[quote name=‹ azacreel2 › date=’ 22 Dec 2004, 09:20’]Un certificat ne garanti donc absolument rien, et entre avoir un navigateur archaique bourré de trou avec ces certificats signé, et un navigateur conviviale peut etre bourré de trou sans certificat… le choix est vite fait, et me dite pas que l’article du debut de post est crédible (on oublie tout si j’ai pas bien compris les certificat )
[right][post=« 315445 »]<{POST_SNAPBACK}>[/post][/right][/quote]
Bon en fait c’est ca mais c’est pas ca
La signature d’un programme ne dit en fait que peu de chose :
Un CA - (Certification Authority, Verisign par exemple) affirme que pour une période dans le temps donnée, le fichier signé (un installeur de GMail notifier par exemple) a bien été publié par Google (dans notre exemple) et qu’il n’a pas été modifié.
Bon, là je simplifie hein, dans un certificat tu peux déclarer plein de truc, pas forcément le fait que le code ait été fait par Google, mais pour signer les fichiers en général on s’en sert comme ca).
C’est pas grand chose mais c’est mieux que rien. En effet :
Ca évite que le fichier soit modifié sans que l’utilisateur ne puisse s’en apercevoir
On peut faire distribuer ce fichier par n’importe qui (sites miroirs), il reste signé, et donc on est sûr d’avoir le bon fichier original, quelque soit l’endroit où on le télécharge
C’est plus sûr qu’un hash md5 fourni sur le site web du développeur à partir du moment où le site web avec le MD5 est plus facile à corrompre que le système de signature de l’entité de certification (et je ne me mouille pas trop en disant que c’est souvent le cas :P)
Malheureusement, et c’est bien le problème comme tu l’as dit, une signature numérique ca ne fait pas tout :
Le fait que Verisign certifie que le programme « Online Roulette 2005 » soit bien un fichier original distribué par « Escrocs Online » ne veut absolument pas dire qu’il ne soit pas plein de spywares. Mais ce n’est de toutes façons pas le role d’une signature !
Pour reprendre l’exemple précédant, on peut supposer que bien que je fasse 100% confiance à Google, la confiance que j’ai dans le fichier est limitée non par la confiance que j’ai en Google, mais par celle que j’ai dans l’entité de certification, c’est à dire Verisign ici. Et Verisign, ils vérifient puis signent tout ce pour quoi tu payes, c’est leur boulot. Ils certifient l’intégrité du code et sa provenance, et pour ce dernier point ils ont des critères d’identification solides.
Enfin, comme je l’avais dit, faire signer un fichier (par Verisign ou un autre CA sûr), bah… c’est payant (et il faut casquer tous les ans). Alors certes on peut faire de la certification arborescente, mais si on veut faire ca bien faut que FireFox paye sa dime à Verisign, et ca je sais pas si c’est prévu que ca arrive un jour…
Donc les fichiers signés, ca sert, mais ca n’est nullement un gage de qualité et d’absence de spyware, qu’on se le dise.
Ce que l’on voit, c’est que la sécurité est compromise par les facteurs suivants:
Installer une application malicieuse. Exemple 1: firefox modifé pour installer un trojan —> là, une applicaton signée serait utile Exemple 2: une extension de firefox écrite par un éditeur peu scrupuleux et qui contient un spyware ----> là, signée ou non, l’utilisateur n’a aucun moyen de savoir qu’il est en train de pourrir sa machine
Les failles de sécurité: Exemple 1: un composant de firefox mal programmé permet d’accéder à des données de la machine normalement inaccessibles. Ce serait quelque chose comme « si l’url passée dans l’adress bar est trop longue, alors le carnet d’adresse de l’utilisateur est renvoyé au site malicieux par http »… C’est pas drole, je crois qu’ie a eu une faille du style Exemple 2: la faille n’est pas dans l’application firefox, mais dans une de ses « ajouts ». Le truc typique (sous ie), c’est active X. On installe une aplication qui communique avec activeX.Cete application est un programme local, avec tous les droits de l’utilisateur qui l’a lancé. Du coup, le jeu consiste à balancer par le tuyau active X une commande qui va faire exécuter n’importe quoi à l’application locale, et bingo. On peut ainsi effacer des donnée locales, en récupérer d’autres, ouvrir des ports, …
Perso, je pense que les « exemples 2 » continuerons de poser des gros soucis: on ne peut pas montrer du doigt un éditeur « majeur » (microsoft…). Cest un problème à régler avec tous les utilisateurs et tous les vendeurs de logiciels!
On est pas rendus !
Une idée qui a peut etre de l’avenir, c’est la « prédiction ». Lors de l’installation d’un adware, windows vous explique "attention, ce que vous essayez d’installer a les propriétés suivantes:
Il est détesté par 97% des utilisateurs
Il tourne en tache de fond
Il modifie le rendu des pages web dans ie
Voulez vous vraiement installer ce logiciel?
Faut aussi voir que verisign exige un veritable “contact” c’est a dire une personne physique avec une adresse et un telephonne. Quelqu’un contre qui se retourner en case de velleites de proces par exemple…
Je peux vous garantir que les auteur de spyware qui s’approchent plus du virus qu’autre chose ont aucune envie de publier ce genre d’infos. Comme par hazard quand il s’agit des infos des autres ils sont 100% pour que ca soit public mais les leur. Non, non pas du tout.
Hum, j’ai déjà testé plusieurs fois firefox, et j’en suis à chaque fois revenu.
Franchement, payer mes impôts avec un truc open source, ben j’ai vraiment pas confiance.
Tout le monde peut regarder le code, donc trouver des failles et même le modifier.
Mais en plus, comment ces gens gagnent-ils de l’argent ? Les dons ? Je ne vois pas le modèle économique de ce truc, qui de toute façon, s’il commence à trop marcher, devra se retourner vers une solution plus viable (il n’y aura jamais assez de volontaires et d’organisation pour faire les mises à jour).
Il n’y a qu’à voir ce qu’est devenu Netscape… Un truc bourré de pubs.
Bon, que tu n’es pas confiance dans un truc open source, soit. Que n’importe qui puisse modifier le source, oui et tant mieux! C’est en mettant ensemble les competences des developpeurs que l’on fait un bon logiciel, chacun apportant sa propre brique a l’edifice. Perso, j’ai plus confiance dans un truc open source, car quand j’ai un doute sur telle ou telle fonctionnalite (a-t-elle ete bien programme? C’est suffisament securisee? Y’a pas un spy dedans?), je plonge dans le source rapidos et j’ai une reponse. Dans un truc ferme, ben, je peux pas. Comment savoir que mon browser ne copie pas les donnees cryptees qu j’envoie en clair pour les envoyer a une autre adresse? Comment etre sur du logiciel? En faisant confiance a l’editeur? Oui mais pas toujours…
Pour le model economique, voila ce que les gens ne comprennent plus! Des gens qui travaillent gratuitement, pour la beaute du geste! Impensable! Ca ne marchera jamais… C’est meme du communisme informatique! Et ben oui, ca peut y ressembler, c’est meme les reproches que l’on entend du libre. Mais ca marche! Jamais il n’a existe autant d’innovation logiciel que depuis que les solutions open source existent. Ca permet d’avoir plus de creation, plus de diffusion, plus d’innovation. Linux, FreeBSD, GNU et tout les autres projets sous license free en sont un bon exemple.
Pour Netscape, je ne comprends pas. Netscape n’a jamais ete open source et encore moins libre. C’est un browser qui appartient maintenant a 100% a AOL et c’est depuis ce moment que AOL a integre tout un tas de fonctionnalites proprietaires. Par contre, j’ai jamais vu de pub dedans…
Personellement, je trouve que l’Open Source s’approche plus d’un capitalisme: les plus faibles, inintéressants, figés… meurent, et quand il y a besoin de faire bouger les choses, des nouveaux projets apparaissent. Xfree est remplacé petit à petit par Xorg à cause d’une trop grande lenteur de développer et de son monolithisme. Des programmes de gestion de multimédia comme Gstreamer commencent à apparaître pour rattraper le retard de Linux dans le domaine et Firefox et Thunderbird remplacent petit à petit la suite Mozilla.
Oups, on dérive un peu là.
[quote name=‘Tzim’ date=’ 22 Dec 2004, 08:24’]Le problème n’est pas un probleme de tenue face aux attaques, ni de réactions face aux failles.
La faille, elle est déja connue, et elle est malheuresement pas patchable, et elle se trouve entre la chaise et le clavier. La meilleure solution étant de configurer le bordel pour rendre cette faille la moins accessible possible, et minimiser un max ses effets.
C’est l’effort que tente de faire (en vain, sur certains points) , microsoft depuis 2-3 ans, et, sur ce coup, je trouve effectivement firefox bien mal barré. Les gens de l’open-source veulent faire du grand public ? Soit… mais ils ont interret a s’y adapter.
[right][post=“315440”]<{POST_SNAPBACK}>[/post][/right][/quote]
Ca frise le procès d’intention quand même. Pour le moment, il y a deux faits quantifiables : Firefox gagne chaque jour du terrain sur IE et dérivés (NC, CB, etc.) et surtout il reçoit un accueil encourageant dans le grand public (on navigue dans les 30% d’utilisateurs). Dire qu’il ne pourra pas assumer sa popularité, je trouve ça quand même un petit peu hâtif comme conclusion. Attendons de voir comment va évoluer FF avant de lui tirer une balle dans la nuque. On n’en est encore qu’à la version 1.0. Et puis, sans vouloir ouvrir la porte aux trolls, il faut quand même bien admettre que voir Microsoft venir jouer les donneurs de leçon en terme de sécurité me fait toujours sourire. Il n’y a pas si longtemps encore (effectivement 2-3 ans, Tzim), leurs efforts de sensibilisation auprès du grand public étaient tout aussi inexistants. Clairement, FF répond à une vraie demande, demande que ne comble plus IE depuis la sortie de la version 6.0. D’ailleurs, je serais étonné de savoir ce que serait devenu le browser de Microsoft sans l’apparition des surcouches qui lui ont sauvé la life jusqu’ici. Sans Netcaptor, perso, il y a déjà longtemps que j’aurais été chercher mon bonheur ailleurs.
[quote]Après avoir lu ses deux posts, j’en viens aux conclusions suivantes :
1/ Ok, un md5 n’est pas une signature. Mais Mozilla propose aussi des signatures OpenPGP, dont le rôle est tout à fait différent. On excusera ledit Peter : le fichier est caché, et n’est pas accessible aux utilisateurs “normaux” (ceux qui ne font que se servir d’un ordinateur sans chercher à comprendre).
2/ Son étude part du principe que tout le monde utilise Windows XP SP2 avec IE 6. Supposons qu’on mette de côté tous ceux qui se servent de Linux ou Mac et qui aiment avoir le même browser des deux côtés, il reste quand même une pléthore d’utilisateurs qui tournent sans le SP2, voire carrément même pas sous XP. On en fait quoi de ceux là ?
3/ Effectivement, le code HTML de son blog est foireux et donc s’affiche mal sur les non-IE. Tout à fait, c’est pas de sa faute, c’est pas lui qui gère weblogs.asp.net . Mais qui lui a demandé de le faire là, son blog ?[/quote]
A remettre plus ou moins dans son contexte.
Et pour ce qui est des extensions, je télécharge uniquement sur le site officiel. Si elle est testée avant, ça évite des surprises.
[quote name=‹ kaneloon › date=’ 22 Dec 2004, 13:19’]Hum, j’ai déjà testé plusieurs fois firefox, et j’en suis à chaque fois revenu.
Franchement, payer mes impôts avec un truc open source, ben j’ai vraiment pas confiance.
Tout le monde peut regarder le code, donc trouver des failles et même le modifier.
Mais en plus, comment ces gens gagnent-ils de l’argent ? Les dons ? Je ne vois pas le modèle économique de ce truc, qui de toute façon, s’il commence à trop marcher, devra se retourner vers une solution plus viable (il n’y aura jamais assez de volontaires et d’organisation pour faire les mises à jour).
Il n’y a qu’à voir ce qu’est devenu Netscape… Un truc bourré de pubs.
[right][post=« 315519 »]<{POST_SNAPBACK}>[/post][/right][/quote]
[quote name=‹ LeBaronNoir › date=’ 22 Dec 2004, 13:54’]Personellement, je trouve que l’Open Source s’approche plus d’un capitalisme: les plus faibles, inintéressants, figés… meurent, et quand il y a besoin de faire bouger les choses, des nouveaux projets apparaissent. Xfree est remplacé petit à petit par Xorg à cause d’une trop grande lenteur de développer et de son monolithisme. Des programmes de gestion de multimédia comme Gstreamer commencent à apparaître pour rattraper le retard de Linux dans le domaine et Firefox et Thunderbird remplacent petit à petit la suite Mozilla.
Oups, on dérive un peu là.
[right][post=« 315538 »]<{POST_SNAPBACK}>[/post][/right][/quote]
Non, je ne pensais pas au modèle économique de Mozilla, mais à une certaine ressemblance entre l’écosystème OSS et le capitalisme. Donc, je dérivais grave.
)