On me demandait par mail récemment comment fonctionne le système anti-malware, nouvellement intégré dans Firefox 3. Rappelons que son principe est d'empêcher les utilisateurs de visiter des pages qui contiennent des chevaux de troie et/ou des virus.
Je manque de temps là tout de suite pour expliquer tout par le menu, mais voici quelques liens :
- La discussion (houleuse) sur Bugzilla : Bug 422410 – anti malware warning UI should allow pass through / show ignore link, où on explique pourquoi il n'y a pas de bouton "je veux me faire infecter quand même". En gros, c'est parce que les gens cliquent dessus. On a essayé !
- Comment tester la fonctionnalité ? En visitant It's an attack (avec Firefox 3, vous ne pouvez pas accéder à cette page) ;
- Firefox va chercher toutes les 30 minutes une liste noire des sites infectés sur un serveur Google. Quel rapport entre StopBadware et Google ?. En gros, Google a des serveurs qui vont visiter les sites et qui regarde si les machines virtuelles sont infectées. Si oui, alors l'URL est rajoutée dans la liste noire ;
- Comment contourner la protection ? (franchement pas recommandé, mais bon... z'êtes grands, hein !)
- Aller dans
about:config
- taper malware dans la boite de recherche
- sur la propriété
browser.safebrowsing.malware.enabled
, faire un click-droit et choisirtoggle
. Du coup, la valeur passe detrue
àfalse
, et voilà, vous ne disposez plus de la sécurité anti-malware...
- Aller dans
- Ca sert vraiment à quelques chose ? Sachez tout de même que récemment, deux sites populaires (qui hébergent les extensions DownThemAll et Firebug) ont été bloqués par ce système. Certains ont crié au scandale, mais manque de pot, les sites en question diffusaient bien des programmes malfaisants (suite à des failles de sécurité dans les outils de blogs des propriétaires).
- Que faire si mon site est bloqué par cette fonctionnalité ? Suivre les instructions chez StopBadware.org.
Mise à jour : j'aurais du commencer par là, mais ceux qui ne font pas confiance au système peuvent bien sûr le désactiver en allant dans outils | Préférences | Securité
et décocher la case en question. J'encourage les anglophones à se reporter au rapport de bogue où la discussion a lieu pour y lire les arguments de Mike Bletzner en faveur d'une possibilité de contourner la protection, mais au moyen d'un lien plutôt que d'un bouton. Au moment où j'écris ces lignes, aucune décision n'a été prise ni dans un sens ni dans l'autre.
30 réactions
1 De Moktoipas - 14/03/2008, 21:26
La desactivation de l'antimalware est possible directment depuis le paneau de configuration (dans la partie sécurité)
2 De Yannick Lamarre - 14/03/2008, 21:28
Merci Tristant d’avoir répondu aussi rapidement. La problématique qu’engendre cette fonction est très large. J’ai beaucoup cogité sur ce sujet hier soir et j’ai encore plus peur aujourd’hui qu’hier de ce que peut donner ce droit de vie ou de mort sur un site web. J’ai été plutôt méchant et grande gueule dans mon billet, mais j’aimerais vraiment provoquer un débat (publique) à ce sujet. C’est dans l’intérêt de Mozilla aussi bien que dans celui des utilisateurs de vos produits.
Du côté de Mozilla, ne risquez-vous pas de vous attirer des procès, surtout aux USA, de gens qui vont se plaindre pour atteinte à leur réputation? Le cas de Max Shaman est limité, car Ukrénien. Mais qu’en sera-t-il des autres sites web de pays plus légalement susceptibles. Voir même l’attaque d’une entreprise pour sabotage, perte de revenu, etc.
Toujours du côté de Mozilla, comment allez-vous décidé qu’elle site est acceptable et l’autre non. Mozilla est plus populaire en Europe qu’en Amérique. Est-ce que vous allez avoir un comité mix de bénévoles qui feront le tri? Allez-vous utiliser une charte et si oui, qui en sera responsable?
Plusieurs idéologies peuvent alors entrer en conflit et risquent justement de dégénérer en guerre de tranchées dans vos propres groupes de bénévole.
Pour les utilisateurs, comment se sentir en confiance lorsque l’on arrive sur un site avec ce message alarmiste? Comprenez bien que je travaille en technologie de l’information depuis plus de 10 ans, que je suis un décideur TI en grandes entreprises, et que même moi j’ai sauté au plafond lorsque j’ai vu ce message. J’entendais presque les sirènes de bombardement m’alertant de me réfugier au sous-sol. Sérieusement, le message est plutôt extrémiste. D’empêcher l’utilisateur d’accéder quand même au site l’est encore plus. Même Microsoft n’a jamais été jusque-là.
L’autre aspect qui me chicote c’est celui de la communication. Lorsque j’ai un problème avec Safari je communique avec Apple. Avec IE j’appel Microsoft. Vers qui je peux me tourner lorsque j’ai un problème avec Firefox? Je vous ai justement écrit car vous êtes le seul point de contact humain que j’ai avec Mozilla. Je vous li régulièrement depuis très longtemps et vous êtes devenus le visage de Firefox. C’est cependant problématique vu l’intérêt toujours grandissant pour vos produits et l’importance de vos parts de marché actuelle.
Je suis convaincu que la communauté Mozzila sera en mesure d’évaluer l’impact de ce système de sécurité qui est, par principe, tout à fait louable, et de s’ajuster. J’utilise Firefox depuis ses débuts (beta 0.7 ou quelque chose comme ça) et j’adore ce produit. J’adore aussi Thunderbird qui est malheureusement en retard sur son développement, mais qui devrait resurgir bientôt grâce à un bon petit canadien!
3 De Pierre - 14/03/2008, 23:16
Bonsoir,
>"Je suis convaincu que la communauté Mozzila sera en mesure d’évaluer l’impact de ce système de sécurité qui est, par principe, tout à fait louable"
Tout à fait louable, je ne sais pas... mais on peut tout de même s'interroger sur ces contenus ("harmfull software", qu'ils disent sur stopbadware...) qui peuvent potentiellement inquiéter, que vois-je, _infecter_ les soit-disant "machines virtuelles" présentes derrière les serveurs de Monsieur Google...
Et sur le fait que ces contenus pourraient _infecter_ aussi facilement ce pauvre Firefox ou le système qui l'héberge...
Est-il possible de récupérer la "liste noire" des vilains sites quelque part, histoire de voir, avec un autre navigateur au besoin, ce qu'ils regorgent de si mauvais ?
Firefox 3 aurait-il vraiment été si vulnérable aux cochonneries que Google prétend avoir répéré sur les deux sites (indiqués dans le lien de Tristan) que la désactivation de cette fonctionnalité sécuritaire ne soit "franchement pas recommandée" ? Y a-t-il eu des infections massives d'utilisateurs de Firefox 2 sous Windows 98 (par exemple) après une visite récente du site de l'extension DownloadThemAll ?
@+
--
Pierre
4 De gros_bidule - 15/03/2008, 00:10
Le filtre anti-hameçonnage - lui aussi - empêche (ou fait assez peur) l'utilisateur de visiter certains sites. A ma connaissance, il n'y a pas tellement de plaintes à ce sujet; et ça a l'air de bien marcher. Aucun soucis à priori.
De l'autre côté, il est vrai qu'empêcher directement l'utilisateur d'aller sur tel ou tel site, tout ça parce qu'il est possible de trouver des malwares sur certaines pages, c'est peut être un peu excessif. Et puis on a déjà des antivirus / antimalwares qui font le travail (ex: Avast signale et propose de bloquer des sites / connexions dangereuses).
Si j'ai bien compris, un site reconnu comme infecté sera inaccessible ? Ca ne se limite pas à un simple avertissement ? Si c'est bien le cas, pourquoi être allé aussi loin ?
Enfin bon, en même temps, si on peut le désactiver ... ça me va (même si la liberté de le désinstaller serait éventuellement souhaitable : à voir lorsque le produit sera finalisé ^^)
Cordialement.
5 De Eric - 15/03/2008, 00:36
Le problème de l'absence du bouton "je veux y aller quand même" est si, comme je l'ai compris, la liste de mauvais sites ne dépend pas de la version du navigateur. Etre bloqué pour un problème qui ne nous concerne pas/plus est l'événement qui nous mènera le plus probablement à désactiver le système dans son ensemble.
Le second problème est que le message est "Suspicion de site malveillant". Il laisse penser (à raison), qu'il peut y avoir fausse alarme. Comprenez l'utilisateur : il faut revoir le message pour retirer la notion de suspicion, proposer au visiteur un moyen de confirmer/invalider le classement immédiatement, ou le laisser passer s'il le souhaite (l'un des trois). La première solution serait mentir à l'utilisateur, la seconde n'est pas réalisable techniquement .... reste la troisième.
Ensuite c'est assez gênant/troublant de savoir qu'une société tierce arrive à bloquer un tel nombre d'utilisateur (disons 20% du marché) pour une "suspicion" (c'est à dire sans assurance aucune). Quand on rajoute que dans la FAQ la dite société (Google) affirme ne pas vouloir s'expliquer sur les tests et procédures qui permettent de détecter/retirer des sites malveillants (et on la comprend), ça lui donne un pouvoir non contrôlé et non balancé d'interdire arbitrairement n'importe qui n'importe quand sur n'importe quel critère. Google est déjà suffisament accusé de jouer les maitres du monde (virtuel) comme ça.
Bref, ça pose beaucoup de problèmes et je ne suis pas sûr que la possibilité qu'un utilisateur ait un malware installé soit le plus gros problème dans le tas.
6 De Fakir Sédicieux - 15/03/2008, 06:11
@Yannick Lamarre
Je ne vois pas où est le problème ?!
Soit comme l'indique Tristan tu passes outre des sécurités configurées par défaut (cf about:config) ce qui ne posera aucun problème au décideur TI aux dix années d'expérience que tu as accumulé, soit tu fais confiance aux personnes (et à Google) dont l'expérience se chiffre en pas mal d'années d'expérience cumulées dans ce domaine.
Je ne peux douter que tu n'es pas sans ignorer que les machines infectées se comptent en plusieurs millions d'exemplaires, et que parmi elles plusieurs centaines si ce n'est de milliers sont utilisées par des personnes qui ont une jolie maitrise du réseau et de ces arcanes.
Je peux comprendre que ces mesures paraissent de prime abord excessives si ce n'est extrémistes. Mais à bien réfléchir au vu de l'imensité du problème ce paramètrage est peut-être une des rares mesures qui soit à même de contenir ces intrusions malveillantes sans que l'utilisateur lambda ait à se préoccuper de quoique ce soit.
Nul doute que tu as une machine (voire plusieurs) qui prenne(nt) depuis quelques temps la poussière sous ton (tes) bureau(x) susceptible d'accueillir un OS alternatif plus sécure que la moyenne te permettant aissi de voir ces sites blacklistés. Machines que tu réinstallera régulièrement afin d'être certain que tu ne fera pas partie de la chaine de contamination. Mesures qui ne t'empêcheront pas de sécuriser ton réseau aux petits oignons...
C'est le même type de mesure que l'interdiction de fumer dans les lieux publics. On évite ainsi de contaminer ses voisins et on fait du bien à son corps (défendant Ce qui n'empêche de pouvoir fumer d'une manière ou d'une autre si l'on est vraiment addict...
7 De Fabien Chabreuil - 15/03/2008, 08:58
Je suis entièrement d'accord avec Yannick Lamarre ci-dessus.
Que FF m'alerte sur des sites potentiellement dangereux, formidable ! Qu'il décide à quoi je peux accéder et à quoi je ne peux pas accéder, inadmissible !
Si les gens cliquent sur le bouton d'accès aux sites malveillants de manière irréfléchie, trouvez un moyen de mettre le lien de façon mois visible et mois accessible que le "Sortir d'ici", mais mettez quelque chose. Merci.
8 De gg - 15/03/2008, 12:52
@Yannick lamarre
Le site stopbadware existe depuis plusieurs années alors tu es peut-être deja referencé et si tu es referencé franchement tu l'as bien cherché en fournissant du malware.
Franchement je vois vraiment pas l'interet de desactiver cette fonctionnalité. Ca permettra de nettoyer le net au karscher
9 De gg - 15/03/2008, 13:12
Edit: j'ai deja fait l'essai en telechargeant sur ces fameux sites et le premier fichier télécharger j'avais une alerte virale...
10 De Jehan - 15/03/2008, 17:22
Bonjour,
je suis d'accord, je trouve cela un peu "trop". Je refuse que mon navigateur me dicte ce que je dois faire. Dans un monde idéal, que le navigateur nous interdise vraiment uniquement les sites "dangereux" (au sens technique uniquement évidemment, pas théologique ou idéologique, cela va sans dite), certes. Mais nous savons ne pas être dans un monde idéal et qu'il y aura toujours des "erreurs", soit des sites bloqués alors qu'ils n'auraient pas dû l'être. Ce n'est pas parce qu'il y a là 2 contre-exemples dans ce billet que cela ne se produira jamais. Et ce, en particulier car ce sont des robots (non des humains) qui vont identifier les sites malveillants.
Et encore plus quand je lis que c'est apparemment une initiative de Google, donc une boîte privée qui dirige le projet et peut - qui sait? - pourrait un jour manipuler les données. Peut-être est-ce du délire, mais nous savons toutes les dérives que peuvent entraîner les systèmes sécuritaires (pas besoin d'une entreprise machiavélique; il suffit même d'un gars isolé qui fasse une blague et qui ait accès à cette liste; ou bien il n'aime pas quelqu'un et rajoute son site dans la liste noire, etc. Ce sont le genre de chose que j'ai déjà vues).
En outre, le lien que vous avez donné indique:
"This code contained links to a site which tried to install malicious code on visitor's computer."
Donc il suffit qu'un site contienne un lien vers un site malicieux? Donc cela entend que mon journal sur lequel un jour un commentaire spam (avec typiquement plein de liens vers des sites non recommandables) arriverait à passer le filtre antispam, or ce jour là justement passerait aussi le robot de Google qui détecterait ce lien avant que je m'en aperçoive moi-même, mon site serait soudainement considéré comme malveillant? Et je devrais aller me farcir toute une procédure qui durera un temps certain de vérification, pendant lequel mon site reste innaccessible? C'est vrai pour tout endroit où les utilisateurs peuvent laisser des messages (donc les forums, les sites avec commentaires, les blogs... devront-ils tous se mettre à faire de la modération extrême, comme on en voit malheureusement de plus en plus sur le net, ceci afin d'échapper à la surveillance toute puissante et au droit de regard par Google et Mozilla?!).
En outre n'est-ce pas un peu vous défausser de vos "devoirs" d'éditeurs d'un navigateur que de bloquer simplement les sites plutôt que d'améliorer de plus en plus votre logiciel (comme vous le faites actuellement) en suivant les nouvelles techniques des outils malicieux? En effet, le message parle de site "qui essaie d'installer du code malicieux sur l'ordi du visiteur". Mais une telle chose n'est pas sensée être possible dans l'idéal! Si jamais elle l'est, c'est pas grave, ça arrive (on n'est pas dans un monde idéal, comme j'ai déjà dit) mais alors il y a un bug évident à un niveau logiciel (soit au niveau du navigateur lui-même, soit du système, etc.), et il faut simplement le corriger. Si jamais c'est au niveau de Firefox qui arrive à autoriser une installation interdite, alors ce que les utilisateurs vous demandent est, non pas de bloquer le site qui fait cela, mais d'empêcher que cela puisse se reproduire (donc la prochaine fois que je viens sur ce site ou un autre avec du code similaire, ça ne m'installe pas de merde seul, par "magie"). C'est à dire faire un patch de sécurité, tout bêtement.
C'est un peu comme si la Police décidait qu'il était plus simple d'interdire aux gens de marcher dans une rue où des gens se sont tordus la cheville à cause d'une chaussée en mauvaise état, plutôt que de penser à réparer la chaussée (ce qui certes, demande plus de travail et d'argent!). Mais bon... "c'est pour votre bien, vous comprenez?".
Ben non, moi je suis pas d'accord. Le rôle de mon navigateur est d'être sécurisé, pas de me bloquer des sites tiers (sur lesquels il n'a aucun droit!!!) parce qu'il est pas fichu d'être sécurisé et pour me cacher sa propre faille de sécurité!!!
En gros, vous vous mettez à faire de la sécurité par l'obscurité chez Mozilla? C'est nouveau ça... Bientôt vous vous mettrez peut-être aussi à cacher les failles de sécurité découvertes, pour notre bien, comme d'autres éditeurs?
Quoiqu'il en soit, implémentée ainsi, c'est ce à quoi cela ressemble. Par contre effectivement, si on a la possibilité de le laisser activé mais avec un bouton "me faire infecter quand même" (comme vous dites), alors cela passe soudainement d'un système abusif à une très bonne fonctionnalité. En effet, avoir juste le choix entre activer globalement ou non la fonctionnalité est au pire de la censure, au mieux juste une gène. Par contre avoir les deux à la fois (activation et moyen aisé de contourner au cas par cas) donne tous les avantages. C'est en gros la différence entre le conseil et l'interdiction/obligation. Je trouve bien que mon navigateur me conseille les bons ou mauvais sites, pas qu'il me les interdise; tout comme je trouve bien qu'un conseiller éventuel en ce que vous voulez me propose des choix auxquels j'aurais pas pensé, sans pour autant me forcer (imaginez que votre banquier fasse lui-même vos placements en épargne/bourse/autre et vous dise "vous verrez, je m'y connais mieux que vous puisque c'est mon métier, vous gagnerez plus ainsi". Vous seriez heureux réellement? Moi non, et ce, même s'il s'avère avoir raison dans 95% des cas).
Alors évidemment comme vous dites, certains se feront avoir. Et alors? J'ai le droit de me faire avoir si j'en ai envie. Les gens se sont toujours fait avoir dans l'histoire de l'humanité et ça les a fait évoluer. Et c'est pas vous qui arrêterez cela, fort heureusement pour notre bien (vraiment cette fois)! Si on avait même plus le droit de se faire avoir! Ce n'est pas parce que vous avez remarqué que les gens ont tendance à faire ce qu'il ne faut pas envers et contre tout que vous devez vous permettre de décider pour eux. La décision finale doit toujours revenir à la personne même.
Alors si vous voulez, prévenez nous, dites "nooon, ne clique pas!!!"; et une fois qu'on aura cliqué, moquez vous, dites "on vous avait prévenu pourtant!". Mais ne bloquez pas les sites et laissez nous la possibilité de nous faire avoir. Je préfère avoir ce droit, même s'il fait appel à ma curiosité maladive et que je m'en repentirais après coup, plutôt qu'un simple système qui consiste à faire peur aux gens, du genre "bouuuh... tu ne peux rentrer là. C'est super dangereux là derrière, c'est horriiiible! Mais tu sauras jamais ce que c'est". Surtout avec tous les problèmes de "réputation" ou simplement de "jugement" (je trouve ce terme plus juste pour ce cas) dont il a été question dans un comm plus haut. Est-ce vraiment bien d'interdire l'accès au contenu d'autrui, contenu sur lequel vous n'avez aucun droit a priori? Pouvez-vous vraiment continuer à vous appeler "navigateur web" après cela? Ou devra-t-on vous appeler "navigateur partiel du web", "navigateur d'un web choisi"? Êtes-vous apte et prêt à vous considérer comme des juges tout puissant du web?
En fait, vous allez un peu à l'encontre de la vision du web de tim Berners Lee avec la liberté qui prime, vers un web partiel et partial, un peu comme le souhaitaient ces entreprises qui essayaient de construire des réseaux privés et déconnectés du reste du web.
'lus.
P.S.: j'ai l'air un peu amer, mais c'est juste histoire de dire que c'est une très très mauvaise bonne idée selon moi (et parce que j'aime beaucoup Mozilla et FF). En tous cas, implémentée ainsi.
Pensez un peu à 1984 et dites vous que là aussi, c'était pour le bien des citoyens, pour le bien de tous qu'ils étaient fliqués constamment et qu'ils ne pouvaient faire que "ce qui est bien pour eux".
11 De gros_bidule - 15/03/2008, 18:35
Pendant que j'y pense, il existe déjà des logiciels remplissant cette fonction. On pourrait citer, par exemple, Spyware blaster, qui se résume à une liste de sites néfastes, dont les adresses deviennent bloquées. De plus, ce genre de logiciel s'applique à plusieurs navigateurs (au mois IE et FF). Spybot Search&Destroy implémente aussi ce genre de protection en mettant à jour le fichier hosts (et redirigeant vers localhost les sites dangereux).
On retiendra que ce genre de logiciels de protection ne pose pas problème aux utilisateurs, ces derniers sont contents d'avoir une protection supplémentaire aussi radicale.
Enfin,
- le plus : les non-informaticiens n'auront pas de manipulations à faire pour être protégés, et ça c'est BIEN;
- le moins : avec la nouvelle protection de Firefox3, ne risque t-on pas de faire doublon ? De plus, ne sort-on pas de la fonction élémentaire du navigateur Web ? (qu'est ce qui empêchera Firefox4 d'intégrer un antivirus, Firefox5 un firewall, Firefox6 un contrôle parental, Firefox7 un logiciel de gravure, et Firefox8 ... *à court d'idées* ?).
12 De GruntZ - 15/03/2008, 19:52
Je ne peux qu'abonder fortement dans le sens de Jehan; aseptiser et sécuriser tout les actes de la vie ne fait qu'alimenter l'escalade dans la recherche de la 'sensation forte', ce qui au final dévalorise la vie même.
Avoir une fenêtre d'alerte avec un bouton "Merci de m'avoir prévenu" sélectionné par défaut qui interrompt le surf et un autre bouton, même plus petit, avec marqué "C'est mon problème, avance !"; ça, ce serait une vraie fonctionnalité et une aide qui me respecte.
Et encore, pour être parfaitement honnête, il faudrait indiquer pour quel type de Système d'Exploitation le site visé est censé être dangereux. Mais ça risque de ne pas être commercialement correct de toujours taper sur les mêmes
13 De Phinous - 15/03/2008, 20:44
Je souscris à 200% aux commentaires de Yannick Lamarre et de Jehan.
Installer cette fonction par défaut sans moyen simple de la désactiver au cas par cas me semble extrêmement dangereux.
Que des extensions proposent déjà ce genre de service est normal et utile. Ce qui dangereux est qu'elles soient activées par défaut. Ainsi, 90% des utilisateurs ne sauront pas (ou ne penseront pas) à désactiver cette fonctionnalité.
Si Internet Explorer intégrait ce genre de fonctionnalité (blacklistage arbitraire et incontrôlable), bcp se seraient déjà insurgé à propos du risque de censure.
D'ailleurs je m'étonne qu'IE n'ai pas déjà pensé à implémenter ce genre d'artifice au non de notre sacro-sainte sécurité. Gageons qu'ils trouveront l'idée novatrice pour IE8...
J'aime bcp Mozilla & Firefox.
J'espère de tout coeur qu'une telle fonctionnalité ne sera pas activée par défaut, ou dans le pire des cas qu'il sera possible de débloquer facilement l'accès à un site blacklisté, même si c'est à nos risques et périls.
J'ai suffisamment confiance en Mozilla et ses dirigeants pour garder espoir sur ce point
14 De versgui - 15/03/2008, 21:33
@gros_bidule : "avec la nouvelle protection de Firefox3, ne risque t-on pas de faire doublon ? De plus, ne sort-on pas de la fonction élémentaire du navigateur Web ?"
Pour moi, le navigateur web devrait sécuriser toutes les portes où une attaque est possible, mais uniquement à son niveau dans le traitement de l'information en informatique, c'est-à-dire au dernier niveau. Pas d'anti-virus ni de firewall, ça ne le concerne pas. Mais former une barrière contre les erreurs de l'interface "chaise/écran", je dis oui.
En ce qui concerne l'affichage ou non du lien pour outrepasser le message d'avertissement, je pense que le cacher par défaut est une bonne idée. Je me met à la place de ma maman : elle tomberait sur ce message, que ferait-elle ? Elle lacherait instantanément sa souris, reculerait sa chaise de 2 ou 3 mètres et me passerait un coup de téléphone pour savoir ce qu'elle doit faire. En tant que développeur web et connaissant un minimum les règles de sécurité informatique, je lui aurait répondu : "n'y va pas". Ca doit être la seule action possible pour un newbie.
Quelqu'un qui s'y connaitra un peu mieux ira chercher sur un moteur de recherche comment désactiver ce message d'erreur, à ces risques et périls. Le tout est de rendre disponible facilement cette solution, mais pas directement. Surtout pas.
15 De Yannick Lamarre - 15/03/2008, 22:06
Premièrement, mon premier message est totalement hors contexte et se réfère à un billet écrit sur mon blogue au sujet du site de Max Shaman.
Je réalise donc en lisant ces informations que j’étais dans l’erreur, que ce n’est pas des bénévoles de Mozilla qui décident les critères de mise à mort du site, mais bien Google. C’est encore plus drôle que Mozilla se base sur un outil tiers pour verrouiller un site web.
Finalement, encore une question. Lorsque l’on dit que le site est malicieux, comment celui-ci peut passer par Firefox pour attaquer mon système? Je pensais que c’était hyper simple avec un activeX via IE mais pas avec Firefox, Opera ou Safari. C’est causé par quoi? Surement pas par du simple HTML. Dans ce cas, pourquoi Firefox ne se limiterait-il pas simplement à l’usage du HTML (désactivation de javascript, flash et autres gugus) lorsque j’arrive sur un site web malicieux? Est-ce que c’est moi qui n’ai rien compris ou quoi?
Yannick (de plus en plus perturbé! :-))
16 De jeannich - 16/03/2008, 02:58
Ce qu'il manque a la fonction anti-malware de FF3 c'est une preuve.
Il faudrait que FF3 mentionne le nom du ou des malware(s) bloque(s) avec un lien expliquant leurs effets.
De plus n'est ce pas possible d'afficher une page infectee en bloquant la partie malware uniquement? Ou alors une impression ecran de la page en question mais sans aucune interactivite (avec par exemple un bandeau rouge en haut "Ce site est infecte par un malware il n'est donc pas affiche dans son integralite")
17 De Fakir Séditieux - 16/03/2008, 03:33
Merci à toi Tristan d'avoir publié ce post et aux autres pour leur contribution. En effet je n'avais pas perçu tous les aspects induits par cette configuration par défaut. En attendant je ne sais pas si c'est une bonne ou une mauvaise décision... Il semble que personne n'ait tord et qu'à contrario que tout le monde ait raison
Peut-être pourrait on choisir une voie médiane dans un premier temps ? Une sorte de double confirmation comme lorsque l'on veut installer un plug-in de FireFox : un popup d'ouvre et nous demande si l'on accepte l'installation du-dit plugin à partir d'un site autre que celui de geckozone ou d'addons.mozilla.
Même si Mozilla persiste dans cette configuration lors de la sortie de version finale, AMHA elle devra par avance prévoir une solution de rechange dans le cas où une massive levée de boucliers - tant au niveau du public que des média - se développe. Dans ce cas une éventuelle polémique risquerait de ruiner tous les efforts de ces dernières années pour refaire le retard du Web browser libre sur IE.
Il semble que Mozilla et sa communauté devront très certainement surveilller ce sujet comme la cuisinière le lait sur le feu... et que la MoFo à l'encontre des déclarations récentes de Mitchell Baker sur la répartition des prises de décision au sein de la communauté devra être vraiment à l'écoute du plus grand nombre et ... surtout en tenir compte !
18 De Nath - 16/03/2008, 09:22
Moi je trouve ça bien pour les développeurs freelance ayant des clients récalcitrants : si vous me payez pas, je déclanche un malware et votre site sera blacklisté :D
(Oui, le ton est ironique)
19 De Sergi - 16/03/2008, 23:10
Juste une question à propos de cette phrase :
>>Firefox va chercher toutes les 30 minutes une liste noire des sites infectés sur un serveur Google
Est-ce que cela signifie que Firefox communique automatiquement à Google mon IP, mon OS... toutes les demi heure même si je ne visite pas un site appartenant à Google. Si c'est bien ça, il n'y aurait pas comme une atteinte à la vie privée là ?
20 De jj - 16/03/2008, 23:52
mouaip. Peste ou Choléra.
télécharger un truc sur les serveurs de google toutes les 30 minutes? Sans doute Google peut encaisser le coup. 1 ou deux millions d'utilisateur en plus... Mais un réseau d'entreprise? Ya une estimation de la bande passante requise?
j'espère que quelqu'un sortira vite fait bien fait une extension pour avoir le bonheur de se faire contaminer quand même. C'est une bonne intention ce truc, comme les DRM en étaient une autre.
Dernier point, il me semble que si google utilise des robots pour trouver des codes malicieux. Alors si google est honnête il devrait commencer par respecter les fichiers robots.txt qui interdissent ou non l'accès à des pages. Donc on a le choix en faire confiance entre quelqu'un qui n'est pas digne de confiance (parce qu'il ne respecte pas les règles du jeu) ou qui n'est pas digne de confiance parce qu'il n'est pas assez complet.
21 De dfzefazefaze@fklz - 17/03/2008, 00:32
il me semble que vous l'avez raté. Est ce que parce que vous n'êtes pas sous windows?
Install Internet Explorer 8
Internet Explorer 8 can be installed on Microsoft Windows Vista® Service Pack 1 (SP1), Windows Vista, Windows XP® Service Pack 2 (SP2), Windows Server® 2008 and Windows Server 2003 Service Pack 2 (SP2). Downloads are available from the following locations:
Internet Explorer 8 Beta 1 for Windows Vista and Windows Server 2008
Internet Explorer 8 Beta 1 for Windows Vista x64 Edition and Windows Server 2008 x64 Edition
Internet Explorer 8 Beta 1 for Windows XP SP2
Internet Explorer 8 Beta 1 for Windows Server 2003 SP2
Internet Explorer 8 Beta 1 for Windows Server 2003 SP2 x64 Edition and Windows XP SP2 Pro x64 Edition
http://www.microsoft.com/windows/pr...
22 De Bastien - 17/03/2008, 09:19
Je joins ma voix à celle des autres commentateurs: cette fonction me paraît une mauvaise idée.
Mais je voudrais mentionner quelque chose de tout bête, que je n'ai vu ni dans ces commentaires ni dans la page de discussion sur bugzilla:
Quid des utilisateurs qui vivent dans un système qui a peu de chances d'être infecté par un site « malveillant » ? Est-ce que cette fonction sera aussi installée _par défaut_ sur les version GNU/Linux de Firefox? Si oui, pourquoi?
Ce serait un peu comme si OpenOffice désactivait les macros par défaut, sous prétexte que les gens vivant sous Windows risquent d'être infectés à cause de macros malveillantes...
Je pense que la fonctionnalité plaît pas parce qu'elle dé-responsabilise l'utilisateur. Si en plus elle le déresponsabilise en le prenant d'office (sic) pour un utilisateur de Windows, faut s'attendre à ce que ça râle encore longtemps.
23 De GNU/Castor - 17/03/2008, 18:14
"Est-ce que cela signifie que Firefox communique automatiquement à Google mon IP, mon OS... toutes les demi heure même si je ne visite pas un site appartenant à Google. Si c'est bien ça, il n'y aurait pas comme une atteinte à la vie privée là ?"
Avec tous les sites ayant une pub google ads, c'est déjà fait
Sinon je ne compte pas perdre mon indépendance d'accès à un site, sous le soupson d'une boite propriétaire. Ne pourrait-on pas avoir le choix non pas de désactiver ce système, qui est une bonne chose en soit, mais de pouvoir configurer firefox pour qu'il permette l'accès aux sites après avertissement ? Sinon ce sera désactivé chez moi ;(
Bon, puis me faire bloquer l'accès à un site parce qu'il contient un spyware pour windows, ça me fait bien marrer, je n'utilise pas ce produit de Microsoft.
24 De Solal - 17/03/2008, 20:25
Moi aussi je regretterais que cette fonctionnalité de filtre anti-malware soit implémentée sous la forme radicale d'une impossibilité d'aller sur les sites référencés dans la liste. D'autant plus si la liste en question est celle de Google ( j'ai déjà vu plusieurs exemples de "false positives" dans cette liste.
25 De fred - 17/03/2008, 22:17
Heu sur mon firefox 2 personellement j'utilise McAfee SiteAdvisor... Ca fonctionne très bien et ça ne bloque pas les sites, juste un avertissement très simple: vert c'est OK, Orange attention, Rouge danger. Ce plugin http://www.siteadvisor.com/ n'est-il pas la meilleure solution?
26 De Benjamin Morant - 18/03/2008, 12:03
Bonjour Tristan,
désolé de ne pas être dans le sujet, mais je suis venu sur votre blog pour vous demander votre aide.
J'ai 20 ans et je suis étudiant en troisième année à l'Institut d'Etudes Politiques de Lille. L'an prochain j'ai un mémoire de recherche à faire. Utilisateur de GNU/linux et des logiciels libres, je m'intéresse à la problématique des "relations entre l'Union Européenne et les logiciels libres sur un plan légal, économique et politique". J'ai de nombreux exemples en tête, notamment le procès médiatique entre la Commission Européenne et Microsoft, les "switch" des villes comme Munich, ou des Parlements français et italien, la problématique de la vente liée....
Dans le cadre de mes études, je dois faire un stage hors de la France de 6 semaines minimum. J'ai pour cela du temps entre juillet et novembre 2008. J'aimerai éviter de faire un stage "dans le rang" dans une quelconque ambassade comme la plupart de mes camarades. Je voudrais illustrer mon mémoire de recherche par un stage dans une "association" qui promeut les logiciels libres et GNU/linux au niveau européen, comme la Free Software Foundation. J'ai postulé à la FSFE et les seules réponses que j'ai eu pour l'instant ne confirment pas le fait que je sois pris.
J'aimerais savoir si vous ne connaissiez pas une autre organisation de ce genre en Europe, voire si vous n'aviez pas une place pour moi. Je peux vous envoyez ma lettre de motivation et mon CV si vous êtes interessé.
Contactez moi à cette adresse: morantbenjamin@yahoo.fr
Je vous remercie par avance.
à bientôt
Benjamin
27 De burningHat - 18/03/2008, 22:32
Firefox 3 “protect me from what i want” !
Tristan Nitot nous présentait vendredi dernier l’anti-malware de Firefox 3 et surtout nous expliquait en substance pourquoi c’était en quelque sorte une fonctionnalité “on/off” (soit on s’en sert totalement soit on ne s......
28 De les marques du plaisir - 19/03/2008, 10:19
je reste trés amusé par les cris de vierges effarouchées sur un outil qui devrait être l'un des arguments de promotion de FF3 ...
et je m'interroge ...
le reformatage à 100 euros présenté comme seule solution par 80% des assembleurs
les revenus générés pour certains par les pubs "la redoute", "alice" ou plus récemment "gladiator" ...
que défend t'on ...???
je passe pas mal de temps a convaincre que reformater n'est pas la bonne solution, qu'éviter de se faire infecter est une bien meilleure maniére de faire ...
Mais pour l'instant, la seule liberté qui existe, c'est celles des requins du web ...
29 De Florian - 19/03/2008, 19:00
@Bastien : OpenOffice.org désactive déjà par défaut les macros non signées...
Je vois mal pourquoi on trouve tellement d'avis négatifs sur cette fonction : pour la plupart des utilisateurs, c'est un joli gain pour la sécurité de leur machine. De plus il suffit de quelques clics pour la désactiver pour ceux qui n'en veulent pas. Mais, c'est le méchant Google qui fournit les listes : j'imagine que Google a intérêt à maintenir des listes les plus précises possibles, car au moindre faux pas, l'anti-malware n'est qu'à un commit de la disparition.
Ce n'est en particulier pas du tout comparable aux DRM (@jj), qui ont la fâcheuse tendance à jouer à la terre-brûlée (refus des restrictions ? d'accord, mais ton contenu, oublie-le). Puisque Firefox ne joue pas au monopole, et puisqu'il est libre, cette fonction ne cassera pas le Web.
Ma petite interrogation : pour les gens qui réfléchissent un peu, existera-t-il un réglage intermédiaire, qui bloquerait une requête mais aurait le fameux bouton pour continuer quand même ?
30 De hiro - 22/03/2008, 17:05
Il est fréquent de voir des systèmes performants et populaires proposés des fonctionnalités étendues. Ceci dit, ils viennent toujours empiété sur le domaine d'autres programmes, en l'occurence les programmes de sécurité. Pour moi, le seul système en qui je fais confiance est mon internet security suite. L'experience m'a appris que les programmes qui pretendent pouvoir s'occuper de tout font les chose assez mal et sont pourris de défauts.
Perso, ce genre de fonctions me genent si je ne peux pas le désactiver. Et je ne veux surtout pas voir de message d'alerte à la vista me faire la leçon sur ce que je ne dois pas faire!