Au cours de ces derniers mois, il est devenu évident que certains auteurs des malwares (une catégorie de logiciels malicieux qui inclut les virus et les spywares) ont commencé à viser les utilisateurs de Mozilla. Alors qu’il n’est pas avéré que des agresseurs ne se soient débrouillés pour exploiter le mécanisme de XPInstall pour installer un logiciel sans le consentement de l’utilisateur, plusieurs sites ont essayé des artifices comme de demander plusieurs fois d’installer un package XPI quand une page se charge, tirant profit du fait que beaucoup d’utilisateurs vont accepter l’installation pour faire disparaître les boîtes de dialogue.
Heureusement, les utilisateurs de récents navigateurs basés sur Mozilla jouissent désormais de plusieurs nouvelles précautions de sécurité conçues pour les protéger contre ce genre d’attaques. Pendant le cycle de la version 1.7, Daniel Veditz a développé un patch qui interdit aux installations XPI d’être déclenchées par le chargement d’une page, empêchant les boîtes de dialogue d’installation de logiciel d’apparaître dès qu’un utilisateur visite un site (bogue 238684). Plus tard dans le même cycle de sortie, une liste blanche de sites qui sont autorisés à demander des permissions d’installation de logiciel a été implémentée (bogue 240552). La liste blanche par défaut pour Mozilla 1.7 contient mozilla.org, mozdev.org et texturizer.net (hébergeur de Firefox Help et Thunderbird Help). Mozilla Firefox 0.9 autorise uniquement update.mozilla.org (cependant cela a été depuis étendu à la totalité de mozilla.org).
Les plus récentes nocturnes de Firefox sont dotées d’une nouvelle interface pour gérer la liste blanche XPInstall. Lorsqu’un utilisateur essaie d’installer un logiciel depuis un site qui n’est pas sur la liste blanche, une fine barre jaune non modale apparaît en haut de la zone de contenu, informant l’utilisateur que l’installation a été bloquée (bogue 241705). Un bouton permet à l’utilisateur d’ajouter le site à la liste blanche s’il le veut. Les testeurs de la version bêta du Service Pack 2 de Windows XP trouveront sûrement la barre jaune familière : c’est presque une copie carbone de la nouvelle barre d’information d’Internet Explorer qui apparaît quand un contrôle ActiveX est bloqué. Si vous ne pouvez attendre Firefox 1.0 pour essayer cette fonction, récupérez une compilation nocturne de la branche 0.9 mais souvenez-vous qu’elle peut être boguée.
Ben Goodger a mis à jour le calendrier de lancement de Mozilla Firefox avec les dernières informations menant à la 1.0. Le développement restera sur la AVIARY_1_0_20040515_BRANCH (provenant elle-même de la branche Mozilla 1.7) jusqu’à la 1.0, avec trois releases candidates projetées. Le lancement de Mozilla Firefox 1.0 pour Windows et Linux est actuellement prévu pour le mardi 14 septembre. La version Mac OS X sortira un peu plus tard, après un travail complémentaire pour adapter Firefox à l’aspect et à la convivialité d’Aqua. D’autres détails sur la révision du du calendrier de lancement, comprenant des informations sur la sélection des bogues bloquants, sont publiés sur le forum général de Firefox.
Commentaires fermés sur La mise à jour du calendrier de lancement de Mozilla Firefox cible une version 1.0 pour le 14 septembre
Le projet Bugzilla, un des plus répandu des systèmes de rapport de bogues, diffuse aujourd’hui la version 2.16.6 de Bugzilla (voir les notes de diffusion), qui inclut un certain nombre de corrections de sécurité, en plus de corrections d’erreurs. Avec cela, ils diffusent la première release candidate de Bugzilla 2.18 (notes de diffusion), qui sera la prochaine version majeure de Bugzilla. La 2.18 comportent un certain nombre de nouvelles améliorations, dont certaines étaient disponibles aux utilisateurs de Bugzilla sur mozilla.org depuis quelque temps. Les téléchargements des deux versions peuvent être trouvés sur la page de téléchargement de Bugzilla.
En même temps que ces deux nouvelles versions, l’équipe Bugzilla a refait son site Web en utilisant grossièrement la même disposition que mozilla.org. Une mise à jour récente du statut par Zach Lipton parle du nouveau desgin, en plus des futurs plans de Bugzilla.
Commentaires fermés sur Deux nouvelles versions de Bugzilla, refonte du site Web de Bugzilla
Un anonyme nous informe d’un lien vers un article de PC World.com parlant de la façon dont la récente vulnérabilité de sécurité d’IE a commencé à se répercuter sur l’actuel partage du marché des navigateurs. Il continue pour relater que la part de marché des navigateurs Mozilla/Netscape, selon WebSideStory, a progressé de 26 % au cours du dernier mois, gagnant presque un point entier sur le pourcentage global, avec IE perdant 1 pour cent de sa part. Il attribue cela aux gens qui testent les navigateurs basés sur Mozilla à cause de préoccupations pour la sécurité et indique qu’« une fois que les gens commencent à examiner les fonctions de Mozilla contre celles d’Internet Explorer au lieu de regarder à un nom de marque… je pense qu’ils verront qu’il y a beaucoup plus de valeur. »
Commentaires fermés sur Les gains des navigateurs Mozilla sur IE
Adam Sacarny écrit : « J’ai créé une chronologie du dernier bogue de sécurité. Il montre avec quelle rapidité les développeurs de Mozilla ont traité le problème, traçant de la première mention dans Bugzilla au dernier depôt sur le CVS de la page Web. Les lecteurs se rendent compte de l’intensité du travail de développement à mozilla.org, et tout particulièrement comment les problèmes de sécurité sont résolus. »
