Deux citations de Peter Torr pour préciser cette problématique :

http://blogs.msdn.com/ptorr/archive/2004/12/20/327511.aspx

Of course, just because a piece of software is signed (or you have the MD5 hashes for it) doesn't mean it isn't nasty; it just provides some evidence you can use to make a trust decision about the software (in logical terms, it is a necessary but not sufficient condition for trusting software).

http://weblogs.asp.net/ptorr/archive/2004/12/21/328377.aspx

You're spreading FUD

Well, yes, I suppose I am.

• People should fear code they cannot easily verify
• People should feel uncertainty about downloading and executing code that they cannot easily verify
• People should doubt the integrity of code they cannot easily verify

And, to re-iterate what I said earlier, manually checking MD5s or compiling the source does not qualify for 99% of users.

Petite réflexion simpliste, (je l'admets sous dépendance firefoxienne) je n'ai AUCUNE garantie d'avoir un bon logiciel plus exempt de bugs et de trous (Internet explorer, de nombreux activeX) sous prétexte qu'il est "signé". Il est certain que la culture de vérfication de paquets devrait être présente dans mozilla et ses satellites, mais encore une fois, j'ai plutôt tendance (en tant qu'utilisateur de logiciels libres et connaissant le milieu, evidement, ce qui n'est pas le cas de tout un chacun, donc n'est pas une règle générale simple) à ne pas faire confiance dans les logiciels dits de confiance de microsoft, et à l'accorder plus facilement aux logiciels libres qui sont éprouvés par des testeurs particulièrement exigeants.

Comme quoi la question de fond n'est pas tant dans les solutions techniques que dans la psychologie de l'utilisateur...
(BTW, la mienne est plutôt de ne faire confiance à personne )

Le fait d'avoir un Active X signé n'apporte de toute manière pour une très grande majorité d'utilisateurs aucune garantie supplémentaire.

1) Il faut déjà "décrypter" la fenêtre d'alerte (cas d'IE)

2) Connaitre la firme ayant signé l'active X, et là franchement... d'autant que l'on peut toujours trouver des active X signés par une firme d'apparence "respectable" qui sont loin d'être inoffensifs.

3)Une fois que l'utilisateur à compris que le plus simple pour lui est de toujours cliquer sur oui pour être sur d'accéder au contenu d'un page, rare sont ceux à encore lire le contenu de l'avertissement.


Le système de signature à un intérête en environnement professionnel. Mais à condition qu'il fonctionne sur le principe de listes blanches, c'est à dire que ne soient installables par l'utilisateurs que des objets signés ET autorisés par les admins. Afficher un avertissement pour des objets signés et seulement bloquer les non-signés n'apporte réellement aucun plus en matière de sécurité que pas de signature du tout.


Enfin il y a quand même une différence importante dans la comparaison entre Active X et les extensions FF/Moz.


L'installation d'un Active X (sauf rare exceptions) n'est jamais demandée par l'utilisateur mais proposée (imposée) par une appli le plus généralement web.


Installe une extension FF relève d'une démarche volontaire, totalement similaire à l'installation d'un logiciel indépendant. L'installation et l'intégration automatique dans une appli tiers sont les seuls points communs avec un active x. Mais ce ne sont pas ces comportements qui relèvent de la "signature" mais bien cette différence à savoir le choix délibéré ou imposé d'utiliser telle ou telle extension de fonctions.


Dans le cas des extensions Moz la signature n'apporterait un plus que dans le cas d'un téléchargement fait en dehors du site de l'auteur car il y a toujours dans ce cas un risque de contrefacon malveillante.
Mais la garantie resterait quoi qu'il en soit minime, à moins de connaitre tous les auteurs "originaux" et le degré de confiance à leur apporter avoir un signature ne servirait que quelques Geek. Ne parlons même pas du cas des "autraducteurs" nombreux dans le cas des extensions qui adaptent celles-ci dans leur langues. Il pourrait donc y avoir n signatures pour une même extension en fonction de la langue.


Le seul système fiable reste une authentification par un "tiers" donnant sa garantie propre sur un ensemble d'extensions et non un système qui ne garanti seulement que la firme untel à bien payer le droit d'utiliser un certificat.


Pour l'anecdocte, dans la suite Office depuis la version 2000, une protection à été ajoutée signalant systématiquement tous les fichiers contenant des macros non-signées avant leur exécution.
Là ou se pose la question de la pertinence de ce système c'est quand dans la même suite un utilitaire est fourni pour créer une signature (sans certificat) qui permet une fois celle-ci activée de ne plus déclencher d'alertes si l'utilisateur l'accepte une fois.


En bref on ferme bien toutes les portes avec 36 cadenas mais comme on sait pertinemment que c'est trop long à dévérouiller on laisse à l'utilisateur la possibilité d'ouvrir une fenêtre et de l'utiliser de préférence à la porte d'entrée.

Bonjour,

Je vois une grande différence entre les Actives X pour IE et les extensions pour Firefox : les premiers sont le plus souvent indispensables à la consultation d'un site, les secondes ne le sont pas.

Un exemple... Cette page support.microsoft.com/new...
fonctionne dans Firefox, pas dans IE (click sur French => erreur de chargement). Si je colle le lien précis vers un des messages d'un forum dans IE, j'ai le message "You must enable ActiveX controls in order to browse Discussion Groups.
"

Amicalement,
Monique

Quand je lis ce genre d'alerte www.k-otik.com/bugtraq/bu... cela ne me donne pas envie de diminuer le niveau de sécurité pour mes rares utilisations de IE

Amicalement,
Monique

Monique, je te laisse imaginer que mes propres paramètres de sécurité IE sont largement au-delà de la paranoïa admissible Les facteurs d'insécurité potentielle/effective d'IE ont fait l'objet d'innombrables exposés ici et là, et ne sont pas le problème qui m'occupe.

La question que je me pose est simplement la suivante : les questions de "sécurité" ont-elles fait l'objet pour le lancement (un peu bousculé) de Firefox 1.0 d'une réflexion aussi poussée qu'on le suppose ? Quelle est la part d'exploitation marketing des défauts avérés d'IE, et quelle est celle d'une approche réellement plus sûre à long terme ? Une extension n'est-elle pas a priori un facteur de risque ? Comment ce risque est-il pris en compte ? Et surtout, peut-on vendre un navigateur comme étant plus sûr sans se préoccuper d'inciter son utilisateur à gérer ce qui, dans ce domaine, est de son seul ressort, quelque-soit l'outil ?

<Quelle est la part d'exploitation marketing des défauts avérés d'IE, et quelle est celle d'une approche réellement plus sûre à long terme ?


C'est un point vraiment intéressant que tu soulèves là mais qui à mon sens sort du sujet. Parler de sécurité et de marketing en même temps ...
Cependant les extensions peuvent en effet poser des problèmes. Je dirais qu'elle a été prise en compte dans Firefox par le bandeaux qui s'affiche pour expliquer à l'utilisateur qu'il n'autorise pas l'installation de l'extension et qu'il faut faire la démarche d'autorisation pour pouvoir l'installer. C'est pédagogique même si rien ne garantie la sureté. Ce qui m'amène à te paraphraser Laurent "Comme quoi la question de fond n'est pas tant dans les solutions techniques que dans la psychologie de l'utilisateur...". Je crois que le fond du problème est là. E-DU-CA-TION

Petite citation d'un interview de Marty Lindner, du CERT, qui me semble très bien résumer les choses :

Lindner would not recommend a particular browser or say what he's using personally. "Our role is to point out what the technical risks are in a particular product," he said.

With IE, Lindner said, "there are known vulnerabilities that there are patches for. If people haven't applied the patches they are at risk."

He said the biggest computer-security vulnerability is the person using the computer, so people should exercise caution and make sure their systems are patched and kept up to date.

"I would argue strongly that you can talk about alternative browsers all you want for whatever reason, but it's not going to minimize the ability of the bad guy to still own your machine," he said.