Quelques aspects de la sécurité qui n'ont rien a voir avec le « Sandboxing »

Posté par  (site web personnel) . Édité par claudex et Lucas Bonnet. Modéré par claudex.
Étiquettes :
55
22
jan.
2012
Mozilla

Ceci est une traduction de mon entrée de blog récente. Quelques remarques avant de commencer :

  • Mon biais : je travaille chez Mozilla Corporation sur WebGL ;
  • le titre original de mon entrée de blog était trop long pour la limite de longueur de titres. Il ne s'agit pas seulement de « Sandboxing » ;
  • la traduction est parfois un peu libre, un peu différente de l'original.

D'autre part, comme ici on est chez les Français râleurs, je n'ai pas à prendre autant de pincettes que dans mon blog agrégé sur Planet Mozilla. Donc soyons clairs, ce texte se veut un coup de gueule. Il y a des soi-disant experts en sécurité qui prétendent que Firefox est vulnérable parce qu'il lui manque telle ou telle fonctionnalité présente chez tel concurrent. Sans vouloir nier l'utilité de ces fonctionnalités, j'ai pensé qu'il était temps de remettre les pendules à l'heure : la sécurité des navigateurs est un sujet trop vaste pour qu'une ou deux techniques en particulier puissent faire une grande différence au total, et ces « experts » et autres journalistes se ridiculisent en répétant, sans distance critique, le marketing d'une entreprise… avec laquelle je ne tiens pas à me brouiller, car si je critique son marketing, j'ai souvent eu à travailler avec ses ingénieurs dans les comités de standards, et ça se passe très bien.

Au fil de mon blog, j'ai largement dévié sur un autre sujet qui me tient à cœur : la sécurité de WebGL, qui a elle aussi été victime d'une campagne de dénigrement de la part, cette fois-ci, d'un autre concurrent, qui lui n'a vraiment pas fait dans la dentelle alors qu'ils avaient eux-mêmes une technologie avec les mêmes « failles ».

Sur ce, la traduction de ce blog se trouve en seconde partie

NdM : merci à Benoit Jacob pour son journal.

Les résultats du concours LinuxFr.org

Posté par  (site web personnel) . Modéré par Lucas Bonnet.
Étiquettes :
49
15
fév.
2011
LinuxFr.org
Le site LinuxFr.org existe depuis 12 ans et la prochaine version va bientôt arriver. Pour la charte graphique de cette nouvelle version, nous avons fait appel à vous, lecteurs, en organisant un concours. Nous remercions chaleureusement tous les participants pour le travail accompli.

Après une petite période de flottement, l'équipe de modération a fini par se mettre d'accord. Voici donc le classement final du concours :
  1. RonRonnement, dans sa variante gris-bleu, par 2PetitsVerres ;
  2. cascade, par Benoît Monin ;
  3. kaiska-new, par Yggdras ;
  4. nightgrey, par Nicolas Paris ;
  5. greyscale, par Marin Moulinier ;
  6. retro, par Yellowiscool.

Les gagnants vont recevoir les prix suivants : une tablette Android type Archos 101 offerte par Nuxeo, deux bons d'achat de 250 € pour du matériel libre offerts par Hackable Devices, et trois fois un an d'hébergement sur un serveur virtuel fourni par Gandi (1 part × 1 an). Un grand merci à tous nos partenaires pour nous avoir soutenu tout au long de ce concours, ainsi qu'à InDefero pour les forges mises à notre disposition.

La nouvelle feuille de style par défaut va donc être RonRonnement gris-bleu. Vous pouvez l'essayer sur la version bêta, qui devrait devenir dans les prochains jours la toute nouvelle version officielle de LinuxFr.org. Stay tuned!

Journal La RATP veux faire taire incidents-ratp.com

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
45
21
fév.
2011

La RATP vient d'envoyer une charmante lettre à un développeur qui voulait créer un site communautaire pour enregistrer et diffuser les problèmes de transport. Si sa seule faute apparente est l'usage du sigle RATP dans son nom de domaine, les avocats en trouvent d'autres ! Ils veulent: _

* Transférer le nom de domaine incidents-ratp.com gratuitement au profit de la RATP ; * Arrêter tout travail sur ce projet, sous le prétexte qu’il serait “une activité préjudiciable à la RATP”
(…)

Sortie de la version 0.1 de Rust

Posté par  (site web personnel) . Édité par claudex et Lucas Bonnet. Modéré par baud123. Licence CC By‑SA.
Étiquettes :
36
22
jan.
2012
Rust

Mozilla a annoncé le 20 janvier la sortie de la version 0.1 du compilateur pour Rust, sous une licence de type MIT. Rust est un langage de programmation système fortement typé. L'accent est mis sur la sûreté des accès mémoire et la concurrence. Il fonctionne actuellement sur les plateformes GNU/Linux, OSX et Windows.

Voici un exemple d'Hello World :

use std;
import std::io;

fn main() {
    for i in [1, 2, 3] {
        io::println(#fmt("hello %d\n", i));
    }
}

Rust est un langage proche de Go, il partage d'ailleurs une inspiration commune venant de Newsqueak, Alef et Limbo. Toutefois, les développeurs de Rust ont commencé leur travail avant l'annonce de Go et ne sont pas satisfaits par la sémantique adoptée par Go (état partagé mutable, Ramasse-miettes global, pointeurs NULL, absence de destructeurs).

Plus d'informations en seconde partie.

Journal [HS] Déchéance de nationalité et constitutionnalisation de l'état d'urgence bronsonisés

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
29
30
mar.
2016

Pour de mauvaises raisons, mais voila 2 bêtises politiques qui n'ont pas réussi à passer, après une bonne cacophonie.
Donc bye bye déchéance de nationalité et constitutionnalisation de l'état d'urgence.

Pourquoi mauvaises raisons? Car ça a coincé non pas sur des principes à défendre mais sur des détails bassement politiques (mettre ou ne pas mettre un critère arbitraire hors sujet pour le premier, et dommage collatéral du premier pour le second).

Nous voilà avec un président de la république qui (…)

Journal C'est ça l'expérience utilisateur intuitive et ergonomique chez Gnome/Rhythmbox ?

Posté par  .
Étiquettes :
23
4
juil.
2011

Chez Gnome, on sait ce qui est bien pour l'utilisateur. On évite de prévoir des scénarios trop alambiqués, histoire de ne pas développer des fonctionnalités pour 0.0001% des utilisateurs.

Alors, quand on code Rhythmbox, on met en place ce raccourci, par exemple : Ctrl + K. Ça permet de, je cite, "Ouvrir la liste d'attente dans le panneau latéral". Logique, on a souvent besoin de voir dans une boite de 200pixels de large la liste des pistes.

Aussi je dis (…)

Journal Faille critique sous Firefox: faut-il changer ses mots de passe?

Posté par  . Licence CC By‑SA.
Étiquettes :
21
7
août
2015

Une faille critique a été repéré par un utilisateur (Cody Crews ?): certaines publicités de sites web slaves essayaient d’exploiter une vulnérabilité dans le lecteur PDF intégré de Firefox. Donne javascript serait injecté pour accéder à certains fichiers.

On Linux the exploit goes after the usual global configuration files like /etc/passwd, and then in all the user directories it can access it looks for .bash_history, .mysql_history, .pgsql_history, .ssh configuration files and keys, configuration files for remina (…)

Journal Commentaires sur Windows 8 béta

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
18
2
mar.
2012

Comme le rabâche beaucoup de site d'actualité informatique, la béta du nouvel système d’exploitation venu de Redmond vient de sortir ce mercredi 29 février. Je pense que cette date est liée au fait qu'il est nécessaire d'une journée de tests pour préparer les trolls du vendredi.

Je pense qu'il est intéressant de savoir ce qui se prépare, notamment car ça peut servir, ou non, à nos environnements actuels.
Mes tests se sont portés sur une virtualisation via KVM, je ne (…)

Journal Jugement majoritaire

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
18
13
avr.
2017

On a souvent débattu ici des modes de scrutin possibles et des dangers des systèmes de vote électronique.
L'équipe derrière la primaire citoyenne qui a cette année abouti à la candidature de Charlotte Marchandise, souhaite continuer d'expérimenter autour de son système de vote. L'élection présidentielle 2017 est une bonne occasion.
Ce n'est pas pour rire, ce sont des chercheurs mathématiciens au CNRS et à l'École Polyctechnique qui ont développé la théorie mathématique derrière le « Jugement Majoritaire » : chaque électeur attribue (…)

Journal Emacs sapusaipalibre

Posté par  .
Étiquettes :
16
29
juil.
2011

coup de tonnerre dans le Landerneau. On apprend aujourd'hui même que Emacs ne respect ete pas la GPL http://heise-online.mobi/open/meldung/Emacs-verstoesst-seit-Jahren-gegen-die-GPL-1288515.html?mrw_channel=open;mrw_channel=open;from-classic=1 et ce depuis 2009. Certains fichiers distribués avec Emacs ne sont en effet disponible que sous forme binaire. Ca la fout mal pour la FSF

Journal Sony, GeoHot et Anonymous

Posté par  .
Étiquettes :
16
14
avr.
2011

Je m'étonne de ne pas voir de journal résumant cette affaire, alors je me lance. Soyez indulgents, c'est mon premier journal sur TrollFR.

Saga autour du DMCA

PS3 et OtherOS

Lors de la sortie de sa console "Playstation 3", Sony a communiqué autour de la fonction "OtherOS" permettant, en parallèle du système Sony existant (permettant de jouer), d'installer un autre système d'exploitation (concrètement: Linux), donc de se servir de sa PS3 comme d'un ordinateur. Fonction qui devrait, de base, être (…)

Journal Google moins?

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
9
25
avr.
2014

Cher journal,

Toi qui a connu tant de trolls sur le développement des réseaux sociaux et tant de discussions sur l'omniprésence de Google qui ont occupé tes vendredi après-midi, je viens de trouver sur le monde.fr un article dont je t'offre la primeure: Google plus est il est phase termale? .
Je constate queles vendredis ne sont pas réservés à linuxfr. Mais plus sérieusement ce clône de Facebbok ne semble avoir jamais trouvé sans place, le responsable de ce département (…)

Journal L'index du moteur de recherche de LinuxFR est obsolète ?

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes : aucune
8
26
août
2013

Contexte : je cherchais la dernière dépêche parlant de Weboob car je me souvenais d'une discussion et de liens vers des outils / scripts pour récupérer des offres d'emploi.

Le moteur de recherche de LinuxFR ne retourne pas cette fameuse dépêche intitulée Weboob atteint le .g ; google si.

Pourquoi ?