mardi 21 décembre 2004

Peter Torr de Microsoft attaque la sécurité de Mozilla Firefox

Un directeur de programme de Microsoft du nom de Peter Torr a posté un billet de weblog sur des problèmes potentiels avec la sécurité dans Mozilla Firefox. Spécifiquement, il identifie le fait que ni l’installeur de Firefox ni la plupart des extensions disponibles ne sont numériquement signés. En revanche, il note que Microsoft Internet Explorer 6 Service Pack 2 n’installera pas d’ActiveX non signé par défaut. Tandis que beaucoup crieront immédiatement au « FUD ! », il a en fait raison. Bien que l’infrastructure soit là, le manque de signature de code dans la grande majorité des extensions de Firefox a conduit à un environnement dans lequel beaucoup d’utilisateurs installent simplement des extensions sans savoir vraiment s’ils peuvent faire confiance aux personnes derrière elles.

Slashdot dispose d’une discussion sur les commentaires de Torr de lundi, menant à un billet de suite du directeur de programme de Microsoft. Dans ce message, Torr se corrige incorrectement lui-même en disant qu’il est possible de désinstaller des plugins depuis le panneau de téléchargements d’Options/Préférences (en réalité, cette option empêche seulement des plugins de charger quand leurs types de fichiers sont ouverts en propre, pas quand ils sont embarqués dans une page) et note que les installations d’extension ne sont pas bloquées quand l’URL du XPI est directement saisi dans la barre d’adresse (cependant, les installations d’extension déclenchées par des sites à part update.mozilla.org sont bloquées par défaut).

Tandis que nous croyons que le mécanisme d’installation des extensions de Firefox est sûrement plus compliqué à exploiter que celui d’IE, il semble que le navigateur de Microsoft soit meilleur dans la prévention des installations accidentelles de code malveillant dans certaines situations.