VNunet rapporte que Mozilla va organiser une conférence en ligne de 24 heures les 14 et 15 septembre prochains. La conférence Mozilla 24 pour développeurs du monde entier se tiendra aux Etats-Unis, en Europe et au Japon.
« Mozilla 24 comprend une diversité de programmes, avec des présentations, des panels, des concours en ligne et des festivals de musique », a déclaré la fondation Mozilla. « De nombreuses présentations et panels seront accessibles en ligne à tous les utilisateurs du monde entier en utilisant l’environnement d’apprentissage à distance et des machines virtuelles installées à distance fournies par le groupe de travail School on the Internet du projet WIDE. »
Pour l’heure les orateurs annoncés sont :
Dr. Vint Cerf, Vice President and Chief Internet Evangelist at Google Inc.
Dr. Lawrence Lessig, professor of law at Stanford Law School and founder of its Center for Internet and Society
Dr. Jun Murai, professor of Faculty of Environment and Information Studies and Vice President at Keio University
Dr. David Humphrey, professor at the School of Computer Studies at Seneca College, Toronto, Canada
Mitchell Baker, Chief Executive Officer of the Mozilla Corporation
Mike Shaver, Director of Ecosystem, Mozilla Corporation
Tristan Nitot, Mozilla Europe President
Satoko Takita, Chairman of Mozilla Japan
Commentaires fermés sur Conférence Mozilla de développeurs de 24 heures
EchoDuNet rapporte la sortie de la version 0.2 de Correo, un client mail basé sur Thunderbird pour Mac OS X. Comme Camino, Correo est nativement intégré à Mac OS X aussi bien au niveau de l’interface Aqua que par l’utilisation de fonctionnalités propres du système, comme le Trousseau pour l’enregistrement des mots de passe et le carnet d’adresse de Mac OS X.
Gregg Keizer discute dans ComputerWorld de la sécurité dans le prochain Firefox 3.0 avec des commentaires de Window Snyder, chef de la sécurité chez Mozilla. Il y est d’abord question d’un filtre anti-malware développé avec Google pour bloquer les sites voulant installer des logiciels ou des extensions malveillants sur le système ou dans le navigateur. Il est ensuite question de l’implémentation des certificats EV, qui dans IE font changer la barre d’adresse en vert feront apparaitre une popup avec un douanier vérifiant un passeport stylisé et baptisé « Larry » dans Firefox 3.
Les autres changements qui impactent la sécurité de l’utilisateur sont sous le capot. Le code lui-mêmme a été rendu plus sûr.
Snyder a dit que la plupart de son temps depuis qu’elle a rejoint Mozilla en septembre dernier a été passé à améliorer la sécurité du code de Firefox, avec un effort majeur de création d’outils de test de pénétration que les développeurs puissent utiliser pour repérer les failles avant que l’application quitte la maison. Mozilla a utilisé divers « fuzzers », des outils qui automatisent quelques processus de détection des vulnérabilités, et a trouvé des douzaines des bogues avec juste un, un fuzzer JavaScript que Mozilla a rendu public la semaine dernière pour la communauté open-source à la conférenceBlack Hat sur la sécurité.
Publié en février dernier, le Manifeste de Mozilla « décrit une vision d’Internet en tant qu’infrastructure ouverte, accessible et qui enrichit la vie des utilisateurs. Il intègre un engagement d’action de la Mozilla Foundation pour soutenir les principes du Manifeste Mozilla. Il comprend aussi une invitation pour que d’autres nous rejoignent, soit en travaillant directement avec la Mozilla Foundation ou à travers d’autres activités en relation avec le Manifeste. » (Mitchell Baker, Introducing the Mozilla Manifesto, traduit par Tristan Nitot).
Tous les utilisateurs de SeaMonkey sont encouragés à mettre à jour, y compris les utilisateurs de SeaMonkey 1.0 maintenant non supportés (mis à jour dernièrement quand SeaMonkey 1.0.9 a été publié simultanément avec SeaMonkey 1.1.2 en mai). L’équipe SeaMonkey recommande aussi vivement aux utilisateurs de la suite Mozilla, Netscape 7, Netscape 6 et le de Netscape Communicator 4.x de mettre à niveau vers SeaMonkey 1.1.4. « Tous ces anciens logiciels souffrent d’un grand et croissant nombre de vulnérabilités de sécurité parce qu’ils ne sont plus maintenus, » explique KaiRo. « SeaMonkey 1.1.4 est un remplaçant facile à installer, fournissant les mêmes fonctionnalités fondamentales que la suite avec des caractéristiques supplémentaires et des corrections de sécurité parfaitement à jour. » Le projet SeaMonkey est la continuation de la suite Mozilla piloté par la communauté, qui a formé la base de Netscape 6 et 7 et partage des similitudes avec Netscape Communicator 4.x.
Jeudi matin, à la conférence Black Hat, Window Snyder et Mike Shaver de Mozilla ont dévoilé des outils permettant de tester Firefox. Ces outils et le test en lui-même ne sont pas tout à fait conventionnels étant donné qu’ils sont utilisés aussi bien par les “gentils” que par les “méchants”. Il ne s’agit donc pas simplement d’installer une des nightlies et de la regarder.
Ces fameux outils comprennent un « protocol fuzzer » et un « Javascript fuzzer ». Sous le nom énergique de fuzzer on découvre une méthode qui simule un grand nombre de conditions et de données dans lesquelles un navigateur pourrait révéler une faille.
Mozilla a donc l’intention de rendre publics des moyens permettant aux utilisateurs de découvrir des failles et d’en faire le rapport. Comme on sait que la communauté qui entoure Mozilla est très active et très enthousiaste, mettre ces outils dans les mains de la communauté pourra donc sans doute rendre la future version de Firefox plus forte et plus sûre. Ca, c’est la manière gentille de voir les choses.
L’autre point de vue, c’est celui des hackers qui utilisent cette même méthode, mais pour faire des attaques à travers les vulnérabilités qu’ils découvrent. Il n’est pas nécessaire de s’inquiéter suite à la mise en ligne de ces bouts de code par Mozilla, les personnes mal intentionnées connaissant et utilisant ça depuis un moment.
Quoiqu’il en soit, le « Javascript fuzzer » est disponible à cette adresse.
Commentaires fermés sur Mozilla délivre des outils pour tester son navigateur
La dernière version de Thunderbird peut être téléchargée depuis la page produit de Thunderbird et sera offerte aux utilisateurs actuels de Thunderbird 2 via le système de mise à jour logicielle. Plus d’informations générales sur Thunderbird 2.0.0.6 peuvent être trouvées dans les notes de diffusion de Thunderbird 2.0.0.6. Une mise à jour de la ligne Thunderbird 1.5 est attendue sous peu.
La deuxième édition de la webémission d’Air Mozilla aura lieu mercredi, 1er août à 3h00 pm heure d’été du Pacifique (10h00pm UTC/GMT). Animée par Asa Dotzler, l’émission présentera Bret Reckard, qui travaille au recrutement pour la Mozilla Corporation, JT Batson, qui travaille actuellement sur le nouveau projet de support de Firefox et Seth Bindernagel, qui coordonne le programme de dons à la communauté, qui partage les richesses de Mozilla avec de précieux volontaires. Le programme finira avec une émission de la présentation OSCON 2007 de Mitchell Baker.
Les téléspectateurs peuvent regarder la webémission sur air.mozilla.com, qui nécessite le plugin Adobe Flash Player 9 (la vidéo sera disponible en téléchargement dans différents formats après l’émission en direct). Une discussion aura lieu à côté de l’émission sur le canal #airmozilla channel sur irc.mozilla.org. Pendant l’émission, les téléspectateurs auront la possibilité de poser des questions aux invités en envoyant un message à l’utilisateur airmozilla sur chacun des réseaux AIM, Yahoo! Messenger ou Google Talk. Les questions peuvent aussi être envoyées par courrier électronique à airmozilla@mozilla.com auparavant ou pendant la webémission.
La faille de manipulation de protocole d’URL est un exploit de catégorie semblable à la vulnérabilité de l’URL firefoxurl:// qui avait été corrigé avec la sortie de Firefox 2.0.0.5. Dans l’exploit firefoxurl:// original, un attaquant pouvait utiliser Microsoft Internet Explorer pour lancer Firefox avec des paramètres malveillants en ligne de commande. Dans la faille corrigée dans Firefox 2.0.0.6, Firefox est utilisé comme vecteur d’attaque pour démarrer d’autres applications avec des arguments dangereux. L’exploit pourrait être étendu pour exécuter n’importe quel programme dans un endroit connu, en passant éventuellement de dangereux paramètres en ligne de commande.
Que ce soit ou non de la responsabilité de Firefox de s’assurer que les données passées aux applications externes soient (relativement) sûres est sujet à discussions. Quand la vulnérabilité d’URL firefoxurl:// originale a été découverte, Microsoft a soutenu qu’IE n’était pas en faute. Cependant, alors que Mozilla soutenait à l’époque que la responsabilité incombait à IE, il aurait été hypocrite de ne pas corriger un problème semblable dans Firefox. Le billet du blog Mozilla Security sur la faille de manipulation de protocole d’URL déclare que « la défense en profondeur est la meilleure façon de protéger les gens » (bien que ce billet dise que seul Windows soit affecté, les analyses du bogue 389106 indique que Linux et Mac OS X pourraient aussi être vulnérables).
Firefox avertit l’utilisateur avant de lancer la plupart des applications auxiliaires et montre les paramètres de ligne de commande, ainsi les utilisateurs de versions vulnérables recevraient un avertissement d’une attaque (bien que seul l’utilisateur avancé sera probablement assez futé pour différencier des lignes de commande sûres et malveillantes). Néanmoins, certains protocoles liés au courriel et aux groupes de discussion (notamment mailto, news, nntp, snews) n’avertissent pas l’utilisateur avant de lancer une application externe, ainsi des applications de courriers et de groupes de discussion vulnérables pourraient être exploitées avec une intervention minimale de l’utilisateur (Thunderbird 2.0.0.4 et précédents est une de ces applications, dû à une variante du problème firefoxurl://).
Plus de détails sur Firefox 2.0.0.6 peuvent être trouvés dans les notes de diffusion de Firefox 2.0.0.6. La nouvelle version peut être téléchargée depuis la page produit de Firefox 2.0.0.6. Les utilisateurs actuels de Firefox 2 avec la fonctionnalité de mise à jour logicielle activée (c’est le cas par défaut) seront invités à mettre à jour. Des versions équivalentes de Thunderbird (2 et 1.5) et SeaMonkey sont attendus sous peu.
Commentaires fermés sur Mozilla Firefox 2.0.0.6 est sorti
