Dans le grand manuel du geek, au chapitre traitant des idées reçues, on peut lire à maintes reprises qu’un Firefox se voit moins bouffé par les failles de sécurité qu’un Internet Explorer. Eh bien selon Secunia, ce serait tout simplement faux puisqu’en quatre mois, le browser de la Mozilla Foundation emporte le trophée en affichant dix failles contre sept pour son concurrent.
Bien sûr, on pourra rétorquer que les soucis de sécurité d’IE concernent des problèmes plus graves et permettent à des importuns de saloper notre PC grâce à là purulence de leur cerveau. Toujours est-il que la popularité du concurrent open source augmentant, les attaques suivent désormais le même chemin et démontrent la réalité d’un schéma que certains se refusent encore à admettre : popularité = vulnérabilité.
En attendant d’instaurer la peine de mort contre les connards, on peut toujours choisir un browser parfaitement sécurisé par exemple, euh, ben… non, rien. Merde.
Le nombre de failles decouvertes est proportionnel à la popularité du produit en general. Ca se verifiait pour les browser, et pour les OS c’est aussi comme ça qu’on peut expliquer qu’on trouve très peu de failles sous OS X (pas de troll sur BSD c’est ultra secure)
Maintenant que Firefox devient populaire, on trouve des failles, personne cherche les failles si personne utilise le soft c’est assez logique.
Je tiens quand meme à dire que une des dernieres failles Firefox etait plutot critique (possibilité de recupperrer les login/pass PayPal par exemple)
Entièrement d’accord avec toi Majinboo, c’est ce que je voulais faire ressortir de la news, si Firefox devenait par hasard le browser number one, il serait probablement celui qui se mangerait le plus de crasses, c’est une équation toute logique mais que plein de gens n’admettent pas encore.
Le premier fanboy qui m’insulte je le crame au lance-flamme, j’écris ce post sous Firefox
[/quote] ben non.
popularité = attaques.
Il y a aucune loi qui dit qu’un logiciel populaire se doit d’avoir plein de courants d’air, ni qu’un truc totalement confidentiel ne puissent pas être une vraie passoire (Et d’ailleurs parmi toutes les petites merdes que seuls vous et votre cousin utilisez soyez certains que statistiquement il y a beaucoup plus de trous à la ligne de code que dans la moyenne).
Firefox n’est pas plus vulnérable aujourd’hui qu’hier (et probablement moins, parce qu’on a beau dire à force de boucher de trous, on finit par en avoir moins ; même si dans certains cas on a un peu l’impression que ça revient à vider une baignoire avec une cuillère à café), il devient juste une cible plus attractive.
Ben c’est à dire que l’histoire montre qu’un peu tous les programmes sont très vulnérables, c’est une question de motivation de l’autre côté après, et la motivation est bien grande lorsque le programme est très populaire.
Ouais enfin ya quand même un parametre à prendre en compte : Phoenix est en phase beta alors que IE est en 6.0.prout.machin SPx
Ceci dit, vu le ratio de popularité IE/Phoenix, et la puissance de feu de microsoft/Moz fondation, je suis persuadé que même si, dans le contexte actuel, il est plus safe d’utiliser Phoenix, celui ci doit contenir une certaine tripotée de failles par rapport à IE.
[quote]Ben c’est à dire que l’histoire montre qu’un peu tous les programmes sont très vulnérables, c’est une question de motivation de l’autre côté après, et la motivation est bien grande lorsque le programme est très populaire.[/quote] Dans cette histoire-là tu oublies apache qui représente 60% (estimations la dernière fois que j’ai lu les stats) des serveurs et qui a pourtant moins de failles qu’IIS. D’autres part certaines failles de firefox sont directement imputables à l’os (shell ne marche pas sous linux/mac par exemple).
Mais bon… autant j’aime l’ui de firefox autant je sens bien qu’ils vont dans le mur. Leur archi ne propose pas de systèmes de patchs, le système baroque sur lequel est construit l’appli demande une maintenance de dingue et de tout les instants par les devellopeurs de plug-ins et de skins (ma skin me rend littéralement DINGUE… imaginez plus de trentes css à gérer, 4 ou 5 bonnes centaines de classes et d’id et PAS DE DOCS).
Firefox 9.0,91,9.2,9.3… et à chaque fois réinstall clean de la chose pour ne pas avoir de problèmes ? C’est trop lourd pour un browser qui doit être une ‘damn simple mean machine’. A l’approche de la 1.0 c’est assez inquiétant. Surtout qu’ils annoncent vouloir poursuivre le même rythme de dev.
Donc au lieu d’avoir des versions intermédiaires 1.xx non dispo au public mais testées en interne c’est la communauté qui va faire le test… jusque là ok… sauf que les devs d’extensions, plug-ins et autres doivent suivre aussi le même rythme. Et vu que les failles de sécu sont corrigées par versions l’utilisateur devra aussi suivre. Ce qui fait qu’une version stable labelée 1.0 ne sera pas secu et qu’on devra passer à une version transitoire, de dev (même si ça s’appelle pas une nighly… comptez sur l’hypocrisie des fanboys pour vous dire que c’est une beta et voilà… un browser beta en 2004 je vous jure… enfin…) Tout ça parce que l’archi ne sépare pas sécu et dev de la plateforme (s’ils pouvaient passer leur temps à faire autre chose qu’à réinventer la même roue sur tout les os du monde aussi). Vous vous imaginez téléchargez toutes les versions intermédiaires d’un programme avec reinstall complète à chaque fois? C’est là qu’on dit merci winupdate. Oui je sais… y a un boutton update dans l’interface de firefox… mais avant que ça marche hein…
Pour les failles de sécu qui vont se multiplier c’est une évidence. On verra certainement apparaître un tas de choses basées sur la xul et autres joyeusetés. Est-ce que ça ira toujours aussi vite à être réparé? Peut-être je sais pas j’espère (respirez).
Maintenant ce que je retiens de cette année de dev chez moz c’est: un site web pourri pourtant redesigné par une grande gueule du web design tout css, une pub MONSTRUEUSE pour un produit pas fini, une mozilla foundation qui a repris les employés de netscape qu’elle aimait bien (et netscape c’est la boite qui s’est planté rappelons-le), le hijack de phoenix/firebird/firefox qui a la base était dévellopé par une autre équipe, l’incapacité à la mozfoundation de choisir un nom pour son browser (mozilla browser c’était trop compliqué)(ça me rappelle qu’ils ont même réécrit l’histoire en disant qu’ils n’avaient jamais eu l’intention de l’appeler ainsi) etc…
En bref… la nouvelle tendance pour les browsers c’est k-meleon. Moteur de rendu gecko, interface native win32 et voilà.
Firefox 9.0,91,9.2,9.3… et à chaque fois réinstall clean de la chose pour ne pas avoir de problèmes ? C’est trop lourd pour un browser qui doit être une ‘damn simple mean machine’.
Pour les releases mineures comme 0.9.1, 0.9.2, 0.9.3 (et pas 9.1, 9.2, 9.3), l’exécution d’un fichier .xpi suffit à installer les patchs associés…
[quote]Firefox 9.0,91,9.2,9.3… et à chaque fois réinstall clean de la chose pour ne pas avoir de problèmes ? C’est trop lourd pour un browser qui doit être une ‘damn simple mean machine’.
Pour les releases mineures comme 0.9.1, 0.9.2, 0.9.3 (et pas 9.1, 9.2, 9.3), l’exécution d’un fichier .xpi suffit à installer les patchs associés…[/quote] 1) Pas pour tous.
2) le sytème d’extensions xpi n’est que ce qu’il est: un système d’extensions. Il ne peut toucher au programme lui-même.
Le système d’update via update.mozilla n’est pas encore au point.
De plus il est expréssement recommandé de tout réinstaller COMPLETEMENT(c’est pas moi qui le dit mais la doc)(donc moi aussi). C’est un des problèmes les plus courants : un user qui arrive et ne récupère pas les bookmarks ou n’a pas l’affichage qui faut ou le numéro de versions qui ne change pas. Tout les problèmes d’upgrade de firefox que j’ai vu sur ce forum-ci et sur d’autres se sont résolus ainsi. Les patchs via xpi ne sont pas - encore - une solution.
Je rajoute que je trouve extrêmement tromper l’utilisation de l’expression “release mineure”. Pourquoi la correction de deux bugs de sécu entraîne-t-elle un changement de numéro de versions si c’est mineur? Mineurs? C’est un problème de sécu… c’est pas comme le bug d’affichage de la cafzone qui lui est qualifié de mineur.
[quote]En bref… la nouvelle tendance pour les browsers c’est k-meleon. Moteur de rendu gecko, interface native win32 et voilà.[/quote]Ca, j’ai pas attendu pour qu’on me le dise.
K-Meleon : fonctionnalité 0, de base, mais légerté extra.
Sinon, j’aimerais un peu qu’on arrete de voir qui a la plus grosse, en terme de sécurité. On attaque tento l’un, tento l’autre (avec une préférence pour MS, parcque MS is Evil). IE/Moz, IIS/apache, même problème : deux archis orientées totalement différemment (remarquez d’ailleurs que coté IIS, ca c’est grave amélioré dans les dernières versions, le problème étant que des crétins d’admins font pas leur boulot… et ce des deux cotés). Evidemment, les plateformes les plus populaires sont les plus attaquées. Je fais un virus, autant faire chier le plus de monde possible, sinon c’est pas marrant…
Et question notoriété c’est peinard. Déjà que Firefox auprès du grand public, c’est pas encore ça, mais K-meleon…
Par ailleurs, les fixes de sécurité ont été backportés de moz1.7 sur moz1.4 et probablement sur la version stable précédente (vérification laissée à titre d’exercice au lecteur). Certes tout cela peut paraitre un chouia brouillon, voire bordélique (il faut savoir que moz1.4 et moz1.7 c’est les branches stables et que les 1.5, 1.6 et 1.8 non, ce qui n’est certes pas complètement évident à première vue) mais c’est pas complètement n’importe quoi quand même.
Donc Firefox, y a pas de branche stable (la branche stable ne voulant pas dire que les autres branches sont particulièrement plantogènes, mais qu’on applique dessus strictement que des bugfixes, c’était la minute culturelle, merci de votre attention). Quand la version 1.0 sera sortie, c’est sûr que les éventuels fixes de sécurités ultérieurs seront backportés dessus.
La source de la news de Presence PC est neowin.net, un site pro-microsoft donc la période choisie est tres certainement “bien” choisie en faveur de MS, elle est très courte d’ailleurs. IE6 SP1 existe depuis plusieurs années et n’est pas une version de developpement contrairement a FF 0.9.
Ensuite faut comparer la réactivité des 2 developpeurs pour corriger les failles de sécurité : de qques heures à 2 jours max pour Mozilla. Parfois quelques mois pour IE.
Enfin, Mozilla est multiplateforme. il est donc plus exposé à des failles du à des fonctionnalités spécifique d’un OS.
