Le renard est rusé

Je n’ai pas lu beaucoup d’analyses pertinentes sur l’état de la sécurité dans firefox, mais slashdot avait un lien intéressant ce matin:

How can I trust Firefox

C’est ecrit par un programmeur de chez microsoft, et il marque des points. Pour les plus fumistes qui ne souhaitent pas se taper tout l’article:

  1. Au download de firefox, avant l’intall: le fichier n’est pas signé, il est donc impossible de vérifier qu’il s’agit vraiement de firefox original
  2. Les extensions ne sont pas signées. Toute extension est installée aux risques et périls de l’utilisateur
  3. Il est difficile de supprimer un plug in (par exemple, si une faille de sécurité est détectée dans flash, comment empecher l’exécution du plugin flash?)
  4. Il est impossible de vérifier si un programme est signé ou non

Alors, évidement, un geek de base peut opposer que:
1- Pour l’install: Il est possible de vérifier les binaires (check MD5, …)
2- Pour les extensions: c’est pas mieux avec IE
3- Pour les plugins: about:plugins donne la dll à shooter
4- Pour les signatures: la signature n’est pas un gage de qualité ou un garantie que le programme n’est pas un spyware…

Mais, là ou des points sont à mon sens marquées, c’est que ces opérations ne sont pas connues de la majorité des utilisateurs! la base continuera à souffrir, meme avec firefox…


EDIT:
Xr m’a rendu attentif au fait qu’il y a un deuxième post, tout aussi intéressant que le premier, si ce n’est plus :stuck_out_tongue:

Article amusant et intéressant!

Oui, je trouve moi aussi très étrange que toutes les extentions aussi quasi officielles fussent-elles ne soient pas signées et que le FF me dise que c’est à mes risques et périls. Disons que c’est un peu contradictoire et décrédibilisateur pour un navigateur sensé être plus sûr qu’IE.

Néanmoins, à sa place, je serais quand même légérement moins parano que lui quand aux miroirs depuis lesquels on télécharge de ce genre de logiciel (notamment Firefox lui même).

[mi-troll]
Il ferait mieux de mettre à jour IE plutot que de s’inquieter du manque de signatures des extensions de Ffox qui a mon humble avis n’ont pas du faire beaucoup de victimes :stuck_out_tongue:
[/mi-troll]

Ha, non, je ne trouve pas que ce soit du demi troll moi.
Je pronostique un post de GloP prochainnement.

Pour donner un peu de contenu à ce message, vu le pourcentage d’utilisateurs de Firefox, ce n’est pas encore une cible de choix pour les pirates. Quand ça le sera, Firefox passera alors réellement son baptême de feu sur la sécurité. C’est là que l’on pourra voir son imperméabilité (ou pas) aux attaques, la réactivité des développeurs face à des trous et ses capacités de mise à jour simple, efficace et rapide comme on peut le faire avec Windows ou certaines bonnes distributions de Linux.

[troll on] mouais, pour les maj facile de windows, je repasserai hein, jamais reussi a taper windows update avec kerio d’activé… (je me suis deja pris un virus pendant que j’'étais sur winupdate justement a cause de ca).[troll off]

Maintenant, le fait que se soit un programmeur de microsoft qui sorte ca, décrédibilise tout l’article, on sais que c’est pas objectif, et qu’actuellement ie ne fait vraiment pas le poid. C’est juste pour eviter que le pourcentage de part de marché de FF augmente (ahhh l’influence des masse…)

[quote name=‹ azacreel2 › date=’ 21 Dec 2004, 16:12’]Maintenant, le fait que se soit un programmeur de microsoft qui sorte ca, décrédibilise tout l’article, on sais que c’est pas objectif, et qu’actuellement ie ne fait vraiment pas le poid. C’est juste pour eviter que le pourcentage de part de marché de FF augmente (ahhh l’influence des masse…)
[right][post=« 315261 »]<{POST_SNAPBACK}>[/post][/right][/quote]

En fait, je dirais qu’il semble qu’il bosse chez mirosoft (cf son changement de groupe), mais rien de vérifiable…

De toute façon, je ne trouve pas que l’article soit décrédibilisé pour autant. On rale beaucoup sur IE, mais:

  1. C’est toujours le plus compatible
  2. C’est le seul à pouvoir faire tourner des progs activeX correctement (activeX sous firefox a toujours eu comme résultat un ré-installation from scratch du butineur)
  3. C’est maintenant un « vieu truc »: pas de nouvelle version depuis ie6, qui date de la sortie de XP si je ne m’abuse, c’est à dire l’époque ou les disques faisaient 40gb et les processeurs 1ghz (sur pc, hein :stuck_out_tongue: )
  4. les failles sont quand memes facilement classées « critiques »… ça me fait un peu penser au sketch de bigard avec la chauve souris (celle qi trouve ton immeuble, recherche ton nom sur la bpoite à lettres, prend l’ascenseur…). Il faut souvent un bon gros concours de circonstances défavorables.

Les arguments présentés sont, pour moi, justes. La résolution de ces points « à la sauce ie » ne me semble pas bonne, ou pas suffisante, mais ne rien faire n’est pas mieux.

Le plus compatible ? Mais avec quoi ? Est-ce étonnant qu’un navigateur en situation de monopole soit plus compatible que les concurrents ? Pour ce faire il utilise des technologies propriétaires et ne respecte pas suffisament les normes. Les webmasters respectent ils bien les normes ? Elles sont là pour garantir l’interopérabilité, mais l’homme préfère souvent faire un minimum d’effort et si ça marche avec IE6 ça suffit.

Et avec OSX et Linux je fait comment avec les ActiveX … Peut-on vraiment qualifier les activeX de technologie Web si elles ne respecte pas les fondements de l’interopérabilité.

Un vieux truc comme tu dis. J’aimerais bien qu’il évolue !

Comme il est plus utilisé les failles sont tout de suite plus grave et dangereuse.

Conclusion : Utilisez Firefox

Déjà la personne est bien de chez Microsoft (« This is what the « Secure Deployment » part of Microsoft’s SD3+C campaign is all about; we design and develop secure software, but we make sure that customers can deploy it securely as well. »).

Ensuite je trouve qu’elle (la personne) a entierement raison sur le point de la signature, je trouve que ça manque beaucoup (même si beaucoup de contrôles ActiveX spywares sont signés). Avec un peu de chance tout ça sera lu par les gens de chez Mozilla foundation et ça sera fixé dans une prochaine release.
Faut pas oublier que le petit renard est encore jeune :stuck_out_tongue:

(PS : je sens que ça va tourner au troll war ce truc, comme d’hab)

[quote name=‹ Uk › date=’ 21 Dec 2004, 16:39’]En fait, je dirais qu’il semble qu’il bosse chez mirosoft (cf son changement de groupe), mais rien de vérifiable…
[right][post=« 315269 »]<{POST_SNAPBACK}>[/post][/right][/quote]
bah il utilise à plusieurs reprises « nous » dans sa prose donc ça laisserait pense que oui.
genre : This is what the « Secure Deployment » part of Microsoft’s SD3+C campaign is all about; we design and develop secure software, but we make sure that customers can deploy it securely as well.

mais effectivement, ça ne participe pas forcement à la décrédibilisation de son discours non plus parce que d’un autre coté, on peut aussi se dire il sait aussi de quoi il parle le monsieur, même s’il n’est pas complètement impartial…

–edit–
1 : et merci pour le lien au fait, c’est intéressant.
2 : rien à voir, mais je n’arriverais décidement jamais à me faire à la ponctuation anglo-saxone… :stuck_out_tongue:

[quote name=‘LeBaronNoir’ date=’ 21 Dec 2004, 16:03’]Pour donner un peu de contenu à ce message, vu le pourcentage d’utilisateurs de Firefox, ce n’est pas encore une cible de choix pour les pirates.
[right][post=“315260”]<{POST_SNAPBACK}>[/post][/right][/quote]

Ce n’est pas encore une cible… n’empeche que si firefox continue sur sa lancée, ca va vite le devenir, et là, ca va faire mal…

Voila qui résume bien :

[quote name=‘LeBaronNoir’ date=’ 21 Dec 2004, 16:03’]Je pronostique un post de GloP prochainnement.
[right][post=“315260”]<{POST_SNAPBACK}>[/post][/right][/quote]
[Troll]
Toujours rien :P"
[/Troll]

Une seule chose a dire : c’est de bonne guerre, et comme dit précédemment, le renard se bat avec IE mais il n’a pas encore son expérience…

[quote name=‹ JakeGrafton › date=’ 21 Dec 2004, 18:01’][Troll]
Toujours rien  :P"
[/Troll]

Une seule chose a dire : c’est de bonne guerre, et comme dit précédemment, le renard se bat avec IE mais il n’a pas encore son expérience…
[right][post=« 315290 »]<{POST_SNAPBACK}>[/post][/right][/quote]

D’un autre coté Il est tot pour notre geeko et c’est la nowel aux USA aussi :stuck_out_tongue:

Koubiak qui souhaite un joyeux premier noel au petit pierre

Non j’ai rien a dire si ce n’est une seule chose. L’origine d’une idee ne change RIEN a la valeur/pertinence de la dite idee. Je le repete a peu pres toute les semaines sur ces forums :stuck_out_tongue: mais bon, le fait qu’il soit des chez MS ou de chez FF/Sun/IBM/la cremerie de ma soeur (qui bat le beurre), on s’en fout.
Il souleve des points TRES interessant. Et le fait que si FF a moins de trous de secu decouverts (et on en reparle quand il fait 90% de part de marché), voire meme tout court change rien a l’histoire qu’avec des mauvais choix par defaut, aucune volontee d’eduquer les utilisateurs sur la necessite d’une signature pour authentifier l’origine d’un binaire, etc, etc, on ne fait pas grand chose pour resoudre le probleme.

Si vous croyez que les sites de boule/jeux de casino, autre vont pas se dechirer du superbes anims en flash (comme ils font avec le sp2) pour expliquer comme installer leur spyware favori avec firefox quand celui ci aura atteint une part de marche suffisante… y en a qui revent.

Comme il dit, la regle numero 1 de la securite: si je te convainc d’executer du code arbitraire sur ta machine, c’est plus ta machine. Et ca marche meme si tu tournes en non admin, bien que ca soit bien moins grave (tu peux pas compromettre le systeme dans son ensemble), il en reste pas moins que toutes tes infos et tes donnees ainsi que les comportements specifique a ton user en cours sont toujours exposees.

1 - j’avoue niveau sécurité j’y connais pas grand chose…

2 - Pourquoi alors que j’etais sous ie, que je n’installais que les certificats certifier/signé et accepté par winxp je me tapais un nombre hallucinant de spyware? Je dis pas que j’en ai moins avec FF, mais le coup d’executer que du code signé et etre quand meme infecté prouve que ca ne change strictement rien non?

Je crois que ça dépend énormément des sources depuis lesquelles tu télécharges. Si c’est directement de chez MS ou le développeur de l’appli, le risque est nettement plus limité que depuis un serveur anonyme miroir non officiel basé on ne sait où (et pouvant en théorie t’envoyer un truc blindé de spywares). Si je ne me trompe, la signature permet en théorie d’éviter cet écueil, mais il suffit que le fichier signé ait quelques spywares pour que ce ne soit plus le cas.
Il y a donc une bonne part de l’affaire résidant sur la confiance que tu fais au serveur qui t’envoie le fichier et par définition, à la nature du fichier (j’ai plus confiance pour un truc légal venant d’un miroir de sourceforge que pour des machins illégaux venant d’un serveur anonyme, à la base et sans même parler de signature).

Arf, j’avais écrit un post de 2 pages, mais finalement je vais faire court :stuck_out_tongue:

La question est : Si vous faites signer votre code par un grand CA comme Verisign, ca doit couter des brouzoufs non ? Du coup, si pour faire signer les plugin’s gratos il faut payer, y’a pas comme une couille dans le potage ? A la rigueur, signer le code de FireFox, pourquoi pas, mais c’est irréalisable pour tous les plug’ins si il faut allonger l’oseille à chaque nouvelle version.

Surtout que comme ca a été dit précedemment, le fait qu’un programme soit signé ne veut absolument pas dire qu’il ne contient pas de spyware, mais uniquement qu’il n’a pas été modifié et qu’il a bien été créé par l’entité qui l’affirme (c’est déjà pas mal !).

Du coup j’irai pas jusqu’à dire que je me fous que le code et les plugins FF ne soient pas signés, mais je ne risque pas de m’en plaindre sur une page web. Comme beaucoup, je me sens beaucoup plus concerné par la fin de la tranquillité apparente face aux spywares quand FF aura plus de parts de marché et que ses failles commenceront à intéresser les personnes mal intentionnées !

Ben ça fait causer au moins :wink:
En essayant de ne pas tomber dans le troll (c’est pas fin un troll…) Je suis assez d’accord avec LeBaron et Tzim. Firefox n’est pas encore une cible privilégiée. Ca risque de le devenir à priori. Là, nous verrons sa tenue face aux attaques. Aujourd’hui, c’est certain, la plupart des attaques se font contre IE donc avec du code spécifique pour IE. Firefox reste de marbre face à ça. Forcément le code lui passe entre les jambes… Est-ce que pour autant il faut en conclure que ce dernier est plus sécurisé ? Parce que le code ne l’attaque pas spécifiquement ?

Prenez le nombre de morts en WV Golf (ou R5 ou Clio ou 2CV ou ce que vous voulez…) dans le monde, comparez le avec le nombre de morts en Renault Modus. Y’en a sûrement vachement moins non ? Est-ce que quelqu’un aura l’idée de dire « la Modus est plus sécurisée que les autres ! » (bon, certainement mais je parle au sens large. Pitié, pas d’argumentation sur la sécurité automobile, c’est juste pour illustrer mon propos). Tout est là pour moi, c’est juste une question d’échelle…

Et je ne dis pas IE est mieux que FF ou le contraire. J’essaie juste de comprendre le coup médiatique monté pour FF (et plutôt réussi jusqu’à présent :P). J’ai toujours eu du mal à croire en l’altruisme.
Je pense qu’il faut attendre un petit moment pour pouvoir réellement comparer ces 2 navigateurs, les défauts du premier ne venant, à mon avis, que de sa grande diffusion.
Je ne discute pas non plus du fait qu’il soit libre ou pas. L’important, pour moi, c’est qu’un logiciel fonctionne, un point c’est tout.

Si vous avez l’impression de sentir le troll, pardon, ce n’était pas mon intention :P)

Le problème n’est pas un probleme de tenue face aux attaques, ni de réactions face aux failles.
La faille, elle est déja connue, et elle est malheuresement pas patchable, et elle se trouve entre la chaise et le clavier. La meilleure solution étant de configurer le bordel pour rendre cette faille la moins accessible possible, et minimiser un max ses effets.

C’est l’effort que tente de faire (en vain, sur certains points) , microsoft depuis 2-3 ans, et, sur ce coup, je trouve effectivement firefox bien mal barré. Les gens de l’open-source veulent faire du grand public ? Soit… mais ils ont interret a s’y adapter.

Pour en revenir a la signature numérique : Non, ca n’empeche pas les extensions gratuites. Si firefox achete un certificat verisign comme authorité de certification, rien ne l’empeche par la suite, soit de signer en son nom les extentions les plus plébicitées, soit de lui même emmettre des certificats. (c’est le principe de la certification arboréscente). Le besoin de certificats est d’autant plus important que les mirroirs sont nombreux, et eparpillés.

Tzim, tu viens de me tuer la, je ne savais pas comment fonctionnait les certificats, et la c’est claire ca sert a rien!!!

Je suis la societé x tout ce qu’il y a de plus honorable, j’achete un certificat.

En fait je suis une grosse enflure, je fait creer une 10 aines de logiciel blindé spyware/virus, les signe et roulez jeunesse??? Si c’est bien ca, c’est limite pitoyable.

Un certificat ne garanti donc absolument rien, et entre avoir un navigateur archaique bourré de trou avec ces certificats signé, et un navigateur conviviale peut etre bourré de trou sans certificat… le choix est vite fait, et me dite pas que l’article du debut de post est crédible (on oublie tout si j’ai pas bien compris les certificat :stuck_out_tongue: )