...

• [^]Re: ...

  Posté par Raphaël Maurel-Segala () le 09/02/2005 à 19:50. (lien). Évalué à 2.

  Et pourquoi pas un module pour firefox qui s'occupe de vérifier, d'apres une base de donnée centrale, la "pureté" du navigateur, et avertir l'utilisateur au moindre probleme.

  
  
  Un tel module ne mettrait pas Firefox à l'abri de ces contrariétés.
  Son intérêt résiderait principalment dans le fait de compliquer la tâche du spyware en l'obligeant à opèrer sur le module avant d'attaquer le navigateur proprement dit.
  Mais ça serait déjà pas si mal !

  • [^]Re: ...

    Posté par Spyhawk () le 09/02/2005 à 21:14. (lien). Évalué à 1.

    Un spyware anti spyware ? ;o)
    
    Spyhawk is out -->[]

    --
    "I wonder where I'll go now. The net is vast and infinite."

  • [^]Re: ...

    Posté par Jean Canazzi () le 09/02/2005 à 23:21. (lien). Évalué à 2.

    Je me pose une question : la puissance des extensions de Firefox est du aux possibilités du language, alors comment pourrait-on brider les spyware sans diminuer du meme coup la puissance des extensions ?
    Sachant que sous IE un spyware est généralement une extension que l'utilisateur installe sans savoir ce que c'est...

    • [^]Re: ...

      Posté par Erwan (page perso, ) le 10/02/2005 à 00:21. (lien). Évalué à 3.

      1) On ne peut pas installer d'extension sans l'autorisation explicite de l'utilisateur (boite de dialogue alarmiste quand on installe une extension.
      
      2) Seules les extensions provenant de sites "surs" (mozilla.org, ou les sites que l'utilisateur ajoute lui-meme) peuvent etre installees
      
      3) Une extension peut facilement etre desinstallee par le gestionnaire d'extensions
      
      
      Bref, on ne devrait pas se retrouver a installer une extension sans savoir ce que c'est, et quand bien meme ca arriverait il est facile de virer la dite extension. Si une extension parvient a contourner un de ces points, ce serait un bug, corrige assez vite je pense.

      • [^]Re: ...

        Posté par cykl (Jabber id, ) le 10/02/2005 à 00:37. (lien). Évalué à 3.

        > 3) Une extension peut facilement etre desinstallee par le gestionnaire d'extensions
        
        > et quand bien meme ca arriverait il est facile de virer la dite extension
        
        Sauf que si ca a pas changé l'extension peut faire un rm -Rf ~ en s'installant et tout les trucs sympa et imaginables qui vont avec...

      • [^]Re: madame Michu (was: ...)

        Posté par Thierry (page perso, ) le 10/02/2005 à 08:06. (lien). Évalué à 6.

        On ne peut pas installer d'extension sans l'autorisation explicite de l'utilisateur
        
        Et madame Michu (menagére de moins de 50 ans), au bout d'un moment, clickera sur "OK" parce que l'autre fois, elle n'avait pas cliqué sur "OK" et ça marchait pas. C'est souvent ce qui se passe avec les yusers Windows, et je ne vois pas pourquoi ça ne serait pas la même chose pour les Firefoxés.
        
        ou les sites que l'utilisateur ajoute lui-meme)
        
        Le cousin Robert (celui-qui-sait) lassé des appels incessants de sa tante Germaine, lui conseillera un jour ou l'autre d'accepter de "mettre ce site dans la liste des validés", juste pour être tranquille pendant le film du dimanche soir. C'est souvent ce qui se passe avec les yadminz Windows...
        
        Une extension peut facilement etre desinstallee
        
        Oui, certes, mais une extension bien conçue ne peut-elle s'arranger pour laisser quelques scories derrière elle, quand on lui demande de s'en aller gentiment...
        
        mes deux millicentimes.

        --
        Plop
        et
        Plop

        • [^]Re: madame Michu (was: ...)

          Posté par mcjo () le 10/02/2005 à 14:43. (lien). Évalué à 2.

          Oui, enfin la procédure pour installer les extensions depuis un site tiers sur firefox est assez découragant pour madame Michu qui risque de ne même pas savoir qu'il faut qu'elle installe une extension. En effet si tu tente d'installer une extention depuis un site tiers seul un bandeau jaune en au de l'écran d'avertit, donc madame ne le lira pas puisqu"elle est click & bug....

      • [^]Re: ...

        Posté par Da Scritch (page perso, ) le 10/02/2005 à 08:59. (lien). Évalué à 3.

        Qui audite les extensions ? Imaginez qu'un jour, l'auteur d'une extension très populaire (Adblock ?) décide de mettre un poil de code intrusif dedans...

        • [^]Re: ...

          Posté par tgl () le 10/02/2005 à 14:00. (lien). Évalué à 6.

          Ça n'est pas un problème spécifique aux extensions, c'est un (faux ?) problème commun à tous les logiciels qu'on n'a pas écrits soit même.

      • [^]Re: ...

        Posté par Younes Zouhair () le 10/02/2005 à 09:26. (lien). Évalué à 5.

        3) Une extension peut facilement etre desinstallee par le gestionnaire d'extensions

        
        
        ça je crois c'est laissé à la discrétion du programmeur de l'extension il peut très bien faire en sorte que son installation n'apparaisse pas dans la fenêtre des extensions.

Pas plus

• [^]Re: Pas plus

  Posté par anonimulo () le 09/02/2005 à 20:20. (lien). Évalué à 7.

  Rien n'empeche de tromper l'utilisateur en faisant un fausse page pour "installer la derniere version de Adblock" avec le .xpi corrompu qui va bien et roule ma poule.
  
  FAUX !
  
  * Les .xpi sont centralisés sur update.mozilla.org et il y a un système de feedback direct pour les utilisateurs. Quelqu'un qui y foutrait un spyware ne ferait pas long feu
  * Blocage de l'installation des .xpi sauf pour les sites de confiance.
  * L' UI d'installation des programmes est très compréhensible, j'en avais parlé il y a quelques mois, qui fera que beaucoup moins de personnes cliqueront sur OK sans réfléchir. (Justement, il n'y a pas de boutons OK mais un VERBE, il y a un timeout, dialogue très clair, danger clairement indiqué. Compare avec l'imbittable dialogue SSL d'Internet Explorer)

  • [^]Re: Pas plus

    Posté par vieuxshell () le 09/02/2005 à 20:38. (lien). Évalué à 2.

    Effectivement, en parcourant les options de FF il y a la notion de sites de confiances.
    
    C'est une bonne chose.
    
    Par contre si on tombe sur des vicieux qui:
    1. exploitent une faille de FF pour ajouter un site bancale dans la liste des sites de confiances
    2. envoient un xpi moisi.
    
    Je suis d'accord que c'est chercher le vice et qu'il n'y a pas de logiciel sans bug mais si FF se popularise, il faudra faire avec :/

• [^]Re: Pas plus

  Posté par Julien Catalano (page perso, ) le 09/02/2005 à 21:31. (lien). Évalué à 3.

  Je confirme: je viens de faire la manip et voilà ce que ca donne:
  
  http://julien.catalano.free.fr/adblock-non-signe.png(...)
  
  Adblock n'est effectivement pas signé. Mon Firefox est configuré "d'origine", sans rien de modifié.
  
  Bizarre quand même...
  
  Julien

  • [^]Re: Pas plus

    Posté par Jean Canazzi () le 09/02/2005 à 23:42. (lien). Évalué à 1.

    Ben si l'extension la plus utilisée (ou presque) de Firefox n'est pas signée...
    
    Et puis quand il y aura des dizaines de sociétés qui feront des plugins, voudront-il faire signer chaque mise à jour auprès de la Mozilla Fondation ? Sans doute non, et dans le meme genre, que ce soit sous IE ou Firefox, on a régulièrement des warnings liés aux certificats, qu'on ne lit meme plus à force.... enfin je parle pour moi du moins, pourtant je suis du métier.... alors ma maman hein...

    • [^]Re: Pas plus

      Posté par yxorp () le 11/02/2005 à 13:21. (lien). Évalué à 1.

      Oui, d'autant plus que sur cette capture d'écran, on voit bien que c'est le bouton « Installer maintenant » qui est présélectionné, alors que l'extension n'est même pas signée !

• [^]Re: Pas plus

  Posté par Spack () le 09/02/2005 à 21:56. (lien). Évalué à 4.

  Les .xpi peuvent etre signés mais le sont-ils tous

  
  
  Il ne me semble pas avoir vu beaucoup d'extention signés non plus...Quand la fondation ce décidera t-elle à mettre en place le système ou s'il est déjà en place pourquoi ne les extentions "sûres" ne sont pas signés?

Ben c'est simple ...

• [^]Re: Ben c'est simple ...

  Posté par Thomas Petazzoni (page perso, ) le 09/02/2005 à 19:57. (lien). Évalué à 5.

  Je vais encore défendre Lucas ;-)
  
  Le but de la news « Humeur » de Lucas n'était pas de dire que les Logiciels Libres sont mauvais et les logiciels propriétaires sont bons. Je connais Lucas, et je peux te dire qu'il utilise quasi-exclusivement du Logiciel Libre.
  
  Le but était vraiment de provoquer un débat sur la façon dont est gérée la qualité dans les projets de Logiciels Libres. Il l'a fait de manière assez trollesque et provoquante, mais il y a quand même eu des échanges assez intéressants, des retours d'expériences, des liens sur des outils, etc... Pour moi, c'était pertinent.

  • [^]Re: Ben c'est simple ...

    Posté par L () le 09/02/2005 à 20:17. (lien). Évalué à 8.

    Le but était vraiment de provoquer un débat (...)
    
    Ah ben pour ce qui est de la provocation, je te rassure, c'est un succès, et on peut difficillement le nier :)
    
    > (...) mais il y a quand même eu des échanges assez intéressants, des retours d'expériences, des liens sur des outils, etc... Pour moi, c'était pertinent.
    
    Sur le fond de la nouvelle, il y a probablement du vrai et je ne juge pas ça pertinence sur l'idée car il faut savoir se (Le Logiciel Libre) remettre en question et voir ses points faibles. Mais sur la forme, je pense que la nouvelle nécessitait encore un coup de fer à repasser car il y avait un pli ici. Ah un aussi là. Et encore là ... :)

  • [^]Re: Ben c'est simple ...

    Posté par RuleZ () le 09/02/2005 à 20:33. (lien). Évalué à 3.

    Sa news était pertinente. Elle aurait pu avoir un intérêt garantit.
    Mais les arguments de départ sont trop à c.... (Justifier le bien par le mal, c'est pas bien, c'est mal)
    
    D'ailleurs on est pas loin d'en pondre une nouvelle loi de murphy de tous ces trolls :
    "Lorsqu'un troll pose une question existentielle, il est diablement aisé d'y répondre .. au troll."

• [^]Re: Ben c'est simple ...

  Posté par √λιi () le 09/02/2005 à 20:40. (lien). Évalué à 3.

  Raaaahhhhhh, le méga troll historique (136 commentaires en moins de 24h) de Lucas va nous poursuivre jusqu'ici, au secours !

  • [^]Re: Ben c'est simple ...

    Posté par Gniarf () le 09/02/2005 à 23:02. (lien). Évalué à 2.

    136 ? pffft, il est pitoyable.
    
    réveillez-moi quand il atteindra les 500.

    --
    Windows has no users. It has hostages.

    • [^]Re: Ben c'est simple ...

      Posté par Nap () le 10/02/2005 à 00:00. (lien). Évalué à 2.

      comme XP ?

• [^]Re: Ben c'est simple ...

  Posté par Jean Canazzi () le 10/02/2005 à 00:04. (lien). Évalué à 0.

  Je dirais surtout qu'il n'y a rien de tangible, là tout est pur supposition. On ne va pas faire une dépeche sur les moindres suppositions quand meme, en revanche les journaux sont parfaits pour ça.

  • [^]Re: Ben c'est simple ...

    Posté par L () le 10/02/2005 à 06:37. (lien). Évalué à 3.

    Pure supposition ? Je vais sûrement te choquer, mais tout ce qui est populaire ou fait parler est la cible d'attaque, et je ne parle pas seulement d'informatique. Dans le cas informatique, toutes les applications populaires sont la cibles d'exploits : Windows, Word/Excel (le coup de la DLL chargée par le logiciel quand elle est même dossier que le document est excellent), Internet Explorer ...
    
    Pour Linux, ce pourrait devenir pire une fois le système bien populaire chez le Grand Public : je ne te parle même pas du plaisir personnels pour les crackers de montrer que même les Logiciels Libres ne sont pas des forteresses assez bien gardées pour leur barrer la route. Surtout s'ils doivent déployer des efforts et des techniques plus avancées : tout comme le simple développeur, la satisfaction personnelle du cracker n'en sera que meilleure, surtout si on lui envoie quotidiennement à la figure que "les Logiciels Libres, c'est plus sécure". À force de se reposer sur ces lauriers et d'attendre du tangible, c'est pas une claque qu'on récolte, on en prend plein la gueule !
    
    > Je dirais surtout qu'il n'y a rien de tangible, là tout est pur supposition. On ne va pas faire une dépeche sur les moindres suppositions quand meme, en revanche les journaux sont parfaits pour ça.
    
    Oui tu as sûrement raison. D'ailleurs tu sais, il y a 20 ans, il y a des chercheurs qui passaient à la télévision pour rassurer "la masse populaire" en minimisant cette maladie "qui touche des populations bien paticulières" (version politiquement correcte à l'époque de "homosexuels) car il n'y avait rien de tangible pour entamer une vraie réflexion : le SIDA. Maintenant, ils ont du tangible, ils vont pouvoir réfléchir : c'est juste dommage qu'ils essaient de guerrir au lieu d'avoir voulu prévenir, car en attendant, les dégats sont là, ils sont bien pires, et les gens négligent de plus en plus "les précautions" ... Mais ne t'inquiète pas, ils ont du tangibles maintenant, ils réfléchissent, ils réfléchissent ...

Qui est qui ?

• [^]Re: Qui est qui ?

  Posté par champi (page perso, ) le 09/02/2005 à 20:36. (lien). Évalué à 3.

  Oui mais comme c'est dit plus tot, le fait que par defaut les sites autres que update.mozilla.org ne sont pas autorisés pour installer des XPI + une popup d'installation assez explicative avec un timeout avant validation, ca permet d'eduquer un minimum la 'faille' et limitera AMA donc le phenomene spywares over firefox.

  • [^]Re: Qui est qui ?

    Posté par RuleZ () le 09/02/2005 à 21:04. (lien). Évalué à 3.

    Oui mais ya beaucoup de crétins dans le monde, et encore plus de cons :)
    Enfin .. Ch'ui mauvaise langue, je devrais pas parler comme ça, et plutot me remettre en question avant tout, voir à quel point je peux l'être (con, pas crétin) ...
    
    D'une certaine manière, il est très jubilatoire de voir enfin des mesures de sécurité intelligentes, adaptées, qui contre-balance la plus grosse vulnérabilité d'une application surexposée, et on ne peut que féliciter l'équipe de firefox de faire une vrai démarche qui devrait vraiment en inspirer beaucoup d'autres !
    
    Mais cependant ... imaginons que je sois un crétin ... pour arriver à mes fins, je ne chercherais pas à forcer une porte blindé, je me contenterai de passer par la fenêtre de derrière laissée ouverte (la candeur, toujours) ...=> plugin.rpm (je ne vais pas détailler plus que ça, les crétins me comprendront)

• [^]Re: Qui veut quoi ?

  Posté par Sam Kyritsoglou (page perso, ) le 09/02/2005 à 20:59. (lien). Évalué à 2.

  La meilleur protection à long terme pour tout ce qui est spywares, virus, liens vers des sites porno, spams (pas si sûre de cela pour les spams mais bon) est l'éducation de l'utilisateur via à via du monde (Internet/Informatique en générale) qui l'entoure.
  
  La plupart des personnes réagissent seulement après avoir rencontré un problème majeur (et encore). Pas besoin de siter le cas d'un(e) utilisateur(rice) qui perd toutes ses données pour quelles causes que ce soit.
  
  Par contre, certains sont infectés par des spyware et ne semble pas entre consient du problème/dangé.
  
  Pour certains, et ce n'est pas péjoratif, veulent tout reste un outil façile a utilisé, sans se poser trop de question. Ce qui si tout-le-monde-est-beau-tout-le-monde-il-est-gentil était vrai serai le cas.

  • [^]Re: Qui veut quoi ?

    Posté par Jean Canazzi () le 10/02/2005 à 00:11. (lien). Évalué à 2.

    Vouloir éduquer les Mmes Michus à travers le monde, c'est la meme chose que vouloir empecher les masses de downloader des mp3 : on va à l'encontre de la nature humaine. Non, Mme Michu ne veut pas d'une formation pour utiliser son grille pain, qu'on se le dise !

[+] certe mais...

• [^]Re: certe mais...

  Posté par Spack () le 09/02/2005 à 22:06. (lien). Évalué à 2.

  C'est bien là le problème, une faille dans IE peut ouvrir la porte aux pirates vers Windows à cause justement de cette intégration de IE dans le système...

  • [^]Re: certe mais...

    Posté par Nap () le 09/02/2005 à 23:11. (lien). Évalué à 3.

    ah bon, pourquoi ?
    
    une faille dans un logiciel, c'est une porte ouverte vers l'OS, quelle que soit son intégration.

    • [+] [^]Re: certe mais...

      Posté par Spack () le 09/02/2005 à 23:38. (lien). Évalué à -1.

      Cependant dans ce cas IE "c'est Windows" le processus Explorer.exe c'est IE qui le gère ou un truc dans le genre...Donc une faille dans IE peut ouvrir une porte vers Windows...

      • [^]Re: certe mais...

        Posté par Nap () le 10/02/2005 à 00:04. (lien). Évalué à 3.

        j'ai du mal à suivre ton raisonnement, surtout au niveau du "ouvrir une porte"...
        un processus compromis, et c'est toute les données accessibles à l'utilisateur qui sont compromises. Firefox ou IE. Si Firefox a envie de péter tes données, il a le droit, comme pour explorer.exe
        enfin c'est pas bien grave :)

      • [+] [^]Re: certe mais...

        Posté par Jean Canazzi () le 10/02/2005 à 00:21. (lien). Évalué à -1.

        En tout cas sous Win quand IEXPLORE.EXE crashe, on perd juste la barre des taches pendant quelques secondes, le temps qu'il se relance. Donc je ne pense pas qu'il constitue à ce point là le coeur du système. En gros il est juste assez intégré pour que Micosoft puisse dire au juge qu'on ne peut pas l'enlever sans tout pèter.

      • [^]Re: certe mais...

        Posté par pasBill pasGates () le 10/02/2005 à 00:56. (lien). Évalué à 6.

        Faux sur toute la ligne.
        
        IE c'est un processus a part, si il crashe, seul IE crashe, explorer ne crashera pas, l'OS ne crashera pas, ...
        
        IE est "dans Windows" car Explorer utilise les librairies de rendu d'IE et l'aide est en pseudo-HTML avec un rendu par le moteur d'IE, mais le browser Internet Explorer c'est une application comme Firefox.
        
        Que Firefox ou IE crashe, que Firefox ou IE ait une faille de securite, le resultat est _identique_ car les 2 sont des applications dont ne depend pas le systeme.

        • [^]Re: certe mais...

          Posté par inico (Jabber id, page perso, ) le 10/02/2005 à 07:53. (lien). Évalué à 1.

          Sauf que quand IE plante, il n'entraine pas que IEXPLORE.exe dans le crash.
          Il entraine aussi les librairie donc explorer.exe a tendance a planter 10 minutes après.
          
          Alors que Firefox, il entraine dans sa chute lui-meme et c'est pratiquement tout (peut etre Java mais c'est plutot Java qui plante Firefox).
          
          

          --
          "Les États-Unis sont le seul pays à être passé de la barbarie à la décadence sans connaître la civilisation." -- (origine réelle inconnue) Albert Einstein/Oscar Wilde/Georges Clemenceau/etc..

          • [^]Re: certe mais...

            Posté par Seazor (Jabber id, ) le 10/02/2005 à 08:23. (lien). Évalué à 2.

            Sur le sujet : crash d'une appli en entraine d'autres...
            On se posera plus de questions de ce coté là si XUL se répand.
            Et p-ê si ils arrivent enfin à le sortir en lib séparée des executables de chez mozilla ...

            --
            "We all freezed on a bugged subroutine, bugged subroutine, bugged subroutine..." (nearly Beatles)

          • [^]Re: certe mais...

            Posté par pasBill pasGates () le 10/02/2005 à 19:36. (lien). Évalué à 3.

            Sauf que quand IE plante, il n'entraine pas que IEXPLORE.exe dans le crash.
            Il entraine aussi les librairie donc explorer.exe a tendance a planter 10 minutes après.
            
            Les libs elles sont mappees par processus comme dans tout OS qui se respecte et si le process X utilisant la lib Y crashe, le process Z utilisant la lib Y ne crashe pas.
            
            IE quand il plante, sur XP/W2k/WS03 il n'entraine que lui meme, explorer est un process separe qui n'a rien a voir avec IE.

        • [^]Re: certe mais...

          Posté par anonimulo () le 10/02/2005 à 09:29. (lien). Évalué à 0.

          IE c'est un processus a part, si il crashe, seul IE crashe, explorer ne crashera pas, l'OS ne crashera pas, ...
          
          IE est "dans Windows" car Explorer utilise les librairies de rendu d'IE et l'aide est en pseudo-HTML avec un rendu par le moteur d'IE, mais le browser Internet Explorer c'est une application comme Firefox.
          
          Que Firefox ou IE crashe, que Firefox ou IE ait une faille de securite, le resultat est _identique_ car les 2 sont des applications dont ne depend pas le systeme.
          
          Pour en finir définitivement avec ce troll : tu as un moyen simple (ie des explications compréhensibles par ma mère) pour désinstaller Internet Explorer ?
          
          Je viens d'essayer sous KDE. On peut très facilement désinstaller Konqueror tout en laissant la bibliothèque KHTML pour que l'aide, amarok et toussa continuent à fonctionner. On peut alors installer un autre navigateur (à la Safari) si on veut.
          
          Si tu réponds correctement à la question précédente, j'arrêterais de penser que Konqueror est une "feature" là où IE est du "bloat"

          • [^]Re: certe mais...

            Posté par tgl () le 10/02/2005 à 14:23. (lien). Évalué à 3.

            > tu as un moyen simple (ie des explications compréhensibles par ma
            > mère) pour désinstaller Internet Explorer ?
            [...]
            > On peut très facilement désinstaller Konqueror tout en laissant la
            > bibliothèque KHTML
            
            Autant tu peux déduire de la possibilité de désinstaller konqueror sans virer les libs qu'il y a bien un découpage pour ce qui est de KDE, autant tu ne peux rien conclure de l'impossibilité de désinstaller IE.
            
            Ça n'est pas forcement un problème d'architecture logicielle, des questions de packaging suffisent largement à l'expliquer. Imagine une distrib' qui ne fournirait qu'un gros kde-3.3.rpm pour installer la totale, est-ce que tu en déduirais que KDE est un plat de nouilles indémerdables ?

            • [^]Re: certe mais...

              Posté par Pooly (page perso, ) le 10/02/2005 à 22:12. (lien). Évalué à 1.

              apt-get install kde tu veux dire ?? :-)
              
              --> []

              --
              W-Fenec : Webzine rock/métal/indus

          • [^]Re: certe mais...

            Posté par Julien () le 10/02/2005 à 14:36. (lien). Évalué à 1.

            Pourquoi tu veux désinstaller internet explorer ?
            
            Vu que tu as toujours besoin des bibliothèques HTML, la seule chose que ça ferait, c'est enlever l'interface. L'exécutable en lui même ne fait que 90ko. Au pire, tu vas gagner 5Mo en place libre sur le disque.
            
            Et dans la foulée, tu vas casser toutes les applis qui appellent "iexplore.exe" directement (oui, c'est n'importe quoi, mais il y en a qui le font et il faut bien le prendre en compte).
            
            Pour MS, c'est du support en plus ("Mon appli X ne marche plus comme avant, ça pue Windows, ça marche aléatoirement..."), donc l'intérêt de proposer une désinstallation facile est nul, c'est même contre-productif.
            
            Après, tu peux toujours le faire à la main, après avoir désactivé la protection des fichiers, mais bon, quel intérêt vraiment ?

          • [^]Re: certe mais...

            Posté par pasBill pasGates () le 10/02/2005 à 19:37. (lien). Évalué à 2.

            Va effacer iexplore.exe qui fait moins de 100Ko, t'auras le meme resultat. Mais je suis pas sur que tu y gagnes...

    • [^]Re: certe mais...

      Posté par Spack () le 11/02/2005 à 02:20. (lien). Évalué à 2.

      Je lisais une news sur une faille puis je me suis rappelé de cette phrase :
      

      ah bon, pourquoi ? une faille dans un logiciel, c'est une porte ouverte vers l'OS

      
      
      C'est sans doute à force de lire qu'une faille dans tel logiciel permet de prendre le contrôle du système et etc...
      Il suffit d'aller sur Secunia voir le nombre d'alertes de ce genre...
      
      Exemple pour IE http://secunia.com/advisories/11165/(...) :
      

      Multiple vulnerabilities have been reported in Internet Explorer, which can be exploited by malicious people to conduct cross-site scripting and phishing attacks, disclose sensitive information, bypass certain security restrictions, and compromise a user's system.

      • [^]Re: certe mais...

        Posté par pasBill pasGates () le 11/02/2005 à 19:40. (lien). Évalué à 2.

        Ben oui, c'est donc la meme chose pour IE et Firefox

La question se pose depuis longtemps....

• [^]Re: La question se pose depuis longtemps....

  Posté par Jean Canazzi () le 10/02/2005 à 00:32. (lien). Évalué à 1.

  Oui mais là on ne parle pas de virus ni de vers, mais de spyware. A savoir, un programme qui profite de l'installation d'un autre pour véroler le système, sachant que l'auteur de "l'autre" a conclu un accord avec l'auteur du spyware pour le packager discrétos avec son soft.
  
  C'est clair que quand on ne connait pas bien le monde Windows, tout cela peut parraitre un brin compliqué. En gros faut juste retenir que ça n'est pas lié à une faille de sécurité de l'OS, donc possible sous Nunux.

• [^]Re: La question se pose depuis longtemps....

  Posté par Matthieu Moy (page perso, ) le 10/02/2005 à 12:27. (lien). Évalué à 1.

  Sauf que si tu regardes des chiffres récents, IIS n'est plus si attaqué que ça par rapport a apache.
  
  En pratique, en général, les failles exploitées par les vers sont déjà corrigées, la question est surtout de savoir si l'admin a mis a jour entre temps.

kif kif

• [^]Re: kif kif

  Posté par Florent Bayle (page perso, ) le 10/02/2005 à 08:05. (lien). Évalué à 2.

  donc je vois pas pourquoi vous vous excitez les uns les autres avec les signatures de xpi et les sites de confiance.

  
  Peut-être paceque si un .xpi est signé par (par exemple) la mozilla fondation, on est sûr qu'il ne contient pas de spyware.
  Là tu vas me dire que j'ai rien compris à ce que t'as dit, que les spywares sont installés par d'autres logiciels,... Mais j'ai compris. Cependant, sur la plupart des distributions linux actuelles, la plupart des logiciels sont installé sous forme de paquets mis à disposition par la distribution, donc je pense que la majoritée des programmes ne risque pas d'installer de spyware. La meilleure porte d'entrée pour un spyware reste donc de s'installer directement grâce à un .xpi.
  Il n'en vas bien sûr pas de même dès que l'on utilise des logiciels non-inclus dans la distribtion et/ou non-libres.
  Concernant windows, je pense que effectivement, on ne vas pas tarder à voir arriver des spywares qui s'installerons autant sur firefox que sur internet explorer dans des logiciels tels que kazaa.

  • [^]Re: kif kif

    Posté par Nap () le 10/02/2005 à 08:20. (lien). Évalué à 3.

    Cependant, sur la plupart des distributions linux actuelles, la plupart des logiciels sont installé sous forme de paquets mis à disposition par la distribution, donc je pense que la majoritée des programmes ne risque pas d'installer de spyware.

    
    
    pertinent, mais le journal ne parle hélas strictement pas de linux. Si les spywares vont peut-etre s'attaquer à firefox, c'est parce qu'il dépasse les 10% d'utilisateurs. Et si il dépasse 10% des utilisateurs, ce n'est certainement pas sous linux (0.5% des utilisateurs), mais sous windows.
    
    Sinon, en ce qui concerne linux, je suis persuadé que dès qu'il dépassera un certain seuil d'utilisation, de très nombreux logiciels propriétaires vont débarquer, que les gens ne vont vraiment pas snober (skype est un exemple), qui ne proposeront pas des paquets pour une distrib donnée (le travail de packaging est fait généralement par les distribution, qui ne packageront pas des logiciels proprios), mais plutôt un installeur graphique qui se chargera à coup sûr de moisir notre panda avec des spywares, qui sont de toute manière un des principaux modes de financement des logiciels propriétaires gratuits (kazaa par exemple).

Objectivité ?

• [^]Re: Objectivité ?

  Posté par Laurent J (page perso, ) le 10/02/2005 à 12:34. (lien). Évalué à 3.

  Ceci dit, qu'ils appartiennent à une société anti-spyware ou pas, ils n'ont pas tord.
  
  Je t'en fait quand tu veux des spywares via des xpis. Je peux même t'en faire qui ne sont pas virés même si tu vire l'extension en question, ou même firefox.
  
  Et le fait que l'on peut voir ou pas les sources d'une extension n'y changera rien. Si monsieur michu veut absolument installer l'extension qui affiche la météo de pavalas les flots, trouvé sur un obscure site, il le fera. Ce n'est pas le système de prévention d'installation d'extension de firefox qui l'empechera.
  
  Et une fois installée, il sera déjà trop tard. Rien n'empêche une extension d'installer un exe ou autre quelque part sur le disque, ou de l'executer directement, cet exe allant bidouiller la base de registre pour qu'un autre exe soit démarré au boot etc...
  
  Comble du bonheur, y a tout dans l'API de Mozilla pour aller recuperer un fichier distant sur le grand mechant ternet. Donc l'exe en question n'a même pas besoin d'être livré avec l'extension. Bref, le spyware, finalement, ça prendre 5 lignes javascript dans l'extension. Et vas y que je te fous ça dans une grosse extension comme par exemple chatzilla. Eh bien personne n'y verra rien. Sauf ceux qui mettront le nez dedans mais ils sont rares, trés rares. Qui parmis les utilisateurs de chatzilla ont jeté un coup d'oeil aux sources ? Bon, rassurez vous, on est à 99% sûr que chatzilla est sûr, étant donné qu'il est dans le CVS de mozilla :-). Mais quid des autres ? De l'aveu même d'un développeur de Mozilla (je ne retrouve plus le lien), rien n'empêche qu'il y ait des spywares dans les extensions dispo sur update.mozilla.org car personne ne verifie toutes les extensions nouvelles et les nouvelles versions à 100%. Quid aussi des extensions traduites dispo sur geckozone ? Le traducteur peut trés bien rajouter quelques lignes javascripts dans un coin ...
  
  Certes ça se saurait certainement assez vite, mais en attendant, ça aura fait des dégats. Reste aussi le problème de prévenir tous les utilisateurs de ladite extension. Ce n'est pas une mince affaire (non, monsieur michu, il va jamais sur le site securemachin.com, ni meme sur actuinformatiqueblabla.com)
  
  Bref, des spywares dans Firefox, oui, c'est possible, et ça va trés certainement arriver.

  • [^]Re: Objectivité ?

    Posté par anonimulo () le 10/02/2005 à 13:14. (lien). Évalué à 0.

    Reste aussi le problème de prévenir tous les utilisateurs de ladite extension.
    
    Il y a dans Firefox un système automatique de recherche de mise à jours des extensions. Il suffirait de mettre sur update.mozilla.org une version (N+1) dépourvu du spyware, on peut même rajouter dans la nouvelle extension un message d'information pour lui dire comment se débaraser d'éventuels autres dégats.
    
    Bref, je dis pas que c'est parfait, mais ca me semble aussi bon que ca puisse être.

Extensions, signature de packages, site de confiance

Extensions, signature de packages, site de confiance