Developpez.com

Club des développeurs et IT pro
Plus de 4 millions de visiteurs uniques par mois

Mozilla met fin à l'ajout des plugins par des applications tierces
Sans autorisation des utilisateurs, avec une nouvelle fonction de Firefox 8

Le , par Hinault Romaric, Responsable .NET
sans autorisation des utilisateurs, avec une nouvelle fonction de Firefox 8


À partir de Firefox 8, Mozilla va bloquer l’installation automatique des plugins par des applications tierces sans le consentement de l’utilisateur.

La gestion des plugins dans le navigateur Firefox a toujours été un problème pour les utilisateurs du navigateur qui se retrouvent parfois surpris de trouver des extensions dans leur navigateur qu’ils n’ont pas installées.

Pour Mozilla, ces extensions installées discrètement par des tiers présentent un certain nombre de problèmes comme le ralentissement du temps de chargement des pages, l’encombrement de l’interface utilisateur avec des barres d’outils qui sont souvent inutilisées, etc.

L’organisme était allé jusqu'à s’insurger contre Apple, Microsoft, Google. “Ce comportement n'est pas acceptable. J'ai téléchargé et installé une application spécifique de ces éditeurs avec l'intention d'avoir uniquement cette application installée, et sans mon accord, elle m'a imposé des logiciels supplémentaires. Dans mon dictionnaire, cela correspond à la définition d'un Cheval de Troie " avait déclaré Asa Dotzler, l'un des membres fondateurs de Mozilla.

La nouvelle fonctionnalité qui sera intégrée au navigateur permettra lors du démarrage de Firefox de vérifier et désactiver automatiquement toute extension installée par une application tierce, jusqu'à ce que l’utilisateur approuve explicitement l’ajout du plugin.



Lors de la migration des utilisateurs vers une version de Firefox contenant cette fonctionnalité, le navigateur va conserver par défaut tous les plugins installés par l’utilisateur. Les extensions qui avaient été installées par les autres applications seront bloquées jusqu'à confirmation de l’utilisateur.

La fonctionnalité pourra être testée dans Firefox 8 qui sera disponible sur le canal Aurora la semaine prochaine.

Source : Mozilla

Et vous ?

Que pensez-vous de cette fonctionnalité ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de ProgVal ProgVal - Membre éclairé http://www.developpez.com
le 16/08/2011 à 17:31
Citation Envoyé par Freem  Voir le message
Dans le cas des jeux vidéos, l'utilisateur d'un crack le fait volontairement, pour gagner quelque chose.
Dans le cas de firefox, cette protection sers à protéger l'utilisateur. J'ose espérer que celui-ci n'installera donc pas de crack contre cette fonctionnalité.

On parle du cas où l'installateur lui-même en est un.
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 16/08/2011 à 18:11
Citation Envoyé par Freem  Voir le message
Les utilisateurs ont les droits d'admin par défaut, sous windows du moins.
Et je crois que vista à amené l'UAC dont le rôle est de contrôler (je dis sûrement des bêtises, je n'utilise pas les 2 derniers OS de microsoft) l'accès aux droits de type administrateur non?

Disons pour faire simple que l'UAC permet a une application démarrée avec les droits utilisateurs d'avoir une promotion en administrateur moyennant un message d'avertissement à l'utilisateur.
Or les installateurs réclament toujours les droit administrateurs. Et les utilisateur les accordent toujours sans se poser plus de question, car c'est normal pour un programme qui va installer des fichiers, et que l'on fait généralement confiance a un programme fournit par Microsoft, Yahoo, ...

Citation Envoyé par Freem  Voir le message
Par contre, pour ce qui est de dire que c'est amener au même problème que celui rencontré par les jeux vidéo, je ne suis pas d'accord:
Dans le cas des jeux vidéos, l'utilisateur d'un crack le fait volontairement, pour gagner quelque chose.
Dans le cas de firefox, cette protection sers à protéger l'utilisateur. J'ose espérer que celui-ci n'installera donc pas de crack contre cette fonctionnalité.

Techniquement c'est exactement les mêmes problèmes : le fabricant d'un logiciel (firefox/jeu) veut essayer d’empêcher une modification de celui ci par un programme tiers (installeur/crack).

La seule différence est que dans le cas des addons silencieux, l'utilisateur n'est pas conscient ce qu'il est en train de "patcher" son Firefox.
Citation Envoyé par Freem  Voir le message
D'autre part, de dire qu'il ne sert à rien de protéger parce que ce sera toujours cracké est un peu extrême je trouve.
Le fait est que quand le bouclier est amélioré, la lance l'est aussi, et vice versa.
C'est un peu comme l'intérêt d'utiliser un antivirus:
A quoi bon puisque de nouveaux malwares apparaissent tous les jours?
Réponse: pour se protéger de ceux d'hier (si la maj est quotidienne, naturellement)

Après, je t'accorde que ce n'est pas à mozilla de faire ce job, mais s'ils peuvent faciliter un peu la vie des utilisateurs en instaurant des protections minimum, alors tant mieux. Bien sûr, ce sera toujours cassable. Mais mieux que rien.

Justement il faut voir jusqu’à quel point c'est utile de se protéger et où s’arrêter, pour éviter de mettre une porte blindée dans un mur en carton. Le système mis en place est suffisant pour que les programme qui le détournent soient considérés comme des malwares.

Ce protéger davantage serait inutile : l'auteur de malwares contournera forcément toute les protections et obligerait Mozilla a s'adapter a chaque fois, avec toujours un temps de retard.
Quant on voit que les éditeur de jeux vidéo malgré les moyens colossaux investis, des limitations très contraignantes(incompatibilités matérielles) et même parfois à la limite du légal(rootkit), n'ont jamais vraiment réussi, ce n'est clairement pas à Mozilla d'aller sur ce terrain, mais aux anti-malwares.

D’ailleurs on est dans le très hypothétique. On est en train de supposer la créations de malwares de toute façon capables de voler des mot de passe, installer un key logger, vider le disque dur... mais qui se contenteraient d’installer une pauvre barre d'outil à Firefox...
Avatar de shenron666 shenron666 - Expert confirmé http://www.developpez.com
le 17/08/2011 à 11:24
en fait, il ne mettent pas fin à l'ajout, ils bloquent juste l'activation, le plugin s'installe tout de même, ce qui n'est pas normal
Avatar de kdmbella kdmbella - Expert éminent http://www.developpez.com
le 18/08/2011 à 13:32
je trouve que ça sera un bond en avant pour la sécurité sous FF car avec ces extensions qui s'installent sans l'aval de l'utilisateur , c'est un risque important côté sécurité. D'autre part pour l'utilisateur ça lui donne plus de contrôle sur son navigateur car c'est souvent très ennuyeux de ne pouvoir empêché l'installation d'une extension qu'une application tierce vous impose
Moi personellement j'installai les applications et lorsque je constate un plugin indésiré sur mon interface de FireFox je me dirige direct vers le module de gestion des extension et je le vire direct même si cella m'impose de redémarrer mon navigateur
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 18/08/2011 à 13:44
Niveau sécurité, le système de désactivation automatique des addons dangereux, permettait déjà de limiter les risques. S'il découvrait qu'un addon était victime de failles critiques, Mozilla pouvait forcer sa désactivation (c'était notamment arrivé à l'addon du framework .net).
Avatar de shenron666 shenron666 - Expert confirmé http://www.developpez.com
le 18/08/2011 à 14:22
Citation Envoyé par kdmbella  Voir le message
je trouve que ça sera un bond en avant pour la sécurité sous FF car avec ces extensions qui s'installent sans l'aval de l'utilisateur , c'est un risque important côté sécurité. D'autre part pour l'utilisateur ça lui donne plus de contrôle sur son navigateur car c'est souvent très ennuyeux de ne pouvoir empêché l'installation d'une extension qu'une application tierce vous impose

ça n'empêche pas l'installation mais uniquement l'activation
pour moi, c'est insuffisant
Avatar de adiGuba adiGuba - Expert éminent sénior http://www.developpez.com
le 18/08/2011 à 14:28
Citation Envoyé par shenron666  Voir le message
ça n'empêche pas l'installation mais uniquement l'activation
pour moi, c'est insuffisant

Là ce n'est plus du ressort de Mozilla... ni de personne d'autre en fait.

Je ne vois pas comment les petits gars de Mozilla pourraient empêcher la création de fichier par un programme d'installation qui a eu les autorisations admin de la part de l'utilisateur...

a++
Avatar de shenron666 shenron666 - Expert confirmé http://www.developpez.com
le 18/08/2011 à 14:58
Citation Envoyé par adiGuba  Voir le message
Là ce n'est plus du ressort de Mozilla... ni de personne d'autre en fait.

je ne suis pas totalement d'accord

Citation Envoyé par adiGuba  Voir le message
Je ne vois pas comment les petits gars de Mozilla pourraient empêcher la création de fichier par un programme d'installation qui a eu les autorisations admin de la part de l'utilisateur...

si les plugins s'executaient dans une sandbox avec une définition des droits qu'ils veulent à la manière des applications android, ça permettrait à l'utilisateur d'être informé
Avatar de adiGuba adiGuba - Expert éminent sénior http://www.developpez.com
le 18/08/2011 à 15:08
Citation Envoyé par shenron666  Voir le message
si les plugins s'executaient dans une sandbox avec une définition des droits qu'ils veulent à la manière des applications android, ça permettrait à l'utilisateur d'être informé

Là dessus je suis d'accord, même s'il faudrait bien définir ces droits, et que la plupart des utilisateurs les acceptent sans y jeter le moindre coup d'oeil.

Mais ce n'est pas cela qui empêcherait l'installation des plugins... seulement leur activation.

a++
Avatar de GanYoshi GanYoshi - Membre chevronné http://www.developpez.com
le 18/08/2011 à 15:15
Citation Envoyé par shenron666  Voir le message
si les plugins s'executaient dans une sandbox avec une définition des droits qu'ils veulent à la manière des applications android, ça permettrait à l'utilisateur d'être informé

Rien n’empêcherai un programme de faire sauter ce système.
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 18/08/2011 à 16:01
Citation Envoyé par shenron666  Voir le message
je ne suis pas totalement d'accord

De fait, c'est impossible a gérer pour Mozilla : c'est un problème intrinsèque aux OS du bureau. Que ce soit sous Windows, Mac OS X(avec un . pkg) où les distribution Linux classiques, l’installation réclame des droits administrateurs. A partir de là Mozilla ne peut rien faire a part essayer de désactiver a postériori.

Il faudrait un OS avec une politique de gestion des droits complétement différente de ce que l'on fait actuellement dans la micro-informatique pour gérer ça.
Offres d'emploi IT
Data scientist inspection générale (H/F)
Société Générale - Ile de France - Hauts-de-Seine
Technical leader / moe perle (H/F)
Société Générale - Ile de France - Val de Marne
Architecte fonctionnel et applicatif (H/F)
Société Générale - Ile de France - Val-de-Marne

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil