Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Firefox : Mozilla va bloquer toutes les extensions qui ne sont pas signées numériquement
Pour offrir plus de sécurité aux utilisateurs

Le , par Hinault Romaric

41PARTAGES

8  0 
Firefox doit une partie de son succès à cette possibilité qu’il offre aux développeurs d’étendre ses fonctionnalités grâce à des extensions. Cependant, certains développeurs ont abusé de cette fonctionnalité en modifiant, par exemple, sans le consentement de l’internaute certains de ses paramètres ou en publiant des extensions malveillantes.

Afin d’améliorer la sécurité et les performances de son navigateur, la fondation Mozilla compte désormais obliger le recours à des signatures numériques pour toutes les extensions Firefox.

« Nous sommes responsables de notre écosystème d’extensions, et nous ne pouvons pas rester les bras croiser alors que nos utilisateurs souffrent à cause de mauvaises extensions », explique Mozilla, qui regrette la prolifération « des extensions qui changent la page d’accueil et les paramètres de recherche de l’utilisateur sans son consentement, comme celles qui injectent des annonces dans les pages Web ou des scripts malveillants sur les sites de médias sociaux. »


Pour réduire les conséquences de ces extensions, Mozilla avait publié des directives que devait suivre l’ensemble des extensions, et pouvait procéder au blocage à distance des extensions qui ne respectent pas cette charte. Cependant, ces extensions, qui ne figurent pas sur AMO (Mozilla Add-On), la plateforme officielle d’hébergement d’extensions Firefox, ont développé des mécanismes rendant difficile leur détection et leur blocage.

Mozilla monte ainsi au créneau. Mais, n’opte pas, cependant, pour une solution radicale en imposant Mozilla Add-On comme unique référentiel pour les extensions Firefox, comme l’a fait Google pour Chrome. « Une solution simple serait de forcer tous les développeurs à distribuer leurs extensions, à partir de AMO comme c’est le cas pour les extensions Chrome. Cependant, nous pensons que c’est une contrainte inutile. Pour maintenir l’équilibre, nous avons opté pour une signature numérique des extensions, ce qui nous donnera un meilleur contrôle sur l’écosystème des extensions, sans obliger que AMO soit le seul canal de distribution », explique Mozilla.

Les extensions figurant dans le canal de distribution officiel seront automatiquement signées par Mozilla. Pour les autres extensions, elles devront être soumises à la fondation pour signature. Celles-ci seront signées après un examen automatisé. En cas d’échec de la signature, les développeurs auront la possibilité de demander une vérification manuelle de l’extension par Mozilla. Pour les extensions destinées à des usages en intranet, Mozilla va mettre en place un mécanisme pour leur vérification.

Cette nouvelle directive prendra effet après une période transitoire de 12 semaines (équivalent à la publication de deux versions de Firefox) durant laquelle les extensions non signées retourneront un avertissement dans le navigateur. Après cette période, il ne sera plus possible d’installer des extensions non signées sur les versions bêta et stables de Firefox.

Pour les développeurs ils devront tester leurs extensions sur Firefox Nightly ou la « Developer Edition », qui ne sont pas concernées par cette nouvelle mesure.

Source : Mozilla

Et vous ?

Que pensez-vous de cette mesure ? Était-il temps ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de kolodz
Modérateur https://www.developpez.com
Le 13/02/2015 à 16:18
Pour personnellement avoir vue des plug-in à la con s'installer sur mon Firefox. Je trouve que c'est une bonne initiative.
Ce n'est pas un problème de sécurité/liberté pour l'utilisateur. Car dans 90% des cas qui sont visées ont est dans des applications frauduleuses qui réalisent des choses dans le dos de l'utilisateur. Dans les autres cas, Mozilla compte donnée les moyens de contourner le problème. Je suppose que cela sera un "J'ai MarketPlace spécifique à tel adresse." ou "Je suis un utilisateur avertie et je passe outre la validation de la signature."
Je doute que faire un procès à Mozilla pour réduction des libertés soit une bonne idée. Encore plus quand tu peux passer à la version "Développeur" où il n'y a pas cette problématique.

D'ailleurs, FireFox respect le standard HTTPS, ce qui me rends certains site inaccessible (ceux qui sont en HTTPS dur, le HTTPS classique c'est juste "le certificat est auto-signé : ça pu" depuis celui-ci au travail. Car, mon entreprise se permet de lire le contenu et de me renvoyer la page avec un certificat auto-signé. Et Internet Explorer / chrome ne m'affiche même pas un warning... Pour eux tout est normal...

Cordialement,
Patrick Kolodziejczyk.
3  0 
Avatar de Beanux
Membre éclairé https://www.developpez.com
Le 13/02/2015 à 16:20
Au moins, ça évitera de retrouver des pc de Monsieur Duchmol ou Mme Michu avec 36 plugins vérolé installé par les adware qui sont joints aux installateurs de "mon site de téléchargement".
1  0 
Avatar de azias
Membre éclairé https://www.developpez.com
Le 13/02/2015 à 16:40
Je ne suis pas développeur d'extensions Firefox donc difficile de dire quels seront les impacts mais j'ai l'impression que ça ne va pas passer aussi simplement que ça en pratique au niveau des développeur d'extensions, en particulier pour les extensions non distribuées publiquement, liées à un service en particulier.

Un petit coup de flou:
For extensions that will never be publicly distributed and will never leave an internal network, there will be a third option. We’ll have more details available on this in the near future.
S'ils commencent par mettre des filtres relativement tolérants pour ne supprimer que les extensions connues comme problématiques et ensuite monter le niveau d'exigence au fur et à mesure, ça laissera le temps aux développeurs de mettre leurs extensions en conformité.

J'ai l’impression que ça va représenter un travail non négligeable pour se mettre à niveau. Surtout pour expliquer au patron qu'il faut dégager du temps et du budget pour un extension qui jusque là fonctionnait très bien et à laquelle personne n'a touché depuis longtemps. Sans compter quand ça a été déployé chez des clients qui n'ont pas forcément acheter du support...

Sinon en tant qu'utilisateur de Firefox, c'est plutôt un bonne nouvelle mais j’attends de voir quelle sera la taille de maille de la passoire. J'avoue que j'aurai sans doute préférer un système d'autorisations "à la Android" pour être mieux informé de ce que l'extension fait. Mais ce n'est pas forcément contradictoire. Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.
1  0 
Avatar de AoCannaille
Membre émérite https://www.developpez.com
Le 16/02/2015 à 12:01
Citation Envoyé par tes49 Voir le message

Et bien sur éviter certains sites (01 net ....)
Dire qu'il y a quelques années ce site était la référence des sites de téléchargement... Pas (trop) de pub, pas de virus... Ils sont tombés bien bas
1  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 13/02/2015 à 16:44
Sincèrement, vu le nombre d'extensions qui se sont rajouté à mon Firefox je bien heureux qu'il commence enfin à signer leurs app.
0  0 
Avatar de tes49
Membre confirmé https://www.developpez.com
Le 13/02/2015 à 21:10
Salut

Citation Envoyé par Beanux Voir le message
Au moins, ça évitera de retrouver des pc de Monsieur Duchmol ou Mme Michu avec 36 plugins vérolé installé par les adware qui sont joints aux installateurs de "mon site de téléchargement".
Monsieur Duchmol ou Mme Michu n'ont pas 36 extensions vérolés... car il y en à pas tant que cela ! C'est souvent les mêmes que l'on voit revenir et polluer les profiles. Il est vrai que ses mauvaises extensions arrivent souvent par des applications... Trèsssss rarement via AMO.
Et bien sur éviter certains sites (01 net, softonic, etc..), pour privilégier les sites d'origine !!!

Citation Envoyé par olreak Voir le message
Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.
C'est toujours possible...

Citation Envoyé par Shuty Voir le message
Sincèrement, vu le nombre d'extensions qui se sont rajouté à mon Firefox je bien heureux qu'il commence enfin à signer leurs app.
Aucun intérêt, si tu prends tes extensions sur AMO et qu'elles ont été vérifiées complètements ou partiellement.
Perso, j'en ai une bonne trentaine d'activées, mais jamais eu d'extensions néfastes.
0  0 
Avatar de Zefling
Membre expert https://www.developpez.com
Le 15/02/2015 à 15:13
Citation Envoyé par tes49 Voir le message
Perso, j'en ai une bonne trentaine d'activées, mais jamais eu d'extensions néfastes.
Moi, jamais, mais ma mère sur son PC, je ne compte même plus le nombre de fois où j'ai dû virer une extension merdique. Je ne sais jamais comment ça arrive, elle est pas capable de me l'expliquer.
0  0 
Avatar de kolodz
Modérateur https://www.developpez.com
Le 15/02/2015 à 17:46
Facile ctrl+h tu regarde la liste des sites "bisarres"^^
0  0 
Avatar de gamez
Nouveau membre du Club https://www.developpez.com
Le 01/04/2015 à 16:11
> Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.

>> C'est toujours possible...

et comment?
0  0 
Avatar de tes49
Membre confirmé https://www.developpez.com
Le 06/04/2015 à 11:50
Bonjour

Citation Envoyé par gamez Voir le message
> Je trouve quand même dommage qu'ils ne gardent pas une possibilité de pouvoir forcer manuellement l'installation d'une extension.

>> C'est toujours possible...

et comment?
Cela à toujours été possible et le restera, rien que pour les tests des développeurs d'extensions ! Il n'y à pas le choix.

Attention à qu'elle extension, on veut appliquer l'installation forcée ! Une extension qui joue sur l'interface de Firefox ou qui ajoute quelques boutons, il est fort possible qu'elle ne soit plus compatible et puisse poser des problèmes...

Comment ?... en ajoutant la préférence booléenne "extensions.checkCompatibility.(+nom de la version ou n° de version)" en false, dans about:config.
Bien sur, à chacun de prendre ses risques... car cela veut dire aussi que des toolbars pourraient s'installer facilement, comme c'est souvent le cas aujourd'hui via l'autorisation de l'utilisateur (par ex : installation de logiciels pas suivit et donc pas contrôlé..) !
0  0