait exactement la même chose que Machin est non seulement inutile, mais en plus tout simplement faux.

      • [^] # Re: Extensions

        Posté par . Évalué à -10. Dernière modification le 18/08/16 à 10:48.

        Palladium n'a pas été commercialisé mais à la place Microsoft ont réussi a créer UEFI en créant un consortium et une norme avec les marchés asiatiques et la pluspart des membre de l'industrie informatique.

        Et les spécification sont disponibles sur le site du consortium mais l'analyse technique est trop bas niveau et dépasse mes compétences, c'est une sorte de manière d'obfusquer le code pour garder la main sur une technologie et c'est une forme de propriétarisation et du marché et de la technique : pour moi c'est du DRM pour un ingénieur avec dix ans d'expertise il n'y aura peut-être aucun problème.

        Je crois qu'ils ont fait un event en mai ou en mars avec des places VIP tout ca ce qui est plutôt cool pour les partenaires commerciaux, mais n'est certainement pas bon pour les nations du continent asiatique suffisement victimes des problèmes de sensure ou de manipulation de l'information et se retrouvent partis pris dans tout cela.

        edit : http://www.uefi.org/node/3443

        • [^] # Re: Extensions

          Posté par . Évalué à 8. Dernière modification le 18/08/16 à 13:26.

          Palladium n'a pas été commercialisé mais à la place Microsoft ont réussi a créer UEFI en créant un consortium et une norme avec les marchés asiatiques et la pluspart des membre de l'industrie informatique.

          TCPA/Palladium et UEFI n'ont pas grand chose à voir.

          Palladium était un moyen de pousser très loin le contrôle de l'exécution de code sur les machines (sous Windows, en fait). La communication déplorable de Microsoft l'a sabordé et a donné lieu à la création du TCG, qui fait grosso modo la même chose, le côté opt-in en plus.

          UEFI est un remplacement du BIOS (le truc qui date de l'IBM PC Original). L'UEFI a introduit très dernièrement une fonction dite "Secure Boot" qui permet (via un TPM, ou non) de vérifier la signature d'un boot loader. C'est la que ça se rejoint un peu, mais sinon ?

          Et les spécification sont disponibles sur le site du consortium mais l'analyse technique est trop bas niveau et dépasse mes compétences, c'est une sorte de manière d'obfusquer le code pour garder la main sur une technologie et c'est une forme de propriétarisation et du marché et de la technique : pour moi c'est du DRM pour un ingénieur avec dix ans d'expertise il n'y aura peut-être aucun problème.

          WTF ? Si tu considères que des specs détaillées (et une implémentation de référence Tianocore) c'est de l'obfuscation, y a comme un problème…

          Je crois qu'ils ont fait un event en mai ou en mars avec des places VIP tout ca ce qui est plutôt cool

          Ce que tu pointes dans ton edit est une "plugfest". C'est un événements ou des gens de différentes boîtes se rencontrent avec leur matériel pour s'assurer que c'est interropérable.

          • [^] # Re: Extensions

            Posté par . Évalué à -8. Dernière modification le 18/08/16 à 14:31.

            Justement je pense qu'il ont beaucoup à voir l'un et l'autre dans la mesure ou l'un des projet à succédé l'autre chronologiquement après avoir été vivement critiqué et subit une mauvaise communication.

            Maintenant l'objet de ma critique c'est à mon à mon niveau de développeur débutant. Pour moi faire de la rétroingénierie serait aussi compliqué et étant en reinsertion profesionnelle je ne pense pas que les dirigeants de ces évolutions me permettront de suivre le progrès technologique et je vais devoir m'accrocher si je veux supporter cette technologie et ses constructeurs qui l'imposent au grand publique. Je salut la démarche d'ouverture des fabricants mais je commençais à être à l'aise avec mon hardware, ca pile graphique standard et les processus de gestion du stockage qui était standardisé.

            Certaines implémentations des bios traditionnels implémentaient déjà des modules de sécurité.

            En tous cas on a pas eu le recule pour analyser cela avant que l'on la finance et qu'on la consomme. Si cette technologie était accessible on aurait pu peut-être la comprendre avant de la subir. Prendre les consommateurs de vitesse est une manière d'imposer une idéologie et de remporter un marché : celui ci est planétaire.

            Exemple : les manifestants lutent contre un chantier pas respuctueux pour la nature : Il peuvent casser des portes en bois, ils peuvent casser des portes en béton, ils peuvent casser des grilles. Mais si tu fais un alliage de ces matériaux alors tu auras du mal.

            Là tu tapes dans de l'assembleur ou une surcouche légère et une architecture nouvelle je ne sais pas.

            Je ne suis pas sur que contrairement au USA, en Europe (en tout cas dans mon pays ca ne l'est pas) Le fait qu'une machine nue soit vendue avec une licence commercial imposée avec un numéro unique dans la machine soit légal.

            C'est de la vente liée/forcée.

            C'est simplement une position dominante et de rapidité des fabricants/éditeurs qui fait qu'on se retrouve avec ce genre d'anomalies.

            Mais on commence à voir des formations publiques. Je serai très intéressé pour participer à un tel plugfest je n'avais jamais entendu ce terme.

            Encore une fois je salut l'initiative d'ouverture des spécifications mais j'ai peur d'avoir des machines UEFI qui me forcent malgrès tout à acheter des licences toutes ma vie sans jamais parvenir à comprendre la documentation ni me permette de me participer à ces évents.

            • [^] # Re: Extensions

              Posté par (page perso) . Évalué à 2.

              Justement je pense qu'il ont beaucoup à voir l'un et l'autre dans la mesure ou l'un des projet à succédé l'autre chronologiquement après avoir été vivement critiqué et subit une mauvaise communication.

              Et donc tous les projets Microsofts qui on succédés chronologiquement ont un rapport avec Palladium ?

              Maintenant l'objet de ma critique c'est à mon à mon niveau de développeur débutant. Pour moi faire de la rétroingénierie serait aussi compliqué et étant en reinsertion profesionnelle je ne pense pas que les dirigeants de ces évolutions me permettront de suivre le progrès technologique et je vais devoir m'accrocher si je veux supporter cette technologie et ses constructeurs qui l'imposent au grand publique.

              C'est quoi le rapport avec ta reinsertion pro ?

              Qu'entends tu par « supporter cette technologie » Si tu veux fabriquer un ordinateur qui supporte UEFI, oui il va falloir que tu comprennes UEFI, c'est mieux.

              Je salut la démarche d'ouverture des fabricants mais je commençais à être à l'aise avec mon hardware, ca pile graphique standard et les processus de gestion du stockage qui était standardisé.

              Quel est le rapport avec UEFI ?!

              Là tu tapes dans de l'assembleur ou une surcouche légère et une architecture nouvelle je ne sais pas.

              ?!

              • [^] # Re: Extensions

                Posté par . Évalué à -10.

                Ce n'est pas le genre de Microsoft de se comporter comme un outsider et d'abandonner ses projets qu'ils soient bon ou mauvais mais ils l'ont peut-être fait avec humilité pour Palladium…

                Maitriser UEFI pourrait faire partie de la formation continue ou de la veille technologique pour un technicien qui n'a plus d'emploi et qui veut continuer à progresser dans son domaine de compétence. Il existe peut-être des des formations virtuelles si on n'est pas sur place et que l'on n'y a pas accès ou peut-être que les centres sociaux ont un partenariat comme l'éducation avec Microsoft pour proposer de telles formations.

                Je trouves que tu es très curieux mais pas très progressiste dans ton discourt, est ce au nom de la neutralité du réseau que tu assasines certaines critiques envers UEFI ou bien quoi ?

                UEFI est un standard et cela implique la vente liée qui fait augmenter le prix des machines et les compétences requises pour l'administration des machines ce qui n'est pas mentionné lors de l'achat d'où cette critique.

                Je ne connais pas UEFI mais UEFI n'est pas neutre.

                • [^] # Re: Extensions

                  Posté par (page perso) . Évalué à 4.

                  Ce n'est pas le genre de Microsoft de se comporter comme un outsider et d'abandonner ses projets qu'ils soient bon ou mauvais mais ils l'ont peut-être fait avec humilité pour Palladium…

                  Je pense que tu dois arrêter la drogue assez rapidement.
                  Microsoft n'est pas une entreprise surpuissante, malgré son cash disponible et sa philosophie et son historique, Microsoft sait abandonner une technologie quand elle n'a pas de sens commercialement.

                  Après tout, ils ont bien fait OS/2 et Windows en parallèle avant d'abandonner OS/2 quand ils ont senti que Windows réussirait. Ils ont abandonné aussi le projet de refaire Internet avec le réseau MSN (qui n'a pas grand chose à voir technologiquement avec Hotmail et le réseau de messagerie instantanée aujourd'hui abandonnée également, malgré le nom).

                  Ils ont abandonné IE pour Mac OS quand l'obligation légale est tombée (de l'accord Apple/Microsoft de 1997).

                  Sans oublier l'interface de Windows qui devait ressembler à un vrai bureau et dont les seuls survivants sont Comic Sans MS et le chien dans Windows XP.

                  Etc.

                  Bref, Palladium a été abandonné en tant que tel, et Secure Boot n'a pas grand chose à voir technologiquement avec cela. C'est un mécanisme de sécurité, le lien s'arrête là.

                  UEFI est un standard et cela implique la vente liée qui fait augmenter le prix des machines et les compétences requises pour l'administration des machines ce qui n'est pas mentionné lors de l'achat d'où cette critique.

                  Mais qu'est-ce que tu racontes ?
                  En quoi l'UEFI fait monter le prix des machines ? En quoi on devrait arrêter de produire des normes si cela nécessite un apprentissage pour les développeurs ? Heureusement qu'on n'est pas limité au BIOS, HTML 1.0, au langage C voire assembleur, etc.

                  L'UEFI est un net progrès par rapport au BIOS que tu chéries tant. Le BIOS a énormément de contraintes historiques totalement chiantes à gérer (je pense entre autre au partitionnement limité), en plus d'être assez chiant à réaliser et configurer car ne pouvant exploiter pleinement les périphériques de l'ordinateur.

                  En plus l'UEFI a été pensé pour être utilisé par différentes architectures et pas seulement x86, quand ARM voire les autres s'y conformeront, le gain sera énorme pour les développeurs bas niveaux dont des chargeurs de démarrage et du noyau car énormément de choses pourront être factorisées entre ces plateformes.

                  Oui l'UEFI nécessite un apprentissage, comme tout métier tu dois maintenir une veille de ton domaine si tu veux être performant et efficace. Après peu de personnes ont besoin réellement d'une formation complète sur l'UEFI qui concerne finalement assez peu les gens qui ne font pas du développement bas niveau. Et pour ces gens là, c'est un progrès colossale.

                  • [^] # Re: Extensions

                    Posté par . Évalué à 5.

                    Sans oublier l'interface de Windows qui devait ressembler à un vrai bureau et dont les seuls survivants sont Comic Sans MS et le chien dans Windows XP.

                    Le (concept du) chien-assistant et Comic Sans MS sont des survivants de Microsoft Bob.

                    "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                    • [^] # Re: Extensions

                      Posté par . Évalué à -9. Dernière modification le 18/08/16 à 21:55.

                      Le chien assistant c'est pas dans "Chérie j'ai rétréci les gosses" plutot ?

                  • [^] # Re: Extensions

                    Posté par . Évalué à -10. Dernière modification le 18/08/16 à 18:14.

                    UEFI est un standard et cela implique la vente liée qui fait augmenter le prix des machines et les compétences requises pour l'administration des machines ce qui n'est pas mentionné lors de l'achat d'où cette critique.

                    je voulais dire : partenaire de confience travaillant main dans la main pour fournir un environnement dont une machine et un environnement logiciel : UEFI autorise d'enregistrer la clé dans la machine en dur avant la commercialisation pour être bien sur que quand tu achètes ta machine il te foure leurs système et tu peux oublier la partie fidélisation de ton plan commercial.

                    Ils permettent aussi d'installer des outils qui peuvent être détournés pour te niquer ton bootloader à la fin d'un service pack par exemple et c'est courrant (surtout chez les utilisateurs de linux).

                    C'est juste des pratiques commerciales illégales.

                    Et la drogue c'est mal, vraiment. Ca détruit les neuronnes ca t'empèche de réfléchir par toi même et ca peu t'handicaper à vie si tu n'en sors pas. Je fais beaucoup de sport en ce moment. J'ai suis parti en vacances autour d'un lac on a fait beaucoup de natation, du vélo je respire mieux ! J'ai aussi une alimentation plus seine et plus régulière ca m'aide a caller mon rythme de vie et je vais mieux psycologiquement, j'ai aussi arrété d'écouter du Death métal cela ne m'a vraiment pas aidé d'écouter toute la discographie d'AC/DC et de SYSTEM OF A DOWN tu sais.

                    • [^] # Re: Extensions

                      Posté par . Évalué à 5.

                      UEFI autorise d'enregistrer la clé dans la machine en dur avant la commercialisation pour être bien sur que quand tu achètes ta machine il te foure leurs système et tu peux oublier la partie fidélisation de ton plan commercial.

                      Oula. Tu racontes n'imp (et en mélangeant tout, en plus).
                      Que ce soit le TCG ou l'UEFI forum (puisque visiblement tu fais une confusion entre UEFI le standard, l'UEFI forum qui spécifie et Microsoft l'industriel, membre de l'UEFI Forum), (presque) tout le monde a fait en sorte que tout enrollment soit optionnel. Microsoft (sous la pression populaire), au moment de Windows 8 et 10 a rendu OBLIGATOIRE pour avoir le logo "Designed for Windows" sur x86/AMD64 (pas sur ARM par contre) que l'utilisateur puisse désactiver SecureBoot et puisse rajouter ses clefs. J'ai la flemme de retrouver les exigences, je l'ai déjà fait deux trois icitte, c'est écrit noir sur blanc (ou blanc sur noir, ou autrement, suivant ta configuration).

                      Ils permettent aussi d'installer des outils qui peuvent être détournés pour te niquer ton bootloader à la fin d'un service pack par exemple et c'est courrant (surtout chez les utilisateurs de linux).

                      Oui, n'importe quelle appli qui tourne en God Mode peut te niquer des trucs. Tu peux même niquer ton OS, quel est le rapport avec la choucroute ? J'imagine que tu parles du truc qui suite à une mise à jour changeait l'ordre de la séquence de boot UEFI pour remettre Windows en haut ? Il me semble que ça faisait tout pareil en t'explosant le MBR avant, à l'époque du BIOS, mais c'était mieux parce que c'était un BIOS. Et enfin, c'est quoi le rapport avec "installer des outils qui peuvent être détournés pour te niquer ton bootloader" ?

                      Et la drogue c'est mal, vraiment. […]

                      WTF ???

                      • [^] # Re: Extensions

                        Posté par . Évalué à -9.

                        A l'époque il n'y avait pas de mises à jour gratuite on installait un service pack qui n'était pas toujours payant mais qui ne touchait pas à ton bootloader. Mais ils apportaient des conflits entre les pilotes ce qui poussait les utilisateur a réinstaller.

                        On en reparlera car ma grand mère (qui justement est Alsacienne) vient de m'appeler pour un dépannage de Windows8.1 qui ne démarre plus après la mise a jour. J'en ai pour au moins 20 minutes avec le métro.

                        • [^] # Re: Extensions

                          Posté par (page perso) . Évalué à 4.

                          A l'époque il n'y avait pas de mises à jour gratuite on installait un service pack qui n'était pas toujours payant mais qui ne touchait pas à ton bootloader. Mais ils apportaient des conflits entre les pilotes ce qui poussait les utilisateur a réinstaller.

                          Les mises à jour de Windows ont toujours été gratuites, dont les Service Pack.
                          Ce sont les mises à niveau (changement de version majeure) de Windows qui sont payants sauf pendant un an pour passer à Windows 10.

                          Note que pour avoir eu des dual-boot pendant très longtemps, dont la migration sous W10, jamais le chargeur de démarrage a été écrasé ou modifié par Windows lui même.

                          Windows a la fâcheuse tendance à écraser des partitions avec le partitionnement par défaut lors d'une installation neuve, mais une fois en place il ne touche pas à ton GRUB.

                          On en reparlera car ma grand mère (qui justement est Alsacienne) vient de m'appeler pour un dépannage de Windows8.1 qui ne démarre plus après la mise a jour. J'en ai pour au moins 20 minutes avec le métro.

                          J'ai vraiment l'impression que tu brasses pas mal de vent en manipulant des concepts qui te dépassent et dont tu fais volontiers un gros mixage de l'ensemble.

                          Oui une mise à niveau de Windows peut boguer ou peut avoir des pilotes incompatibles donnant des problèmes comme tout système informatique.
                          Cependant Windows ne détruit pas tes partitions Linux ou ton GRUB durant ce genre d'opérations. Par contre Windows peut ne plus être fonctionnel sans intervention, mais cela n'a pas grand chose à voir avec les discussion, et encore moins avec l'UEFI.

                    • [^] # Re: Extensions

                      Posté par . Évalué à 2.

                      Je pense que tu ne comprends pas bien, le rôle du BIOS et de l’UEFI, tu devrais relire la page wikipedia les concernant…

                      Depending on the time of day, the French go either way.

            • [^] # Re: Extensions

              Posté par . Évalué à 3.

              Justement je pense qu'il ont beaucoup à voir l'un et l'autre dans la mesure ou l'un des projet à succédé l'autre chronologiquement après avoir été vivement critiqué et subit une mauvaise communication.

              Non, pas du tout. (indépendamment des 6/8 ans qui se sont passés entre les deux).
              UEFI ca fait vachement plus que la sécurité, qui est un point assez marginal du truc (et si l'on parle de Secure Boot, qui est arrivé assez tardivement par rapport au reste). Le truc c'est que ce sont des sujets complexes qui nécessitent de s'y pencher. Un truc complexe a remplacé un truc qui semblait simple.
              Par contre, un truc est sur, c'est que l'état de la menace circa 2004 (grande époque TCPA) vs 2016 n'est pas du tout le même. Palladium avait surtout été vu comme un moyen à l'époque de s'assurer que Microsoft gérait tout ce qui tourne sur les machines pour ce qu'exigeaient les ayants droits. Aujourd'hui Secure Boot, ça a un vrai sens d'un point de vue sécu.

              Certaines implémentations des bios traditionnels implémentaient déjà des modules de sécurité.

              Farpaitement. Notamment tout ce qui touche la TCB. Ce qui tue ton argument UEFI = Résurgence de Palladium = mal.

              C'est simplement une position dominante et de rapidité des fabricants/éditeurs qui fait qu'on se retrouve avec ce genre d'anomalies.

              Sauf que oui, mais non. C'est l'UEFI Forum qui développe les specs de l'UEFI, avec des règles de gouvernances écrites, etc. (Avec les travers des groupes de travail où la spec finale la somme d'intérêts particuliers plutôt que l'intérêt général et donc touffues, ambigües et parfois contradictoires).

      • [^] # Re: Extensions

        Posté par . Évalué à 7.

        Mozilla qui suit Apple dans leur politique de verrouillage, c'est vraiment la fin des haricots. Enfin, on peut toujours forquer.

        J'ai un gros problème avec cet argument. Le fait est que (malheureusement) le commun des mortels fait vraiment n'importe quoi et quoi qu'on dise (c'est mon boulot), clique n'importe où. Ca fait des millions de machines plus ou moins pétées et vu les impacts (quand ça se passe bien c'est juste du highjacking de clics, mais ça peut être pire), il faut faire quelque chose.

        Et on fait quoi si on ne fait pas ça ? On continue comme avant en se disant, "mais qu'ils sont bêtes" ?
        J'ai beau chercher, à part instituer un permis à point d'Internet (le Web plus le reste), ce qui est abominablement condescendant, je ne trouve pas. Ou alors interdire les "extensions malicieuses". Je peux écrire la PPL.

        • [^] # Re: Extensions

          Posté par . Évalué à -10. Dernière modification le 19/08/16 à 19:40.

          Regarde j'ai écris cette feature pour mon système favoris.

          Ce mécanisme de hardening protège l'utilisateur de la faille du lolclic, avec ca tu peu préter ton Haiku à ta copine :

          alias rm='rm -i'
        • [^] # Commentaire supprimé

          Posté par . Évalué à -10. Dernière modification le 20/08/16 à 20:14.

          Ce commentaire a été supprimé par l'équipe de modération.

          • [^] # Re: Extensions

            Posté par . Évalué à -10.

            On fait ca en laissant un simple parametre dans about:config qui permet de faise sauter la protection pour neuneu.

            Remarquable, j'en suis bouche bé.

          • [^] # Re: Extensions

            Posté par . Évalué à 3.

            On fait ca en laissant un simple parametre dans about:config qui permet de faise sauter la protection pour neuneu.

            Les neuneus la trouveront pas , ceux capables/assez motives poru la faire sauter assument.

            Tu as raté la raison principale du truc. L’idée, c’est de protéger l’utilisateur contre une utilisation abusive qui serait faite en son nom. Comme l’utilisateur peut modifier le about:config, un programme s’exécutant avec les mêmes droit d’utilisateur peut le faire, donc pourrait désactiver cette sécurité et installer son extension.

            La solution de la version différente est un moyen, extrême, de garantir ça. Si tu as une solution moins extrême, je pense que beaucoup de gens seraient intéressés (le problème de s’assurer que c’est l’utilisateur et non un programme qui est à l’origine de l’action est non trivial).

            Mes commentaires sont en wtfpl. Une licence sur les commentaires, sérieux ? o_0

            • [^] # Commentaire supprimé

              Posté par . Évalué à -10. Dernière modification le 21/08/16 à 09:37.

              Ce commentaire a été supprimé par l'équipe de modération.

              • [^] # Re: Extensions

                Posté par . Évalué à 2.

                Est-ce aussi simple ?

                Soit lorsque j'installe firefox, j'ai des droits suffisamment élevés pour pouvoir créer un fichier administrateur, mais dans ce cas, cela veut dire qu'un autre installateur a des droits du même ordre et va donc pouvoir modifier ce fichier.
                Soit on réduit les droits de l'installateur, mais dans ce cas, l'installateur ne peut pas créer un fichier protégé.

                On peut imaginer un système de privilèges plus complexe où chaque installateur ne peut pas toucher aux fichiers d'un autre programme installé, mais (au delà d'autres problèmes, comme l'impossibilité d'utiliser un logiciel pour patcher un autre logiciel) il me semble que ce n'est pas possible sur la majorité des OS sur lequel firefox tourne actuellement.

                • [^] # Commentaire supprimé

                  Posté par . Évalué à -10. Dernière modification le 24/08/16 à 19:51.

                  Ce commentaire a été supprimé par l'équipe de modération.

                  • [^] # Re: Extensions

                    Posté par . Évalué à 3.

                    ou encore plus con, ces putains de fichier thumbs, tas beau etre admin si locke par le systeme, tu peux toujours alle te faire foutre

                    Ah ouais quand même… Tu mélanges le fait d'avoir un fichier utilisé par un processus, et les privilèges utilisateur.

                    Va apprendre l'informatique, et reviens quand tu sauras de quoi tu parles.

                    Au passage, tu peux sûrement tuer le processus concerné, sans forcément être admin, hein…

                    "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                  • [^] # Re: Extensions

                    Posté par . Évalué à 2.

                    Oui

                    Non. On a 30 ans d'expérience "l'utilisateur décidé de ce qu'il lance et si ca Pete c'est sa faute".
                    Et on a 30 ans de merde sans noms, et d'utilisateurs emmerdes qui se font piquer leur données. la situation à pas bougé d'un iota.
                    Sauf depuis qu'on a inventé les sandbox. iOS est sans virus, macos aussi, et ie est finalement devenu un browsers sur grâce à sa sandbox.

                    Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                    • [^] # Commentaire supprimé

                      Posté par . Évalué à -10.

                      Ce commentaire a été supprimé par l'équipe de modération.

                    • [^] # Re: Extensions

                      Posté par (page perso) . Évalué à 1.

                      macos a des virus, peu mais pas moins que GNU/Linux !

                      iOS n'a pas de virus a priori mais cet OS devrait être interdit en Europe si nos gouvernant avaient un tant soit peu de jugeote… En effet, il est limité a un et un seul dépôt de paquetage entièrement piloté depuis la Californie ! Ceci dis, ce n'est pas un OS sans bogue ;-)

                  • [^] # Re: Extensions

                    Posté par . Évalué à 4.

                    un installateur qui demande de modifier un repertoire qui ne lui appartient pas (car deja creer auparavant) peut etre bloque.

                    Question sérieuse: "peut être bloqué".
                    Est-ce que tu veux dire "on peut concevoir un système de droit qui fait ça", ou bien "le mécanisme permettant ça sous windows existe déjà" ? (les deux exemples que tu donnes ne semblent pas fonctionner)
                    Est-ce que tu as un proof-of-concept ?

                    donc si tu donnes des droits admin a un virus…comment dire…

                    Euh ?
                    On parle du fait que Mme Michu installe "super-angry-bird-2000" et que celui-ci en profite pour rajouter des extensions pourries.
                    Il ne s'agit pas pour Mme Michu de donner des droits d'admin à un virus, mais de donner des droits d'admin à l'installateur. Quelque chose qui, selon elle, mérite tout autant ces droits que l'installateur de Firefox lui-même. Si ta solution est de faire en sorte que l'installateur de firefox demande plus de droit que les installateurs traditionnels, dans ce cas, tu vas juste apprendre à Mme Michu de donner plus de droit à n'importe quel installateur si celui-ci le demande.

                    • [^] # Commentaire supprimé

                      Posté par . Évalué à -10. Dernière modification le 25/08/16 à 20:21.

                      Ce commentaire a été supprimé par l'équipe de modération.

                      • [^] # Re: Extensions

                        Posté par (page perso) . Évalué à 4.

                        Un bon admin te bloquera tout. Point.

                        Et dans le cas d'un appareil privé c'est qui l'admin si ce n'est la personne elle-même (donc sujette à "pour faire marcher notre programme, veuillez d'abord instructions qu'il faut pour installer la merde") gros malin ?

                      • [^] # Re: Extensions

                        Posté par . Évalué à 3.

                        Oui exactement. tu donnes les droits a un programme de merde….

                        Ben c'est exactement le problème: pour Mme Michu, firefox et un programme de merde ont exactement la même apparence.
                        Si Mme Michu ferait preuve de discernement, les solutions que tu proposes toi-même seraient elles aussi inutiles (pourquoi un plugin devrait ne pas modifier un autre plugin, vu que Mme Michu arrive à savoir quels plugins ne pas installer)

                        Non la solution est que les plugins ne puisse pas demander des droits permettant de modifier quoi que ce soit a par eux meme

                        De nouveau, ce ne sont pas les plugins le problème, mais les installateurs.

                        Si ce que tu dis est vrai, il doit quand même exister au moins un proof-of-concept. Même si ça n'intéresse pas les développeurs, c'est impossible que personne n'ait penser tester cette possibilité.
                        Ce serait vraiment plus simple si tu nous montrais ce proof-of-concept.

                        • [^] # Re: Extensions

                          Posté par . Évalué à 3.

                          S'il ne parlait pas sans savoir, ça se saurait.

                          "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                        • [^] # Commentaire supprimé

                          Posté par . Évalué à -10.

                          Ce commentaire a été supprimé par l'équipe de modération.

                          • [^] # Re: Extensions

                            Posté par . Évalué à 3.

                            Et c eplugin pourra memme remplacer firefox par une version qui accepte tout et n'importe quoi…

                            Sauf que ce plugin passe de "fait quelque chose d'autorisé et courant" à "fait quelque chose d’illégal" (car modifier Firefox pour qu'il ne se mette pas à jour et le diffuser sous le nom de Firefox viole le copyright sur le nom).

                            C'est justement l'idée: on ne peut pas empêcher l'utilisateur de faire des conneries, du coup, il faut faire en sorte que si un logiciel est malveillant, il fasse une action qui n'est pas nécessaire à un logiciel bien intentionné, et qu'on peut explicitement interdire.

                            Les extensions qui rajoutaient de la pub étaient jusqu'à présent 100% légale: l'utilisateur a coché la case, et l'installation n'a rien fait d'illégal.

                            Le proof of concept ? bordel chaque fichier peut avoir des droits separares…

                            Mais de nouveau, ces droits séparés sont créés avec le droit X, donc modifiables avec le droit X, et tout installateur a le droit X.
                            Ce qu'il faut, c'est deux installateurs, que j'execute l'un après l'autre, à qui je donne les mêmes droits, et le premier crée un fichier qui n'est pas modifiable par le second, tout en restant modifiable par le logiciel que le premier installateur a installé.
                            Bizarrement, plein de gens qui ont utilisé des arguments prouvant qu'ils s'y connaissent ont souligné que, non, ça ne marche pas.
                            Si tu penses que c'est simple, c'est que tu n'as pas compris où ton raisonnement cloche.

                            (je vais arrêter de te répondre, maintenant)

                            • [^] # Re: Extensions

                              Posté par (page perso) . Évalué à 4.

                              En fait son truc ressemble vaguement à SELinux. Avec SELinux t'as beau être root si tu essaies de toucher un fichier labellisé bind9 par exemple avec Firefox tu te feras jeter (et inversement).

                              Mais en fait ça ne marche de toute façon pas non plus pour un ordi familial où l'utilisateur est root lui-même et rien ne l'empêchera de désactiver SELinux si on lui a expliqué que c'est la marche à suivre pour voir Anna Kournikova nue.

      • [^] # Re: Extensions

        Posté par . Évalué à 5.

        Je crois que c'est très exagéré.

        • DRM: gestion des droits électroniques. C'est pour protéger les droits d'auteur dans le monde numérique. Aucun rapport avec la choucroute.
        • Informatique déloyale aka tivoïsation telle que l'a décrite Stallman: impossibilité totale d'exécuter du code non signé sur une machine. Ici Firefox t'empêche juste d'exécuter du code sur Firefox. Mais tu peux toujours exécuter des choses en dehors de Firefox. Peut-être le déplores-tu, mais ce n'est pas de la tivoïsation.

        Tu compares un verrouillage total d'une machine avec le verrouillage d'extensions dans une application (note d'ailleurs que Firefox ne t'empêche pas d'aller sur le site que tu souhaites sur Internet…). C'est je crois un contre-sens.

  • # Hello...Good bye !

    Posté par (page perso) . Évalué à 8.

    Hello, la fonctionnalité de discussion audio et vidéo basé sur WebRTC disparaît à partir de la version 49

    Est-ce qu'on a une explication officielle de ce retrait ?
    C'est vraiment dommage je trouve. Des alternatives externes sont listées ici mais ce serait mieux d'avoir une solution intégrée directement dans Firefox.

    • [^] # Re: Hello...Good bye !

      Posté par (page perso) . Évalué à 5.

      Une vrai bonne alternative libre (licence MIT), certes non intégrée, mais fonctionnelle découverte ici :

      VrooOOOoooom

      Parce-que de toutes les alternatives proposées par Mozilla, je cherche sûrement mal, mais je n'ai pas trouvé les licences…

      • [^] # Re: Hello...Good bye !

        Posté par (page perso) . Évalué à 2.

        Du moins pour le dernier, sur la page liée il y a marqué “Jitsi Meet is licensed under the Apache License.” (voir https://github.com/jitsi/jitsi-meet)

        C’est un client XMPP classique qui utilise BOSH pour communiquer avec le serveur XMPP, Jingle pour commencer une session, et WebRTC pour transférer l’audio/vidéo. Tout ça est libre, ouvert, standard.

        Dans la liste il y a aussi talky.io qui utilise XMPP, mais lui est proprio, je ne suis pas au courant de l’interopérabilité entre les deux.

    • [^] # Re: Hello...Good bye !

      Posté par (page perso) . Évalué à 3.

      Non je pense pas

      J'avais vu que c'était plus suffisamment utilisé (d'un autre coté quand tu parle aux gens d'un logiciel pour discuter puis que ça deviens obligatoire de partager une page web pour discuter…)

      • [^] # Re: Hello...Good bye !

        Posté par . Évalué à 1.

        Quel est le problème à cela ?

        • [^] # Re: Hello...Good bye !

          Posté par (page perso) . Évalué à 3.

          Y a des gens qui voulaient juste discuter de manière simple et rapide, sans devoir trouver une page web a propos de laquelle parler (oui on est pas obligé de parler de la page web, mais il faut trouver une page web neutre)

          • [^] # Re: Hello...Good bye !

            Posté par (page perso) . Évalué à 1.

            Ouais enfin sur un système plus classique avec contacts faut bien aussi se communiquer par un autre canal "ajoute MisterBombastic à tes contacts pour qu'on puisse se parler" alors bon ça ou l'adresse Hello…

            Ou alors t'essaies de dire qu'une fois que des gens qui voulaient discuter d'un sujet S sont allés sur la page P ils sont irrépressiblement forcés de parler de P et plus de S, mais alors des cas comme ça, ça relève plutôt d'établissements spécialisés.

            • [^] # Re: Hello...Good bye !

              Posté par (page perso) . Évalué à 7.

              ça relève plutôt d'une complexification totalement inutile

              il n'y avait aucun besoin de rendre le partage de page obligatoire, sauf une décision de l'équipe du marketing pour terminer de couler le truc "tiens, on a encore diminué le nombre d'utilisateur de 80%, on peut le fermer maintenant"

              • [^] # Re: Hello...Good bye !

                Posté par (page perso) . Évalué à 3.

                J'attends toujours qu'on m'explique comment "tiens si je causais avec Tatie Françoise" se réalise sans s'échanger une information avant le premier contact (que ce soit un identifiant utilisateur, une adresse…) et donc en quoi l'échange d'une adresse sur laquelle cliquer est plus complexe qu'un pseudo à ajouter à ses contacts par exemple.

  • # WebExtensions et extensions complexes

    Posté par . Évalué à 9. Dernière modification le 17/08/16 à 11:59.

    Mozilla dit qu'ils ont fait le nécessaire pour que WebExtensions permette de faire des extensions complexes. Mais il existe des extensions qui vont bien au-delà de ça, par exemple Zotero. De ce que j'ai pu lire, ils parlent de transformer l'extension en un simple connecteur, et de continuer le programme standalone en la basant sur la dernière ESR (pour un temps)… Mais adapter le programme en WebExtensions ne semble pas prévu.

    Est-ce que WebExtensions signifie la fin à moyen-terme de tous les programmes basés sur XUL ? Les développeurs de Zotero ont l'air de vouloir passer à autre chose, sans savoir exactement quoi…
    Savez-vous ce que prévoient les autres programmes en XUL ?

    • [^] # Re: WebExtensions et extensions complexes

      Posté par . Évalué à 5.

      Est-ce que WebExtensions signifie la fin à moyen-terme de tous les programmes basés sur XUL ?

      Pour moi oui, clairement. Gecko, l'unique implémentation de XUL, va peut être se faire remplacer par servo à moyen terme (certains le veulent d'autres pas de ce que j'ai compris). Mais bon faut pas tomber dénue non plus, ça fait longtemps que c'est une techno qui s’éteint. Croire que l'on peut continuer avec, c'est se leurrer. Je crois que Mozilla explique clairement que XUL a inspiré certaines choses pour HTML5, maintenant que HTML5 est là XUL n'a plus de raison d'être.

      Pour Zotero je ne vois pas le blocage pour le faire en webextension (mais je ne suis pas vraiment spécialiste). Ils ont déjà l'appli standalone, donc réduire le boulot de l'extension pour qu'il communique avec l'appli je trouve ça super ! Pour eux, c'est moins de dépendance vers un navigateur et pour le navigateur, c'est une extension plus légère.

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: WebExtensions et extensions complexes

        Posté par . Évalué à 3.

        Pour Zotero je ne vois pas le blocage pour le faire en webextension (mais je ne suis pas vraiment spécialiste). Ils ont déjà l'appli standalone, donc réduire le boulot de l'extension pour qu'il communique avec l'appli je trouve ça super ! Pour eux, c'est moins de dépendance vers un navigateur et pour le navigateur, c'est une extension plus légère.

        Pour ce que je sais, le programme Zotero, c'est juste l'extension avec Gecko, XUL, etc. autour. Ça leur fait donc bel et bien plus de code à gérer, avec moins de fonctionnalité, et l'obligation d'installer le programme Zotero (ce qui n'était pas obligatoire pour les utilisateurs de Firefox, l'extension suffisait).

        De plus, ça ne résout le problème qu'à court terme, car ils n'ont pas les moyens de maintenir XUL tout seul. La dépendance de Zotero vis-à-vis de Gecko n'est pas affecté, et le point critique est là.

      • [^] # Re: WebExtensions et extensions complexes

        Posté par . Évalué à 9.

        Ca veut dire quoi "dénue" ? Habillée ?

        Tomber des nues en revanche …

        • [^] # Re: WebExtensions et extensions complexes

          Posté par . Évalué à 4.

          Mince première fois que je l'écris, je voulais le revoir et j'ai posté en oubliant… Pardon aux familles…

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: WebExtensions et extensions complexes

      Posté par . Évalué à 8.

      XUL, c’est obsolète depuis très longtemps sur Firefox, avant même l’arrivée de WebExtensions. L’addon-SDK, le modèle d’extensions précédent, ne se sert pas de XUL.

      Est-ce que WebExtensions signifie la fin à moyen-terme de tous les programmes basés sur XUL ?

      C’était déjà le cas avec l’Addon-SDK, qui lui même n’utilise que du JS, du HTML et du CSS.
      Pour autant que je le constate, de moins en moins d’extensions utilisent XUL et ce n’est pas nouveau.

  • # Qwant et le multi processus

    Posté par . Évalué à 4.

    Je vais jouer au casse pied mais qu'est ce qui garantie vraiment -à part la bonne parole de l'équipe qui le développe- que Qwant respecte la vie privée sachant qu'il n'est pas open source ?

    Concernant le multi processus est-ce que ce sont des processus ou des threads qui sont utilisés ?

    • [^] # Re: Qwant et le multi processus

      Posté par . Évalué à 4.

      De ce que j’ai compris, il y a déjà des threads, ici le but et d’isolé réellement la mémoire des différentes pages et l’UI. Ça ajoute de la sécurité au détriment d’un peu de performance puisqu’il faut communiqué en inter-process. De plus, il faut que l’UI vérifie et valide bien les échanges, sinon ça sert pas à grand chose.

      De mémoire c’est chrome qui a fait ça en premier. Pour le bien fondé, je ne sais pas. S’il y a une faille, elle ne peut exploiter que le process de la page, donc théoriquement, c’est le process de l’UI qui devrait avoir accès au home…

      Si je raconte n’importe quoi, merci de me corriger histoire que j’apprenne encore quelque-chose.

      • [^] # Re: Qwant et le multi processus

        Posté par . Évalué à 0.

        Je n'ai pas l'impression que vous dites n'importe quoi.
        En tout cas j'ai aussi compris la séparation en processus de la manière que vous.

        Par contre ma question portait plutôt sur la "technologie" utilisée : processus (fork/exec) ou threads (pthread_create) ?

        • [^] # Re: Qwant et le multi processus

          Posté par (page perso) . Évalué à 3.

          Avec les threads (pthread_create) il n'y a pas de séparation, et Firefox fait ça depuis longtemps (en fait je crois bien que Netscape le faisait déjà).

          Il s'agit donc bien ici de de processus (fork/exec) qui assurent une bien meilleure séparation avec un isolement complet de la mémoire en dehors des zones explicitement partagées.

          • [^] # Re: Qwant et le multi processus

            Posté par . Évalué à 1.

            Si j'avais réfléchi 2 secondes j'aurai eu ma réponse… Les threads partagent le même espace d'adressage virtuelle alors que les processus ont chacun le leurs.

            Merci de m'avoir remis les pendules à l'heure !

    • [^] # Re: Qwant et le multi processus

      Posté par (page perso) . Évalué à 6.

      Je vais jouer au casse pied mais qu'est ce qui garantie vraiment -à part la bonne parole de l'équipe qui le développe- que Qwant respecte la vie privée sachant qu'il n'est pas open source ?

      C'est quoi le rapport ?

      Tu peux très bien tracer des utilisateurs avec des logiciels "open source". Le problème n'est pas lié à la licence, mais au fait qu'ils soient hébergé dans une infra qu'on ne peut pas contrôler.

      • [^] # Re: Qwant et le multi processus

        Posté par (page perso) . Évalué à 6. Dernière modification le 17/08/16 à 14:52.

        Je vais jouer au casse pied mais qu'est ce qui garantie vraiment -à part la bonne parole de l'équipe qui le développe- que Qwant respecte la vie privée sachant que je ne peux pas vérifier s’ils disent vrai ?

        Le fait que le code soit ouvert n’est pas une preuve de sécurité, c’est un moyen nécessaire pour prouver la sécurité, ce moyen n’est pas donné, la sécurité ne peut être vérifiée, la seule présence du moyen ne suffirait pas à prouver la sécurité, mais la seule absence du moyen suffit à empêcher de prouver la sécurité.

        ce commentaire est sous licence cc by 4 et précédentes

        • [^] # Re: Qwant et le multi processus

          Posté par . Évalué à 8.

          Un moteur de recherche est un service, tu ne pourra jamais démontrer quoi que ce soit de cet ordre là.

          La multiplication des moteurs de recherche permet par contre aux utilisateurs de varier les moteurs de recherche (ce qui donne moins d'information au principal qu'ils utilisent) et de réduire les parts de marché des plus gros ce qui limite les position dominantes et les données que les plus gros récupèrent.

          Tout le reste, c'est du blabla.

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

          • [^] # Re: Qwant et le multi processus

            Posté par (page perso) . Évalué à 7.

            Après on peut se baser sur deux choses en faveur de Qwant :

            • Qwant n'a pas une régie de publicité personnelle pour tous ses services, cela évite donc une partie de la tentation d'exploiter ces données pour augmenter les revenus en interne ;
            • Qwant est basé en UE, en France même. Des zones législatives dont nous, français et européens, avons notre mot à dire sur le traitement des données et notamment l'espionnage des pays étrangers.

            La France n'est pas parfaite d'un point de vue transparence du renseignement tout ça, mais judiciairement et législativement parlant, c'est préférable que ce genre de services soient situées en Europe.

        • [^] # Re: Qwant et le multi processus

          Posté par (page perso) . Évalué à 4.

          Je vais jouer au casse pied mais qu'est ce qui garantie vraiment -à part la bonne parole de l'équipe qui le développe- que Qwant respecte la vie privée sachant que je ne peux pas vérifier s’ils disent vrai ?

          Rien, tout comme je n'ai aucune garanti que les framabidules ne m'espionne pas.

          Après tout est question de confiance. Personnellement j'ai confiance a framasoft et à qwant.

          Le fait que le code soit ouvert n’est pas une preuve de sécurité, c’est un moyen nécessaire pour prouver la sécurité.

          La sécurité n'a strictement rien à voir avec la vie privée. Une logiciel peut être parfaitement sécurisé, cela n'empêche pas que l'hébergeur peut recouper des informations pour t'espionner.

          • [^] # Re: Qwant et le multi processus

            Posté par . Évalué à -1.

            Rien, tout comme je n'ai aucune garanti que les framabidules ne m'espionne pas.

            Perso je vois plus framasoft comme un laboratoire de hacker que comme une solution trust. (pour être trust ils devraient aller dans un paradis numérique ou il n'y a pas d'hadopi, lopsi, lois renseignement toussa)

            Il y a aussi les moteurs de recherche décentralisés comme Yaci

            Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: Qwant et le multi processus

        Posté par (page perso) . Évalué à 2.

        Ceci dis, des recherches statistiques réalisés à partir de plusieurs comptes dans différents lieu doivent permettre de vérifier que les réponses sont les mêmes. Cela ne signifie pas qu'ils ne te tracent pas cependant…

  • # complément d'info sur les extensions non signés

    Posté par . Évalué à 10.

    • d'abord - contrairement à ce qui est dit dans la dépêche - il ne s'agit pas de passer par des "developper edition ou des nightly" pour pouvoir développer librement, mais simplement - comme dit dans le sous-lien - par des "unbranded version" qui existent en verion beta et en version stable (certes, elles ne sont qu'en anglais et sans logo donc, mais stables)

    • ensuite un retour d’expérience, je maintiens 3 extensions, certes des pseudo-merde pas violentes, mais quand-même avec du xul, des erreurs/warining et du code à la fois bof et pas vraiment en accord avec l'ui de firefox ; elles sont toutes passées en full review (comme une lettre à la poste) toutes en quelques jours (je dis pas que mes extensions sont des grosses merdes, je dit qu'il ne faut pas avoir peur de la full review et qu'elle n'est clairement pas longue)

    • enfin, et c'est le point le plus important, personne n'est obligé de passer par la full review pour avoir une extension signée (et donc utilisable dans n'importe quel firefox, seamonkey, thunderbird) en effet mozilla propose de signer des extensions qui ne seront pas listées sur addons.mozilla.org avec 2 modes de review, l'un proche de la full review et l'autre, appelé web-install, entièrement automatique, j'ai testé aussi, l'addon est signé dans la foulée de l'upload s'il passe les tests, ça veux dire que tout addon spécifique - qui n'a pas vocation à trôner fièrement sur amo aux cotés des greasemonkey et des ublock origin - peut être signé en moins d'une minute et il ne s'agit en effet que de cases à cocher lors de l'envoie (les modes de review)

    bref je dis pas que je nage dans le bonheur - les unbranded c'est pas super folichon, je suis resté en 45esr - mais c'est quand même bien moins pire que ce que je craignais (et je vais pouvoir faire signer mes extensions toutes-moisies-que-pour-moi alors que je m'imaginais déjà vivre dans l'isolement de la marginalité pour pouvoir continuer à la utiliser …)

    • [^] # Re: complément d'info sur les extensions non signés

      Posté par . Évalué à 4.

      C’est pourquoi le blocage est désactivé pour les versions « Developer Edition » et nightly de Firefox [source] […]. Malheureusement, ces versions n’ont pas de mises à jour automatiques et sont disponibles uniquement en anglais.

      il ne s'agit pas de passer par des "developper edition ou des nightly" pour pouvoir développer librement, mais simplement - comme dit dans le sous-lien - par des "unbranded version" qui existent en verion beta et en version stable (certes, elles ne sont qu'en anglais et sans logo donc, mais stables)

      Nighly est disponible en Français ici: https://nightly.mozfr.org/

  • # Publicité ciblée

    Posté par . Évalué à 5. Dernière modification le 17/08/16 à 23:37.

    les suggestions de recherche de produits chez Amazon ont été ajoutées à l’écran d’accueil intelligent.

    -_-'

    Je croyais qu'ils avaient promis d'abandonner cet onglet de publicité ciblée, c'est pas encore fait ?

  • # Et la liberté ?

    Posté par . Évalué à 5.

    Est-ce que quelqu'un a des liens vers les discussions pour Debian ? Car je ne vois pas comment une telle version peut supporter les DFSG (sauf à virer toutes les extensions packagées dans Debian). L'utilisateur doit être libre de recompiler ses extensions modifiées sans les soumettre à un tiers. Il a y donc eu (ou il y aura) des discussions du côté de Debian (patch spécifique Debian pour désactiver ça ? Retour à iceweasel plutôt que Firefox ? …)

    • [^] # Re: Et la liberté ?

      Posté par (page perso) . Évalué à 10.

      Je pense que tu mélanges les choses. La signature, c'est juste pour vérifier que l'addon est bien ce qu'il dit être. Je rappelle que Debian fait exactement ça avec les signatures de packages.
      Ca permet de limiter les malwares et autres logiciels du genre. Ca devrait limiter les crashes, le vol de données, etc. Il s'agit pas de contrôle Mozilla ou de DRM.

      Dans Debian, pour les addons packagés sous forme de packages Debian, le système de signature addon est contourné (et ça date de décembre dernier dans Debian):
      https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=800150
      Et dans le code de Firefox:
      https://bugzilla.mozilla.org/show_bug.cgi?id=1255590 / https://hg.mozilla.org/mozilla-central/rev/cdb91f4483be

      • [^] # Re: Et la liberté ?

        Posté par (page perso) . Évalué à 9.

        Debian fait exactement ça avec les signatures de packages.

        Euh, pas tout à fait non. Tu ne dois pas installer une version « unbranded » de Debian dans laquelle la mise à jour automatique via apt ne fonctionne pas, pour pouvoir y installer un paquetage d’origine quelconque. Ça fait quand-même une très grosse différence.

        • [^] # Re: Et la liberté ?

          Posté par (page perso) . Évalué à 10.

          Debian fait exactement ça avec les signatures de packages.
          Euh, pas tout à fait non.

          Je confirme. C'est très différent, le seul point commun c'est qu'il y a une signature des logiciels. Pour le reste :

          Tu ne dois pas installer une version « unbranded » de Debian dans laquelle la mise à jour automatique via apt ne fonctionne pas, pour pouvoir y installer un paquetage d’origine quelconque. Ça fait quand-même une très grosse différence.

          je vais détailler un peu plus.

          Quand on essaie d'installer un paquet Debian depuis un dépôt qui ne fournit pas de signature ou qui fournit une signature non reconnue, ça ne refuse pas d'installer, ça affiche seulement un message d'avertissement. L'utilisateur a alors le choix entre annuler l'installation, ou poursuivre malgré les risques. C'est la première différence avec l'approche d'Android et de Firefox : sans signature l'installation n'est pas bloquée, mais seulement déconseillée.

          Pour permettre d'installer des logiciels en toute sécurité, et en pratique que les utilisateurs n'aient pas à se payer un tel message d'erreur, il faut signer les paquets de son dépôt et publier sa clef publique correspondante. Les utilisateurs doivent alors récupérer cette clef et la fournir au gestionnaire de paquet comme clef de confiance (apt-key add). C'est la seconde différence avec l'approche d'Android et de Firefox : les paquets ne doivent pas être signés par l'Organisation®, le responsable du dépôt peut le faire avec sa propre clef.

          Pour continuer avec le jeu des différences :

          • la différence entre l'approche d'Android et celle de Firefox, c'est que sous Android, on peut changer une option pour pouvoir installer des logiciels non approuvés, ce qui n'est pas possible avec Firefox, qui doit être réinstallé dans une version déplombée ;
          • la différence entre les approches d'Android et de Firefox et celle d'iOS, c'est que sous Android et Firefox, il y a une possibilité officielle pour installer des logiciels non approuvés, tandis que sous iOS, cette possibilité n'est pas censée exister et que le fournisseur lutte explicitement contre cela.

          Du coup, ça donne le classement suivant en terme de liberté d'usage : Debian > Android > Firefox > iOS…

          • [^] # Re: Et la liberté ?

            Posté par (page perso) . Évalué à 1.

            Du coup, ça donne le classement suivant en terme de liberté d'usage : Debian > Android > Firefox > iOS…

            Je doute que ça soit vraiment pertinent d’intégrer Firefox dans le classement… C’est bien plus simple d’installer une version alternative d’un logiciel que d’un OS. Sans compter que les cas d’usages sont bien différents car ce sont deux types de logiciels très différents…

            Écrit en Bépo selon l’orthographe de 1990

            • [^] # Re: Et la liberté ?

              Posté par (page perso) . Évalué à 5. Dernière modification le 24/08/16 à 10:03.

              C’est vrai, l’un d’eux est une plateforme sur laquelle s’exécutent des applications dont l’origine est difficile à contrôler, qui expose le matériel et le système de fichier et inclut des mécanismes de sécurité (cloisonnement, sandboxing, validations utilisateur, etc), alors que les autres ne sont que des systèmes d’exploitation qui ne servent généralement qu’à lancer un navigateur Web.

              • [^] # Re: Et la liberté ?

                Posté par (page perso) . Évalué à 1.

                Tu peux faire ce que tu veux n’importe quelle application web dans ton navigateur. Mozilla essaie juste de garantir l’intégrité de son logiciel.

                Sinon je rejoins l’avis exprimé dans ce commentaire.

                Écrit en Bépo selon l’orthographe de 1990

      • [^] # Re: Et la liberté ?

        Posté par . Évalué à 10.

        Non, je ne mélange pas les choses.

        Le problème avec la nouvelle version de Firefox n'est effectivement pas la signature des extensions. Le problème est que cette signature est vérifiée uniquement par rapport à une autorité indépendante de l'utilisateur et que ce dernier n'a pas la possibilité (à ma connaissance) d'ajouter des autres autorités de confiance.

        Ton parallèle avec les signatures de paquet est relativement correct. La grosse différence, c'est que, pour les paquets, on a 'apt-key' pour ajouter des clés en ligne de commande, /etc/apt/trusted.gpg{,.d/} pour en ajouter manuellement (ou par installation [forcée] d'un paquet), "dpkg" pour forcer l'installation d'un paquet sans signature, …
        Bref, le système est sécurisé par défaut avec les clés du projet Debian, mais il est très simple pour un utilisateur de décider de faire confiance à un autre dépôt. Je crois qu'en l'état, ce n'est absolument pas le cas avec cette version de firefox.

        Les DFSG assurent (en autres) que n'importe quel utilisateur de Debian peut recompiler son logiciel, éventuellement après l'avoir patché. Et il pourra le faire fonctionner (si le patch est correct ;-) ). Je ne vois pas comment on peut assurer cela pour les extensions empaquetées.

        Cela dit, ton lien (merci) vers le rapport de bug Debian donne la solution : le firefox de Debian est patché pour ne pas requérir de signature pour les extensions installées dans /usr/{lib,share}/mozilla/extensions (les fichiers installés ici le sont par l'administrateur, donc normalement déjà validés par la chaîne de confiance classique).

        Et comme ton second lien nous apprend que le patch a été accepté upstream, cela signifie que c'est finalement assez simple pour un développeur de tester ses extensions (s'il est root sur sa machine).

        Et tout cas, merci pour les infos que tu as données, c'est exactement ce que je voulais apprendre.

        • [^] # Re: Et la liberté ?

          Posté par (page perso) . Évalué à 4.

          Et comme ton second lien nous apprend que le patch a été accepté upstream, cela signifie que c'est finalement assez simple pour un développeur de tester ses extensions (s'il est root sur sa machine).

          À le lire, il ressort quand-même que ça ne touche que Firefox sur les systèmes unix non-OSX. Zenitram profiterait ici de sons sens de la mesure légendaire pour t’écrire que ça doit représenter un millionième des utilisateurs. Il n’y a pas de moyen simple de faire fonctionner une extension non-signée sur Firefox dans le cas général et l’ordre établi par Tanguy plus haut demeure inchangé (Debian > Android > Firefox > iOS).

          C’est d’autant plus étonnant que l’argument donné est vraiment bidon. Les distributions Linux et BSD fournissent des gestionnaires de paquetage et il faut des droits d’administration pour installer des logiciels. C’est vrai, mais pas très différent de ce point de vue là de Windows ou OSX. Les toolbars et saletés qui plombent les Firefox peuvent être installées avec l’utilisateur courant, mais quel que soit l’OS, elles sont en pratique souvent installées avec d’autre logiciels dont l’installation demande des droits d’administration et utilise les procédures d’installation fournies par l’OS (*.msi ou *.dmg).
          La distinction fondamentale, c’est qu’il y a moins d’utilisateurs de GNU/Linux et BSD et que ceux-ci installent moins de paquetages téléchargés sur 01net car l’écosystème complet dispose de chaîne de sécurités bien plus robustes grâce au travail des distributions, mais il n’y a pas de distinction technique fondamentale qui implique de traiter ces système différemment.

          • [^] # Re: Et la liberté ?

            Posté par . Évalué à 4.

            Je pense que la principale différence est organisationnelle. Les mainteneurs de debian font de l'intégration de firefox, donc ils s'intéressent à savoir comment faire fonctionner au mieux ce dernier dans leur distribution. Windows et MacOS n'ont pas ce genre de chose, c'est aux applications tierces de se poser ces questions. Là où les mainteneurs Debian vont proposer une méthode claire et propre (un dossier clairement prévu pour ça), il n'y a rien de tel pour les autres. Les installeurs dont tu parle font à peu près ce qu'ils veulent (comme les paquets sous linux), mais les paquets des dépôts eux font tous la même chose.

            Donc d'un coté tu as une explication claire et fiable de comment faire et de l'autre tu n'en a pas et chacun fait son truc dans son coin. Sous Windows peut être que wapt ou chocolatey peuvent prétendre donner une règles…

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

          • [^] # Commentaire supprimé

            Posté par . Évalué à -10.

            Ce commentaire a été supprimé par l'équipe de modération.

            • [^] # Re: Et la liberté ?

              Posté par . Évalué à 2.

              (bon par contre, linux est toujouts en top des serveurs de spam pirates , car mal administres et plein de failles…)

              Source ?

              "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

              • [^] # Commentaire supprimé

                Posté par . Évalué à -10.

                Ce commentaire a été supprimé par l'équipe de modération.

                • [^] # Re: Et la liberté ?

                  Posté par . Évalué à 2.

                  Les CMS, Apache & co. ce n'est pas le noyau linux.

                  Donc bon, mettre un CMS pourri et être surpris de se retrouver avec du spam… Comment dire…

                  "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                • [^] # Re: Et la liberté ?

                  Posté par . Évalué à -9.

                  Comme tu semble pointilleux sur la qualité de la sécurité je vais te poser une question.

                  D'abord il faut au moins quelques millions d'individus à pleins temps pour fiabiliser "au top" des millions de serveurs tous les jours.

                  Et ce n'est nullement une question de compétences des administrateurs : ils sont tous compétents. Ce qui est nul sans parler de la qualité des admin sys, ce sont les causes défendues qui sont attaquées.

                  On voit passer des manifestes contre des pédophiles ou des nénonazis de la part de teams de hackers qui revendiquent leurs agissements illégaux envers ceux-ci (éthique douteuse). Exemple : pourquoi éclater des machines qui hébergent l'association des copains de l'informatique libre, est ce du sadisme ? A qui profite le crime ? Je ne pense pas qu'il s'agisse de détournement. Les détournements se font surtout sur des machines à forte bande passante pour du deny de service (de la part du crime organisé)…

                  Ou bien est ce une «résurgence» des politiques de sécurité : c'est pas sécure on casse. Tu squatte on t'exproprie. Tu pollues on te flood. Tu manifestes je te FLOOD aussi… Ah TU FAIS TOUT CA et en plus t'a pas de parefeu à part ton process iptables ? alors on va rigoler je vais te casser t'exproprier et te flooder encore et encore mais je te soutiendrai dans l'ombre car je t'aime de tout mon coeur mon amour.

                  Comment tu fais pour payer des millions d'amateurs qui donnent du travail à plein temp sur la sécurité du serveur ? Tu pense que ce n'est pas possible on aura pas assez de ta vie à toi et moi ainsi que de notre philantropie.

                  En plus c'est un pas de plus dans la course à la mécanisation de l'âme.

                  Alors un conseil, si quelqu'un te dit que ton serveur il est pas sécu tu lui casses la gueule !

                  Sérieusement ton serveur tu le poses il tourne tu l'astiques de temps en temps le reste n'est pas indispensable quelque soit ton niveau d'expertise. Casser un carreau ce n'est pas très malin, casser un carreau dans une église non plus, on installe pas des barreaux pour autant, les vitraux sont trop beaux à contempler.

                  • [^] # Commentaire supprimé

                    Posté par . Évalué à -10. Dernière modification le 20/08/16 à 19:42.

                    Ce commentaire a été supprimé par l'équipe de modération.

              • [^] # Commentaire supprimé

                Posté par . Évalué à -10.

                Ce commentaire a été supprimé par l'équipe de modération.

        • [^] # Re: Et la liberté ?

          Posté par (page perso) . Évalué à 5.

          ce dernier n'a pas la possibilité (à ma connaissance) d'ajouter des autres autorités de confiance.

          Oui, tout à fait… C'est dommage, c'est sur mais le problème est que, pour Debian, on s'adresse à des gens avec un minimum de culture informatique (sans parler de l'accès root). Dans Firefox, c'est loin d'être le cas. Comme les gens font souvent des choses sans vraiment comprendre, un malware pourrait les "manipuler" pour ajouter une autre autorité de confiance/dépôt de addons. Retour à la case départ…

          Je ne vois pas comment on peut assurer cela pour les extensions empaquetées.

          sudo cp -R extension-foo /usr/share/mozilla/extensions
          ? :)

          Pour être franc, à la fois avec ma casquette Mozilla et Debian, je trouve que c'est beaucoup de bruit pour un non-évènement! Bossant tous les jours sur les crashes Firefox, j'espère que ça va fortement les diminuer!

          • [^] # Re: Et la liberté ?

            Posté par . Évalué à 6.

            Dans Firefox, c'est loin d'être le cas. Comme les gens font souvent des choses sans vraiment comprendre, un malware pourrait les "manipuler" pour ajouter une autre autorité de confiance/dépôt de addons. Retour à la case départ…

            Ça arrive déjà avec la base de certificats TLS ? Parce que si c'est le cas c'est assez grave…

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

            • [^] # Re: Et la liberté ?

              Posté par (page perso) . Évalué à 1.

              Je comprends pas où tu veux en venir, tu peux expliquer?

              • [^] # Re: Et la liberté ?

                Posté par . Évalué à 7.

                Si on évite d'avoir un truststore pour les modules par peur qu'il se fasse pourrir par des attaquants, qu'en est-il de celui qui sert pour TLS ?

                Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Et la liberté ?

          Posté par (page perso) . Évalué à 9.

          La grosse différence, c'est que, pour les paquets, on a 'apt-key' pour ajouter des clés en ligne de commande

          C'est aussi lié à la différence entre un système d'exploitation et un logiciel qui tourne dessus. Debian peut faire la différence entre un utilisateur et un administrateur et ne donner ce droit qu'à ce dernier. Tandis que pour Firefox, tout tourne avec le même utilisateur. Il ne peut donc pas savoir si c'est vraiment l'utilisateur qui ajoute une extension ou si ça vient d'une macro d'un document Word reçu par mail.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Et la liberté ?

            Posté par (page perso) . Évalué à 4.

            Il ne peut donc pas savoir si c'est vraiment l'utilisateur qui ajoute une extension ou si ça vient d'une macro d'un document Word reçu par mail.

            Il ne peut pas, mais il pourrait. Introduire la notion de compte administrateur de Firefox pour permettre l'installation d'extensions (ou de plugins, ou la modification des préférences, etc), ça pourrait se faire, et ce serait même une assez bonne idée.

            • [^] # Re: Et la liberté ?

              Posté par . Évalué à 6.

              ça pourrait se faire, et ce serait même une assez bonne idée.

              Non pas vraiment. Déjà, sous Windows, il est possible d'en avoir un équivalent en bloquant les préférences (via "lockPref") ce qui vont bien avec un mozilla.cfg dans le répertoire de firefox dans "program files". Un utilisateur normal n'a qu'un accès en lecture seule à ce fichier et donc ne peut rien installer. C'est ce qui est fait sur la machine sur laquelle je tapote. On peut bloquer plein de trucs avec ça. Sous Linux je ne sais pas mais j'intuite que ça doit pouvoir fonctionner pareil avec le build "vanilla".

              C'est pratique (encore que) dans un environnement multi utilisateur avec un admin compétent, mais ça ne régle pas le cas du PC de base avec le gus qui est déjà admin de son PC et qui clique sur les prompts UAC comme un ouf. On retombe dans le problème classique sécurité/utilisabilité. Ca ne règle pas non plus les problèmes d'accès au niveau file system si l'utilisateur (ou la vérole) peut court-circuiter l'IHM pour installer ses cochonneries.

              • [^] # Re: Et la liberté ?

                Posté par (page perso) . Évalué à -8.

                mais ça ne régle pas le cas du PC de base avec le gus qui est déjà admin de son PC et qui clique sur les prompts UAC comme un ouf.

                Ce qu'il ferait aussi sous Linux si il était dessus, et donc Mozilla accepte pour un truc que pas foule utilise mais pas sur un truc que du monde utilise parce que… en fait ca fait plaisir aux critiques sous Linux tout en ne changeant rien pour les autres.

                Super… Compter sur le fait que pas foule utilise un OS, quelle méthode de sécurité (et de prendre les gens pour des idiots, bon à leur décharge ca fonctionne)…

                Sérieusement, vous tombez vraiment dans le piège où il faut utiliser du unbranded sous Windows (le max d'utilisateur) mais pour les Linuxiens du branded suffit (hop on file un .deb non signé et les gens peuvent installer une extension "comme avant" sans validation de Mozilla ni de personne d'autre en fait) et ca ne vous choque pas en terme de liberté suivant la tête du client ou en l'excuse "pour votre sécurité" qui se retrouve mal en point car cette "sécurité" depend de l'OS (qui ne change rien a la faille dans l'interface chaise clavier, juste que personne s'interesse a cet OS pour installer des malware non pas parce que techniquement pas faisable, ca l'est pareil, juste financierement pas interessant faut d'utilisateurs)? ha ouais, quand même, ca tourne au ridicule dans le fanboy…

                Si Mozilla était cohérent, Firefox avec l'acceptation d'extensions non signées par eux-même devrait s'appeler Iceweasel car la marque Firefox est sensé être réservée à une version qui refuse les extensions non signés par Mozilla de manière cohérente (= pas a la tête de l'utilisateur).

                Plus je lis dessus, plus ca tourne au ridicule et on voit que la limite dans la liberté n'est que ce qu'ils ne peuvent pas faire (comme les concurrents donc, mais les concurrents ont des utilisateurs plus dociles, et en plus de plus en plus nombreux, donc le futur est nuageux car les utilisateurs qui restent encore voient de moins en moins de différence philosophique qui les faisaient rester).

                • [^] # Re: Et la liberté ?

                  Posté par . Évalué à 3.

                  T'es sûr que c'est à moi que tu réponds, parce que j'ai rien compris le lien entre ta réponse et ce que je dis ?
                  Je me borne juste à dire que ce que propose Tanguy existe déjà dans les faits et n'est pour moi pas suffisant car ne marche pas pour l'utilisateur Lambda.

                  Juste un point quand même :

                  Si Mozilla était cohérent, Firefox avec l'acceptation d'extensions non signées par eux-même devrait s'appeler Iceweasel car la marque Firefox est sensé être réservée à une version qui refuse les extensions non signés par Mozilla de manière cohérente (= pas a la tête de l'utilisateur).

                  Iceweasel est une création Debian, liée à l'interdiction à une époque de la Mofo d'utiliser la marque Firefox hors respect d'un certain nombre de règles inacceptables pour eux. Une sorte de version unbranded, quoi.

          • [^] # Re: Et la liberté ?

            Posté par . Évalué à 2.

            Firefox je sais pas mais Chrome oui : il est tout à fait possible d'interdire d'installer des extensions sur un poste d'entreprise, ou de limiter les extensions Chromes installables.

            BeOS le faisait il y a 15 ans !

          • [^] # Re: Et la liberté ?

            Posté par . Évalué à 3.

            Euh… Si ? À l'installation il peut très bien le faire. Avoir un dossier/fichier contenant les certificats acceptables et modifiable uniquement par l'administrateur de la machine c'est tout à fait possible.

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

            • [^] # Re: Et la liberté ?

              Posté par (page perso) . Évalué à 3.

              Ça veut donc dire que c'est un paramètre commun pour deux utilisateurs de la machine. Ou que tu ne peux pas avoir de distinction pour deux profile du même utilisateur.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Une dépêche qui sent les vacances !

    Posté par (page perso) . Évalué à 3. Dernière modification le 23/08/16 à 16:43.

    Certains paragraphes ne sont pas détaillés, cette dépêche sent décidément les vacances.
    À quand une astreinte tournante de bénévoles pendant cette période délicate ?

    vacances à la plage
    (source)

  • # Commentaire supprimé

    Posté par . Évalué à 0. Dernière modification le 24/08/16 à 21:29.

    Ce commentaire a été supprimé par l'équipe de modération.

  • # Commentaire supprimé

    Posté par . Évalué à 0. Dernière modification le 24/08/16 à 21:29.

    Ce commentaire a été supprimé par l'équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.