Roseman nous a écrit pour nous informer d’une vulnérabilité cross-site scripting dans Mozilla, qui a été découverte et corrigée en décembre de l’année dernière. Une alerte de Secunia classe la faille comme « moins critique », tandis qu’une note de SecurityTracker donne plus de détails précis sur le bogue, qui peut permettre à un site hostile de lire les cookies d’un autre site ou d’accéder à d’autres données récemment transmises par l’utilisateur. Les deux alertes relatent qu’un correctif est disponible dans Mozilla 1.6 bêta, quoique que Secunia se trompe en déclarant que le problème a aussi été retouché dans la version 1.4.2, ce qui a inquiété Roseman car il ne pouvait trouver de lien vers cette version. Ce que Secunia aurait dû indiquer, c’est qu’un correctif pour la faille a été enregistré dans la branche 1.4 et qu’il sera disponible dans Mozilla 1.4.2 lorsque ce dernier sortira.
Le bogue a été traité en accord avec la politique des bogues de sécurité de Mozilla, avec le découvreur Andreas Sandblad écrivant par courriel à security@mozilla.org le 2 décembre et les membres du groupe des bogues de sécurité de Mozilla enregistrant un rapport de bogue confidentiel le jour suivant (bogue 227417). Un correctif a été développé et enregistré à la fois dans le tronc et la branche de référence 1.4 le jour même. Les sites tels que Secunia et SecurityTracker n’ont annoncé la faille qu’après que le rapport de bogue a été ouvert au public mercredi.
Dans cette affaire, la vulnérabilité a été relativement mineure et un correctif a été appliqué avant que l’information ne se soit répandue. Ce n’est pas le cas des problèmes sur lesquels MozillaZine rendrait compte normallement mais nous le faisons afin de répondre aux préoccupations d’utilisateurs inquiets tels que roseman et parce que c’est un cas d’école de l’utilisation correcte de la politique de bogues de sécurité de Mozilla.
Commentaires fermés sur La vulnérabilité Cross-Site Scripting de Mozilla rapportée et corrigée
Tomas Marek (marek<AD>tipsport<POINT>cz) et guzzi333 nous ont indiqué un article de Linux Today dans lequel Ganesh Prasad soutient que Sun devrait appuyer le travail de la communauté open-source pour améliorer Java entreprises et résister au .NET de Microsoft. L’auteur distingue les interfaces utilisateur côté client enrichies comme un domaine dans lequel Java est faible et recommande que Sun adopte XUL pour combler la lacune. Cela aiderait à combattre la technologie XAML de Microsoft, qui est semblable à XUL et conçue pour bien fonctionner avec les applications .NET. Prasad prétend aussi que Sun pourrait donner de la crédibilité à XUL et encourage l’entreprise à travailler avec la fondation Mozilla pour obtenir que le langage soit homologué comme un standard du W3C.
Commentaires fermés sur Un article de Linux Today recommande que Sun adopte XUL pour Java
Robert Accettura écrit : « Mac OS X Hints a publié une critique assez bonne de Firefox sur son site Web. Ce qui a un intérêt particulier (au moins pour moi), est comment il note l’utilisation du microprocesseur par Firefox, qui est à peu près à l’opposé de ce que les critiques des produits Mozilla disent. De manière générale cela reste une vraiment bonne et honnête critique. »
Commentaires fermés sur Mozilla Firefox passé en revue par Mac OS X Hints
Rizzof écrit : « J’ai voulu offrir une revue critique en profondeur de Thunderbird pour changer. C’est vraiment très différent de toutes les brillantes revues de la semaine dernière suivant la sortie. Il analyse les défauts de l’application et les gaffes d’interface utilisateur qui l’empêchent de réaliser son plein potentiel. »
Commentaires fermés sur Revue critique de Mozilla Thunderbird 0.5
Marek Stepien écrit : « Un nouveau site Web sur Mozilla Firefox vient d’être lancé en Pologne. Firefox.pl est un site où des utilisateurs parlant polonais peuvent facilement télécharger les compilations officielles mozilla.org de Firefox avec les paquets en langue polonaise intégrés. Nous allons aussi publier quelques documentations traduites et réaliser des sites Web semblables pour Thunderbird et les autres produits Mozilla.
La fondation Mozilla vient de dévoiler Mozilla 1.7 alpha. Cette version est dotée d’un blocage des popup amélioré, avec une meilleure méthode pour détecter et stopper les popups et la possibilité d’ouvrir les popups bloquées. Le module de messagerie et de forums supporte désormais les identités multiples par compte de courriel (cependant il n’y a pas encore d’interface utilisateur pour cela) et arbore aussi plusieurs améliorations du confort d’utilisation. En outre, cette version de Mozilla ajoute le support pour l’événement onBeforeUnload et comprend une version plus récente et amélioré de ChatZilla, qui comprend maintenant l’instruction /ignore. Mozilla 1.7 alpha est également plus petit que le 1.6 et les temps de chargement des pages ont été améliorés depuis la dernière version.
