Journal IE 8 certifié

Posté par  .
Étiquettes : aucune
-9
20
avr.
2010
Bonjour à tous,

Juste un petit journal (non pas bookmark) pour régair à cet article (http://www.zataz.com/communique-presse/20125/Internet-Explor(...) qui annonce que IE 8 est certifié TÜV (Application de confiance) par un premier organisme, et qu'un deuxième le classe premier en terme de sécurité !

Deux réactions :
1- Cool, on est loin d'IE 6 (Meurt IE 6, meurt)
2- Meilleur que tous les autres ???!!!! Nan ??!!!

Avez-vous des détails sur ces études ?

MoA

  • # L'étude bidon en question

    Posté par  . Évalué à 4.

    est disponible à l'adresse ci-dessous

    http://nsslabs.com/browser-security

    Mais je ne peux pas t'en dire plus, le proxy de mon entreprise le bloque :)

    DO FEED THE TROLL :)

  • # La certification inverse

    Posté par  . Évalué à 10.

    …c'est la certification qui en certifiant IE certifie qu'elle est mauvaise !

    DLFP >> PCInpact > Numerama >> LinuxFr.org

  • # Je ne sais pas quoi en penser

    Posté par  . Évalué à 6.

    Il est évident que la sécurité d'IE a nettement évolué (pBpG nous en présente régulièrement les avancées et je ne doute pas que certaines soient véritablement efficaces), toutefois le test de NSS Labs qui classe IE8 comme le navigateur le plus sûr est à prendre avec des pincettes :
    http://www.thetechherald.com/article.php/200912/3268/Can-you(...)

    À mon avis, le plus gênant avant les histoires de sponsoring et tout ça, c'est que seul le « socially-engineered malware » [1] a été testé. Ça laisse beaucoup de place aux autres attaques et c'est finalement le point de sécurité sur lequel on arrive le mieux à protéger l'utilisateur avec un peu d'éducation.

    [1] Téléchargement direct d'un logiciel malveillant depuis une URL. En gros pour lutter contre, c'est celui qui a la plus grosse base de donnée des URLs "dangereuses" qui gagne. Je trouve ça bien que mon navigateur ne me dise pas ce que j'ai le droit de télécharger, mais je comprend que ça rassure certains.

  • # Osef

    Posté par  . Évalué à 3.

    Si j'ai bien compris les études par des informaticiens spécialistes de la question, la différence entre la sécurité intrinsèque de IE8 et celle de FF ou Opera ou autre est quasiment négligeable à côté de la passoire nommée Flash installée presque inévitablement par-dessus.

    Ce que j'en pense:
    - MS a sûrement fait de gros progrès
    - Les certifications sont un truc purement marketing et je ne donne pas beaucoup de crédit au résultat
    - Le problème de sécurité n'est pas là on pourrait le croire...

    • [^] # Re: Osef

      Posté par  (site web personnel) . Évalué à 5.

      >>> la différence entre la sécurité intrinsèque de IE8 et celle de FF ou Opera ou autre est quasiment négligeable à côté de la passoire nommée Flash installée presque inévitablement par-dessus.

      Donc FF est mieux puisque, à l'inverse d'IE8, on peut utiliser le greffon Gnash au lieu de Macromedia Flash. Non ?

      • [^] # Re: Osef

        Posté par  (site web personnel) . Évalué à 2.

        gnash a été porté sous windows o_O ?

        'fin IE, ça reste bien le truc permettant de télécharger firefox, vu que wget n'est pas en standard sur cet os ?

    • [^] # Re: Osef

      Posté par  . Évalué à 3.

      j'ai une question, une vrai.
      Je n'ai pas particulièrement flash, déjà pour ses problèmes de performance et de non intégration à mon système.
      Ensuite pour ses spécifications fermées (c'est toujours le cas au fait ?) et le fait que ce soit un gros binaire.
      Enfin et surtout, pour l'utilisation quasi systématique pour la navigation sur des sites.

      Par contre, je vois très souvent des gens parler de problèmes de failles de sécurités dans flash, et même si une rapide recherche sur un moteur quelconque me donne pas mal de résultat, j'ai l'impression d'en entendre beaucoup moins que des failles directement dans les navigateurs. En plus je ne connais pas le temps de réaction de la boite qui fait flash sur ces problèmes (il a de fortes chances d'être bien plus long qu'avec un logiciel libre à cause de problèmes de certification et de déploiement, mais je ne sais honnêtement pas ce qu'il vaut)

      Alors si c'est autant un problème que ça, pourquoi je ne vois jamais de journaux dessus alors que j'en vois régulièrement sur ie et firefox par exemple (vous pouvez toujours me dire, "t'as qu'à les écrire les journaux")

      Tous les logiciels ont des failles, flash est-il un élève particulièrement mauvais dans ce domaine ?

      • [^] # Flash n'a pas de spécifications fermées!

        Posté par  (site web personnel) . Évalué à 3.

        Ensuite pour ses spécifications fermées (c'est toujours le cas au fait ?)

        Non. Et ça fait plus de 10 ans que ce n'est pas le cas!
        http://en.wikipedia.org/wiki/Adobe_Flash#Specifications
        Et ce depuis 1998 (bon, c'est seulement depuis 2009 qu'il ne faut plus faire une contorsion légale, mais bon, ça restait quand même impossible pour Adobe d'emmerder le développeur avec cette base)
        (les spécifications ne contiennent pas les spécifications de la partie vidéo, mais pour VP6 c'est lisible par VLC et pour H.264 la spec est légalement gratuite, un peu payante pour AAC et MPEG Audio)

        et le fait que ce soit un gros binaire.

        N'importe qui est libre de faire une implémentation libre d'un lecteur Flash.
        Mais ça n'a pas l'air d'attirer la foule, à croire que les gens qui râlent contre l'absence d'un lecteur Flash Open-Source ne sont pas prêts à mettre suffisamment la main à la pâte...

        Macromedia/Adobe ne pourrait pas faire grand chose si un lecteur Flash Open-Source sortait, le problème n'est pas du côté du "méchant" Adobe, mais de la communauté Open-Source qui ne trouve pas un intérêt réel (=prêt à mettre du fric sur la table) à la chose et qui voudrait que ce soit l'autre qui fasse le travail.

        • [^] # Re: Flash n'a pas de spécifications fermées!

          Posté par  (site web personnel) . Évalué à 6.

          Ce que j'ai lu : C'est les spécifications de Flash 3 qui ont été ouvertes, pour les versions 6 et au-delà c'est NDA et depuis 2009 c'est légal de faire un lecteur flash et les spécifications sont accessibles.

          Donc ça fait, au maximum, une année et 5 mois qu'on peut faire des lecteurs flash. Je penses qu'il n'y a pas qu'un manque d'intérêt, juste des conditions difficiles (parce que ça existe des lecteurs flash libre, mais c'est pas encore le top).

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Flash n'a pas de spécifications fermées!

            Posté par  (site web personnel) . Évalué à 2.

            Rectification : depuis 2006 (Flash 8). Donc depuis 4 ans qu'on peut faire des lecteurs Flash.
            Entre les deux, en effet, il y a eu un trou (de v3 à v7)

            juste des conditions difficiles

            Comme... Personne pour financer le développement? Car faire un lecteur Flash demande pas mal de boulot quand même, quelques dizaines de milliers d'Euros sont nécessaire, mais personne pour chercher à le faire de façon sérieuse (quelques essais à droite à gauche rapidement abandonné par les développeurs si j'ai bien suivi la chose), j'ai quand même des doutes sur la motivation réelle pour développer un lecteur Flash pour Linux.

            • [^] # Re: Flash n'a pas de spécifications fermées!

              Posté par  . Évalué à 5.

              En même temps, l'intérêt est maintenant limité. Flash est de plus en plus voué à retourner à ce pourquoi il a été conçu (l'animation 2D et les petits jeux).

              De plus, il n'existe pas d'outils libres pour faire du flash. Avec tout ce qu'il y a de nouveau dans les navigateurs webs, flash est de moins en moins attirant.

              Envoyé depuis mon lapin.

            • [^] # Re: Flash n'a pas de spécifications fermées!

              Posté par  (site web personnel) . Évalué à 2.

              Rectification: en avril 2006, d'après l'article, il fallait signer pour ne pas développer des lecteurs flash pour avoir accès aux spécifications. Donc toujours 1 an et 5 mois et je maintiens ma position de "conditions difficiles".

              "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

              • [^] # Re: Flash n'a pas de spécifications fermées!

                Posté par  (site web personnel) . Évalué à 2.

                Comme je mettais dans le premier post : bon courage pour qu'Adobe puisse prouver que tu as eu accès aux docs en signant le contrat. "conditions difficiles" mais très surmontable, ça fait quand même un peu excuse facile pour ne pas développer, je ne crois pas une seule seconde que ce fut un frein pour le développement d'une alternative libre.

              • [^] # Re: Flash n'a pas de spécifications fermées!

                Posté par  (site web personnel) . Évalué à 3.

                Il est dans le contrat de MSN une interdiction de se connecter à MSN autrement que par le client officiel. Est-ce que ça a arrêté les gens pour développer Pidgin, aMSN etc... ?

                Quand il y a un besoin, les gens s'y mettent... Y a-t-il un réel besoin pour Flash libre?

                • [^] # Re: Flash n'a pas de spécifications fermées!

                  Posté par  . Évalué à 1.

                  Y a-t-il un réel besoin pour Flash libre?

                  Non. Flash pue aussi d'un point de vue technique. Même si ton lecteur est libre, le .swf qu'on te demande de télécharger et d'exécuter est propriétaire, lui.

                  THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                  • [^] # Re: Flash n'a pas de spécifications fermées!

                    Posté par  . Évalué à 6.

                    Non. Flash pue aussi d'un point de vue technique. Même si ton lecteur est libre, le .swf qu'on te demande de télécharger et d'exécuter est propriétaire, lui.

                    Tout comme l'image JPEG ou la video que tu vois n'est pas libre, tu ne peux pas la modifier et la redistribuer a l'envi car il y a un copyright dessus, visiblement ca ne rend pas JPEG et la video puant.

                    • [^] # Re: Flash n'a pas de spécifications fermées!

                      Posté par  . Évalué à 5.

                      L'image JPEG ou la vidéo, ce sont des données. Le .swf, c'est un exécutable.

                      Si un site veut faire lire une vidéo, le fait qu'il la mette dans une appli Flash est techniquement équivalent au fait d'imposer Windows Media Player. Oui, je peux faire tourner le binaire (.swf ou .exe) qui lit la vidéo (.flv ou .wmv) avec une machine libre (Gnash ou Wine) ou avec la machine propriétaire (Flash ou Windows) qui va avec. Mais ça reste moche, et ça reste un applicatif propriétaire à télécharger pour l'exécuter temporairement.

                      C'est en cela que Flash pue. Au final, chaque .swf calé dans une balise , c'est assimilable à un .exe.
                      Et les plugins Flash libres en arrivent à la même situation que Wine:
                      - ça ne résoud pas le problème de fond. Au contraire, ça entérine la situation actuelle, où le code binaire est fourni pour une exécution sur une plateforme propriétaire (qu'elle soit Windows ou Flash), l'utilisateur devant se démerder et prier pour que ça marche,
                      - des fois (souvent) ça ne marche pas, car le binaire ne respecte pas la spécifications à la lettre, mais fonctionne avec l'application propriétaire qui le lit, qui est recommandée par l'éditeur, et qui est la seule fournie avec. Si le plugin Flash est buggé, que le .swf en tient compte, le développeur du .swf n'en a rien à carrer de la poignée de rigolos qui utilisent Gnash. Et si on lui remonte un problème, sa réponse sera "utilisez Flash", exactement comme les éditeurs de softs Windows répondent "Utilisez Windows" quand on remonte un problème avec Wine.

                      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                      • [^] # Re: Flash n'a pas de spécifications fermées!

                        Posté par  . Évalué à 1.

                        Le .swf, c'est un exécutable.
                        Ah mince, on est donc obligé de le recompiler pour qu'il fonctionne sur une machine 64-bits ?

                        • [^] # Re: Flash n'a pas de spécifications fermées!

                          Posté par  . Évalué à 5.

                          winmine.exe c'est un exécutable, et pourtant y'a pas besoin de le recompiler pour le faire tourner avec Wine 64 bits.

                          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                      • [^] # Re: Flash n'a pas de spécifications fermées!

                        Posté par  . Évalué à 1.

                        En supposant que tu les spécifications sont disponibles, comment est-ce que tu différencies le javascript du Flash, par exemple ?

                        • [^] # Re: Flash n'a pas de spécifications fermées!

                          Posté par  . Évalué à 2.

                          Le fait que le code source est forcément livré avec le javascript?

                          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                          • [^] # Re: Flash n'a pas de spécifications fermées!

                            Posté par  . Évalué à 2.

                            Tu parles du code à exécuter ? Avec les spécifications, développer un interpréteur de code ou de bytecode, ça revient un peu au même, non ?

                            • [^] # Re: Flash n'a pas de spécifications fermées!

                              Posté par  . Évalué à 2.

                              avec du .swf, si tu veux savoir ce que fait le code, il faut le désassembler.
                              Avec javascript, il 'suffit' de le lire.

                              THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                              • [^] # Re: Flash n'a pas de spécifications fermées!

                                Posté par  . Évalué à 2.

                                Oui enfin là tu te places du point de vue de l'utilisateur. C'est pareil avec un binaire.

                                Du point de vue de l'implémenteur, il s'en fou, il a les specs pour développer un interpréteur du bytecode.

                                Maintenant, d'une part, il y a du javascript obfusqué que tu sais pas ce qu'il fait, d'autre part, si ton argument c'est « oui mais heu quand on regarde une page, on voit le javascript d'origine, alors que le flash j'y bite rien », bah encore une fois c'est pareil avec une application binaire. Tu confonds avec la liberté du code interprété.

                                En supposant que tu as les specs, tu peux faire un compilateur Flash libre, et le mec qui fait du code flash libre, il fournis les sources dans le langage Flash d'origine à côté, et peut-être au final que ce serait bénéfique au web dit 2.0, puisque d'une part tu n'as pas à récupérer des tonnes de javascript non compilé, et d'autre part, le navigateur aurait à exécuter du bytecode directement plutôt qu'à avoir à parser du javascript et à le compiler, et on gagnerait en performances.

                  • [^] # Re: Flash n'a pas de spécifications fermées!

                    Posté par  (site web personnel) . Évalué à 4.

                    le .swf qu'on te demande de télécharger et d'exécuter est propriétaire, lui.

                    ???
                    Si je fais mon propre SWF, et que je lui met une licence BSD dessus, le SWF sera libre.

                    Tu mélanges la licence d'un contenu avec je sais pas quoi (il peut très bien y avoir des documents OpenOffice non libre comme des document MS Office libre...)

                  • [^] # Re: Flash n'a pas de spécifications fermées!

                    Posté par  (site web personnel) . Évalué à 3.

                    Il existe des décompilateurs pour le flash, mais ils ne fonctionnent que sous l'OS du M$al.

                    Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

        • [^] # Re: Flash n'a pas de spécifications fermées!

          Posté par  . Évalué à 4.

          N'importe qui est libre de faire une implémentation libre d'un lecteur Flash.

          Comme dit Étienne, la licence l'interdisait jusqu'à ya pas longtemps. Ça peut paraître un problème non-insurmontable, mais quand on voit qu'Adobe a menacé des développeurs de rtmpdump, et que les codecs vidéos sont pleins de brevets logiciels, je comprends les réticences de certains devs à s'engager dans un truc qui ne peut que leur apporter des problèmes.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.