09.22.08

Firefox, les extensions et la sécurité

Publié dans En français / In French, Firefox, Informatique / Computer science, Recherche / Research, Sûreté / Security tagged , , , , , , , , , , , , , , , , , , , , , , à 5:54 par yoric

Il y a environ un an, un de mes collègues travaillait sur un dispositif de communication pour les services d’urgence. Ce dispositif, prévu pour être utilisé lors de catastrophes naturelles ou d’attentats terroristes majeurs, devait permettre une meilleure synchronisation entre la police, les pompiers et les équipes de secouristes. Ah, et au cas où il se serait effectivement agi d’un attentat, le dispositif se devait d’être sûr. Conclusion du collègue en question : “comme Firefox est sûr, je vais faire cela sous la forme d’une extension Firefox, et ça sera sûr.”

À ce stade, j’espère que vous êtes déjà en train de vous moquer intérieurement de mon collègue. Cela dit, savez-vous effectivement quel risque vous courez en écrivant une extension ? Savez-vous quel risque vous faites courir à l’utilisateur ? Et savez-vous à quel point vous pouvez compter sur la plateforme Mozilla pour vous aider à écrire des extensions ou des applications sûres ?

À l’occasion, je tâcherai d’écrire un article détaillé sur le sujet. En attendant, pour ceux qui se posent des questions, voici les transparents (en français) de l’exposé que j’ai donné samedi dernier au Mozilla Add-Ons Workshop de Paris.

Ah, un indice : ayez peur.

08.14.08

Mozilla Add-ons Workshop Paris

Publié dans En français / In French, Firefox, In English / En anglais, Informatique / Computer science tagged , , , , , , , , , , , , , , , à 5:29 par yoric

A Mozilla Workshop will be held in Paris on September 20th 2008. The main topic of this workshop is add-ons development, for a technical audience of developers and beginners. I will be talking about security of add-ons. More informations here.

Un Atelier Mozilla se tiendra à Paris le 20 Septembre 2008. On y parlera des divers aspects du développement d’extensions, à l’attention d’un public plutôt technique, composé de développeurs et de débutants. J’y parlerai de sécurité des extensions. Plus d’informations ici.

06.18.08

Firefox 3 est sorti

Publié dans En français / In French, Firefox, Informatique / Computer science tagged à 2:23 par yoric

Le titre de ce billet devrait se suffire. Pour consulter la liste des améliorations récentes ou télécharger cette nouvelle version, rendez-vous sur getfirefox.com.

05.30.08

Security Extensions for Firefox, the final word (for this year) is :(

Publié dans Enseignement, Firefox, In English / En anglais, Informatique / Computer science, Recherche / Research, Sûreté / Security tagged , , , , , , , , , , , , , , , , , , , , , , , , , , , à 12:46 par yoric

As I mentioned a few months ago, two master students of mine have been working for the best part of one year on improving the security of extensions in Firefox and Thunderbird. To sum up the current situation in Firefox, extensions have no protection mechanism from each other, nor is the core of Firefox protected in any way from extensions. The objective of this work was to design and implement a mechanism allowing system administrators to define fine-grained policies for accepting or rejecting interactions between extensions or between extensions and the core of Firefox.

Lisez la suite de cette entrée »

05.29.08

MLS for Thunderbird, final word (for now)

Publié dans Enseignement, Firefox, In English / En anglais, Informatique / Computer science, Recherche / Research, Sûreté / Security tagged , , , , , , , , , , , , , à 5:46 par yoric

As mentioned a few times, I have (had) two students working on a Thunderbird extension to support confidentiality and help avoid involuntary leaks of critical information by e-mail. Yesterday, these students officially turned this project in, which gave me and my colleagues the opportunity of reviewing the code and documentation.

So, what works ?

  • The Thunderbird extension can detect that you’re trying to send e-mail to someone with a lower level of accreditation — although, for the moment, it gets confused easily. For this purpose, it may use either SELinux or a text database of recipients.
  • The Thunderbird extension can warn you that you need to sanitize and decrease confidentiality of the information and can mark the outgoing e-mail as sanitized for a given level — the UI needs a bit polish, but that works.
  • The Sendmail extension can detect that you’re trying to send e-mail to someone with a lower level of accreditation — although, for the moment, it gets confused just as easily and is subject to a number of security holes.
  • The Sendmail extension can reject unsanitized e-mail going to unaccredited targets — logging needs a bit of polish, but that works.
  • That’s it.

All in all, that’s about 150 lines of code in JavaScript, XUL, C and C++. Not quite ready for prime-time but a good 0.1 release. I expect either the students or I will upload it somewhere for public release in the near future.

05.14.08

MLS for Thunderbird, updated

Publié dans Firefox, In English / En anglais, Informatique / Computer science tagged , , , , , , , , , , à 5:48 par yoric

A few months ago, I introduced “MLS for Thunderbird“, an on-going effort to add support for confidentiality in Thunderbird. After long months of silence, it seems that this student project, undertaken by Vincent Tarbouriech and Roland Thaisong, two Master Students in ENSI Bourges, is finally getting somewhere.

This extension interfaces with the underlying operating system (SELinux for now) to determine your security level and, if possible, that of your correspondants. If you attempt to send an e-mail to some recipient whose security level is inferior to yours, Thunderbird will warn you that a declassification is going to happen. Lisez la suite de cette entrée »

04.18.08

JStify update

Publié dans Firefox, Informatique / Computer science, JStify, Recherche / Research, Sûreté / Security à 9:11 par yoric

A few months ago, I started JStify, a project for static analysis of programs written in JavaScript 2.

While this work has seen some progress, to my regret, I have received instructions to de-prioritize that project. According to my estimates, this will entail a delay of at least one year on JStify.

The good news is that the project which has been prioritized, Extrapol, shares a number of traits with JStify. I will try and post a more complete presentation of Extrapol later this week. Without entering all the details for now, let’s just say that Extrapol is also a static analyzer written in OCaml, although this one targets C. It is my hope that most of the experience gathered with Extrapol will prove useful when JStify resumes.

12.19.07

Makefile for Firefox extensions

Publié dans En français / In French, Firefox, In English / En anglais, Informatique / Computer science, Openberg tagged , , , , , , , , , , , à 2:31 par yoric

I have just released a script to automate some of the tedious tasks related to Firefox extension development. This script was used in OpenBerg when OpenBerg was written in C++. You may grab it here.
Je viens de publier un script pour automatiser certaines des tâches liées au développement d’extensions pour Firefox. Ce script était utilisé par OpenBerg lorsque OpenBerg était écrit en C++. Vous pouvez le trouver ici.

12.04.07

Le genre de mails qu’un informaticien aime bien recevoir

Publié dans En français / In French, Firefox, Informatique / Computer science, Openberg à 10:29 par yoric

OpenBerg Lector, c’est mon dada. Un logiciel de lecture de livres électroniques qui vient se greffer sur Firefox. Et bien, mon dada, aujourd’hui, vient d’avoir droit à un test sur TeleRead, l’un des blogs les plus importants sur le livre électronique. Le bilan ?

Lector has now set the bar that other e-readers will have to to meet.

Il faut avouer que ça fait plaisir.

12.02.07

JStify progress update (2)

Publié dans Firefox, In English / En anglais, JStify, Openberg, Recherche / Research, Sûreté / Security tagged , , , , , , , à 1:32 par yoric

Work on JStify proceeds a bit slower than expected, due to difficulties with the specificationss & Reference Implementation of ECMAScript 4.
Lisez la suite de cette entrée »

Page suivante