mercredi 10 août 2005
SecurityFocus sur le traitement de la faille de sécurité de Greasemonkey
SecurityFocus publie une chronique sur les récents ennuis de sécurité de Greasemonkey par Scott Granneman, l’auteur de Don’t Click on the Blue E!. Après avoir expliqué ce que l’extension Greasemonkey pour Mozilla Firefox fait (en utilisant l’exemple d’un script utilisateur qui ajoute un bouton Delete à Gmail), Scott continue en discutant des vulnérabilités de sécurité découvertes dans Greasemonkey, lesquelles peuvent potentiellement permettre aux sites visités d’accéder à des fichiers sur les ordinateurs des utilisateurs (la version bêta de Greasemonkey 0.5 résout ces problèmes).
Scott aborde quelques points soulevés par le chroniqueur d’InfoWorld Jon Udell dans son texte Greasemonkey en crise. Il est en désaccord avec la revendication de Jon que Firefox a une certaine part de responsabilité dans la faille de Greasemonkey, écrivant que « que le problème n’était pas dans la conception technique du navigateur lui-même, c’était une extension beaucoup trop exposée sur les ordinateurs des utilisateurs via une API pauvrement implémentée. »
Alors que Scott est d’accord avec Jon que les développeurs de Greasemonkey devraient avoir eu une approche « plus disciplinée afin de réduire la surface des attaques » (Jon cite Microsoft en tant que partisan important de cette discipline), il argue du fait que ce n’est pas le seul facteur important, affirmant que le traitement des bogues de sécurité une fois qu’ils sont découverts est également essentiel. Scott croit que l’équipe de Greasemonkey s’est bien comportée à cet égard, reconnaissant le problème, avertissant les utilisateurs et discutant des solutions sur une liste de diffusion publique. « Durant la totalité du douloureux processus », écrit-il, « l’information était à la disposition de ceux qui en ont eu besoin : développeurs, gens des technologies de l’information, utilisateurs et professionnels de la sécurité. » Cette franchise, conclut Scott, est une bien meilleure approche que le processus fermé souvent adopté par les principaux fournisseurs de logiciels propriétaires comme Microsoft et Cisco.