lundi 12 juillet 2004
Les auteurs de malwares visent Mozilla, les développeurs répondent par des protections renforcées
Au cours de ces derniers mois, il est devenu évident que certains auteurs des malwares (une catégorie de logiciels malicieux qui inclut les virus et les spywares) ont commencé à viser les utilisateurs de Mozilla. Alors qu’il n’est pas avéré que des agresseurs ne se soient débrouillés pour exploiter le mécanisme de XPInstall pour installer un logiciel sans le consentement de l’utilisateur, plusieurs sites ont essayé des artifices comme de demander plusieurs fois d’installer un package XPI quand une page se charge, tirant profit du fait que beaucoup d’utilisateurs vont accepter l’installation pour faire disparaître les boîtes de dialogue.
Heureusement, les utilisateurs de récents navigateurs basés sur Mozilla jouissent désormais de plusieurs nouvelles précautions de sécurité conçues pour les protéger contre ce genre d’attaques. Pendant le cycle de la version 1.7, Daniel Veditz a développé un patch qui interdit aux installations XPI d’être déclenchées par le chargement d’une page, empêchant les boîtes de dialogue d’installation de logiciel d’apparaître dès qu’un utilisateur visite un site (bogue 238684). Plus tard dans le même cycle de sortie, une liste blanche de sites qui sont autorisés à demander des permissions d’installation de logiciel a été implémentée (bogue 240552). La liste blanche par défaut pour Mozilla 1.7 contient mozilla.org, mozdev.org et texturizer.net (hébergeur de Firefox Help et Thunderbird Help). Mozilla Firefox 0.9 autorise uniquement update.mozilla.org (cependant cela a été depuis étendu à la totalité de mozilla.org).
Les plus récentes nocturnes de Firefox sont dotées d’une nouvelle interface pour gérer la liste blanche XPInstall. Lorsqu’un utilisateur essaie d’installer un logiciel depuis un site qui n’est pas sur la liste blanche, une fine barre jaune non modale apparaît en haut de la zone de contenu, informant l’utilisateur que l’installation a été bloquée (bogue 241705). Un bouton permet à l’utilisateur d’ajouter le site à la liste blanche s’il le veut. Les testeurs de la version bêta du Service Pack 2 de Windows XP trouveront sûrement la barre jaune familière : c’est presque une copie carbone de la nouvelle barre d’information d’Internet Explorer qui apparaît quand un contrôle ActiveX est bloqué. Si vous ne pouvez attendre Firefox 1.0 pour essayer cette fonction, récupérez une compilation nocturne de la branche 0.9 mais souvenez-vous qu’elle peut être boguée.
Je ne suis pas certain que cela continuera (bien que j’ai ma petite idée ;).
En tous cas, constater la réactivité des développers de Mozdev fait plaisir à voir !
De même, on constate que sur ce coup déja, les utilisateurs de Firefox basés sur autre chose que Windoze, ont moins de soucis à se faire que les autres , )
Bref, continuons !
Pour info, la part des navigateurs basés sur le moteur Gecko sur mon site, qui accueille environ 500 visiteurs / jours, a dépassé 20% entre mai et juin 2004 (10% fin 2003 et 5% début 2003 :o)
salut la Cie,
KoZaki
http://c.laloy.free.fr/howtos/
ps : le formulaire se plaint que l’url que j’ai rentré dans « Site web n’est « pas valide », c’est agaçant.
> ps : le formulaire se plaint que l’url que j’ai rentré dans « Site web n’est « pas valide », c’est agaçant.
C’est corrigé 🙂