Mot-clé - firefox

Fil des billets - Fil des commentaires

jeudi, mai 28 2009

Presque full libre

En parsant les commentaires de linux-fr sur la disponibilité de dailymotion en partie en ogg/theora en relation avec Mozilla Firefox 3.5, ce qui est en soi une bonne nouvelle (vivement la 3.5 en stable, j'ai aussi découvert virtual RMS :

vrms
Non-free packages installed on lain

dynamips Cisco 7200/3600/3725/3745/2600/1700 Router Emulator
firmware-ipw3945 Binary firmware for Intel Wireless 3945 (old style)
gns3 graphical network simulator
ipw3945d Binary userspace regulatory daemon for Intel PRO/Wirel
nvidia-kernel-2.6.26-1-68 NVIDIA binary kernel module for Linux 2.6.26-1-686-big
unrar Unarchiver for .rar files (non-free version)

Contrib packages installed on lain

ipw3945-modules-2.6.18-6- Intel PRO/Wireless 3945ABG (ipw3945) driver modules fo
nvidia-kernel-common NVIDIA binary kernel module common files

6 non-free packages, 0.3% of 1961 installed packages.
2 contrib packages, 0.1% of 1961 installed packages.

Autant le couple dynamips/gns3 je peux m'en passer, autant la version propriétaire du driver nvidia est essentielle pour faire fonctionner mon matériel. J'ai constaté des dégradations énormes en utilisant le driver libre :-/

Je suis libre à 99,6%. On notera tout de même qu'il n'a pas détecté le plugin propriétaire flash.

Prochaine bécane, objectif, 100% libre :)

mercredi, septembre 3 2008

Google Chrome (tm)

On ne parle plus que de cela sur tous les médias qui se veulent proche du IT. Ça, c'est quoi ? C'est le navigateur proposé par la société Google, nommé Google Chrome. Jusqu'à présent, la firme de Mountain view restait assez discrète quant à son offre logicielle, mais là, c'est un sacré pavé dans la marre, un pied de nez à leur concurrent direct, Microsoft. Tristan Nitot dit souvent que le futur de l'informatique passera par le navigateur, véritable système d'exploitation du futur. Il semblerait que Google partage la même vision. Ainsi, en proposant un logiciel en beta, comme à leur habitude, Google compte frapper vite et fort pour détrôner MSIE. Voit-on ici l'apocalypse (qui signifie révélation, pour les profanes) du grand Evil qu'est Google ? Disons que c'est un sérieux pas en avant.En effet, si Google, en plus de connaître le web par cœur, de pouvoir vous profiler par les publicités sur lesquelles vous cliquez détient en plus votre navigation, la vie privée n'a plus de sens.

En bon passionné que je suis, j'ai installé Chrome ce matin, voici quelques retours. Tout d'abord, il n'existe pour l'instant de version que pour windows, il a fallut que mon pc bureautique subisse la chose (heureusement qu'on nous oblige à avoir des consoles de jeu pour bosser au bureau !). Sur deux pc, première constatation, ça a du mal avec certains proxies... Je ne pourrai l'installer que sur un de mes postes. Mais avant de l'installer, je vais me rompre à quelque chose que j'aime par dessus tout, les Conditions Générales d'Utilisation, parce que vous pensez bien que je ne peux pas installer n'importe quoi contre mon gré, juste parce que c'est hype. Voici les passages qui m'ont le plus intéressés :

8.3 Google se réserve le droit, sans toutefois s'y engager, de pré-visualiser, réviser, marquer, filtrer, modifier, refuser ou retirer tout ou partie du Contenu issu de tout Service. Pour certains Services, Google peut fournir des outils destinés à éliminer par filtrage les contenus à caractère sexuel. Ces outils comprennent les paramètres de préférence SafeSearch (voir la page Web http://www.google.fr/help/customize.html#safe). En outre, il existe des logiciels et des services proposés dans le commerce qui visent à limiter l'accès aux éléments que vous pourriez juger inacceptables.

Ma foi, Google doit donc pouvoir pré-visualiser l'ensemble des pages que je vais consulter, que ce soit sur des sites publics ou des parties privées, voire non référencer. On peut me retirer une partie du contenu que je regarder ! Diantre.

10.2 Vous n'êtes pas autorisé (et ne pouvez pas autoriser un tiers) à copier, modifier, créer des travaux dérivés, faire de l'ingénierie inverse, décompiler ou tenter d'extraire de quelque manière que ce soit le code source du Logiciel ou d'une partie de celui-ci, à moins qu'une telle activité ne soit requise ou autorisée expressément par la loi ou qu'elle ne fasse l'objet d'une autorisation écrite expresse de Google.

C'est ballot, pour un logiciel libre.

12.1 Le Logiciel que vous utilisez est susceptible de télécharger et d'installer automatiquement des mises à jour fournies par Google. Ces mises à jour sont conçues pour améliorer, perfectionner et faire évoluer les Services et peuvent prendre la forme de corrections de bogues, d'améliorations de fonctionnalités, de nouveaux modules logiciels et de nouvelles versions. Vous acceptez de recevoir ces mises à jour (et autorisez Google à vous les fournir) dans le cadre de votre utilisation des Services.

En gros, si je veux rester à un état T de mon navigateur, application installée sur MON poste, je n'y ai pas droit. Je suis obligé de subir des contraintes si je veux pouvoir utiliser le soft...

13.2 Si vous souhaitez mettre fin à votre accord légal avec Google, vous pouvez le faire (a) en avertissant Google à tout moment et (b) en fermant vos comptes pour tous les Services que vous utilisez, lorsque cette option est mise à votre disposition par Google. Votre notification doit être envoyée par écrit à l'adresse postale de Google, qui est précisée au début des présentes Conditions.

Ahah, je suis sûr que tous les gens qui utilisent Gmail ne savent pas que pour fermer un compte il faut écrire à Google ... par courrier manuscrit :) Toujours est-il que si je ne souhaite plus utiliser ce logiciel, il faudra que je fasse un courrier à Google.

20.7 Les Conditions et les relations qui vous lient à Google dans le cadre des Conditions sont régies par la loi anglaise. Vous et Google vous engagez à vous soumettre à la juridiction exclusive des tribunaux d'Angleterre pour résoudre toute question légale en rapport aux Conditions. Nonobstant ce qui précède, vous admettez que Google demeure en droit de solliciter une procédure d'injonction (ou une mesure d'urgence équivalente) auprès de n'importe quelle juridiction.

La loi anglaise. Encore et toujours elle. Je suis FRANÇAIS, merci d'arrêter de m'assigner dans des juridictions qui n'ont rien à voir avec mon pays et qui ne sont pas compatible avec le droit de ce dernier. Par exemple, votre DMCA, vous pouvez vous le caler derrière l'oreille !

Bon, j'installe quand même, il faut bien pouvoir faire un billet après tout. J'ai quelques petits freeze de temps à autre, sur les temps de chargement d'un onglet, sûrement parce que, par défaut, il charge une page qui permet de voir tous les sites visités récemment sous forme de vignette. C'est agréable à la découverte, à l'usage, je ne sais pas. La fenêtre de vision n'est pas mal non plus, plus grande que celle sous mon Mozilla Firefox, on doit rejoindre ce que l'on trouve sous IE7, mais en mieux. Il trouve tout seul mon lecteur de flash.

Côté tests : - Acid2 : passage à 100% - Acid3 : passage à 77% - test de sécurité sur scanit : pas de faille avérée

Bon, on me glisse dans l'oreillette qu'on a tout de même trouvé quelque chose qui fait planter le navigateur : oh le joli poc.

Bien sûr, on ne se moque pas, c'est une bêta. En plus, on isole chaque onglet dans un processus. Il ne reste plus qu'à voir comment ils vont gérer la vie privée ainsi que les extensions.

À suivre donc, mais c'est une bonne nouvelle pour le petit monde de l'Internet, une très mauvaise pour l'avenir d'une certaine firme, et au moins un grand pas vers la Révélation ;)

vendredi, août 22 2008

Firefox, ou le MSIE du futur ?

Mon ami et camarade Daniel Reynaud vient enfin d'ouvrir un blog. Daniel est chercheur en sécurité, principalement orienté sur les problèmes de malware et de virus. Nous avons eu l'occasion de nous revoir lors du SSTIC'08, Daniel, donnant tout comme moi, une rump. Le sujet abordé était la sécurité des extensions Mozilla Firefox.

Après quelques contacts avec Tristan, que je connais par mes activités dans le libre, nous avons pu faire ouvrir un bug sur le bugzilla du logiciel. Vous pourrez retrouver toute l'information sur ce problème sous le numéro 442153.

Daniel et son collaborateur remontaient différents problèmes :

  1. l'intégrité des modules complémentaires n'est pas vérifiée après l'installation de ces derniers, c'est à dire que ceux-ci peuvent être modifiés après installation sans que l'utilisateur ne soit mis au courant (ni même le logiciel),
  2. les modules complémentaires peuvent être installés par n'importe quelle application tierce,
  3. un module complémentaire peut être supprimé de la liste des modules installés sans pour autant être supprimé ou desactivé,
  4. les modules complémentaires peuvent refuser au gestionnaire de module leur désinstallation.

Ceci étant, en combinant les différents choix, nous obtenons une belle exploitation pour un malware ou un virus, qui se voit l'opportunité d'avoir une place au chaud avec de bonnes combinaisons (accès aux mots de passe de l'application, accès à internet via l'aplication, ...). La question semble donc relativement sérieuse.

Voici les réponses apportées par l'équipe en charge des problèmes de sécurité de Mozilla Firefox :

  1. certains modules ont besoin de modifier des fichiers après leur installation, il est donc impossible de restreindre cette fonctionnalité. Il semble même étrange que l'on souhaite restreindre les droits d'écriture d'un module à son strict répertoire.,
  2. c'est tout de même bien pratique que skype puisse installer un module sans l'intervention de l'utilisateur,
  3. la correction sera peut être apportée dans Mozilla Firefox 4,
  4. c'est une mauvaise configuration du module (?) qui a des droits complets sur le système.

Au-delà des problèmes réels soulevés, je trouve que la réponse est un peu rapide et légère. Pourquoi ? Parce que les reproches qui ont été fait par le passé à ActiveX se retrouvent également ici. Une trop grande permissivité permet à un attaquant d'atteindre de manière plus rapide son but. Ainsi, la sécurité est encore une fois sacrifiée pour la sacro sainte utilisabilité.

Attention cependant, on dit que l'avenir de la bureautique ou du poste de travail se transfère des systèmes d'exploitation vers les navigateurs. Avec de tels choix de design et de réaction, il sera intéressant de suivre l'évolution des malwares et virus désirant choisir ces biais, cela pourrait donner de belles choses (une pensée émue pour MS Blaster ;))