La sûreté des extensions : petit tour d’horizon

September 14, 2007 § 8 Comments

J’utilise Firefox et j’en suis satisfait. Il paraît que, en plus d’être plus convivial, le navigateur Firefox est largement plus sûr qu’Internet Explorer. C’est un bon début. Encore que, comme Internet Explorer est de loin le navigateur le moins sûr, ce n’est pas si difficile. Maintenant, une partie de la richesse de Firefox est due à la multiplicité des extensions, des petits programmes faciles à écrire et qui ajoutent ou améliorent des fonctionnalités ou qui changent l’apparence du logiciel ou encore le traduisent dans d’autres langues… Et c’est là que le bât blesse.

Quel est le problème ?

Trois fois rien : les extensions ont tous les droits. Les développeurs de Firefox ont rendu possible l’écriture d’extensions qui vont corriger vos fautes d’orthographe ou de grammaire. Ils ont aussi rendu possible l’écriture d’extensions qui vous préviennent si vous avez reçu un mail ou qui vous permettent de communiquer en temps réel avec vos amis. En utilisant les mêmes techniques, je peux facilement écrire une extension qui attend que vous tapiez votre mot de passe ou votre numéro de carte de crédit et m’envoie cette information. Les développeurs de Firefox ont rendu possible l’écriture de traitements de texte, avec lesquels vous pouvez sauvegarder vos documents sur le disque dur. Avec les mêmes techniques, je peux facilement écrire une extension qui va formater votre disque dur.

Du coup, si j’étais mal intentionné, il me suffirait d’écrire une extension que vous aurez envie d’installer, peut-être un petit jeu ou un outil qui vous permettra de visionner les films YouTube sans aller sur ce site ou qui simplifiera la gestion de vos rendez-vous — et d’ajouter en douce à cette extension tout le nécessaire pour choper votre numéro de carte bleue et formater votre disque dur. Si j’arrive à vous faire installer mon extension, vous avez perdu — et ceci, même en l’absence de bugs dans Firefox.

Et ce n’est pas le seul problème. Même en supposant que Firefox limite les droits de mon extension, il serait inconcevable d’interdire à mon extension de décider de son apparence ou de faire quelque chose d’aussi bénin que de charger une page web, n’est-ce pas ? Erreur subtile mais potentiellement fatale : si je peux décider à quoi ressemble mon extension, je peux lui imposer de ressembler à un message de votre anti-virus, qui vous proposera gentiment de télécharger une mise à jour (falsifiée par mes soins), à votre gestionnaire de mot de passe, votre logiciel de comptabilité ou même votre navigateur affichant le site web d’eBay ou de votre banque. Partant de là, je peux prendre le contrôle de votre ordinateur ou vous demander votre mot de passe. Et si mon extension est autorisée à charger des pages web, je peux m’en servir pour communiquer avec elle, soit pour la téléguider, soit pour recevoir les informations qu’elle vous aura volées. Si j’arrive à vous faire installer mon extension, vous avez encore perdu. Et ceci, toujours même si le navigateur ne contient aucun un bug.

Vous me direz, ce problème n’est pas spécifique à Firefox. Depuis des pages web, il est aussi possible d’ajouter à Internet Explorer, Konqueror, Safari ou Opera des mini-programmes qui modifient le comportement du navigateur. Et, bien souvent, les développeurs des navigateurs ont donné à tous ces ajouts la possibilité de faire à peu près n’importe quoi — en bien ou en mal.

Si vous le voulez bien, regardons la situation navigateur par navigateur.

Navigateur par navigateur

Avant de procéder, mettons-nous d’accord sur les termes : la technologie utilisée pour écrire une mini-application est soit de type “bac-à-sable” si les mini-applications ne peuvent rien faire de trop dangereux (lire les fichiers sur votre ordinateur, formater votre disque dur, etc.) sans vous demander explicitement l’autorisation, soit de type “tous les droits” si les mini-applications peuvent procéder à toutes les opérations dangereuses sans vous prévenir. Il existe quelques stades intermédiaires, que je ne détaillerai pas dans cette colonne. De même, la technologie peut être soit “immédiatement repérable”, s’il est impossible de s’en servir pour prendre l’apparence d’un autre logiciel, soit “indistinguable”, s’il est possible d’écrire une extension qui pourra se faire passer pour un logiciel déjà présent sur votre ordinateur.

Internet Explorer

Commençons par le navigateur le plus peuplé. Une page web peut contenir au moins quatre catégories de mini-applications qui s’installent sur votre ordinateur et modifient le comportement d’Internet Explorer :

  • Les greffons Netscape, qui permettent à Internet Explorer de reconnaître de nouveaux types de fichiers. Les plus connus sont Windows Media Player, Quicktime ou Flash. Une page web peut demander à Internet Explorer d’installer un greffon. Les greffons ont tous les droits et sont indistinguables d’applications.

  • Les Browser Helper Objects, essentiellement identiques aux greffons Netscape. Eux aussi ont tous les droits et sont indistinguables d’applications.
  • Les contrôles ActiveX, qui permettent de mettre des logiciels dans une page web. Windows Update, par exemple, se présente entre autres comme un contrôle ActiveX, mais on trouve aussi des anti-virus, qui vous proposent de vérifier depuis une page web si votre ordinateur est infecté, ainsi que toutes sortes d’autres applications. Les contrôles ActiveX sont considérés par la communauté informatique comme une aberration, introduite pour des raisons purement commerciales, malgré des problèmes de sûreté immenses et évidents. Les contrôles ActiveX ont tous les droits et sont indistinguables d’applications.

  • Les mini-applications Java ou Flash, qui permettent aussi de mettre des logiciels dans une page web mais ne peuvent influencer aucune partie de votre ordinateur sans vous demander préalablement votre accord. Par défaut, les mini-applications Java ou Flash sont enfermées dans un bac à sable et sont immédiatement repérables.

Pour l’avenir, avec l’avènement de la technologie Avalon de Microsoft, une nouvelle catégorie d’applications installées par des pages web dans Internet Explorer s’annonce :

 

  • Les mini-applications Silverlight, qui semblent comparables aux mini-applications Java ou Flash (avec lesquelles elles partagent une partie de la technologie) ou aux mini-applications XUL dont nous parlerons plus tard (et dont elles sont directement inspirées). Les mini-applications Silverlight sont enfermées dans un bac à sable mais sont indistinguables d’applications.

 

Je ne compterai pas dans cette liste les Commandes Shell, qui modifient aussi le comportement d’Internet Explorer mais doivent être installés manuellement par l’utilisateur comme des applications à part entière.

Comment les développeurs d’Internet Explorer essayent-ils de diminuer les risques dus aux mini-programmes ayant tous les droits ?

Demander à l’utilisateur ce qu’il en pense.

Pendant longtemps, partant du principe qu’il était plus important de montrer des pages web impressionnantes que d’assurer un minimum de sécurité, Internet Explorer installait automatiquement les greffons Netscape, les Browser Helper Objects ou les contrôles ActiveX dès qu’une page web le suggérait.

Après de nombreuses années et la pression croissante de Firefox, les développeurs d’Internet Explorer ont modifié le comportement de leur navigateur. Dorénavant, Internet Explorer commence par demander à l’utilisateur avant d’installer quoi que ce soit de potentiellement dangereux.

(Fonctionnalité tirée de Firefox)

Informer/dissuader

Avant d’installer un contrôle ActiveX, les versions récentes d’Internet Explorer peuvent vérifier la signature de ce contrôle, c’est-à-dire demander une preuve de l’identité de l’auteur du contrôle. Cela ne semble pas s’appliquer aux greffons Netscape ou aux Browser Helper Objects.

Lorsque l’utilisateur télécharge une mini-application signée, sauf accidents, il peut être certain de l’identité de l’auteur de cette mini-application. Du coup, si cette mini-application s’avère nuisible, au moins, l’utilisateur saura qui accuser. C’est un peu tard pour agir et c’est une manière très anglo-saxonne d’assurer la sécurité, mais c’est dissuasif.

Par contre, obtenir une signature coûte cher et il reste possible d’obtenir une fausse signature, en convainquant les entreprises qui délivrent les signatures qu’on est quelqu’un d’autre. C’est déjà arrivé à Microsoft. De même, cela n’empêche pas d’installer des extensions qui peuvent s’avérer dangereuses par accident — ceci arrive d’ailleurs très régulièrement, et pas uniquement sous Internet Explorer. Cela n’empêche pas non plus une entreprise qui n’aurait pas peur de poursuites d’écrire des extensions malveillantes. On peut imaginer deux types d’entreprises faire ce genre de choses. D’une part, les entreprises plus ou moins fictives, créées le temps de propager un virus qui lui-même servira par exemple à faire chanter d’autres entreprises. D’autre part, les entreprises qui pèsent suffisamment de milliards de dollars et qui se croient tout permis — Microsoft ou Sony, par exemple, ont déjà été prises la main dans le sac pour des pratiques comparables.

 

Permettre de désinstaller

Pendant longtemps, les utilisateurs d’Internet Explorer ne pouvaient pas vérifier quelles mini-applications étaient installées sur leur ordinateur. Ils ne pouvaient pas non plus désinstaller ces mini-applications. Depuis Août 2004, c’est enfin possible.

Il s’agit d’une mesure de sécurité minimale, puisqu’elle ne s’applique qu’aux Browser Helper Objects, et ne bloque aucunement les mini-applications mal intentionnées.

(Fonctionnalité tirée de Firefox)

 

Surveiller le web

Depuis sa version 7, Internet Explorer surveille les pages sur lesquelles vous vous rendez et vérifie qu’elles n’ont pas été répertoriées comme dangereuses. Une page peut être marquée comme dangereuse soit parce qu’un logiciel chez Microsoft a décidé que la page avait des caractéristiques étranges, soit parce qu’un utilisateur a prévenu Microsoft de ses soupçons à propos de cette page web.

(Fonctionnalité établie en collaboration avec les développeurs de Firefox et d’Opera)

Compter sur les autres

L’argument ultime donné aux utilisateurs d’Internet Explorer — tout comme aux utilisateurs Windows — est simple : “vous n’avez qu’à employer un anti-virus/un firewall/un anti-spyware/un zombuloïde à pulsion intégrée/…”

En d’autres termes, vous n’avez qu’à payer une entreprise pour vous défendre là ou Microsoft vous a laissé en pâture. Et si, soit parce que vous n’êtes pas au courant, soit malgré vos précautions, vous êtes victime d’un virus ou d’une autre bestiole attrapée sur Internet, c’est donc probablement de votre faute. Et non pas celle de Microsoft.

En plus de cela, l’efficacité des logiciels tiers ne peut être que limitée par un facteur simple : il n’y a pas de différence précise entre une mini-application disposant de tous les droits et qui les utilise pour faire quelque chose d’utile et une mini-application disposant de tous les droits et qui les utilise pour faire quelque chose de nocif. Windows Update ou Windows Defender, par exemple, peuvent modifier votre système d’exploitation, pour le rendre plus robuste. Ce même Windows Update peut modifier votre système d’exploitation pour vous espionner. D’autres mini-applications pourront modifier votre système d’exploitation pour prendre le contrôle de votre ordinateur.

Reformulons ce dernier point : il n’existe pas de définition rigoureuse et complète de ce qu’est une mini-application utile ou une mini-application nocive. La seule solution fiable pour empêcher les mini-applications nocives d’être trop nocives est de limiter les droits de toutes les mini-applications.

Silverlight

Cette dernière constatation est l’une des raisons pour lesquelles Microsoft vient de proposer Silverlight. Comme je le mentionnais plus haut, Silverlight est une technologie comparable à Java, qui doit servir à créer des mini-applications limitées à un bac-à-sable. On peut supposer que, progressivement, Internet Explorer cessera d’accepter toutes les mini-applications disposant de tous les droits pour n’autoriser que les mini-applications Silverlight, bien plus sûres. Après avoir passé plus de 12 ans à lutter contre Java, Microsoft réinvente le concept.

Tout comme une mini-application Java, une mini-application Silverlight ne peut pas consulter vos fichiers, ne peut pas modifier le contenu de votre ordinateur, etc… à moins de vous demander préalablement votre autorisation. Par contre, et tout comme une mini-application Java, une mini-application Silverlight peut communiquer avec Internet, ce qui sert notamment à charger des pages web, à télécharger des fichiers pour vous, à remplir des formulaires pour vous…

Juste un bémol : là où Java était conçu depuis le départ pour que les mini-applications installées par une page web ne puissent pas être confondues avec les applications déjà installées sur votre ordinateur, Silverlight tente au contraire d’uniformiser les apparences. Le résultat ? Lorsqu’une boîte de dialogue s’affichera et vous demandera votre mot de passe, vous ne pourrez pas savoir avec certitude à qui vous allez donner des informations confidentielles…

(Fonctionnalité fortement inspirée de Firefox et de ses ancêtres)

Firefox

Si Firefox a été conçu en tenant compte de la sécurité, les problèmes restent essentiellement les mêmes que ceux rencontrés par les dernières versions d’Internet Explorer. Ainsi, une page web peut contenir au moins cinq catégories de mini-applications qui s’installent sur votre ordinateur et modifient le comportement de Firefox :

  • Les greffons Netscape, les mêmes que sous Internet Explorer, avec les mêmes dangers.

  • Les extensions, comparables aux greffons Netscape. L’extension la plus connue est AdBlock, qui filtre les publicités des sites web. Les extensions ont, elles aussi, tous les droits et sont indistinguables d’applications.

  • Les greffons de recherche, qui permettent de connecter Firefox à des moteurs de recherche. Ces greffons sont restreints à un bac-à-sable et sont immédiatement repérables.

  • Les mini-applications Java ou Flash, les mêmes que sous Internet Explorer, a priori sans danger.

  • Les applications XUL distantes, qui permettent aussi de mettre des logiciels dans une page web, d’une manière comparable à Silverlight (la technologie Silverlight est en partie inspirée de XUL et en partie de Java). Les applications XUL distantes sont restreintes à un bac-à-sable. Contrairement à Silverlight, les mini-applications XUL sont immédiatement repérables.

Comment les développeurs de Firefox essayent-ils de diminuer les risques dus aux mini-programmes ayant tous les droits ?

Demander à l’utilisateur ce qu’il en pense

Depuis toujours, Firefox n’installe aucune mini-application potentiellement dangereuse sans l’autorisation explicite de l’utilisateur.

Informer/dissuader

Tout comme les contrôles ActiveX d’Internet Explorer peuvent être signés, les extensions de Firefox peuvent être signées, avec les mêmes limitations.

(Fonctionnalité tirée d’Internet Explorer)

Permettre de désinstaller

Depuis toujours, Firefox laisse les utilisateurs consulter la liste des extensions installées et les désinstaller. En attendant Firefox 3, prévu en novembre 2007, cette fonctionnalité ne s’étend pas aux greffons.

Surveiller le web

Depuis sa version 2, Firefox surveille le web d’une manière similaire à Internet Explorer.

(Fonctionnalité développée conjointement avec Internet Explorer et Opera)

Vérification communautaire des extensions

Les utilisateurs de Firefox sont encouragés à ne télécharger les extensions que depuis le site Mozilla Add-Ons. Ce site, maintenu par la communauté Mozilla, répertorie l’essentiel des extensions pour Firefox. Toute nouvelle extension commence sa vie dans la zone de test, une partie du site réservée aux testeurs bénévoles. Pour faire sortir sortir son extension de la zone de test et la rendre téléchargeable par tous, un développeur doit réunir les votes de suffisamment de testeurs, et pour ce faire les convaincre que son extension est sûre et a un intérêt. Les testeurs sont chargés notamment de vérifier si l’extension a bien une vie, s’il y a bien des gens en train de travailler dessus, capables de répondre aux questions et aux critiques, de l’améliorer, de corriger les bogues, etc.

Si une extension s’avère boguée, le site Mozilla Add-Ons permet aussi de proposer des mises-à-jour à tous les utilisateurs de cette extension. À l’inverse, si une extension, malgré les efforts des testeurs, après avoir été approuvée, s’avère contenir des fonctionnalités malveillantes, le site permet de suggérer aux utilisateurs de désinstaller cette extension. À ma connaissance, cette dernière option ne s’est jamais révélée nécessaire.

Marquer les mondes

Lorsque vous exécutez une application distante XUL, pour des raisons de confort visuel, elle ressemblera aux applications installées sur votre ordinateur. Cependant, pour éviter qu’un programmeur mal-intentionné se serve de cette ressemblance pour vous faire croire que vous êtes en train d’utiliser un autre programme, quelques éléments graphiques ne peuvent être modifiés et précisent en permanence que vous êtes face à une application distante XUL.

Il faut savoir que, sous Firefox 2, ces éléments graphiques sont assez limités, puisqu’ils se réduisent à la barre d’état en bas de la fenêtre. Il faut donc être assez attentif pour la remarquer. Par contre, à partir de Firefox 3, la barre d’adresse, en haut de la fenêtre, restera présente en permanence, ce qui devrait rendre l’identification d’applications distantes XUL plus immédiate.

Opera

Une fois de plus, Opera prend un chemin plus minimaliste que ses concurrents. Ainsi, une page web peut contenir au moins quatre catégories de mini-applications qui s’installent sur votre ordinateur et modifient le comportement d’Opera :

  • Les greffons Netscape, les mêmes que sous Internet Explorer, avec les mêmes dangers.
  • Les mini-applications Java ou Flash, les mêmes que sous Internet Explorer, a priori sans danger.

  • Les bookmarklets, des micro-applications qui permettent d’appliquer des modifications simples et ponctuelles à une page, par exemple en rechargeant automatiquement le contenu de cette page toutes les 15 secondes ou en faisant défiler le contenu automatiquement. Les bookmarklets n’ont que des droits bénins et sont immédiatement repérables.

  • Les widgets, des mini-applications qui sont en fait des pages web présentées un peu différemment. Les widgets n’ont que des droits bénins mais sont indistinguables d’applications.

Notons qu’Opera ne propose d’installer qu’un seul type de mini-programmes ayant tous les droits. Comment les développeurs d’Opera essayent-ils de diminuer les risques dus à ces mini-programmes ?

Demander à l’utilisateur ce qu’il en pense

Depuis toujours, Opera n’installe aucun greffon sans l’autorisation explicite de l’utilisateur. Hormis les widgets disponibles sur le site d’Opera, un widget ne peut pas non plus être installé sans l’autorisation explicite de l’utilisateur.

Les widgets disponibles site d’Opera, qui ont probablement été testés par des ingénieurs d’Opera Software, peuvent être installés sans confirmation de l’utilisateur.

Permettre de désinstaller

Depuis que les widgets sont apparus, Opera laisse les utilisateurs consulter la liste des widgets installées et les désinstaller. Cette fonctionnalité ne s’étend malheureusement pas aux greffons.

Surveiller le web

Depuis sa version 9, Opera surveille le web d’une manière similaire à Internet Explorer.

(Fonctionnalité développée conjointement avec Internet Explorer et Firefox)

Safari

Une page web peut contenir au moins quatre catégories de mini-applications qui s’installent sur votre ordinateur et modifient le comportement de Safari :

  • Les greffons Netscape, les mêmes que sous Internet Explorer, avec les mêmes dangers.

  • Les greffons WebKit, hybrides entre les greffons Netscape et les extensions de Firefox, avec les mêmes dangers.
  • Les mini-applications Java ou Flash, les mêmes que sous Internet Explorer, a priori sans danger.

  • Les widgets, comparables aux widgets d’Opera, avec a priori les mêmes dangers.

Je ne compterai pas dans cette liste les AppleScripts, qui doivent être installés manuellement par l’utilisateur comme des applications à part entière.

N’ayant pas eu la possibilité de tester Safari, je ne peux déterminer comment les développeurs essayent de diminuer les risques dus à ces mini-programmes. Il semble uniquement qu’il soit impossible de signer les greffons WebKit.

Konqueror

Une page web ne peut contenir que deux types de mini-applications qui s’installent sur votre ordinateur et modifient le comportement de Safari :

  • Les greffons Netscape, encore eux.
  • Les mini-applications Java ou Flash, comme d’habitude.

Les développeurs de Konqueror ne semblent pas avoir pris de mesures particulières pour diminuer les risques dus aux greffons Netscape.

Bilan

Alors toutes ces mesures sont-elles suffisantes ? Visiblement, non. De toutes les solutions proposées, aucune n’est en mesure de proposer des garanties de quoi que ce soit. Même en supposant l’absence de failles de sûreté dans votre navigateur, si vous ne faites pas attention à ce que vous installez, vous courez des risques. Même si vous faites attention à ce que vous installez, d’ailleurs, vous courez des risques.

Et vous savez le pire ?

En cas de problème, tout le monde dira que c’est de votre faute.

§ 8 Responses to La sûreté des extensions : petit tour d’horizon

  • JulienA says:

    Arg ! Ah ben voilà, je ne vais plus oser installer d’extensions sans les avoir préalablement dépecées😉

    En passant, je ne savais pas que tu avais ouvert un blog. Mais ouch, ça c’est de l’url.

  • yoric says:

    C’est pour cette raison que mon équipe de recherche travaille sur la sûreté des extensions. Sous peu, j’aurai deux stagiaires chargés d’ajouter un niveau de contrôle aux composants JavaScript. Et moi et un autre stagiaire, pendant ce temps-là, nous serons sur l’analyse statique d’extensions, pour essayer de déterminer quelles sont les extensions dangereuses *avant* de les installer. Tout un programme.

  • Mr. Freeze says:

    Peux-tu m’expliquer en comment tu comptes formatter mon disque dur ? Seul root a accès à ce type de fonctions, et je ne lance jamais firefox en root ?

    Alors c’est du FUD, ou tu as vraiment une technique miraculeuse qui marche ailleurs que sous windows ?

    C’est bien gentil de penser à la sécurité, mais dans tout ce billet il n’y a pas de contexte… la sécurité selon moi, ne peut pas être considérée en dehors d’un contexte.

    En fait ce je reproche à cet article c’est de dramatiser la situation, sûrement avec une intention salvatrice, mais au final, elle n’est plus aussi efficace…

    C’est pas vraiment un scoop que les plugins utilisant un blob binaire (et donc impossible à mettre en sandbox) ne sont pas une bonne solution concernant la sécurité

    Cordialement

  • yoric says:

    Ce billet était de la vulgarisation, ne t’étonne donc pas que je n’entre pas dans les détails de la gestion des droits au niveau système. Ne t’étonne pas non plus de ne pas y trouver de scoop, comme son titre l’indique, il s’agissait d’un “petit tour d’horizon”. Je cherchais à donner à des non-informaticiens une idée des difficultés qu’on rencontre dès qu’on parle de sûreté et c’est ce que j’ai fait. Dans une prochaine colonne, je parlerai plus précisément des problèmes liés aux extensions Firefox et un peu plus tard, j’aborderai les travaux des chercheurs dans le domaine.

    Cependant mon exemple de formatage de disque ne s’applique pas qu’à Windows. Certes, c’est plus simple sous Windows, puisque chez la majorité des utilisateurs, il suffit d’une ligne de programme. Sous Linux, l’approche plus rigoureuse de la sûreté complique un peu les choses mais, finalement, pas tant que ça. La solution de simplicité consisterait à effacer tous tes fichiers, ce qui, il faut avouer, risque de t’embêter tout autant, mais avec un peu d’astuce, je peux aussi formater ton disque dur. Depuis la loi DADVSI, je m’expose à des peines de prison si je t’explique comment faire, donc j’espère que tu me pardonneras si je ne te donne pas tous les détails. Mais si tu t’y connais en Linux, tu devrais pouvoir trouver toi-même deux ou trois manières que je pourrais employer pour récupérer ton mot de passe root, en te faisant croire que tu le donnes à un logiciel qui en a besoin. Après cela, oui, je formate ton disque dur tout tranquillement.

    Tout ceci en l’absence de bugs. Et tout ceci (sous Firefox) en JavaScript, sans avoir besoin de recourir à un “blob binaire”.

    Tout aussi cordialement,
    Yoric

  • Mr. Freeze says:

    D’accord, on peut pas directement le faire ….

    Mais tel que présenté, on avait l’impression que l’extension pouvait tout faire comme une grande.

    PS: Décidément DADVSI ne sert à rien …

    PPS: et quand firefox tourne dans un zone solaris non globale … tu fais comment ?😉 Ah oui, j’oubliais, on ne doit pas en parler grâce à DADVSI, la sécurité par l’obfuscation, vive la france

  • […] Firefox, In English, Sûreté à 1:06 par yoric Note: By popular demand, this is the translation of a column I first wrote in French. I intend to follow-up this column with more technical aspects of the difficulties related to […]

  • nfroidure says:

    Moi je l’ai apprécié ce billet. J’ai appris des choses🙂

    De toute façon, la seule solution 100 pourcent sûre, ça serait de ne plus permettre l’installation de plugin du “type “tous les droits””.

    Et à la rigueur, au moins sur Windows, c’est un risque inhérent au téléchargement de logiciels sur Internet. Le navigateur autorise le téléchargement d’installateurs binaires non-signés de la même façon.

    Par contre, j’aurai aimé avoir ton avis sur les applications Air d’Adobe.

    @+

  • yoric says:

    De toute façon, la seule solution 100 pourcent sûre, ça serait de ne plus permettre l’installation de plugin du “type “tous les droits””.

    On y travaille, on y travaille🙂

    Avec un peu de chance, pour Firefox, il y aura un patch disponible à la fin de l’année, qui permettra de limiter les droits des extensions écrites en JavaScript — aussi bien leurs droits à appeler des composants dangereux (XPCom) qu’à modifier d’autres extensions.

    Par contre, j’aurai aimé avoir ton avis sur les applications Air d’Adobe.

    Je m’y connais beaucoup moins mais je peux jeter un œil.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

What’s this?

You are currently reading La sûreté des extensions : petit tour d’horizon at Il y a du thé renversé au bord de la table.

meta

%d bloggers like this: