mozillaZine

Fanzine sur Mozilla et ses logiciels (Firefox, Thunderbird, SeaMonkey, etc.) — Site indépendant depuis 1999

Site archivé depuis 2020. Les contenus que vous trouverez ici sont conservés pour le souvenir.

mardi 2 août 2005

Greasemonkey 0.5 bêta corrige la faille de sécurité

Greaseblog, le weblog officiel de l’extension Greasemonkey (le site est actuellement tombé) pour Mozilla Firefox, a annoncé la disponibilité de Greasemonkey 0.5 bêta, qui corrige le grave trou de sécurité découvert dans des versions précédentes du programme. Comme nous l’avons rapporté il y a deux semaines, la faille trouvée dans Greasemonkey pourrait permettre à des sites Web de lire des fichiers sur les ordinateurs des utilisateurs.

Greasemonkey permet aux utilisateurs d’installer de petits bouts de code (connu sous le nom de scripts utilisateurs) qui changent la manière de se comporter des différents sites Web. À la différence des versions précédentes, Greasemonkey 0.5 bêta exécute ces scripts utilisateur dans un bac à sable (sandbox) auquel les sites Web ne peuvent pas avoir accès. La faille de sécurité qui permettait aux sites d’avoir accès aux fichiers des utilisateurs a été éliminée. En outre, cette dernière version rend plus difficile le blocage de l’exécution des scripts utilisateurs par les sites. Quand elle est utlisée avec les dernières compilations nocturnes de Firefox (et le prochain Firefox 1.5), Greasemonkey 0.5 bêta rend également plus difficile (mais pas impossible) l’accès au code source des scripts utilisateurs en exécution par les sites.

En plus des améliorations de sécurité, Greasemonkey 0.5 bêta a également plusieurs autres nouvelles fonctionnalités, qui ont été à l’origine développés pour Greasemonkey 0.4 apparemment maintenant annulé. La majorité des scripts utilisateurs créés pour les versions précédentes continuent à être compatibles avec Greasemonkey 0.5 bêta mais quelques nouvelles directives de codage ont été publiées pour les développeurs. Comme Greasemonkey 0.5 est toujours en bêta, la dernière version stable reste Greasemonkey 0.3.5, une mise à jour d’urgence qui a supprimé la vulnérabilité de sécurité aux dépens des fonctionnalités.

eWeek a un article sur Greasemonkey 0.5 bêta. Merci à Roseman pour le lien sur l’article d’eWeek et pour l’information sur la sortie Greasemonkey 0.5 bêta.

^