IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 569
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 569
    Points : 252 252
    Points
    252 252
    Billets dans le blog
    117
    Par défaut Firefox : Mozilla va bloquer toutes les extensions qui ne sont pas signées numériquement
    Firefox : Mozilla va bloquer toutes les extensions qui ne sont pas signées numériquement
    pour offrir plus de sécurité aux utilisateurs

    Firefox doit une partie de son succès à cette possibilité qu’il offre aux développeurs d’étendre ses fonctionnalités grâce à des extensions. Cependant, certains développeurs ont abusé de cette fonctionnalité en modifiant, par exemple, sans le consentement de l’internaute certains de ses paramètres ou en publiant des extensions malveillantes.

    Afin d’améliorer la sécurité et les performances de son navigateur, la fondation Mozilla compte désormais obliger le recours à des signatures numériques pour toutes les extensions Firefox.

    « Nous sommes responsables de notre écosystème d’extensions, et nous ne pouvons pas rester les bras croiser alors que nos utilisateurs souffrent à cause de mauvaises extensions », explique Mozilla, qui regrette la prolifération « des extensions qui changent la page d’accueil et les paramètres de recherche de l’utilisateur sans son consentement, comme celles qui injectent des annonces dans les pages Web ou des scripts malveillants sur les sites de médias sociaux. »


    Pour réduire les conséquences de ces extensions, Mozilla avait publié des directives que devait suivre l’ensemble des extensions, et pouvait procéder au blocage à distance des extensions qui ne respectent pas cette charte. Cependant, ces extensions, qui ne figurent pas sur AMO (Mozilla Add-On), la plateforme officielle d’hébergement d’extensions Firefox, ont développé des mécanismes rendant difficile leur détection et leur blocage.

    Mozilla monte ainsi au créneau. Mais, n’opte pas, cependant, pour une solution radicale en imposant Mozilla Add-On comme unique référentiel pour les extensions Firefox, comme l’a fait Google pour Chrome. « Une solution simple serait de forcer tous les développeurs à distribuer leurs extensions, à partir de AMO comme c’est le cas pour les extensions Chrome. Cependant, nous pensons que c’est une contrainte inutile. Pour maintenir l’équilibre, nous avons opté pour une signature numérique des extensions, ce qui nous donnera un meilleur contrôle sur l’écosystème des extensions, sans obliger que AMO soit le seul canal de distribution », explique Mozilla.

    Les extensions figurant dans le canal de distribution officiel seront automatiquement signées par Mozilla. Pour les autres extensions, elles devront être soumises à la fondation pour signature. Celles-ci seront signées après un examen automatisé. En cas d’échec de la signature, les développeurs auront la possibilité de demander une vérification manuelle de l’extension par Mozilla. Pour les extensions destinées à des usages en intranet, Mozilla va mettre en place un mécanisme pour leur vérification.

    Cette nouvelle directive prendra effet après une période transitoire de 12 semaines (équivalent à la publication de deux versions de Firefox) durant laquelle les extensions non signées retourneront un avertissement dans le navigateur. Après cette période, il ne sera plus possible d’installer des extensions non signées sur les versions bêta et stables de Firefox.

    Pour les développeurs ils devront tester leurs extensions sur Firefox Nightly ou la « Developer Edition », qui ne sont pas concernées par cette nouvelle mesure.

    Source : Mozilla


    Et vous ?

    Que pensez-vous de cette mesure ? Était-il temps ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre régulier Avatar de Wirbelwind
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2012
    Messages
    47
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : janvier 2012
    Messages : 47
    Points : 108
    Points
    108
    Par défaut Re:
    Troquer un peu plus de sécurité pour un peu moins de liberté, en voilà une bonne initiative

  3. #3
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2008
    Messages
    2 204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : avril 2008
    Messages : 2 204
    Points : 8 304
    Points
    8 304
    Billets dans le blog
    51
    Par défaut
    Pour personnellement avoir vue des plug-in à la con s'installer sur mon Firefox. Je trouve que c'est une bonne initiative.
    Ce n'est pas un problème de sécurité/liberté pour l'utilisateur. Car dans 90% des cas qui sont visées ont est dans des applications frauduleuses qui réalisent des choses dans le dos de l'utilisateur. Dans les autres cas, Mozilla compte donnée les moyens de contourner le problème. Je suppose que cela sera un "J'ai MarketPlace spécifique à tel adresse." ou "Je suis un utilisateur avertie et je passe outre la validation de la signature."
    Je doute que faire un procès à Mozilla pour réduction des libertés soit une bonne idée. Encore plus quand tu peux passer à la version "Développeur" où il n'y a pas cette problématique.

    D'ailleurs, FireFox respect le standard HTTPS, ce qui me rends certains site inaccessible (ceux qui sont en HTTPS dur, le HTTPS classique c'est juste "le certificat est auto-signé : ça pu") depuis celui-ci au travail. Car, mon entreprise se permet de lire le contenu et de me renvoyer la page avec un certificat auto-signé. Et Internet Explorer / chrome ne m'affiche même pas un warning... Pour eux tout est normal...

    Cordialement,
    Patrick Kolodziejczyk.
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

  4. #4
    Membre éclairé Avatar de Beanux
    Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    octobre 2009
    Messages
    249
    Détails du profil
    Informations personnelles :
    Âge : 32
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : octobre 2009
    Messages : 249
    Points : 739
    Points
    739
    Par défaut
    Au moins, ça évitera de retrouver des pc de Monsieur Duchmol ou Mme Michu avec 36 plugins vérolé installé par les adware qui sont joints aux installateurs de "mon site de téléchargement".

  5. #5
    Membre éclairé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2011
    Messages
    222
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2011
    Messages : 222
    Points : 758
    Points
    758
    Par défaut
    Je ne suis pas développeur d'extensions Firefox donc difficile de dire quels seront les impacts mais j'ai l'impression que ça ne va pas passer aussi simplement que ça en pratique au niveau des développeur d'extensions, en particulier pour les extensions non distribuées publiquement, liées à un service en particulier.

    Un petit coup de flou:
    For extensions that will never be publicly distributed and will never leave an internal network, there will be a third option. We’ll have more details available on this in the near future.
    S'ils commencent par mettre des filtres relativement tolérants pour ne supprimer que les extensions connues comme problématiques et ensuite monter le niveau d'exigence au fur et à mesure, ça laissera le temps aux développeurs de mettre leurs extensions en conformité.

    J'ai l’impression que ça va représenter un travail non négligeable pour se mettre à niveau. Surtout pour expliquer au patron qu'il faut dégager du temps et du budget pour un extension qui jusque là fonctionnait très bien et à laquelle personne n'a touché depuis longtemps. Sans compter quand ça a été déployé chez des clients qui n'ont pas forcément acheter du support...

    Sinon en tant qu'utilisateur de Firefox, c'est plutôt un bonne nouvelle mais j’attends de voir quelle sera la taille de maille de la passoire. J'avoue que j'aurai sans doute préférer un système d'autorisations "à la Android" pour être mieux informé de ce que l'extension fait. Mais ce n'est pas forcément contradictoire. Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.

  6. #6
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2012
    Messages : 630
    Points : 1 170
    Points
    1 170
    Par défaut
    Sincèrement, vu le nombre d'extensions qui se sont rajouté à mon Firefox je bien heureux qu'il commence enfin à signer leurs app.
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  7. #7
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2013
    Messages
    338
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2013
    Messages : 338
    Points : 484
    Points
    484
    Par défaut
    Salut

    Citation Envoyé par Beanux Voir le message
    Au moins, ça évitera de retrouver des pc de Monsieur Duchmol ou Mme Michu avec 36 plugins vérolé installé par les adware qui sont joints aux installateurs de "mon site de téléchargement".
    Monsieur Duchmol ou Mme Michu n'ont pas 36 extensions vérolés... car il y en à pas tant que cela ! C'est souvent les mêmes que l'on voit revenir et polluer les profiles. Il est vrai que ses mauvaises extensions arrivent souvent par des applications... Trèsssss rarement via AMO.
    Et bien sur éviter certains sites (01 net, softonic, etc..), pour privilégier les sites d'origine !!!

    Citation Envoyé par olreak Voir le message
    Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.
    C'est toujours possible...

    Citation Envoyé par Shuty Voir le message
    Sincèrement, vu le nombre d'extensions qui se sont rajouté à mon Firefox je bien heureux qu'il commence enfin à signer leurs app.
    Aucun intérêt, si tu prends tes extensions sur AMO et qu'elles ont été vérifiées complètements ou partiellement.
    Perso, j'en ai une bonne trentaine d'activées, mais jamais eu d'extensions néfastes.

  8. #8
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2007
    Messages
    1 094
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 1 094
    Points : 4 171
    Points
    4 171
    Par défaut
    Citation Envoyé par tes49 Voir le message
    Perso, j'en ai une bonne trentaine d'activées, mais jamais eu d'extensions néfastes.
    Moi, jamais, mais ma mère sur son PC, je ne compte même plus le nombre de fois où j'ai dû virer une extension merdique. Je ne sais jamais comment ça arrive, elle est pas capable de me l'expliquer.

  9. #9
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2008
    Messages
    2 204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : avril 2008
    Messages : 2 204
    Points : 8 304
    Points
    8 304
    Billets dans le blog
    51
    Par défaut
    Facile ctrl+h tu regarde la liste des sites "bisarres"^^
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

  10. #10
    Membre émérite
    Inscrit en
    juin 2009
    Messages
    910
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 910
    Points : 2 736
    Points
    2 736
    Par défaut
    Citation Envoyé par tes49 Voir le message
    Et bien sur éviter certains sites (01 net ....)
    Dire qu'il y a quelques années ce site était la référence des sites de téléchargement... Pas (trop) de pub, pas de virus... Ils sont tombés bien bas

  11. #11
    Nouveau membre du Club
    Profil pro
    Inscrit en
    décembre 2002
    Messages
    45
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2002
    Messages : 45
    Points : 25
    Points
    25
    Par défaut
    > Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.

    >> C'est toujours possible...

    et comment?

  12. #12
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2013
    Messages
    338
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2013
    Messages : 338
    Points : 484
    Points
    484
    Par défaut
    Bonjour

    Citation Envoyé par gamez Voir le message
    > Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.

    >> C'est toujours possible...

    et comment?
    Cela à toujours été possible et le restera, rien que pour les tests des développeurs d'extensions ! Il n'y à pas le choix.

    Attention à qu'elle extension, on veut appliquer l'installation forcée ! Une extension qui joue sur l'interface de Firefox ou qui ajoute quelques boutons, il est fort possible qu'elle ne soit plus compatible et puisse poser des problèmes...

    Comment ?... en ajoutant la préférence booléenne "extensions.checkCompatibility.(+nom de la version ou n° de version)" en false, dans about:config.
    Bien sur, à chacun de prendre ses risques... car cela veut dire aussi que des toolbars pourraient s'installer facilement, comme c'est souvent le cas aujourd'hui via l'autorisation de l'utilisateur (par ex : installation de logiciels pas suivit et donc pas contrôlé..) !

  13. #13
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2013
    Messages
    338
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2013
    Messages : 338
    Points : 484
    Points
    484
    Par défaut
    Salut

    Les extensions signées arrivent... j'en ai eu 8 pour ce matin, mais seulement 2 ont réussi à s'installer ! Les autres avaient une erreur au téléchargement !
    Donc pour les impatients, il est bien sur possible de les installer (sans supprimer les anciennes versions, cela se faisant automatiquement) en passant par le site des modules de Mozilla ou soit le site d'origine de l'extension accessible via le "plus" se trouvant à chaque extension.

    Cela dit, si patience... ses erreurs devrais être corrigées, sans doute problème de serveurs ! J'ai installé les mises à jour pour un de mes profiles, mais pas envie de le faire pour tous !

    Bien sur les extensions non signées sont toujours installables sans aucun problème (et sans modifications dans about:config, comme expliqué dans mon précédent message) pour le moment, vu que l'avertissement ne devrait être intégré qu'à partir de Firefox 39, c'est à dire pas avant le 29 Juin.

    Edit... vers 16h la mise à jour des extensions se passait à nouveau sans problème.

  14. #14
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 569
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 569
    Points : 252 252
    Points
    252 252
    Billets dans le blog
    117
    Par défaut
    Firefox : Mozilla procède à la signature numérique des extensions
    pour évincer de son écosystème les extensions malveillantes

    La fondation Mozilla a débuté avec son opération de signature numérique des extensions pour son navigateur Firefox.

    La firme a informé les développeurs la semaine dernière qu’elle procède à la signature automatique de leurs extensions qui ont été publiées sur sa galerie d’extensions Mozilla Add-On (AMO).

    Une fois la signature effectuée, la fondation procédera automatiquement à des mises à jour pour fournir les nouvelles versions aux utilisateurs et informera les développeurs. Ceux-ci sont invités à procéder à un test de leurs extensions pour vérifier si elles fonctionnent correctement.

    Deux nouvelles fonctionnalités seront activées sur AMO cette semaine. La première permettra de signer les nouvelles extensions de AMO après analyse. La seconde, à destination des développeurs qui ne souhaitent pas héberger leurs extensions sur AMO, leur permettra de soumettre leurs extensions pour signature.

    En cas d’échec de la signature, les développeurs ont la possibilité de demander une vérification manuelle de l’extension par Mozilla. Pour les extensions destinées à des usages en intranet, Mozilla compte mettre en place un mécanisme pour leur vérification.




    L’organisme invite par ailleurs les développeurs à consulter les nouvelles règles de « Add-on Distribution Developer Agreement » pour prendre connaissance de la nouvelle façon dont les extensions seront désormais gérées.

    Lorsque la signature sera prise en compte dans Firefox, toutes les extensions qui n’ont pas été signées numériquement seront bloquées par le navigateur. La fondation fait savoir qu’elle laissera assez de temps aux développeurs pour s'y conformer avant que la mesure n’entre en vigueur.

    Cette nouvelle mesure a pour objectif d’offrir une meilleure sécurité aux utilisateurs. Mozilla fait savoir que les développeurs ont abusé de cette fonctionnalité pour publier des extensions malveillantes, ou modifier les paramètres de Firefox sans le consentement de l’utilisateur.

    « Nous sommes responsables de notre écosystème d’extensions, et nous ne pouvons pas rester les bras croisés alors que nos utilisateurs souffrent à cause de mauvaises extensions », avait expliqué Mozilla dans un billet de blog. « Une solution simple serait de forcer tous les développeurs à distribuer leurs extensions à partir de AMO comme c’est le cas pour les extensions Chrome. Cependant, nous pensons que c’est une contrainte inutile. Pour maintenir l’équilibre, nous avons opté pour une signature numérique des extensions, ce qui nous donnera un meilleur contrôle sur l’écosystème des extensions, sans obliger que AMO soit le seul canal de distribution. »

    Pour le test des extensions pendant le développement, les développeurs seront obligés d’avoir recours à Firefox Nightly ou à la « Developer Edition », qui ne sont pas concernées par cette nouvelle mesure.

    Source : Mozilla
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

Discussions similaires

  1. Réponses: 2
    Dernier message: 13/06/2011, 17h29
  2. Réponses: 3
    Dernier message: 06/02/2008, 18h23
  3. Réponses: 10
    Dernier message: 15/12/2006, 08h34
  4. Réponses: 3
    Dernier message: 26/07/2006, 21h41
  5. Réponses: 4
    Dernier message: 02/06/2006, 13h03

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo