Un récent article de NewsForge se demande si l'accroissement de popularité de Firefox ne va pas attirer vers ce logiciel les auteurs de spywares, logiciels espions ou autres adwares, logiciels publicitaires.
Deux des trois experts invoqués dans l'article, Richard Stiennon et Stu Sjouwerman affirment que vraisemblablement, d'ici la fin de l'année, des spywares pour Firefox apparaîtront. Il n'échappera à personne que ces deux experts travaillent respectivement dans les sociétés Webroot et Sunbelt Software, éditrices de logiciels anti-spywares. D'autre part, ni l'article ni les experts ne s'interrogent sur les spécificités du Logiciel Libre par rapport aux logiciels propriétaires en ce qui concerne cette problématique.
Il me paraît clair que l'article de Newsforge est globalement du gros FUD, mais il convient tout de même de se demander si des Logiciels Libres très populaires tels que Firefox seront toujours à l'abri des spywares. Et de manière plus générale, l'article donne l'occasion de s'interroger sur les effets de la popularité grandissante des Logiciels Libres et sur les défis qui seront à relever pour répondre aux éventuels effets négatifs.
- NewsForge : Experts predict Firefox spyware will show up this year : http://internet.newsforge.com/article.pl?sid=05/01/31/2121249&t(...)
- Slashdot : Spyware for Firefox Coming This Year? http://it.slashdot.org/it/05/02/08/1541241.shtml?tid=128&tid=15(...)
Qu'en pensez-vous ?
# ...
Posté par XtaZ . Évalué à 3.
[^] # Re: ...
Posté par Raphaël Maurel-Segala . Évalué à 2.
Un tel module ne mettrait pas Firefox à l'abri de ces contrariétés.
Son intérêt résiderait principalment dans le fait de compliquer la tâche du spyware en l'obligeant à opèrer sur le module avant d'attaquer le navigateur proprement dit.
Mais ça serait déjà pas si mal !
[^] # Re: ...
Posté par Spyhawk . Évalué à 1.
Spyhawk is out -->[]
[^] # Re: ...
Posté par Jean Canazzi . Évalué à 2.
Sachant que sous IE un spyware est généralement une extension que l'utilisateur installe sans savoir ce que c'est...
[^] # Re: ...
Posté par Erwan . Évalué à 3.
2) Seules les extensions provenant de sites "surs" (mozilla.org, ou les sites que l'utilisateur ajoute lui-meme) peuvent etre installees
3) Une extension peut facilement etre desinstallee par le gestionnaire d'extensions
Bref, on ne devrait pas se retrouver a installer une extension sans savoir ce que c'est, et quand bien meme ca arriverait il est facile de virer la dite extension. Si une extension parvient a contourner un de ces points, ce serait un bug, corrige assez vite je pense.
[^] # Re: ...
Posté par ckyl . Évalué à 3.
> et quand bien meme ca arriverait il est facile de virer la dite extension
Sauf que si ca a pas changé l'extension peut faire un rm -Rf ~ en s'installant et tout les trucs sympa et imaginables qui vont avec...
[^] # Re: madame Michu (was: ...)
Posté par Thierry . Évalué à 6.
Et madame Michu (menagére de moins de 50 ans), au bout d'un moment, clickera sur "OK" parce que l'autre fois, elle n'avait pas cliqué sur "OK" et ça marchait pas. C'est souvent ce qui se passe avec les yusers Windows, et je ne vois pas pourquoi ça ne serait pas la même chose pour les Firefoxés.
ou les sites que l'utilisateur ajoute lui-meme)
Le cousin Robert (celui-qui-sait) lassé des appels incessants de sa tante Germaine, lui conseillera un jour ou l'autre d'accepter de "mettre ce site dans la liste des validés", juste pour être tranquille pendant le film du dimanche soir. C'est souvent ce qui se passe avec les yadminz Windows...
Une extension peut facilement etre desinstallee
Oui, certes, mais une extension bien conçue ne peut-elle s'arranger pour laisser quelques scories derrière elle, quand on lui demande de s'en aller gentiment...
mes deux millicentimes.
[^] # Re: madame Michu (was: ...)
Posté par mcjo . Évalué à 2.
[^] # Re: ...
Posté par Da Scritch (site web personnel, Mastodon) . Évalué à 3.
[^] # Re: ...
Posté par tgl . Évalué à 6.
[^] # Re: ...
Posté par Younes Zouhair . Évalué à 5.
ça je crois c'est laissé à la discrétion du programmeur de l'extension il peut très bien faire en sorte que son installation n'apparaisse pas dans la fenêtre des extensions.
# Pas plus
Posté par vieuxshell (site web personnel) . Évalué à 1.
Firefox est attrayant a cause -entre autre- des multiples add'ons qui sont développés pour lui (et mozilla), comme le célèbre Adblock.
Rien n'empeche de tromper l'utilisateur en faisant un fausse page pour "installer la derniere version de Adblock" avec le .xpi corrompu qui va bien et roule ma poule.
Les .xpi peuvent etre signés mais le sont-ils tous (les légitmes) j'ai souvenance d'avoir eu un popup "attention cette extention n'est pas signée" lorsque j'ai installé Adblock. Soit
* j'ai mal lu le message, au quel ca ->[]
* j'ai installé un faut Adbock ->[]
* le Adblock officiel n'est pas signé, ou en tout cas non certifié par un tiers de confiance.
Dans le dernier cas, c'est la porte ouverte à n'importe quoi car si meme les extentions majeurs ne sont pas signées, rien n'empeche de concevoir des contrefacons.
[^] # Re: Pas plus
Posté par anonimulo . Évalué à 7.
FAUX !
* Les .xpi sont centralisés sur update.mozilla.org et il y a un système de feedback direct pour les utilisateurs. Quelqu'un qui y foutrait un spyware ne ferait pas long feu
* Blocage de l'installation des .xpi sauf pour les sites de confiance.
* L' UI d'installation des programmes est très compréhensible, j'en avais parlé il y a quelques mois, qui fera que beaucoup moins de personnes cliqueront sur OK sans réfléchir. (Justement, il n'y a pas de boutons OK mais un VERBE, il y a un timeout, dialogue très clair, danger clairement indiqué. Compare avec l'imbittable dialogue SSL d'Internet Explorer)
[^] # Re: Pas plus
Posté par vieuxshell (site web personnel) . Évalué à 2.
C'est une bonne chose.
Par contre si on tombe sur des vicieux qui:
1. exploitent une faille de FF pour ajouter un site bancale dans la liste des sites de confiances
2. envoient un xpi moisi.
Je suis d'accord que c'est chercher le vice et qu'il n'y a pas de logiciel sans bug mais si FF se popularise, il faudra faire avec :/
[^] # Re: Pas plus
Posté par Julien . Évalué à 3.
http://julien.catalano.free.fr/adblock-non-signe.png(...)
Adblock n'est effectivement pas signé. Mon Firefox est configuré "d'origine", sans rien de modifié.
Bizarre quand même...
Julien
[^] # Re: Pas plus
Posté par Jean Canazzi . Évalué à 1.
Et puis quand il y aura des dizaines de sociétés qui feront des plugins, voudront-il faire signer chaque mise à jour auprès de la Mozilla Fondation ? Sans doute non, et dans le meme genre, que ce soit sous IE ou Firefox, on a régulièrement des warnings liés aux certificats, qu'on ne lit meme plus à force.... enfin je parle pour moi du moins, pourtant je suis du métier.... alors ma maman hein...
[^] # Re: Pas plus
Posté par yxorp . Évalué à 1.
[^] # Re: Pas plus
Posté par Spack . Évalué à 4.
Il ne me semble pas avoir vu beaucoup d'extention signés non plus...Quand la fondation ce décidera t-elle à mettre en place le système ou s'il est déjà en place pourquoi ne les extentions "sûres" ne sont pas signés?
# Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Ben c'est simple ...
Posté par Thomas Petazzoni (site web personnel) . Évalué à 5.
Le but de la news « Humeur » de Lucas n'était pas de dire que les Logiciels Libres sont mauvais et les logiciels propriétaires sont bons. Je connais Lucas, et je peux te dire qu'il utilise quasi-exclusivement du Logiciel Libre.
Le but était vraiment de provoquer un débat sur la façon dont est gérée la qualité dans les projets de Logiciels Libres. Il l'a fait de manière assez trollesque et provoquante, mais il y a quand même eu des échanges assez intéressants, des retours d'expériences, des liens sur des outils, etc... Pour moi, c'était pertinent.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 8.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Ben c'est simple ...
Posté par RuleZ . Évalué à 3.
Mais les arguments de départ sont trop à c.... (Justifier le bien par le mal, c'est pas bien, c'est mal)
D'ailleurs on est pas loin d'en pondre une nouvelle loi de murphy de tous ces trolls :
"Lorsqu'un troll pose une question existentielle, il est diablement aisé d'y répondre .. au troll."
[^] # Re: Ben c'est simple ...
Posté par Anonyme . Évalué à 3.
[^] # Re: Ben c'est simple ...
Posté par Gniarf . Évalué à 2.
réveillez-moi quand il atteindra les 500.
[^] # Re: Ben c'est simple ...
Posté par Nap . Évalué à 2.
[^] # Re: Ben c'est simple ...
Posté par Jean Canazzi . Évalué à 0.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
# Qui est qui ?
Posté par RuleZ . Évalué à 9.
Pour reprendre une phrase bien connue :
"Dans tout système informatique, la faille se trouve entre l'écran et la chaise."
Tout ça pour dire que l'équipe de firefox pourra le blinder autant qu'ils le peuvent, aucune contre-mesure ne suffira jamais à contre-balancer cette vulnérabilité (la candeur), n'importe quel crétin étant toujours capable de pondre un piége dans lequel tombera n'importe quel con.
[^] # Re: Qui est qui ?
Posté par Olivier Grisel (site web personnel) . Évalué à 3.
[^] # Re: Qui est qui ?
Posté par RuleZ . Évalué à 3.
Enfin .. Ch'ui mauvaise langue, je devrais pas parler comme ça, et plutot me remettre en question avant tout, voir à quel point je peux l'être (con, pas crétin) ...
D'une certaine manière, il est très jubilatoire de voir enfin des mesures de sécurité intelligentes, adaptées, qui contre-balance la plus grosse vulnérabilité d'une application surexposée, et on ne peut que féliciter l'équipe de firefox de faire une vrai démarche qui devrait vraiment en inspirer beaucoup d'autres !
Mais cependant ... imaginons que je sois un crétin ... pour arriver à mes fins, je ne chercherais pas à forcer une porte blindé, je me contenterai de passer par la fenêtre de derrière laissée ouverte (la candeur, toujours) ...=> plugin.rpm (je ne vais pas détailler plus que ça, les crétins me comprendront)
[^] # Re: Qui veut quoi ?
Posté par Sam Kyritsoglou (site web personnel) . Évalué à 2.
La plupart des personnes réagissent seulement après avoir rencontré un problème majeur (et encore). Pas besoin de siter le cas d'un(e) utilisateur(rice) qui perd toutes ses données pour quelles causes que ce soit.
Par contre, certains sont infectés par des spyware et ne semble pas entre consient du problème/dangé.
Pour certains, et ce n'est pas péjoratif, veulent tout reste un outil façile a utilisé, sans se poser trop de question. Ce qui si tout-le-monde-est-beau-tout-le-monde-il-est-gentil était vrai serai le cas.
[^] # Re: Qui veut quoi ?
Posté par Jean Canazzi . Évalué à 2.
# certe mais...
Posté par Sébastien TeRMiToR . Évalué à -1.
Non firefox n'est pas un probleme aussi grave que internet explorer parce qu'un logiciel comme un autre
ce qui prouve que l'integration a la MS , bin c bien bien naze et cela n'aporte rien techniquement
[^] # Re: certe mais...
Posté par Spack . Évalué à 2.
[^] # Re: certe mais...
Posté par Nap . Évalué à 3.
une faille dans un logiciel, c'est une porte ouverte vers l'OS, quelle que soit son intégration.
[^] # Re: certe mais...
Posté par Spack . Évalué à -1.
[^] # Re: certe mais...
Posté par Nap . Évalué à 3.
un processus compromis, et c'est toute les données accessibles à l'utilisateur qui sont compromises. Firefox ou IE. Si Firefox a envie de péter tes données, il a le droit, comme pour explorer.exe
enfin c'est pas bien grave :)
[^] # Re: certe mais...
Posté par Jean Canazzi . Évalué à -1.
[^] # Re: certe mais...
Posté par pasBill pasGates . Évalué à 6.
IE c'est un processus a part, si il crashe, seul IE crashe, explorer ne crashera pas, l'OS ne crashera pas, ...
IE est "dans Windows" car Explorer utilise les librairies de rendu d'IE et l'aide est en pseudo-HTML avec un rendu par le moteur d'IE, mais le browser Internet Explorer c'est une application comme Firefox.
Que Firefox ou IE crashe, que Firefox ou IE ait une faille de securite, le resultat est _identique_ car les 2 sont des applications dont ne depend pas le systeme.
[^] # Re: certe mais...
Posté par inico (site web personnel) . Évalué à 1.
Il entraine aussi les librairie donc explorer.exe a tendance a planter 10 minutes après.
Alors que Firefox, il entraine dans sa chute lui-meme et c'est pratiquement tout (peut etre Java mais c'est plutot Java qui plante Firefox).
[^] # Re: certe mais...
Posté par Seazor . Évalué à 2.
On se posera plus de questions de ce coté là si XUL se répand.
Et p-ê si ils arrivent enfin à le sortir en lib séparée des executables de chez mozilla ...
[^] # Re: certe mais...
Posté par pasBill pasGates . Évalué à 3.
Il entraine aussi les librairie donc explorer.exe a tendance a planter 10 minutes après.
Les libs elles sont mappees par processus comme dans tout OS qui se respecte et si le process X utilisant la lib Y crashe, le process Z utilisant la lib Y ne crashe pas.
IE quand il plante, sur XP/W2k/WS03 il n'entraine que lui meme, explorer est un process separe qui n'a rien a voir avec IE.
[^] # Re: certe mais...
Posté par anonimulo . Évalué à 0.
IE est "dans Windows" car Explorer utilise les librairies de rendu d'IE et l'aide est en pseudo-HTML avec un rendu par le moteur d'IE, mais le browser Internet Explorer c'est une application comme Firefox.
Que Firefox ou IE crashe, que Firefox ou IE ait une faille de securite, le resultat est _identique_ car les 2 sont des applications dont ne depend pas le systeme.
Pour en finir définitivement avec ce troll : tu as un moyen simple (ie des explications compréhensibles par ma mère) pour désinstaller Internet Explorer ?
Je viens d'essayer sous KDE. On peut très facilement désinstaller Konqueror tout en laissant la bibliothèque KHTML pour que l'aide, amarok et toussa continuent à fonctionner. On peut alors installer un autre navigateur (à la Safari) si on veut.
Si tu réponds correctement à la question précédente, j'arrêterais de penser que Konqueror est une "feature" là où IE est du "bloat"
[^] # Re: certe mais...
Posté par tgl . Évalué à 3.
> mère) pour désinstaller Internet Explorer ?
[...]
> On peut très facilement désinstaller Konqueror tout en laissant la
> bibliothèque KHTML
Autant tu peux déduire de la possibilité de désinstaller konqueror sans virer les libs qu'il y a bien un découpage pour ce qui est de KDE, autant tu ne peux rien conclure de l'impossibilité de désinstaller IE.
Ça n'est pas forcement un problème d'architecture logicielle, des questions de packaging suffisent largement à l'expliquer. Imagine une distrib' qui ne fournirait qu'un gros kde-3.3.rpm pour installer la totale, est-ce que tu en déduirais que KDE est un plat de nouilles indémerdables ?
[^] # Re: certe mais...
Posté par Pooly (site web personnel) . Évalué à 1.
--> []
[^] # Re: certe mais...
Posté par Littleboy . Évalué à 1.
Vu que tu as toujours besoin des bibliothèques HTML, la seule chose que ça ferait, c'est enlever l'interface. L'exécutable en lui même ne fait que 90ko. Au pire, tu vas gagner 5Mo en place libre sur le disque.
Et dans la foulée, tu vas casser toutes les applis qui appellent "iexplore.exe" directement (oui, c'est n'importe quoi, mais il y en a qui le font et il faut bien le prendre en compte).
Pour MS, c'est du support en plus ("Mon appli X ne marche plus comme avant, ça pue Windows, ça marche aléatoirement..."), donc l'intérêt de proposer une désinstallation facile est nul, c'est même contre-productif.
Après, tu peux toujours le faire à la main, après avoir désactivé la protection des fichiers, mais bon, quel intérêt vraiment ?
[^] # Re: certe mais...
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: certe mais...
Posté par Spack . Évalué à 2.
C'est sans doute à force de lire qu'une faille dans tel logiciel permet de prendre le contrôle du système et etc...
Il suffit d'aller sur Secunia voir le nombre d'alertes de ce genre...
Exemple pour IE http://secunia.com/advisories/11165/(...) :
[^] # Re: certe mais...
Posté par pasBill pasGates . Évalué à 2.
# La question se pose depuis longtemps....
Posté par Pascal . Évalué à 4.
Pour y répondre, je souhaiterais donner seulement un exemple: un logiciel libre très populaire et dominant le marché: Apache
Pour rappel, d'après Netcraft, le marché des serveurs Web est envrion:
- 2/3 pour Apache
- 1/3 pour IIS (Microsoft)
et Apache n'a pas vraiment connu de virus ou de vers, alors que IIS en a connu une flopée (CodeRed....)
Au final, on peut dire qu'il est possible que les logiciels libres seront frappés par ce genre de trucs mais ce n'est pas sûr du tout. Seul l'avenir le dira
[^] # Re: La question se pose depuis longtemps....
Posté par Jean Canazzi . Évalué à 1.
C'est clair que quand on ne connait pas bien le monde Windows, tout cela peut parraitre un brin compliqué. En gros faut juste retenir que ça n'est pas lié à une faille de sécurité de l'OS, donc possible sous Nunux.
[^] # Re: La question se pose depuis longtemps....
Posté par Matthieu Moy (site web personnel) . Évalué à 1.
En pratique, en général, les failles exploitées par les vers sont déjà corrigées, la question est surtout de savoir si l'admin a mis a jour entre temps.
# kif kif
Posté par Nap . Évalué à 6.
donc je vois pas pourquoi vous vous excitez les uns les autres avec les signatures de xpi et les sites de confiance. Si j'installe kazaa et qu'il me moisi mon firefox avec des extensions, ça sera pour ma gueule, site de confiance ou pas. Idem si je choppe un vers qui fait pareil.
[^] # Re: kif kif
Posté par Florent Bayle (site web personnel) . Évalué à 2.
Peut-être paceque si un .xpi est signé par (par exemple) la mozilla fondation, on est sûr qu'il ne contient pas de spyware.
Là tu vas me dire que j'ai rien compris à ce que t'as dit, que les spywares sont installés par d'autres logiciels,... Mais j'ai compris. Cependant, sur la plupart des distributions linux actuelles, la plupart des logiciels sont installé sous forme de paquets mis à disposition par la distribution, donc je pense que la majoritée des programmes ne risque pas d'installer de spyware. La meilleure porte d'entrée pour un spyware reste donc de s'installer directement grâce à un .xpi.
Il n'en vas bien sûr pas de même dès que l'on utilise des logiciels non-inclus dans la distribtion et/ou non-libres.
Concernant windows, je pense que effectivement, on ne vas pas tarder à voir arriver des spywares qui s'installerons autant sur firefox que sur internet explorer dans des logiciels tels que kazaa.
[^] # Re: kif kif
Posté par Nap . Évalué à 3.
pertinent, mais le journal ne parle hélas strictement pas de linux. Si les spywares vont peut-etre s'attaquer à firefox, c'est parce qu'il dépasse les 10% d'utilisateurs. Et si il dépasse 10% des utilisateurs, ce n'est certainement pas sous linux (0.5% des utilisateurs), mais sous windows.
Sinon, en ce qui concerne linux, je suis persuadé que dès qu'il dépassera un certain seuil d'utilisation, de très nombreux logiciels propriétaires vont débarquer, que les gens ne vont vraiment pas snober (skype est un exemple), qui ne proposeront pas des paquets pour une distrib donnée (le travail de packaging est fait généralement par les distribution, qui ne packageront pas des logiciels proprios), mais plutôt un installeur graphique qui se chargera à coup sûr de moisir notre panda avec des spywares, qui sont de toute manière un des principaux modes de financement des logiciels propriétaires gratuits (kazaa par exemple).
# Objectivité ?
Posté par Croconux . Évalué à 3.
Jusqu'où les pseudos journalistes de la presse informatique tomberont-ils ? Y en a-t-il encore au moins un qui ait un minimum de jugeote ? On voit de plus en plus d'articles alarmistes de ce genre dont la source est souvent une boite qui à quelque chose à vendre ou un concurrent à démolir. Tout journaliste ayant un peu de conscience professionnelle devrait se demander :
1) D'où vient l'info
2) Si la source est fiable
En voyant qui sont les sources ici, n'importe qui devrait tiquer et prendre ça avec des pincettes de 2km de long. On frôle de communiqué de presse ou "publireportage", comme on baptise ce genre de pub déguisée dans la presse papier.
C'est assez navrant de voir le niveau général de ce type presse. Cet article me fait penser à la nouvelle qui est tombée récemment concernant les optimisations d'AMD concernant les premiers benchmarks sortis sur l'Athlon64. AMD avait fourni à la presses des binaires 32 et 64 bits de gzip pour qu'ils puissent comparer les performances. Très peu ont tiqué. La plupart on utilisé tel quel les binaires fournis et publié des articles enthousiastes. Aujourd'hui on apprends que le binaire 32 bits était compilé en -O0 et le 64 bits optimisé à la mimine. Ah, bon? On m'aurait menti???? Sans blagues. Publier un bench sur des binaires fournis par le fabricant revient à recopier directement le communiqué de presse. Evidemment que les binaires fournis étaient prévus pour montrer le 64 bit à son avantage. Il fallait avoir au moins 2 neurones pour s'en douter.
[^] # Re: Objectivité ?
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 3.
Je t'en fait quand tu veux des spywares via des xpis. Je peux même t'en faire qui ne sont pas virés même si tu vire l'extension en question, ou même firefox.
Et le fait que l'on peut voir ou pas les sources d'une extension n'y changera rien. Si monsieur michu veut absolument installer l'extension qui affiche la météo de pavalas les flots, trouvé sur un obscure site, il le fera. Ce n'est pas le système de prévention d'installation d'extension de firefox qui l'empechera.
Et une fois installée, il sera déjà trop tard. Rien n'empêche une extension d'installer un exe ou autre quelque part sur le disque, ou de l'executer directement, cet exe allant bidouiller la base de registre pour qu'un autre exe soit démarré au boot etc...
Comble du bonheur, y a tout dans l'API de Mozilla pour aller recuperer un fichier distant sur le grand mechant ternet. Donc l'exe en question n'a même pas besoin d'être livré avec l'extension. Bref, le spyware, finalement, ça prendre 5 lignes javascript dans l'extension. Et vas y que je te fous ça dans une grosse extension comme par exemple chatzilla. Eh bien personne n'y verra rien. Sauf ceux qui mettront le nez dedans mais ils sont rares, trés rares. Qui parmis les utilisateurs de chatzilla ont jeté un coup d'oeil aux sources ? Bon, rassurez vous, on est à 99% sûr que chatzilla est sûr, étant donné qu'il est dans le CVS de mozilla :-). Mais quid des autres ? De l'aveu même d'un développeur de Mozilla (je ne retrouve plus le lien), rien n'empêche qu'il y ait des spywares dans les extensions dispo sur update.mozilla.org car personne ne verifie toutes les extensions nouvelles et les nouvelles versions à 100%. Quid aussi des extensions traduites dispo sur geckozone ? Le traducteur peut trés bien rajouter quelques lignes javascripts dans un coin ...
Certes ça se saurait certainement assez vite, mais en attendant, ça aura fait des dégats. Reste aussi le problème de prévenir tous les utilisateurs de ladite extension. Ce n'est pas une mince affaire (non, monsieur michu, il va jamais sur le site securemachin.com, ni meme sur actuinformatiqueblabla.com)
Bref, des spywares dans Firefox, oui, c'est possible, et ça va trés certainement arriver.
[^] # Re: Objectivité ?
Posté par anonimulo . Évalué à 0.
Il y a dans Firefox un système automatique de recherche de mise à jours des extensions. Il suffirait de mettre sur update.mozilla.org une version (N+1) dépourvu du spyware, on peut même rajouter dans la nouvelle extension un message d'information pour lui dire comment se débaraser d'éventuels autres dégats.
Bref, je dis pas que c'est parfait, mais ca me semble aussi bon que ca puisse être.
# Extensions, signature de packages, site de confiance
Posté par knackko . Évalué à 1.
Après lecture la gestion des .xpi semblent se rapprocher de la gestion des packages d'une distribution linux comme debian ou mandrake (signature des packages, site de confiance).
Se pose alors la question de qu'est ce qui fait qu'un package ne soit pas malveillant? juste le fait de le tester, de lire les sources et d'avoir un retour des utilisateurs en dernier recours.
Personne n'a jamais essayé de soumettre un programme avec une backdoor dedans et d'en faire signer le package chez mandrake ou debian? combien de personnes lisent le code d'un projet? combien le test, traquent les appels systèmes etc?
En aucun cas je ne critique les systèmes de packages, pour moi c'est ce qu'il y a de mieux en ce moment, seulement on peut se poser des questions (la réponse c'est encore mieux).
En tout cas pour moi un spyware pour firefox peut venir soit d'une faille (de courte durée de vie étant donné la rapidité de correction) ou d'une extension signée mais malveillante (et là je me pose pas mal de questions).
# Extensions, signature de packages, site de confiance
Posté par knackko . Évalué à 0.
Après lecture la gestion des .xpi semblent se rapprocher de la gestion des packages d'une distribution linux comme debian ou mandrake (signature des packages, site de confiance).
Se pose alors la question de qu'est ce qui fait qu'un package ne soit pas malveillant? juste le fait de le tester, de lire les sources et d'avoir un retour des utilisateurs en dernier recours.
Personne n'a jamais essayé de soumettre un programme avec une backdoor dedans et d'en faire signer le package chez mandrake ou debian? combien de personnes lisent le code d'un projet? combien le test, traquent les appels systèmes etc?
En aucun cas je ne critique les systèmes de packages, pour moi c'est ce qu'il y a de mieux en ce moment, seulement on peut se poser des questions (la réponse c'est encore mieux).
En tout cas pour moi un spyware pour firefox peut venir soit d'une faille (de courte durée de vie étant donné la rapidité de correction) ou d'une extension signée mais malveillante (et là je me pose pas mal de questions).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.