mercredi 6 avril 2005
Changement de sécurité majeur dans les dernières versions candidates à Mozilla Firefox 1.0.3
Asa Dotzler a annoncé la disponibilité d’un autre jeu de versions candidates à Mozilla Firefox 1.0.3 (pas les mêmes que les versions candidates au 1.0.3 sorties hier). Ces dernières versions incluent un correctif du bogue 281988 qui améliore la sécurité en corrigeant un problème de longue date. Malheureusement, le correctif du bogue 281988 est un changement majeur et est susceptible de casser un certain nombre d’extensions.
Pour aider à mesurer l’impact du changement, les testeurs devront télécharger les dernières versions candidates et suivre les instructions du billet publié sur le blog d’Asa pour déterminer s’ils rencontrent des problèmes. Le bogue 289231 a été rempli pour tracer les extensions que le changement casse.
Nous avons appris que bien que la fondation Mozilla tienne à opérer ce changement dans Firefox 1.0.3, elle peut décider de ne pas l’inclure si l’impact est considéré comme trop important. Les indications actuelles prouvent que plus d’extensions qu’initialement prévu sont susceptibles d’être affectées.
Ce changement de sécurité apparemment innocent crée beaucoup de ravages auprès des développeurs et des utilisateurs d’extensions, et je ne vois pas comment cela peut-être fait dans la prochaine version de Firefox sans le modifier (de sorte que les problèmes soient résolus) ou retiré jusqu’à ce que tous les développeurs d’extensions aient modifié leur code pour que cela fonctionne.
Pour ceux qui se demandent ce que corrige le bogue 281988, d’après ce que j’ai compris jusqu’à présent le wrapper JavaScript des objets DOM natifs a toujours été partagé entre le contenu (la page HTLM en cours) et Chrome (l’interface utilisateur), ce qui a toujours posé des problèmes de sécurités. Ne plus partager le wrapper JavaScript entre le contenu et Chrome est assez facile mais implique certaines conséquences sur les bindings XBL utilisées entre autre par les extensions.