Discussion :

[leto-newbie]

Bonjour,

J'avoue ne pas être sûre de poster au bon endroit et de surcroît ma question va manquer cruellement de précision car c'est justement parce que je n'ai pas réussie à en obtenir de mon interlocuteur que je me tourne vers vous.

Bon ! assez tournée autour du pot.
On m'a déclarée pas plus tard qu'hier, que firefox était plus sûr que chrome... C'est bien vague comme notion j'ai trouvé.
Pour vous donner le contexte je suis dans une association qui accueille des jeunes gens la journée, et nous disposons d'ordinateur, si nous avons besoin de travailler ou simplement surfer - ce qui arrive le plus souvent, avec FB et YT les sites les plus visités -.
Avant nous avions le choix entre les deux navigateurs, Firefox et Chrome, mais hier j'ai vu que Chrome avait été désinstallé, alors j'ai demandé pour quelle raison il avait été retiré - il faut dire que c'est mon navigateur de prédilection - et on m'a répondu que la politique de confidentialité de l'association voulait que l'on utilise Firefox. J'ai essayé d'en savoir plus, mais je n'ai obtenue aucune autre explication.

Pourriez-vous éclairer ma lanterne en me disant si Firefox est réellement plus sûre que Chrome ? car cela m'étonne vraiment, surtout sur des ordis où je ne vois ce que l'on fait de si confidentiel.
Et si l'un est vraiment plus sûr que l'autre, pourriez-vous m'expliquer pourquoi ?

Merci d'avance pour vos réponses et votre aide.

[Muchos]

Le fait que Firefox serait plus sûr que Chrome (ce que je pense) tient sans doute en ces deux points :

1. Firefox est un logiciel libre (donc ouvert), et Chrome — malgré un noyau libre — est un logiciel fermé. Il est par définition plus sûr d'utiliser un logiciel dont les sources sont disponibles que de ne pas savoir ce qui tourne quand on l'utilise.
2. Chrome a une politique de confidentialité souple (ou discutable, selon le point de vue). En gros, avec les paramètres par défaut :
   
   • Google peut recevoir vos url et mots-clés tapés dans la barre d'adresse,
   • Google peut vous envoyer des propositions au cas où l'url tapée est inconnue.

Si vous aimez Chrome, vous pouvez vous tourner vers Chromium. C'est la version libre à l'origine de Chrome. À voir si la politique de navigation est plus sûre…

[Tsoko]

Bonjour,
Je ne pense qu'il y a une différence en terme de sécurité mais en terme de rapidité, chrome est plus rapide !

[leto-newbie]

Merci pour ta réponse Muchos.
Je vais essayer de trouver un responsable de l'association pour savoir si c'est une des raisons de leur choix.

Comme tu le dis Tsoko, Chrome m'est toujours apparu plus rapide et plus simple à utiliser, surtout pour apprendre à développer. Mais sur ces derniers points c'est sûrement la force de l'habitude.

Impression apparemment confirmée par un test comparatif des navigateurs similaire à d'autres que j'ai pu lire sur Internet.

Par contre, je ne sais pas en quoi consiste le test de sécurité BrowserScope Security.

En quoi consiste ce test ?

[thelvin]

Par contre, je ne sais pas en quoi consiste le test de sécurité BrowserScope Security.

En quoi consiste ce test ?

Ben en beaucoup de choses. Il existe de nombreuses manières de détourner la sécurité des sites webs, et il existe de nombreuses fonctionnalités permettant aux sites web de déjouer ces attaques.

Ce test vérifie si les navigateurs gèrent certaines de ces fonctionnalités de sécurité.
Mais il ne les vérifie pas toutes, et il ne vérifie pas non plus si le navigateur n'introduit pas de nouveaux risques de sécurité.
Par exemple, la flexibilité de Chrome et IE par rapport au copier/coller et drag & drop de fichiers, est facilement exploitable. Les navigateurs qui ne font pas ça n'ont pas le problème.

[leto-newbie]

Vu vos explications, je ne vois toujours pas en quoi l'anonymat ou les données confidentielles qui sont très rarement indiquées pour l'utilisation qu'en font les jeunes du lieu seraient compromis.

Si comme le dit Muchos la politique de navigation de Chrome serait moins sûre, je ne comprends pas le tort que cela peut causer.

C'est peut-être la vulnérabilité aux virus comme le dit thelvin qui peut-être la vraie raison. Il faut dire que certains jeunes vont sur 1001 sites sans faire attention à leur fiabilité.

Il faut vraiment que je demande la raison de ce choix à un responsable de l'association. Et je reviendrai vers vous pour vois si la raison vous semble justifiée.

Merci beaucoup à tous !

[thelvin]

Vu vos explications, je ne vois toujours pas en quoi l'anonymat ou les données confidentielles qui sont très rarement indiquées pour l'utilisation qu'en font les jeunes du lieu seraient compromis.

Moi non plus. Il est probable que ces gens suivent une procédure de sécurité qu'ils ont trouvé sur Internet, sans se demander si elle s'appliquait à eux.
Quand on a pas de personnel compétent pour concevoir ou choisir une politique de sécurité, on fait avec ce qu'on trouve. C'est un peu le principe de l'amateurisme.

C'est peut-être la vulnérabilité aux virus comme le dit thelvin qui peut-être la vraie raison.

Je n'ai pas parlé de virus, juste de faille de sécurité. Si la confidentialité n'est pas un problème réaliste, ce dont j'ai parlé ne l'est pas non plus.

Il faut vraiment que je demande la raison de ce choix à un responsable de l'association.

À moins que tu aies un diplôme de sécurité informatique ou que tu sois nationalement connue pour tes compétences en la matière, tu vas passer pour la petite je-sais-tout qui se croit plus forte que tout le monde. Insister ne t'attirera que des ennuis. Ne dis pas que je ne t'ai pas prévenue.

[leto-newbie]

Citation:
Envoyé par leto-newbie
Il faut vraiment que je demande la raison de ce choix à un responsable de l'association.

À moins que tu aies un diplôme de sécurité informatique ou que tu sois nationalement connue pour tes compétences en la matière, tu vas passer pour la petite je-sais-tout qui se croit plus forte que tout le monde. Insister ne t'attirera que des ennuis. Ne dis pas que je ne t'ai pas prévenue.

Non, non !
Je ne cherche pas du tout à les convaincre de changer de politique ou leur dire qu'ils sont nuls.
C'est vrai que la formulation 'il faut vraiment...' pouvait faire penser à cela.
Dans cette association, on est censé pouvoir être mis au courant du pourquoi de tel fonctionnement.
Je ne suis pas venue sur le forum poser cette question pour trouver des arguments contre leur politique. Je veux juste savoir les raisons. Et comme je n'ai trouvé personne pour me renseigner, je suis venue poser la question ici.

Juste essayer de comprendre. Aucune prétention à dire ce qu'il faut faire.

[meziantou]

On m'a déclarée pas plus tard qu'hier, que firefox était plus sûr que chrome

En terme de sécurité il y a une grosse différence entre firefox et chrome : la sandbox.
Il suffit d'ouvrir ProcessExplorer (sysinternals) et de regarder le token de sécurité associé à chacun des processus pour comprendre.
Dans le cas de firefox il n'y a aucune restriction dans le token de sécurité.
Dans le cas de chrome chaque onglet ou plugin correspond à un processus auquel le token de sécurité est extrèmement restreint : tous les privilèges sont enlevés, niveau de sécurité untrusted, et il ne reste plus beaucoup de sid autorisé. Bref une vraie sandbox. IE utilise le même principe mais c'est moins poussé.


Au niveau de la politique de confidentialité, chacun fait ce qu'il veut. En général les gens n'aime pas être "espionné" alors qu'ils n'ont aucun problème à montrer leur vie privée sur Facebook...

[leto-newbie]

J'ai eu ma réponse. C'est l'informaticien employé par l'association qui aurait donné cette consigne. La personne responsable - qui n'avait pas tout compris - à qui j'ai demandé m'a expliquée qu'il y avait une histoire de réseau et aussi une histoire par rapport à l'Informatique et Liberté...

Merci pour vos réponses, c'était instructif.

Au niveau de la politique de confidentialité, chacun fait ce qu'il veut. En général les gens n'aime pas être "espionné" alors qu'ils n'ont aucun problème à montrer leur vie privée sur Facebook...

C'est la réflexion que je me faisais !

[laurentg2003]

Bonjour,
Effectivement la sandbox de Google Chrome fait déjà la différence mais là ou on constate que Firefox est un navigateur pour moi dangereux est sa gestion des attaques XSS non persistantes
Elles ont l'air de rien mais elles peuvent avoir des conséquences redoutables
IE les bloque Google chrome aussi sauf celles qui exploitent du code javascript natif on va dire (dans la page)
Quant à Firefox il laisse tout passer avec joie considérant surement que c'est au développeur de filtrer ses inputs sauf que quand ce n'est pas fait l'utilisateur trinque
Enfin si google Chrome etait une passoir niveau sécurité vous croyez qu'il aurait organisé un concours avec des hackers pour plusieurs milliers de $ ?
si Firefox faisait ça c'est la clé sous la porte

[thelvin]

Oui enfin, les self-XSS ne sont pas rémunérés par ce concours.
Les minimiser n'est pas une mauvaise idée, mais il restera toujours possible de convaincre quelqu'un qu'il invoquera le bonheur s'il lit à voix haute ce qui est écrit sur sa carte bleue.

[laurentg2003]

Concernant firefox ce n'est pas des self xss mais des xss basic non persistantes
genre http://www.mon site.com/mapage?var=<img src=xxx.jpg onerror=alert('xss');> cela dit là ou tu as raison c'est que la faille de sécurité la plus banale c'est l'utilisateur naif...

[thelvin]

Concernant firefox ce n'est pas des self xss mais des xss basic non persistantes

Ah, effectivement...

[laurentg2003]

je ne vais pas mettre un url "vérolé" avec du javascript pouvant s’exécuté dans la page voir un formulaire mais tu peux tester c'est pourquoi quand je lis que firefox est plus sécurisé que google chrome c'est dangereux de penser ça
J'ai pas tester les injections SQL pour voir si chrome les laisse passer pour Firefox c'est sur