Discussion :

[Hinault Romaric]

Firefox : Mozilla va bloquer toutes les extensions qui ne sont pas signées numériquement
pour offrir plus de sécurité aux utilisateurs

Firefox doit une partie de son succès à cette possibilité qu’il offre aux développeurs d’étendre ses fonctionnalités grâce à des extensions. Cependant, certains développeurs ont abusé de cette fonctionnalité en modifiant, par exemple, sans le consentement de l’internaute certains de ses paramètres ou en publiant des extensions malveillantes.

Afin d’améliorer la sécurité et les performances de son navigateur, la fondation Mozilla compte désormais obliger le recours à des signatures numériques pour toutes les extensions Firefox.

« Nous sommes responsables de notre écosystème d’extensions, et nous ne pouvons pas rester les bras croiser alors que nos utilisateurs souffrent à cause de mauvaises extensions », explique Mozilla, qui regrette la prolifération « des extensions qui changent la page d’accueil et les paramètres de recherche de l’utilisateur sans son consentement, comme celles qui injectent des annonces dans les pages Web ou des scripts malveillants sur les sites de médias sociaux. »

Pour réduire les conséquences de ces extensions, Mozilla avait publié des directives que devait suivre l’ensemble des extensions, et pouvait procéder au blocage à distance des extensions qui ne respectent pas cette charte. Cependant, ces extensions, qui ne figurent pas sur AMO (Mozilla Add-On), la plateforme officielle d’hébergement d’extensions Firefox, ont développé des mécanismes rendant difficile leur détection et leur blocage.

Mozilla monte ainsi au créneau. Mais, n’opte pas, cependant, pour une solution radicale en imposant Mozilla Add-On comme unique référentiel pour les extensions Firefox, comme l’a fait Google pour Chrome. « Une solution simple serait de forcer tous les développeurs à distribuer leurs extensions, à partir de AMO comme c’est le cas pour les extensions Chrome. Cependant, nous pensons que c’est une contrainte inutile. Pour maintenir l’équilibre, nous avons opté pour une signature numérique des extensions, ce qui nous donnera un meilleur contrôle sur l’écosystème des extensions, sans obliger que AMO soit le seul canal de distribution », explique Mozilla.

Les extensions figurant dans le canal de distribution officiel seront automatiquement signées par Mozilla. Pour les autres extensions, elles devront être soumises à la fondation pour signature. Celles-ci seront signées après un examen automatisé. En cas d’échec de la signature, les développeurs auront la possibilité de demander une vérification manuelle de l’extension par Mozilla. Pour les extensions destinées à des usages en intranet, Mozilla va mettre en place un mécanisme pour leur vérification.

Cette nouvelle directive prendra effet après une période transitoire de 12 semaines (équivalent à la publication de deux versions de Firefox) durant laquelle les extensions non signées retourneront un avertissement dans le navigateur. Après cette période, il ne sera plus possible d’installer des extensions non signées sur les versions bêta et stables de Firefox.

Pour les développeurs ils devront tester leurs extensions sur Firefox Nightly ou la « Developer Edition », qui ne sont pas concernées par cette nouvelle mesure.

Source : Mozilla


Et vous ?

Que pensez-vous de cette mesure ? Était-il temps ?

[Wirbelwind]

Troquer un peu plus de sécurité pour un peu moins de liberté, en voilà une bonne initiative

[kolodz]

Pour personnellement avoir vue des plug-in à la con s'installer sur mon Firefox. Je trouve que c'est une bonne initiative.
Ce n'est pas un problème de sécurité/liberté pour l'utilisateur. Car dans 90% des cas qui sont visées ont est dans des applications frauduleuses qui réalisent des choses dans le dos de l'utilisateur. Dans les autres cas, Mozilla compte donnée les moyens de contourner le problème. Je suppose que cela sera un "J'ai MarketPlace spécifique à tel adresse." ou "Je suis un utilisateur avertie et je passe outre la validation de la signature."
Je doute que faire un procès à Mozilla pour réduction des libertés soit une bonne idée. Encore plus quand tu peux passer à la version "Développeur" où il n'y a pas cette problématique.

D'ailleurs, FireFox respect le standard HTTPS, ce qui me rends certains site inaccessible (ceux qui sont en HTTPS dur, le HTTPS classique c'est juste "le certificat est auto-signé : ça pu") depuis celui-ci au travail. Car, mon entreprise se permet de lire le contenu et de me renvoyer la page avec un certificat auto-signé. Et Internet Explorer / chrome ne m'affiche même pas un warning... Pour eux tout est normal...

Cordialement,
Patrick Kolodziejczyk.

[Beanux]

Au moins, ça évitera de retrouver des pc de Monsieur Duchmol ou Mme Michu avec 36 plugins vérolé installé par les adware qui sont joints aux installateurs de "mon site de téléchargement".

[azias]

Je ne suis pas développeur d'extensions Firefox donc difficile de dire quels seront les impacts mais j'ai l'impression que ça ne va pas passer aussi simplement que ça en pratique au niveau des développeur d'extensions, en particulier pour les extensions non distribuées publiquement, liées à un service en particulier.

Un petit coup de flou:

For extensions that will never be publicly distributed and will never leave an internal network, there will be a third option. We’ll have more details available on this in the near future.

S'ils commencent par mettre des filtres relativement tolérants pour ne supprimer que les extensions connues comme problématiques et ensuite monter le niveau d'exigence au fur et à mesure, ça laissera le temps aux développeurs de mettre leurs extensions en conformité.

J'ai l’impression que ça va représenter un travail non négligeable pour se mettre à niveau. Surtout pour expliquer au patron qu'il faut dégager du temps et du budget pour un extension qui jusque là fonctionnait très bien et à laquelle personne n'a touché depuis longtemps. Sans compter quand ça a été déployé chez des clients qui n'ont pas forcément acheter du support...

Sinon en tant qu'utilisateur de Firefox, c'est plutôt un bonne nouvelle mais j’attends de voir quelle sera la taille de maille de la passoire. J'avoue que j'aurai sans doute préférer un système d'autorisations "à la Android" pour être mieux informé de ce que l'extension fait. Mais ce n'est pas forcément contradictoire. Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.

[Shuty]

Sincèrement, vu le nombre d'extensions qui se sont rajouté à mon Firefox je bien heureux qu'il commence enfin à signer leurs app.

[tes49]

Salut

Au moins, ça évitera de retrouver des pc de Monsieur Duchmol ou Mme Michu avec 36 plugins vérolé installé par les adware qui sont joints aux installateurs de "mon site de téléchargement".

Monsieur Duchmol ou Mme Michu n'ont pas 36 extensions vérolés... car il y en à pas tant que cela ! C'est souvent les mêmes que l'on voit revenir et polluer les profiles. Il est vrai que ses mauvaises extensions arrivent souvent par des applications... Trèsssss rarement via AMO.
Et bien sur éviter certains sites (01 net, softonic, etc..), pour privilégier les sites d'origine !!!

Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.

C'est toujours possible...

Sincèrement, vu le nombre d'extensions qui se sont rajouté à mon Firefox je bien heureux qu'il commence enfin à signer leurs app.

Aucun intérêt, si tu prends tes extensions sur AMO et qu'elles ont été vérifiées complètements ou partiellement.
Perso, j'en ai une bonne trentaine d'activées, mais jamais eu d'extensions néfastes.

[Zefling]

Perso, j'en ai une bonne trentaine d'activées, mais jamais eu d'extensions néfastes.

Moi, jamais, mais ma mère sur son PC, je ne compte même plus le nombre de fois où j'ai dû virer une extension merdique. Je ne sais jamais comment ça arrive, elle est pas capable de me l'expliquer.

[kolodz]

Facile ctrl+h tu regarde la liste des sites "bisarres"^^

[AoCannaille]

Et bien sur éviter certains sites (01 net ....)

Dire qu'il y a quelques années ce site était la référence des sites de téléchargement... Pas (trop) de pub, pas de virus... Ils sont tombés bien bas

[gamez]

> Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.

>> C'est toujours possible...

et comment?

[tes49]

Bonjour

> Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.

>> C'est toujours possible...

et comment?

Cela à toujours été possible et le restera, rien que pour les tests des développeurs d'extensions ! Il n'y à pas le choix.

Attention à qu'elle extension, on veut appliquer l'installation forcée ! Une extension qui joue sur l'interface de Firefox ou qui ajoute quelques boutons, il est fort possible qu'elle ne soit plus compatible et puisse poser des problèmes...

Comment ?... en ajoutant la préférence booléenne "extensions.checkCompatibility.(+nom de la version ou n° de version)" en false, dans about:config.
Bien sur, à chacun de prendre ses risques... car cela veut dire aussi que des toolbars pourraient s'installer facilement, comme c'est souvent le cas aujourd'hui via l'autorisation de l'utilisateur (par ex : installation de logiciels pas suivit et donc pas contrôlé..) !

[tes49]

Salut

Les extensions signées arrivent... j'en ai eu 8 pour ce matin, mais seulement 2 ont réussi à s'installer ! Les autres avaient une erreur au téléchargement !
Donc pour les impatients, il est bien sur possible de les installer (sans supprimer les anciennes versions, cela se faisant automatiquement) en passant par le site des modules de Mozilla ou soit le site d'origine de l'extension accessible via le "plus" se trouvant à chaque extension.

Cela dit, si patience... ses erreurs devrais être corrigées, sans doute problème de serveurs ! J'ai installé les mises à jour pour un de mes profiles, mais pas envie de le faire pour tous !

Bien sur les extensions non signées sont toujours installables sans aucun problème (et sans modifications dans about:config, comme expliqué dans mon précédent message) pour le moment, vu que l'avertissement ne devrait être intégré qu'à partir de Firefox 39, c'est à dire pas avant le 29 Juin.

Edit... vers 16h la mise à jour des extensions se passait à nouveau sans problème.

[Hinault Romaric]

Firefox : Mozilla procède à la signature numérique des extensions
pour évincer de son écosystème les extensions malveillantes

La fondation Mozilla a débuté avec son opération de signature numérique des extensions pour son navigateur Firefox.

La firme a informé les développeurs la semaine dernière qu’elle procède à la signature automatique de leurs extensions qui ont été publiées sur sa galerie d’extensions Mozilla Add-On (AMO).

Une fois la signature effectuée, la fondation procédera automatiquement à des mises à jour pour fournir les nouvelles versions aux utilisateurs et informera les développeurs. Ceux-ci sont invités à procéder à un test de leurs extensions pour vérifier si elles fonctionnent correctement.

Deux nouvelles fonctionnalités seront activées sur AMO cette semaine. La première permettra de signer les nouvelles extensions de AMO après analyse. La seconde, à destination des développeurs qui ne souhaitent pas héberger leurs extensions sur AMO, leur permettra de soumettre leurs extensions pour signature.

En cas d’échec de la signature, les développeurs ont la possibilité de demander une vérification manuelle de l’extension par Mozilla. Pour les extensions destinées à des usages en intranet, Mozilla compte mettre en place un mécanisme pour leur vérification.

L’organisme invite par ailleurs les développeurs à consulter les nouvelles règles de « Add-on Distribution Developer Agreement » pour prendre connaissance de la nouvelle façon dont les extensions seront désormais gérées.

Lorsque la signature sera prise en compte dans Firefox, toutes les extensions qui n’ont pas été signées numériquement seront bloquées par le navigateur. La fondation fait savoir qu’elle laissera assez de temps aux développeurs pour s'y conformer avant que la mesure n’entre en vigueur.

Cette nouvelle mesure a pour objectif d’offrir une meilleure sécurité aux utilisateurs. Mozilla fait savoir que les développeurs ont abusé de cette fonctionnalité pour publier des extensions malveillantes, ou modifier les paramètres de Firefox sans le consentement de l’utilisateur.

« Nous sommes responsables de notre écosystème d’extensions, et nous ne pouvons pas rester les bras croisés alors que nos utilisateurs souffrent à cause de mauvaises extensions », avait expliqué Mozilla dans un billet de blog. « Une solution simple serait de forcer tous les développeurs à distribuer leurs extensions à partir de AMO comme c’est le cas pour les extensions Chrome. Cependant, nous pensons que c’est une contrainte inutile. Pour maintenir l’équilibre, nous avons opté pour une signature numérique des extensions, ce qui nous donnera un meilleur contrôle sur l’écosystème des extensions, sans obliger que AMO soit le seul canal de distribution. »

Pour le test des extensions pendant le développement, les développeurs seront obligés d’avoir recours à Firefox Nightly ou à la « Developer Edition », qui ne sont pas concernées par cette nouvelle mesure.

Source : Mozilla