Journal Tiens ? Mozilla aussi ?

Posté par  .
Étiquettes : aucune
0
22
avr.
2004
Rahlala ... J'adore les titres qui veulent rien dire.

Bon, en cherchant les paroles d'une chanson de Modjo sur google, je suis tombé sur un site qui m'a demandé d'installer une extention pour moz ! 1ère sur le net ! On a eu gator avec ie, sans parler des autres qui ont suivi et qui suivent toujours, maintenant on en a pour moz ...

J'ai tenté de regarder la source de l'extention, mais bizarrement elle était compilée (question : comment on peut compiler du XUL ?).

Les liens :
La page : http://www.lyricsdomain.com/13/modjo/(...)
Pour ceux qui n'ont pas Moz : http://www.scg.uwaterloo.ca/~am2stewa/pics/Mozilla%20Malware.jpeg(...)
Un blog qu'on m'a passé (merci karlcow) : http://galileo.quikbox.ca/blog/mozilla-malware.html(...)
  • # Re: Tiens ? Mozilla aussi ?

    Posté par  . Évalué à 2.

    $ wget http://www2.flingstone.com/cab/sbc_netscape.xpi(...)
    $ mkdir xpi && cd xpi
    $ unzip sbc_netscape.xpi
    $ ls -l
    -rw------- 1 fabrice fabrice 267 avr 1 10:18 install.js
    -rw-rw-r-- 1 fabrice fabrice 213012 avr 1 10:32 sbc_netscape.exe
    -rw-rw-r-- 1 fabrice fabrice 102816 avr 1 17:29 sbc_netscape.xpi


    Humm...

    Fabrice.
    • [^] # Re: Tiens ? Mozilla aussi ?

      Posté par  (site web personnel, Mastodon) . Évalué à 1.

      En entrant juste http://www2.flingstone.com/(...) on est redirigé sur ceci:

      C'est pas triste:
      http://www.blazefind.com/license.html(...)

      Apperemenr, ca t'installera un spyware sur ton beau windows (le fichier contient des références à jao.dll et bridge.dll, google référence quelques pages à leur sujet, enfin, pas beaucoup)
      • [^] # Re: Tiens ? Mozilla aussi ?

        Posté par  . Évalué à 1.

        Oui exact, j'ai essayé aussi, mais c'est pas fini !
        Donc redirection vers http://www.blazefind.com/license.html,(...)
        Ensuite cliquez sur le logo "BlazeFind",
        puis sur "privacy" et hop, une popup en bas à droite...

        Conclusion : le .xpi va direct à la corbeille.

        Fabrice.
      • [^] # Re: Tiens ? Mozilla aussi ?

        Posté par  . Évalué à 1.

        Une extension Mozilla peut faire a peut pres tout ce qu'elle veut une fois installee sur le systeme (dans la limite des droits de l'utilisateur, bien sur). C'est pour ca que quand on installe une extension, il y a un message qui dit "attention, l'extension peut faire des choses graves".

        Je pense que c'est la principale difference avec IE.
        • [^] # Re: Tiens ? Mozilla aussi ?

          Posté par  . Évalué à 1.

          "Je pense que c'est la principale difference avec IE. "
          Non. Lorsque tu es sur le point d'installer un ActiveX, IE t'affiche un avertissement de ce style :
          http://www.macromedia.com/support/flash/ts/documents/flash_activex/(...)
          Tu peux cependant désactiver cette notification pour les ActiveX signés.
          Modulo une faille de sécurité...
        • [^] # Re: Tiens ? Mozilla aussi ?

          Posté par  . Évalué à 1.

          Je pense que c'est la principale difference avec IE

          En théorie non, IE n'exécute rien sans le consentement de l'utilisateur (même si certaines failles se sécu permettent de pesser outre).

          Par contre la plupart des utilisateurs ne sont en général pas capables de comprendre la portée de la question posée dans la boite de dialogue (que ce soit par IE ou par Moz') et cliquent sur "oui" pour avoir la paix ...

          Ce qui serait bien, c'est une option "vérouiller l'installation d'extensions", qui serait activée par défaut, et qui ne pourrait être désactivée qu'explicitement par l'utilisateur, et uniquement pour la session courante.

          Euh ... quelqu'un pour faire un bug-report/feature-request chez Mozilla ?
          • [^] # Re: Tiens ? Mozilla aussi ?

            Posté par  . Évalué à 3.

            "Ce qui serait bien, c'est une option "vérouiller l'installation d'extensions", qui serait activée par défaut,[...]"
            • Dans le pref.js ou par about:config
              user_pref("xpinstall.enabled", false);
            • Ou par Édition->Préférences->Avancées->Install. des logiciels->Autoriser l'install. des logiciels [_]
            "[...]et qui ne pourrait être désactivée qu'explicitement par l'utilisateur, et uniquement pour la session courante."
            $ chmod 444 pref.js (oui, je sais, c'est cradingue)
            mes 2 ¢
            Fab.
          • [^] # Re: Tiens ? Mozilla aussi ?

            Posté par  (Mastodon) . Évalué à 3.

            Je pense que les dév de mozilla sont au courant (un thread au hasard sur mozillazine http://forums.mozillazine.org/viewtopic.php?p=448910(...) ).
            Et la grosse différence avec IE, c'est que les développeurs réfléchissent à comment protéger l'utilisateur. Il y a par exemple un rapport de bug (http://bugzilla.mozilla.org/show_bug.cgi?id=238684(...) ) lié à la demande d'installation lié à un événement onLoad. Dans les futures versions le popup d'installation n'apparaitra qu'en cliquant sur un lien.
            Et j'ai lu des propositions comme la tienne sur le forum de mozilla concernant le verrouillage de l'installateur. Reste que si l'utilisateur veut vraiment installer un spyware, il le fera.

            Par exemple, un site qui expliquerait que pour un meilleur comfort de navigation et pour profiter des derniers cris de la technologie, il faut installer ce petit xpi. Si il explique comment activer l'installateur et tout et tout, le spyware sera installé.
            L'erreur d'installer une merde sur l'ordi sera toujours possible à l'utilisateur, quelque soit le nombre de verrous qui seront mis.
            • [^] # Re: Tiens ? Mozilla aussi ?

              Posté par  . Évalué à 1.

              Merci pour les liens. J'avais cherché un rapport de bug mais en vain :-/
              Bon c'est bien, c'est corrigé dans la 1.7
              Quant à moi, je vais en profiter pour patcher "mes" utilisateurs :-)

              Fabrice.
  • # Re: Tiens ? Mozilla aussi ?

    Posté par  . Évalué à 1.

    Hey, pas mal!!!

    Maintenant, question...

    Si c'est compilé, ca veux dire Windows? Ou alors c'est compiler pour faire chier les linuxien?

    Bref, ya un volontaire pour essayer et voir ce que ca fait? ;)

    JMS

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.