Journal Politique de sécurité Firefox

Posté par  .
Étiquettes :
0
9
juin
2006
Pour certains projets (le kernel par exemple), je crois qu'il y a des ML "vendors", à accès restreint. Normalement, les distributions sont prévenues à l'avance, les références "CVE" sont créées mais le détail en est caché au commun des mortels. Quand la bug est rendue publique, toutes les distros sont capables de fournir un correctif dans la foulée, même s'il leur a fallu au préalable quelques jours ou semaines de préparation ("QA")

Les distros qui ont moins de moyens fournissent peut être les correctifs plus tard, mais on ne peut pas non plus attendre que "tout le monde soit prêt".

Bref, ça marche a peu prêt correctement, me semble-t-il.

Pour FireFox, on dirait que c'est différent. J'écris ce qui suit au conditionnel, ceux qui savent pourront corriger.

1) personne n'est prévenu avant que la bug ne soit rendue publique par la fondation Mozilla

2) du coup les vendors sont à la traîne. J'ai l'impression qu'il n'y a aujourd'hui 9 juin pas de correctifs disponibles aux versions RHEL, Debian Sarge et Mandriva 2006 pour les 5 failles critiques corrigées le 1er juin dans Firefox 1.5.0.4

3) du coup, la fondation Mozilla laisse le descriptif des bugs "caché", le temps que les vendors se mettent à jour. D'un autre côté, les sources sont disponibles...

Bref, ça incite a utiliser le FF de la fondation et pas celui des distros. Ne serait-il pas préférable que timing et coordination soient meilleures ?

PS: oui, c'est un TROLL.
  • # mes commentaires

    Posté par  . Évalué à 1.

    troll de mauvaise qualité trop tard pour un vendredi et en plein match de foot.
    sinon, le fond est très juste, mais troller sur mozilla, c'est même plus drôle.
    On pourrait parler du support des windows<2000 qui s'arrête spontanément aussi tant qu'on y est :)
  • # Tant qu'a faire...

    Posté par  (site web personnel) . Évalué à 1.

    Mais si ils sont synchros.
    Regarde, tu prend ton windows, et ben firefox te fera sa mise à jour tout seul!

    (vendredi c'est permi \o/ )
    • [^] # Re: Tant qu'a faire...

      Posté par  . Évalué à 3.

      heu, ça ne marche que si tu es administrateur (ou peut-être si tu es utilisateur avec pouvoir).

      Mais comme je n'aime pas naviguer en tant qu'administrateur (on dit bien de ne pas être root), j'utilise un compte de base, et la mise à jour n'est pas automatique.
      • [^] # Commentaire supprimé

        Posté par  . Évalué à 3.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Tant qu'a faire...

          Posté par  (site web personnel) . Évalué à 4.

          Autant sur un système bien fait, un unix-like comme linux par exemple, la séparation root/ utilisateur va de soit et est acquise par tous, autant sur un système windws :

          - les developpeurs s'en foutent donc on a des jeux ou des programmes à lancer en tant qu'utilisateur.
          - les devs de chez microsoft et les assembleurs s'en foutaient donc jusqu'a aujourd'hui on a rien qui incite à créer un compte utilisateur (puisque par defaut sur les pc grands publics ou sur un install de windows on obtient uniquement un compte administrateur)

          Résultat tout le monde s'en fout complètement, alors que sur un système linux, même grand public (ubuntu, mandriva, et certainement suse) on est prévenu dès le depart

          Enfin bon, ca c'est un autre troll :)
          • [^] # Re: Tant qu'a faire...

            Posté par  . Évalué à 2.

            il me semble comprendre que ce problème sera réglé avec vista. J'ai même cru comprendre que les employés de chez microsoft se verront supprimer leurs droits administrateurs sur leurs postes de travail, droits qu'ils avaient besoin pour bidouiller leur poste (genre ils sont béta-testeurs).
        • [^] # Re: Tant qu'a faire...

          Posté par  . Évalué à 2.

          Mais peut-être qu'ils pourraient régler ce problème en utilisant le mécanisme runas (similaire à sudo) : quand je suis utilisateur et que je cliques sur un setup.exe, parfois, il me donne la fenêtre runas et me demande de m'identifier sous un compte administrateur.
          • [^] # Re: Tant qu'a faire...

            Posté par  (site web personnel) . Évalué à 3.

            Mais peut-être qu'ils pourraient régler ce problème en utilisant le mécanisme runas


            Ah bah voilà la vérité éclate, Gates est un Goa'Uld.
          • [^] # Re: Tant qu'a faire...

            Posté par  (site web personnel) . Évalué à 2.

            Mouais, je suis pas convaincu, j'ai du attendre d'être en iut pour decouvrir le "executer en tant que"

            Enfin bon, wait and see, peut-etre que vista sera moins foutage de gueule de ce côté la
        • [^] # Re: Tant qu'a faire...

          Posté par  (site web personnel, Mastodon) . Évalué à 1.

          En quoi est ce mal d'installer un soft, en l'occurence un browser, sur son propre compte ?? Surtout si je suis seul à utiliser ma machine ?
          • [^] # Re: Tant qu'a faire...

            Posté par  . Évalué à 1.

            Le compte par défaut créé par Windows à les droits administrateurs du poste, c'est l'équivalent du compte root.
            Si tu veux un peu de sécurité, tu peux te créer un autre compte sans droits avancés que tu utiliseras pour travailler, et ainsi tu es mieux protégé des éventuels problèmes : si quelqu'un utilise une faille d'un programme que tu utilises, il héritera de tes droits et non de ceux de l'administrateur du poste.

            Bien entendu, le mieux serait de pouvoir installer firefox sur son propre compte, mais je n'ai pas l'impression que ce soit possible sous windows qui ne veut installe les logiciels qu'à un endroit précis qui nécessite des droits administrateurs.
            • [^] # Re: Tant qu'a faire...

              Posté par  (site web personnel) . Évalué à 2.

              c'est possible
              portableapps a l'air pas mal du tout d'ailleurs
            • [^] # Re: Tant qu'a faire...

              Posté par  (site web personnel) . Évalué à 3.

              Euh... 99,9% voir 100% des logiciels demandent où on veut les installer... À toi de choisir ton dossier perso.
              • [^] # Re: Tant qu'a faire...

                Posté par  . Évalué à 4.

                Ce n'est qu'illusion. Si le soft doit écrire des trucs dans la base de registre, il faut avoir le droit de le faire, et ces écritures sont pour tout le monde.
                Choisir un emplacement c'est juste si tu n'aimes pas c:\program files\ ou si tu n'as plus de place sur ta partition. Ca ne veut pas dire que tu installe le logiciel uniquement pour toi (comme on peut faire sous linux en installant un paquet dans son répertoire personnel).
                • [^] # Re: Tant qu'a faire...

                  Posté par  . Évalué à 3.

                  Les écritures dans la base de registre forcément pour tout le monde, j'y crois pas, tu as des clés personelles, un peut comme les fichiers/dossiers .* du home sous unix, stockés dans le "Document and settings" de l'utilisateur. Rien n'empêche d'utiliser ces clés pour l'install d'un logiciel sous windows. Après j'ai très peu d'expérience dans l'installation de logiciel sous windows en tant que non administrateur, donc je sais pas comment ça s passe en pratique.

                  Deuxième remarque, quand tu installes un logiciel 'uniquement pour toi' sous linux, et si les droits y sont, n'importe qui d'autre peut aussi l'exécuter. J'imagine qu'on peut parvenir à un comportement équivalent sous windows avec des ACL.
                  • [^] # Re: Tant qu'a faire...

                    Posté par  . Évalué à 3.

                    Tu peux avoir des clés personnelles, mais elles doivent être écrites dans ton profil utilisateur. Sachant que si tu as un profil obligatoire, alors ton profil ne changera jamais.... Ensuite, on peut très bien imaginer qu'un logiciel ne se serve pas de la base de registre, mais je ne pense pas que dans la pratique, ça existe beaucoup !

                    Concernant l'installation de programme sous linux uniquement pour moi, je pensais en l'installation par exemple d'un rpm dans son répertoire personnel (en changeant l'option root du rpm pour changer / en /home/moi). Bien entendu, il faut régler les problèmes de dépendances, mais il y a 7 ans, je faisais comme cela pour m'installer des logiciels sur mon compte informatique à la fac.
                    Comme le logiciel est dans mon home, il n'y a que moi qui y avait accès
                    • [^] # Re: Tant qu'a faire...

                      Posté par  . Évalué à 2.

                      Tu peux avoir des clés personnelles, mais elles doivent être écrites dans ton profil utilisateur. Sachant que si tu as un profil obligatoire, alors ton profil ne changera jamais....

                      Je vois pas la difference avec Unix. Tu veux un truc pour tout le monde, tu le mets dans /etc, tu veux un truc par utilisateur tu le mets dans leur home, sous Windows c'est la meme chose : un truc pour un user particulier tu le mets dans la branche de la base de registre pour ce user precis, sinon tu le mets en global dans la branche globale.
                      • [^] # Re: Tant qu'a faire...

                        Posté par  . Évalué à 2.

                        sauf que la branche pour ce user précis, n'est-elle pas stockée dans le profil de l'utilisateur ? et si cet utilisateur a un profil obligatoire ?
                        • [^] # Re: Tant qu'a faire...

                          Posté par  . Évalué à 2.

                          C'est quoi exactement un profil obligatoire ? Ramarque que si le logiciel va systématiquement rechercher sa conf dans /etc/ et pas rep_install/etc ou ~/.conf, ca ressemble quand même pas mal avec ce que je m'imagine être un "profil obligatoire".
                          • [^] # Re: Tant qu'a faire...

                            Posté par  . Évalué à 2.

                            Pour moi un profil obligatoire sous environnement windows, c'est lorsque dans active directory tu donnes à tous les utilisateurs le même profil qui va être chargé à chaque ouverture de session de l'utilisateur, et qui ne changera pas au fils du temps.

                            Tous les changements que tu fais sur ton profil ne seront sauvegardés. Donc tu peux changer ton fond d'écran, mais tu devras le refaire à chaque fois que tu ouvriras ta session.
                            • [^] # Re: Tant qu'a faire...

                              Posté par  . Évalué à 2.

                              Ouais enfin si ce genre de truc est activé, c'est clairement pour restreindre l'usage de la machine au strict nécessaire ... genre typiquement le genre de cas ou on veut pas que t'installes n'importe quoi sur la machine, et que tu te limites à ce que tu es censé y faire. Un peu comme si /home était montés en "noexec" sous linux. Tu pourrais éventuellement utiliser /tmp si possible, mais là les données sont "volatiles" aussi ;)
                            • [^] # Re: Tant qu'a faire...

                              Posté par  . Évalué à 2.

                              Ben c'est la meme chose qu'avoir un seul compte Unix pour 20 personnes differentes, ca s'appelle juste differemment...
                              • [^] # Re: Tant qu'a faire...

                                Posté par  . Évalué à 1.

                                pas du tout. Si tu as un seul compte unix pour 20 personnes différentes, tu partages le mot de passe et les données personnelles entre les 20 personnes.

                                De plus, j'ai l'impression que l'on s'égare un peu car l'affirmation de départ était qu'un programme sous windows devait souvent être installé par l'administrateur du poste, que celui-ci en général écrivait des données dans la base de registre dans l'espace commun. Donc qu'il fallait avoir un accès administrateur pour pouvoir installer un logiciel (ce qui peut être une politique de sécurité normale), mais dans le cas de firefox, qu'il fallait lancer ce dernier en tant qu'administrateur pour pouvoir profiter des mises à jour de sécurité (idem sous linux).
                                Ensuite a découlé l'idée que si l'on voulait profiter des mises à jour de sécurité, une solution était d'installer le logiciel sous son compte utilisateur, chose possible sous linux, mais impossible sous windows du fait que le logiciel écrit des choses dans la base de registre de la machine (HKLM)
                                • [^] # Re: Tant qu'a faire...

                                  Posté par  (site web personnel) . Évalué à 4.

                                  Ah bon alors je dois être magicien pour avoir installé Fx 1.5 dans mon rep perso Windows dans mon école.
                                  • [^] # Re: Tant qu'a faire...

                                    Posté par  . Évalué à 2.

                                    Et la mise a jour automatique marche ? (je vois pas de raisons pour qu'elle ne marche pas perso)
                                    • [^] # Re: Tant qu'a faire...

                                      Posté par  . Évalué à 2.

                                      installé sur répertoire personnel aussi, et la mise à jour automatique marche.

                                      ­La faculté de citer est un substitut commode à l'intelligence -- Somerset Maugham

                                      • [^] # Re: Tant qu'a faire...

                                        Posté par  . Évalué à 2.

                                        il faut quand même avouer que ce n'est pas une installation "normale" de firefox, et que "monsieur tout le monde" ne l'installera pas de cette manière et continuera à travailler en tant qu'administrateur.
                                  • [^] # Re: Tant qu'a faire...

                                    Posté par  . Évalué à 2.

                                    tu as utilisé la version firefox pour clé usb ?
  • # Firefox

    Posté par  (site web personnel) . Évalué à 5.

    On appprends pas mal de chose sur la fondation Mozilla et les problèmes pour assurer la sécurité de Firefox ici :
    http://lwn.net/Articles/186614/

    On trouve notamment ceci :
    The diff between 1.5.0.3 and 1.5.0.4 is very large and contains
    many changes that could not be described as security or stability
    fixes. It includes (just as an example) dozens of changes to files
    which are not compiled or used in any sane configuration of firefox
    1.5.0.3.
  • # ben oui

    Posté par  (site web personnel) . Évalué à 5.

    Ben oui, ne pas annoncer les failles ça leur permet après de faire plein de pub "oui on a plus de faille mais notre navigateur est celui qui reste le moins longtemps avec une faille non patchée" (entendons : une faille non patchée *et* connue du public). Résultat le navigateur est aussi troué mais au moins personne ne le sait.

    Note: je ne critique pas forcément l'idée d'annoncer les solutions avant les problèmes, mais il faut être conscient de ce que ça implique et ne pas trop être dupe des effets d'annonce que ça entraine.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.