Discussion :

[Djug]

Firefox 3.6 verrouille le dossier «components»

Mozilla a annoncé que la version 3.6 de son célèbre navigateur Firefox va apporter un changement concernant l'intégration des extensions, et ceci par le verrouillage du dossier « components», afin d’interdire aux applications tierces d’ajouter directement leurs code au sein de ce dossier.

Cette décision a été prise dans le seul but d’augmenter la stabilité du navigateur. Vu qu’il est toujours possible dans la version actuelle (et dans les versions précédentes) qu’une extension « brute » s’installe directement dans ce dossier ce qui provoque plusieurs problèmes.

D’une part, l’utilisateur ne peut plus contrôler (activer/désactiver) l’extension par le gestionnaire des extensions, et d’autre part, quand le navigateur se met à jour, il ne peut pas vérifier la compatibilité de cette extension avec la mise à jour vu qu’elle ne figure pas dans le gestionnaire des extensions, ce qui peut provoquer des dysfonctionnement du navigateur.

Johnathan Nightingale sur le blog de Mozilla developer center a déclaré :

« Si vous êtes un utilisateur de Firefox, ce devrait être 100% positif. Vous ne devez rien changer, vos add-ons habituels devraient continuer à fonctionner correctement -- vous allez peut-être remarquer moins de plantages ou de bugs. »

Mozilla a publié sur le Mozilla Developer Center un document qui montre le processus de migration d’un "composants brute" vers les add-ons

Firefox 3.6 Beta 3 ajoute un nouveau fichier « components.list » au dossier « composants ». Ce fichier répertorie toutes les DLL et les scripts autorisés à s’exécuter. Seuls les administrateurs du système peuvent accéder et ajouter des entrées à cette liste.

Est ce que cela va vraiment empêcher l'ajout de composants bruts à Firefox ?
Est ce que cette pratique ne va pas empêcher les développeurs de créer des nouveaux add-on ?

Qu’en pensez-vous ?

Source :

[minus]

Très bonne nouvelle à mon avis, cela pouvait être assez frustrant de voir de bugs apparaître sans raison après l'installation de certains add-ons.

Je suis toujours preneur quand on annonce plus de stabilité

[Grabeuh]

Est ce que cette pratique ne va pas empêcher les développeurs de créer des nouveaux add-on ?

Empêcher de créer des add-ons, non. Il existe à l'heure actuelle des add-ons qui ne vont pas se cacher dans le dossier des components et qui fonctionnent très bien.

Par contre, cela risque d'imposer à certains développeurs peu consciencieux d'arrêter de coder avec leurs pieds s'ils veulent que leurs applications continuent à fonctionner sur les prochaines versions de FF...

[thelvin]

Est ce que cela va vraiment empêcher l'ajout de composants bruts à Firefox ?

Bien sûr que non. À moins d'un système complexe et contraignant de clés de cryptages, on ne peut pas empêcher d'ajouter une extension.

Par contre, ça annonce clairement qu'ajouter l'extension là-dedans n'est pas une méthode correcte.

J'ai souvent entendu l'argument "ça marche si je le fais." Donc forcément c'est correct. Bon bah voilà ça ne l'est plus. La prochaine fois, ils iront bidouiller dans le registre du profil de l'utilisateur, risquant d'effacer des millions de trucs importants, en plus de mettre les extensions là-dedans, et ils diront encore que "ça marche, donc c'est correct." Alors qu'il suffit de demander à Firefox d'installer simplement cette extension. Je pense que moins de gens les croiront.

Est ce que cette pratique ne va pas empêcher les développeurs de créer des nouveaux add-on ?

Uh ? Qui, quand, comment, pourquoi ?

[Chuck_Norris]

Espérons que ça suffise à stopper l'installation automatique d'extensions pirates qui sont non seulement indésirables, mais en plus posent des problèmes de fiabilité ou de sécurité (exemples : Skype, Framework .NET).

[smoufid]

c'est une bonne chose

[kuranes]

Bien sûr que non. À moins d'un système complexe et contraignant de clés de cryptages, on ne peut pas empêcher d'ajouter une extension.

Par contre, ça annonce clairement qu'ajouter l'extension là-dedans n'est pas une méthode correcte.

J'ai souvent entendu l'argument "ça marche si je le fais." Donc forcément c'est correct. Bon bah voilà ça ne l'est plus. La prochaine fois, ils iront bidouiller dans le registre du profil de l'utilisateur, risquant d'effacer des millions de trucs importants, en plus de mettre les extensions là-dedans, et ils diront encore que "ça marche, donc c'est correct." Alors qu'il suffit de demander à Firefox d'installer simplement cette extension. Je pense que moins de gens les croiront.

Je suis pas un expert en extensions firefox, mais on peut installer des extensions firefox aussi sous linux ?
Enregistrer dans le registre, sous linux... ça me semble étrange, étant donné qu'il n'y en a pas, d'après mes souvenirs.

[thelvin]

Que ce soit pour Windows ou linux, je parle du registre du profil. En fait, j'aurais juste dû dire "le profil." Dans Application Data\Mozilla\Firefox\Profiles ou .mozilla/firefox

Il s'y trouvent plusieurs fichiers, qui indiquent les extensions approuvées par l'utilisateur, leurs versions et versions compatibles de Firefox, leur emplacement, et probablement une partie stockée dans Places (encore que je n'en sais rien.)

Ce que je voulais dire c'est que pour l'instant, ajouter une extension Firefox marche simplement en la posant dans le répertoire components de l'installation, ce qui ne devrait jamais se faire, car l'installation devrait être gérée par Firefox. Avec cette nouvelle mesure, ça ne sera pas si simple et il faudra aller bricoler dans le profil (ou peut-être juste d'autres fichiers dans le répertoire d'installation, c'est possible au fond.) Ce qui est d'un coup plus hasardeux, plus compliqué, moins sûr et toujours totalement dénué de support. Et ça, il est d'un coup bien plus évident que ce n'est pas un comportement légitime.

[goomazio]

Firefox 3.6 Beta 3 ajoute un nouveau fichier « components.list » au dossier « composants ». Ce fichier répertorie toutes les DLL et les scripts autorisés à s’exécuter. Seuls les administrateurs du système peuvent accéder et ajouter des entrées à cette liste.

On parle d'interdire l'accès du dossier juste aux utilisateurs non administrateurs ou de l'interdire à tous ceux qui ne sont pas Firefox ? Parce que bon nombre de personnes sont connectés en admin et donc ça ne changerait rien bien sûr.

[thelvin]

Comme j'essaie de le dire depuis un moment, à mon avis le but n'est pas en fait d'interdire, mais de décourager.