Journal Faille importante de sécurité dans Mozilla et Firefox

• # merchi

  Posté par TImaniac (site web personnel) le 29 juillet 2004 à 12:03. Évalué à 2.

  

  Merci pour l'info, c'est toujours important d'être tenu au courant...
  Heuresement nous n'avons pas un naviguateur encore trop répandu, celà limite le nombre d'"exploitation" de failles possibles;
  De plus merci à l'équipe de Mozilla pour sa forte réactivité... reste que il faut sortir un patch, parcque sur le CVS ca n'aide pas beaucoup le newbie de base...
  Un petit bémol quand même : c'est moi où bientôt on aura autant de bulletin d'alerte pour mozilla que pour IE ??

  • [^] # Re: merchi

    Posté par Lawrence P. Waterhouse (site web personnel) le 29 juillet 2004 à 12:22. Évalué à 4.

    

    "c'est moi où bientôt on aura autant de bulletin d'alerte pour mozilla que pour IE ?? "
    
    Ca ça n'est pas trop grave. Ce qui serait grave si on avait le même rythme de corrections.

    • [^] # Re: merchi

      Posté par TImaniac (site web personnel) le 29 juillet 2004 à 12:30. Évalué à 5.

      

      Il y a une question que je me pose aussi... Sous Windows et IE il y a des boites de sécurité informatique qui n'ont rien d'autre à foutre que de chercher des failles, sans parler du nombre d'utilisateurs qui se sentent une âme de bidouilleur/hacker qui peuvent en trouver... Si autant de personnes s'amusait à essayer d'en trouver dans mozilla combien en trouverait-on ?

      • [^] # Re: merchi

        Posté par Zorro (site web personnel) le 29 juillet 2004 à 12:33. Évalué à 4.

        

        Tu vas finir embastillé, toi.
        Ou sur un bûcher.

        • [^] # Re: merchi

          Posté par TImaniac (site web personnel) le 29 juillet 2004 à 12:42. Évalué à 2.

          

          Historiquement je préfères finir sur un bûcher, question de comparaison ;)

        • [^] # Re: merchi

          Posté par chl (site web personnel) le 29 juillet 2004 à 13:35. Évalué à 2.

          

          Tu vas finir embastillé, toi.
          Ou sur un bûcher.
          
          Pourquoi ? Parce qu'il a osé dire que Mozilla pouvait contenir des bugs ?
          
          BLASPHEME !!!
          
          Non mais c'est pas fini votre masturbation collective devant Mozilla ? C'est vrai quoi, Mozilla c'est tres bien, mais comme tous les softs ya des bugs ...
          
          Et si, comme le disait TImaniac, des personnes trouvent plus de bugs, ca serait tres bien.

          • [^] # Re: merchi

            Posté par Conrad le 29 juillet 2004 à 13:45. Évalué à 0.

            

            On se gausse tellement par ici des problèmes de sécurité des produits Microsoft ...
            
            Le discours change un peu quand des failles pointent le bout de leur nez, même s'il a toujours été dit (un peu en l'air) que n'importe quel programme avait des bugs (mais aussi que mozilla était mieux programmé donc plus sécurisé).
            
            Bref, même si on est encore loin en terme de nombre de failles, au final il reste surtout la vitesse de correction des failles ...

            • [^] # Re: merchi

              Posté par plagiats le 29 juillet 2004 à 13:56. Évalué à 3.

              

              bon vous avez finis de dire tous la même chose?

          • [^] # Re: merchi

            Posté par TImaniac (site web personnel) le 29 juillet 2004 à 13:48. Évalué à 2.

            

            Eh oh me fait pas dire ce que je n'ai pas dis, je n'ai pas dis que trouver des bugs c'est bien :) Je me pose juste des questions, surtout dans ce cas précis qui est un des plus beaux paradoxe de l'informatique à mon avis.
            Et puis franchement l'engueule pas, j'ai bien aimé sa réplique, parcque franchement je l'avais bien cherché ;)
            Zorro est arrivé...

            • [^] # Re: merchi

              Posté par chl (site web personnel) le 29 juillet 2004 à 14:01. Évalué à 2.

              

              Eh oh me fait pas dire ce que je n'ai pas dis, je n'ai pas dis que trouver des bugs c'est bien :)
              
              C'est pas exactement ce que j'ai dit.
              
              J'ai dit :
              
              Et si, comme le disait TImaniac, des personnes trouvent plus de bugs, ca serait tres bien.
              
              Ce que je pourrais aussi dire :
              Et si, comme le disait TImaniac, des personnes trouvent plus de bugs, (a partir de la c'est mon point de vue) ca serait tres bien.
              
              D'ailleurs je vois pas pourquoi ca serait mal de trouver des bugs dans Mozilla, cela ne ferait que l'ameliorer.

              • [^] # Re: merchi

                Posté par TImaniac (site web personnel) le 29 juillet 2004 à 14:15. Évalué à 2.

                

                Autant pour moi.

                • [^] # Re: merchi

                  Posté par Thomas Douillard le 29 juillet 2004 à 14:41. Évalué à 5.

                  

                  > Autant pour moi.
                  
                  Je te mets en garde contre l'emploi de cette expression qui peut sembler anodine mais qui peut être étonament trollogène sur ce site (et ailleurs)
                  
                  ---------->[]

                  • [^] # Re: merchi

                    Posté par Olivier Serve (site web personnel) le 30 juillet 2004 à 17:40. Évalué à 2.

                    

                    Ce que je ne comprends toujours pas.
                    
                    Cette expression sert à dire 'Je t'ai tapé sur la gueule sans raison, je m'auto-flagelle et on est quitte'.
                    Autrement dit 'Désolé'.
                    
                    Alors que pour trouver un lien sémantique entre 'Au temps pour moi' (que je n'ai jamais lu dans un livre du reste) et 'Désolé' ...

        • [^] # Re: merchi

          Posté par Ramso le 29 juillet 2004 à 13:43. Évalué à 2.

          

          Pourquoi ? Tu peux prouver que Mozilla n'a pas de « mauvais » code ? On devrait taire toutes ses failles ? On devrait être de mauvaise foi parce que certains crachaient sur le propriétaire et ses failles ?

  • [^] # Re: merchi

    Posté par Yannick (site web personnel) le 29 juillet 2004 à 13:58. Évalué à 1.

    

    Mozilla et plus jeune que IE aussi. Si on a autant de problèmes dans le futur, on pourra se poser des questions. Pour l'instant ce ne sont que des erreurs de jeunesse !

    • [^] # Re: merchi

      Posté par jcs (site web personnel) le 29 juillet 2004 à 14:08. Évalué à 1.

      

      Pas si sûr : Netscape est plus vieux que IE et pas mal de code de Mozilla vient de Netscape. De toutes façons, le nombre de bugs dans un soft n'est certainement pas proportionnel à son âge.

      • [^] # Re: merchi

        Posté par Zorro (site web personnel) le 29 juillet 2004 à 16:19. Évalué à 2.

        

        Pas mal ?
        Pas si sûr... Il me semble avoir lu je ne sais plus trop où que moins de 20% venait de Netscape.

• # Annonce du problème

  Posté par Seazor le 29 juillet 2004 à 12:39. Évalué à 2.

  

  ... mais y avait pas la correction
  http://linuxfr.org/~poltuiu/14609.html(...)
  
  J'ai pas l'habitude de ce genre de choses, donc je ne peux pas juger.
  Mais pour vous, 2 semaines, c'est long ou rapide pour corriger ce genre de chose ?

  • [^] # Re: Annonce du problème

    Posté par Ph Husson (site web personnel) le 29 juillet 2004 à 13:18. Évalué à 2.

    

    Pour un projet OpenSource c'est relativement long (en general quand on voit les annonces de failles on voit direct le patch avec)
    Mais par rapport aux logiciels proprios c'est relativement rapide ;)
    (Comme vous le remarquez tout est relatif )

  • [^] # Re: Annonce du problème

    Posté par gros_rouge le 29 juillet 2004 à 13:27. Évalué à 3.

    

    «  ... mais y avait pas la correction »
    Pas tout à fait. Ce sont deux failles différentes. La première, celle que tu exposes dans ton journal, causait un DoS. Celle dont il est question ici est du type spoofing. Ces deux failles on été corrigées le même jour cependant.
    
    « Mais pour vous, 2 semaines, c'est long ou rapide pour corriger ce genre de chose ? »
    La première vulnérabilité a été découverte il y un mois (29 juin 2004). En ce qui concerne le "temps de réaction", je n'en sais rien. Je ne suis pas informaticien, encore moins expert en sécurité informatique, mais la faille la plus critique à mes yeux (la 2nde) a été corrigée très rapidement (moins de 48 heures).
    
    Fab.

  • [^] # Re: Annonce du problème

    Posté par DPhil (site web personnel) le 29 juillet 2004 à 14:01. Évalué à 1.

    

    J'avais bien vu l'autre journal, mais je trouvais qu'il minimisait la faille en ne parlant que d'un Deni de Service; or il s'avère que la faille permet à un site n'ayant pas de certificat valide de faire croire qu'il en a un.
    
    Pour ce qui est de la correction, je trouve que c'est relativement long, mais n'oublions pas que nous sommes au mois de juillet.

    • [^] # Re: Annonce du problème

      Posté par gros_rouge le 29 juillet 2004 à 14:38. Évalué à 2.

      

      Non DPhil. Ce sont deux failles distinctes : un DoS et un spoofing. Relis l'article sur Mozillazine et mon commentaire juste au dessus du tien.
      
      ps : Pourrais-tu par la même occasion rajouter le ' t ' manquant dans ma phrase : « Ces deux failles ont été corrigées (...) » Je n'avais pas retiré mes moufles ;-) Merci.
      
      Fab.

      • [^] # Re: Annonce du problème

        Posté par DPhil (site web personnel) le 29 juillet 2004 à 15:24. Évalué à 2.

        

        Oui, ce sont bien deux failles distinctes, mais il semblerait qu'elles soient dues au même bug d'après ce que j'ai pu lire.
        
        
        ps : Pourrais-tu par la même occasion rajouter le ' t ' manquant dans ma phrase : « Ces deux failles ont été corrigées (...) » Je n'avais pas retiré mes moufles ;-) Merci.
        
        J'aimerais bien pouvoir corriger, mais je ne suis pas admin sur ce site.

• # la dépêche passera en même temps que le patch sortira :-)

  Posté par zebul666 le 29 juillet 2004 à 16:51. Évalué à 1.

  

  j'ai aussi posté une dépêche pour ces 2 failles ...
  
  mais bon les modéro la feront passer quand le patch sera sortie et qu'elle ne sera plus vraiement d'actualité ! :-)
  
  ou alors ils sont tous en vacances !

  • [^] # Re: la dépêche passera en même temps que le patch sortira :-)

    Posté par Zorro (site web personnel) le 29 juillet 2004 à 17:48. Évalué à 2.

    

    Peut-être qu'ils croient que c'est une rumeur...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.