Discussion :

[Hinault Romaric]

Mozilla met fin à l’ajout des plugins par des applications tierces
sans autorisation des utilisateurs, avec une nouvelle fonction de Firefox 8


À partir de Firefox 8, Mozilla va bloquer l’installation automatique des plugins par des applications tierces sans le consentement de l’utilisateur.

La gestion des plugins dans le navigateur Firefox a toujours été un problème pour les utilisateurs du navigateur qui se retrouvent parfois surpris de trouver des extensions dans leur navigateur qu’ils n’ont pas installées.

Pour Mozilla, ces extensions installées discrètement par des tiers présentent un certain nombre de problèmes comme le ralentissement du temps de chargement des pages, l’encombrement de l’interface utilisateur avec des barres d’outils qui sont souvent inutilisées, etc.

L’organisme était allé jusqu'à s’insurger contre Apple, Microsoft, Google. “Ce comportement n'est pas acceptable. J'ai téléchargé et installé une application spécifique de ces éditeurs avec l'intention d'avoir uniquement cette application installée, et sans mon accord, elle m'a imposé des logiciels supplémentaires. Dans mon dictionnaire, cela correspond à la définition d'un Cheval de Troie " avait déclaré Asa Dotzler, l'un des membres fondateurs de Mozilla.

La nouvelle fonctionnalité qui sera intégrée au navigateur permettra lors du démarrage de Firefox de vérifier et désactiver automatiquement toute extension installée par une application tierce, jusqu'à ce que l’utilisateur approuve explicitement l’ajout du plugin.



Lors de la migration des utilisateurs vers une version de Firefox contenant cette fonctionnalité, le navigateur va conserver par défaut tous les plugins installés par l’utilisateur. Les extensions qui avaient été installées par les autres applications seront bloquées jusqu'à confirmation de l’utilisateur.

La fonctionnalité pourra être testée dans Firefox 8 qui sera disponible sur le canal Aurora la semaine prochaine.

Source : Mozilla


Et vous ?

Que pensez-vous de cette fonctionnalité ?

[Freem]

Super, j'ai enfin une raison de promouvoir à nouveau firefox.
Finies les barres d'outils stupides et inutiles qui pourrissent la vie des utilisateurs (qui pourrissent surtout la vie des amis/parents de ces gens qui sont informaticiens et doivent réparer les conneries des premiers...)

Depuis pas mal de temps j'étais blasé et plutôt pessimiste au sujet de leur navigateur. Maintenant, avec la quantité de news à leur sujet, j'admet qu'on dirait bien qu'ils se bougent chez mozilla, et il est probable qu'un de ces quatre matins je leur donne une nouvelle chance.

Serait-ce leur nouveau système de versioning qui les motive?
En tout cas c'est une excellente nouvelle.
Cette sécurité, qui il me semble, est absente des autres navigateurs, conjuguée à leurs efforts pour rendre à nouveau firefox utilisable sur une machine de faible performance, est vraiment à saluer.

[ProgVal]

À mon avis, il sera toujours possible aux applications tierces d'installer des plugins, en modifiant directement le contenu du dossier où FireFox met ses extensions.
Mais ça sera moins facile, et clairement non souhaité.

[adiGuba]

À mon avis, il sera toujours possible aux applications tierces d'installer des plugins, en modifiant directement le contenu du dossier où FireFox met ses extensions.

Ben c'est justement ce qui est critiqué ici, et ce qui sera bloqué par Firefox 8...


a++

[ProgVal]

Ben c'est justement ce qui est critiqué ici, et ce qui sera bloqué par Firefox 8...

Je suis curieux de savoir comment ils vont empêcher l'accès direct aux fichiers.

[fpascal]

j'espére qu'il aura moyen de contourné sa, surtous en entreprise pour que les admin puis pousée des mise à jour, ajouts, etc... de plugins

[adiGuba]

Je suis curieux de savoir comment ils vont empêcher l'accès direct aux fichiers.

D'après ce que je comprend, ils pourront toujours mettre des fichiers dans les répertoires de plugins/extensions, mais ceux-ci ne seront plus activé par Firefox sans le consentement de l'utilisateur.

A l'heure actuelle, il suffit de copier un fichier dans le répertoire plugins des navigateurs pour qu'il soit pris en compte automatiquement.

Firefox 8 demandera à l'utilisateur une action spécifique pour activer les plugins ajouté de cette manière.





Reste à voir s'ils ne modifieront pas également directement les fichiers de configuration de Firefox pour passer outre ces mesures...



a++

[ProgVal]

Reste à voir s'ils ne modifieront pas également directement les fichiers de configuration de Firefox pour passer outre ces mesures...

C'est bien de ça que je parlais.

[Uther]

Reste à voir s'ils ne modifieront pas également directement les fichiers de configuration de Firefox pour passer outre ces mesures...

Firefox maintient une liste distante d'addons dangereux qu'il désactive automatiquement.
Si certains installeurs s'amusent a modifier directement les fichiers de firefox pour s'installer sans avertissement, il est probable qu'ils finiront dans cette catégorie. Et si ils s'amusent a aller plus loin en désactivant le système, je pense que les logiciels de sécurité risquent d'avoir à se pencher sur leurs cas car les limites du malware seraient clairement franchies.

L’intérêt est avant tout de freiner les addons légaux installés discrètement en même temps que certaines applications Microsoft, Yahoo, ...
Si le programme est vicieux au point de modifier le fonctionnement normal de Firefox, c'est perdu d'avance, il pourrait même installer un rootkit pour arriver à ces fins. Par contre un tel programme rentre clairement dans la catégorie des malwares, ce que des sociétés sérieuses ne peuvent se permettre.

[Freem]

j'espére qu'il aura moyen de contourné sa, surtous en entreprise pour que les admin puis pousée des mise à jour, ajouts, etc... de plugins

Dans ce cas, il suffira à l'admin d'exporter les fichiers de config, difficile d'appeler ça gênant.
Et je doute que mozilla ne pense pas à ceux qui automatisent les tâches, bien que la question du comment soit en effet intéressante...
Procédure d'installation de firefox automatisée avec les MSI? (pour windows)
Utilisation d'un utilisateur aux droits avancés configuré dans FF qui aie le droit d'installer de manière transparente des plugin?
En 30s j'ai trouvé deux idées, alors j'imagine que les dev, depuis le temps, ont pensé à bien plus que deux, et de bien meilleure qualité que les 2 miennes.

Reste à voir s'ils ne modifieront pas également directement les fichiers de configuration de Firefox pour passer outre ces mesures...

a++

Il me semble avoir vu un fichier de bdd sqlite3 dans la config de ff. Bon, ça date puisque je n'ai pas utilisé ce navigateur depuis longtemps, mais je doute que ça aie changé.

Si c'est bien ça qui stocke la configuration, alors ne serait-il pas possible d'utiliser le système des "grant" sql pour empêcher une écriture par un autre utilisateur?
Si oui, alors le problème sera un poil plus compliqué à contourner pour ces em******** de revendeurs de malwares (trojan/adware, prenez celui que vous voulez)

Il me semble aussi que NTFS gère l'accès aux fichiers selon l'utilisateur/groupe (et les autres systèmes de fichier non microsoft aussi).
Si les fichiers de config sont créés sous un autre utilisateur, je ne pense pas que ce soit aisé pour un programme de les changer?

[ProgVal]

Il me semble avoir vu un fichier de bdd sqlite3 dans la config de ff. Bon, ça date puisque je n'ai pas utilisé ce navigateur depuis longtemps, mais je doute que ça aie changé.

Non, ça n'a pas changé.

Si c'est bien ça qui stocke la configuration, alors ne serait-il pas possible d'utiliser le système des "grant" sql pour empêcher une écriture par un autre utilisateur?

Non. SQLite fonctionne différemment des autres SGBD : ce n'est pas un démon qui accède au fichier, mais une bibliothèque. Donc quand on a accès en écriture au fichier, on a accès en écriture à la base de données.

[Freem]

C'est bien embêtant...
(et le fait que j'aie édité pendant que tu répondais aussi, mais je voulais éviter le double post :/ )

[Uther]

Il me semble avoir vu un fichier de bdd sqlite3 dans la config de ff. Bon, ça date puisque je n'ai pas utilisé ce navigateur depuis longtemps, mais je doute que ça aie changé.

Si c'est bien ça qui stocke la configuration, alors ne serait-il pas possible d'utiliser le système des "grant" sql pour empêcher une écriture par un autre utilisateur?

Même si ça marchait, ça serait cassé en un rien de temps vu que tout est local et que les installeurs ont des droits d'administrateur.

Techniquement, essayer de ce protéger contre ça reviendrait à utiliser les même usines a gaz que les vendeur de jeux vidéo mettent en place depuis des années, et qui ont prouvé leurs inconvénients et inefficacité.

[Freem]

Les utilisateurs ont les droits d'admin par défaut, sous windows du moins.
Et je crois que vista à amené l'UAC dont le rôle est de contrôler (je dis sûrement des bêtises, je n'utilise pas les 2 derniers OS de microsoft) l'accès aux droits de type administrateur non?
Bon, je ne me leurre pas, je me doute bien que les utilisateurs ne lisent pas le message et répondent toujours "oui" ou le bouton correspondant

Par contre, pour ce qui est de dire que c'est amener au même problème que celui rencontré par les jeux vidéo, je ne suis pas d'accord:
Dans le cas des jeux vidéos, l'utilisateur d'un crack le fait volontairement, pour gagner quelque chose.
Dans le cas de firefox, cette protection sers à protéger l'utilisateur. J'ose espérer que celui-ci n'installera donc pas de crack contre cette fonctionnalité.

D'autre part, de dire qu'il ne sers à rien de protéger parce que ce sera toujours cracké est un peu extrême je trouve.
Le fait est que quand le bouclier est amélioré, la lance l'est aussi, et vice versa.
C'est un peu comme l'intérêt d'utiliser un antivirus:
A quoi bon puisque de nouveaux malwares apparaissent tous les jours?
Réponse: pour se protéger de ceux d'hier (si la maj est quotidienne, naturellement)

Après, je t'accorde que ce n'est pas à mozilla de faire ce job, mais s'ils peuvent faciliter un peu la vie des utilisateurs en instaurant des protections minimum, alors tant mieux. Bien sûr, ce sera toujours cassable. Mais mieux que rien.

[ProgVal]

Dans le cas des jeux vidéos, l'utilisateur d'un crack le fait volontairement, pour gagner quelque chose.
Dans le cas de firefox, cette protection sers à protéger l'utilisateur. J'ose espérer que celui-ci n'installera donc pas de crack contre cette fonctionnalité.

On parle du cas où l'installateur lui-même en est un.

[Uther]

Les utilisateurs ont les droits d'admin par défaut, sous windows du moins.
Et je crois que vista à amené l'UAC dont le rôle est de contrôler (je dis sûrement des bêtises, je n'utilise pas les 2 derniers OS de microsoft) l'accès aux droits de type administrateur non?

Disons pour faire simple que l'UAC permet a une application démarrée avec les droits utilisateurs d'avoir une promotion en administrateur moyennant un message d'avertissement à l'utilisateur.
Or les installateurs réclament toujours les droit administrateurs. Et les utilisateur les accordent toujours sans se poser plus de question, car c'est normal pour un programme qui va installer des fichiers, et que l'on fait généralement confiance a un programme fournit par Microsoft, Yahoo, ...

Par contre, pour ce qui est de dire que c'est amener au même problème que celui rencontré par les jeux vidéo, je ne suis pas d'accord:
Dans le cas des jeux vidéos, l'utilisateur d'un crack le fait volontairement, pour gagner quelque chose.
Dans le cas de firefox, cette protection sers à protéger l'utilisateur. J'ose espérer que celui-ci n'installera donc pas de crack contre cette fonctionnalité.

Techniquement c'est exactement les mêmes problèmes : le fabricant d'un logiciel (firefox/jeu) veut essayer d’empêcher une modification de celui ci par un programme tiers (installeur/crack).

La seule différence est que dans le cas des addons silencieux, l'utilisateur n'est pas conscient ce qu'il est en train de "patcher" son Firefox.

D'autre part, de dire qu'il ne sert à rien de protéger parce que ce sera toujours cracké est un peu extrême je trouve.
Le fait est que quand le bouclier est amélioré, la lance l'est aussi, et vice versa.
C'est un peu comme l'intérêt d'utiliser un antivirus:
A quoi bon puisque de nouveaux malwares apparaissent tous les jours?
Réponse: pour se protéger de ceux d'hier (si la maj est quotidienne, naturellement)

Après, je t'accorde que ce n'est pas à mozilla de faire ce job, mais s'ils peuvent faciliter un peu la vie des utilisateurs en instaurant des protections minimum, alors tant mieux. Bien sûr, ce sera toujours cassable. Mais mieux que rien.

Justement il faut voir jusqu’à quel point c'est utile de se protéger et où s’arrêter, pour éviter de mettre une porte blindée dans un mur en carton. Le système mis en place est suffisant pour que les programme qui le détournent soient considérés comme des malwares.

Ce protéger davantage serait inutile : l'auteur de malwares contournera forcément toute les protections et obligerait Mozilla a s'adapter a chaque fois, avec toujours un temps de retard.
Quant on voit que les éditeur de jeux vidéo malgré les moyens colossaux investis, des limitations très contraignantes(incompatibilités matérielles) et même parfois à la limite du légal(rootkit), n'ont jamais vraiment réussi, ce n'est clairement pas à Mozilla d'aller sur ce terrain, mais aux anti-malwares.

D’ailleurs on est dans le très hypothétique. On est en train de supposer la créations de malwares de toute façon capables de voler des mot de passe, installer un key logger, vider le disque dur... mais qui se contenteraient d’installer une pauvre barre d'outil à Firefox...

[shenron666]

en fait, il ne mettent pas fin à l'ajout, ils bloquent juste l'activation, le plugin s'installe tout de même, ce qui n'est pas normal

[kdmbella]

je trouve que ça sera un bond en avant pour la sécurité sous FF car avec ces extensions qui s'installent sans l'aval de l'utilisateur , c'est un risque important côté sécurité. D'autre part pour l'utilisateur ça lui donne plus de contrôle sur son navigateur car c'est souvent très ennuyeux de ne pouvoir empêché l'installation d'une extension qu'une application tierce vous impose
Moi personellement j'installai les applications et lorsque je constate un plugin indésiré sur mon interface de FireFox je me dirige direct vers le module de gestion des extension et je le vire direct même si cella m'impose de redémarrer mon navigateur

[Uther]

Niveau sécurité, le système de désactivation automatique des addons dangereux, permettait déjà de limiter les risques. S'il découvrait qu'un addon était victime de failles critiques, Mozilla pouvait forcer sa désactivation (c'était notamment arrivé à l'addon du framework .net).

[shenron666]

je trouve que ça sera un bond en avant pour la sécurité sous FF car avec ces extensions qui s'installent sans l'aval de l'utilisateur , c'est un risque important côté sécurité. D'autre part pour l'utilisateur ça lui donne plus de contrôle sur son navigateur car c'est souvent très ennuyeux de ne pouvoir empêché l'installation d'une extension qu'une application tierce vous impose

ça n'empêche pas l'installation mais uniquement l'activation
pour moi, c'est insuffisant