Emmanuel Florac <eflorac@imaginet.fr> writes:

> Le Sun, 23 Jul 2006 15:10:01 +0200, Mike Massonnet a écrit:
>
>>
>> Il fonctionne réellement le système d'update automatique sous Linux ? Je
>> ne me souviens pas avoir été alerté, j'ai toujours mis à jour en
>> téléchargeant la dernière version :/
>
> Pour moi il fonctionne parfaitement, mais il faut lancer Firefox en tant
> que root sinon l'option "rechercher des mises à jour" est grisée, ce qui

Quelle horreur et hérésie...

> est somme toute logique (le dossier d'installation appartenant
> naturellement à root; changer les droits dessus serait bien entendu
> horriblement imprudent).

Il suffit de l'installer localement. Avec mon user perso, les
mise-à-jour étaient automatiques...

Mais bon, cela ne sert pas à grand chose.

PK

--
|\_,,,---,,_PatriceKARATCHENTZEFF
ZZZzz/,`.-'`'-.;-;;,_mailto:p.karatchentzeff@free.fr
|,4-))-,_.,\(`'-'http://p.karatchentzeff.free.fr
'---''(_/--'`-'\_)

Le Thu, 27 Jul 2006 00:05:50 +0200, Patrice Karatchentzeff a écrit:

>
> Il suffit de l'installer localement.

Bien sûr, et comme ça dès qu'un malware qui s'attaque à Firefox
apparaîtra, tu l'auras dans l'os bien profond. Installer un brwser web
dans son répertoire perso est une hérésie à peine concevable au niveau
de la sécurité. Presque pire que d'utiliser windows.

--
Le travail est la malédiction des classes qui boivent.
O. Wilde.

Emmanuel Florac a écrit :

> Le Thu, 27 Jul 2006 00:05:50 +0200, Patrice Karatchentzeff a écrit :
>
> >
> > Il suffit de l'installer localement.
>
> Bien sûr, et comme ça dès qu'un malware qui s'attaque à Firefox

Déjà, faudrait que le malware en question apparaisse.

> apparaîtra, tu l'auras dans l'os bien profond. Installer un brwser web
> dans son répertoire perso est une hérésie à peine concevable au niveau
> de la sécurité. Presque pire que d'utiliser windows.

Merdre. Alors comment se fait-il que des versions de développement -
donc hautement instable - ne provoque jamais la moindre emmerde chez
moi ?!

Le Wed, 26 Jul 2006 20:54:28 -0700, Jolinfire a écrit:

>> Bien sûr, et comme ça dès qu'un malware qui s'attaque à Firefox
>
> Déjà, faudrait que le malware en question apparaisse.

Ce n'est qu'une question de temps.

>> apparaîtra, tu l'auras dans l'os bien profond. Installer un brwser web
>> dans son répertoire perso est une hérésie à peine concevable au
>> niveau de la sécurité. Presque pire que d'utiliser windows.
>
> Merdre. Alors comment se fait-il que des versions de développement - donc
> hautement instable - ne provoque jamais la moindre emmerde chez moi ?!

Il n'y a pas d'emmerdre à craindre a priori, sauf installation d'une
merde en cas de faille de sécu. Mais vous faites ce que vous voulez, vous
surfez même en temps que root si ça vous chante. Simplement je vous
signale que c'est une connerie.

--
L'Algérie était au bord du gouffre, aujourd'hui elle a fait un grand pas
en avant.
Aït Ahmed.

Emmanuel Florac a écrit :

> Le Wed, 26 Jul 2006 20:54:28 -0700, Jolinfire a écrit :
>
> >> Bien sûr, et comme ça dès qu'un malware qui s'attaque à Firefox
> >
> > Déjà, faudrait que le malware en question apparaisse.
>
> Ce n'est qu'une question de temps.
>

Qui vivra verra. Ne dit-on pas la même chose pour les virus sous linux
?

[...]
> >
> > Merdre. Alors comment se fait-il que des versions de développement - donc
> > hautement instable - ne provoque jamais la moindre emmerde chez moi ?!
>
> Il n'y a pas d'emmerdre à craindre a priori, sauf installation d'une
> merde en cas de faille de sécu. Mais vous faites ce que vous voulez, vous

Super. Je n'utilise jamais aucune extension.

> surfez même en temps que root si ça vous chante. Simplement je vous
> signale que c'est une connerie.

Je ne suis pas assez con pour utiliser root à tout va.

Les insultes et les ragots, votre spécialité ?

"Jolinfire" , dans le message
<1153986991.199900.38580@b28g2000cwb.googlegroups. com>, a écrit:
>> Il n'y a pas d'emmerdre à craindre a priori, sauf installation d'une
>> merde en cas de faille de sécu. Mais vous faites ce que vous voulez, vous
> Super. Je n'utilise jamais aucune extension.

Tu nous expliques le rapport entre les extensions et le discours
d'Emmanuel?

Nicolas George a écrit :

> "Jolinfire" , dans le message
> <1153986991.199900.38580@b28g2000cwb.googlegroups. com>, a écrit :
> >> Il n'y a pas d'emmerdre à craindre a priori, sauf installation d'une
> >> merde en cas de faille de sécu. Mais vous faites ce que vous voulez,vous
> > Super. Je n'utilise jamais aucune extension.
>
> Tu nous expliques le rapport entre les extensions et le discours
> d'Emmanuel ?

Les extensions sont par définitions codées par des personnes qui ne
dépendent pas de la fondation mozilla, donc danger de sécurité.

Quant aux propos d'Emmanuel, je m'abstiendrais de tout commentaire
complémentaire.

"Jolinfire" , dans le message
<1153990199.458051.14490@p79g2000cwp.googlegroups. com>, a écrit:
> Les extensions sont par définitions codées par des personnes qui ne
> dépendent pas de la fondation mozilla, donc danger de sécurité.

Ce n'est pas ce dont il était question. Le Monsieur t'expliquais qu'avoir
une installation de Firefox écrivable par le navigateur utilisé
quotidiennement augmentait la gravité de chaque faille de sécurité
potentielle. À aucun moment il n'a été question d'extensions.

Nicolas George a écrit :

> "Jolinfire" , dans le message
> <1153990199.458051.14490@p79g2000cwp.googlegroups. com>, a écrit :
> > Les extensions sont par définitions codées par des personnes qui ne
> > dépendent pas de la fondation mozilla, donc danger de sécurité.
>
> Ce n'est pas ce dont il était question. Le Monsieur t'expliquais qu'avoir

Expliquait au débile mental que je suis ?!

> une installation de Firefox écrivable par le navigateur utilisé
> quotidiennement augmentait la gravité de chaque faille de sécurité
> potentielle. À aucun moment il n'a été question d'extensions.

Alors le débile mental que je suis ne sais pas lire.

Emmanuel Florac a écrit :

> Pour moi il fonctionne parfaitement, mais il faut lancer Firefox en tant
> que root sinon l'option "rechercher des mises à jour" est grisée,

Tu veux dire que si tu sais que tu as une faille de sécurité dans Firefox,
tu te connectes à Internet en tant que root avec Firefox pour le mettre à
jour ?

--
Stéphane

Pour me répondre, traduire gratuit en anglais et virer le .invalid.
http://stef.carpentier.free.fr/

Stéphane CARPENTIER , dans le message
<44c90dcc$0$13517$626a54ce@news.free.fr>, a écrit:
> Tu veux dire que si tu sais que tu as une faille de sécurité dans Firefox,
> tu te connectes à Internet en tant que root avec Firefox pour le mettre à
> jour ?

Il ne faut pas sombrer dans le délire paranoïaque, non plus. Une faille de
sécurité dans un navigateur, ça ne peut être exploité que si on se rend sur
un site douteux. Si ton resolver DBS est fiable (et ton FAI n'a en général
pas d'intérêt à faire ce genre de conneries, or c'est le seul placé pour le
faire), quand tu tapes «www.mozilla.org», tu ne vas pas tomber sur un site
offensif.

Le Thu, 27 Jul 2006 00:56:31 -0700, Jolinfire a écrit:

>
> Qui vivra verra. Ne dit-on pas la même chose pour les virus sous linux ?

J'ai vu passer aujourd'hui l'annonce d'un malware, qui se présente sous
la forme d'une barre FireFox.

http://rss.slashdot.org/~r/Slashdot/...642/article.pl


--
Toutes les organisations ont leur règles, et les Femmes Algériennes
doivent avoir aussi leurs règles.
Aït Ahmed.

Le Thu, 27 Jul 2006 00:56:31 -0700, Jolinfire a écrit:

>
> Super. Je n'utilise jamais aucune extension.

C'est dommage, c'est l'attrait principal de Firefox.

--
Writing about music is like dancing about architecture.
Frank Zappa

Le Thu, 27 Jul 2006 21:11:00 +0200, Stéphane CARPENTIER a écrit:

>
> Tu veux dire que si tu sais que tu as une faille de sécurité dans
> Firefox, tu te connectes à Internet en tant que root avec Firefox pour le
> mettre à jour ?

En effet, c'est le seul usage que je fais de Firefox en root : cliquer sur
"rechercher des mises à jour". Le danger existe, bien sûr. Mais pour
installer Firefox, je suis bien obligé de passer en root à un moment ou
un autre; je pourrais aussi être amené à télécharger une version
infectée et l'installer de bonne foi.

--
Ne pas savoir de quoi on parle est un avantage dont il ne faut pas
abuser.
R.Debray

Emmanuel Florac a écrit :

> Le Thu, 27 Jul 2006 21:11:00 +0200, Stéphane CARPENTIER a écrit :
>
> >
> > Tu veux dire que si tu sais que tu as une faille de sécurité dans
> > Firefox, tu te connectes à Internet en tant que root avec Firefox pour le
> > mettre à jour ?
>
> En effet, c'est le seul usage que je fais de Firefox en root : cliquer sur
> "rechercher des mises à jour". Le danger existe, bien sûr. Mais pour
> installer Firefox, je suis bien obligé de passer en root à un moment ou
> un autre; je pourrais aussi être amené à télécharger une version
> infectée et l'installer de bonne foi.

C'est comme tous les logiciels : il suffit de vérifier la source de
récupération du logiciel.

Quant au malware, il ne concerne que Windows (non à jour) +
installation d'une extension en passant par un site tiers.

Ce qui réduit fortement les risques.

Enfin, je dis cela, hein...

Le Thu, 27 Jul 2006 22:43:36 -0700, Jolinfire a écrit:

> Quant au malware, il ne concerne que Windows (non à jour) + installation
> d'une extension en passant par un site tiers.

Celui ci ne concerne que windows, ça ne présage aucunement d'une autre
version qui pourrait fonctionner sur tous les Firefox.

--
Sutor ne ultra Crepidam.

Emmanuel Florac a écrit :

> Le Thu, 27 Jul 2006 22:43:36 -0700, Jolinfire a écrit :
>
> > Quant au malware, il ne concerne que Windows (non à jour) + installation
> > d'une extension en passant par un site tiers.
>
> Celui ci ne concerne que windows, ça ne présage aucunement d'une autre
> version qui pourrait fonctionner sur tous les Firefox.

Dans ce cas, il faudrait que le malware soit codé en Javascript ou en
XUL.

Bon courage !

Le Fri, 28 Jul 2006 02:00:09 -0700, Jolinfire a écrit:

> Dans ce cas, il faudrait que le malware soit codé en Javascript ou en
> XUL.

XUL n'est qu'un langage pour décrire la structure de l'application.
Bonjour la référence. Depuis quand un virus/malware/truc-pas-clean
attend l'avis de l'utilisateur pour commencer son travail.

Ensuite, il est tout à fait possible d'écrire une extension qui
permette de faire un peu de nettoyage WC+ dans le système, télécharger,
lancer un programme, ...

Mike, qui pense que Jolinfire devrait se décrocher un peu de USENET
--
http://massonnet.org/ Mike Massonnet (mmassonnet) ,-.
, ( {o\
GnuPG 0--" 0xF8C80F97 {`"=,___) (`~
C4DA 431D 52F9 F930 3E5B 3E3D 546C 89D9 F8C8 0F97 \ ,_.- )

Mike Massonnet a écrit :

> Le Fri, 28 Jul 2006 02:00:09 -0700, Jolinfire a écrit :
>
> > Dans ce cas, il faudrait que le malware soit codé en Javascript ou en
> > XUL.
>
> XUL n'est qu'un langage pour décrire la structure de l'application.
> Bonjour la référence. Depuis quand un virus/malware/truc-pas-clean
> attend l'avis de l'utilisateur pour commencer son travail.

Depuis le début du phishing ?

>
> Ensuite, il est tout à fait possible d'écrire une extension qui
> permette de faire un peu de nettoyage WC+ dans le système, télécharger,
> lancer un programme, ...

Surtout que les extensions ne sont écrites XUL, en JS et en CSS, sauf
erreur de ma part.

>
> Mike, qui pense que Jolinfire devrait se décrocher un peu de USENET

En effet...

JolinFire a écrit :

> Manuel Leclerc a écrit :
>
> > JolinFire a écrit :
> >
> > > Non. Le principe de la mise à jour automatisée => firefox
> > > 1.5.0.0, quelque soit la plateforme concernée. En dehors
> > > des systèmes de paquetages à la .deb / .rpm, bien entendu.
> >
> > Peut être n'est-ce pas aussi simple. Ca fait un moment que
> > j'utilise FF et le coup de la version N+1 qui vient
> > automatiquement sans même me demander mon avis, ça ne me
> > l'a fait que pour la 1.5.0.4 (je crois...)
>
> Ah, fallait préciser que tu parles d'update en douce...

C'était écrit dans les quotes du post auquel tu réponds :

"Sous Windows, la mise à jour automatique sans demander
son avis à l'utilisateur après une installation par défaut"

> > Il me semble que j'avais complètement désinstaller la 1.5.0.3
> > suite à une putain de merde de bordel de perte de mes favoris,
>
> Gnnn ?

Après FF qui reste une demi journée sur un site de jeux en ligne
avec moult scripts et mises à jour de la page (travian) : tu
l'arrêtes, et de temps quand tu le relances, boum ! Il se
comporte comme si tu venais de l'installer (home page à la con,
plus de favoris, boîtes de message diverses avec la check box
"ne plus afficher ce message", etc...

> > et que j'ai donc refait une install "sans antériorité". Un
> > lurkeur Microsofteux pourrait peut être nous dire s'il a bien
> > vu arriver automatiquement une 1.5.0.1 après avoir installé
> > une 1.5 par dessus une 1.x ?
>
> Pourquoi chercher la merde aussi ?

Gnnn ?

--
There are so many errors than fsck core dumped!
--warly

Jolinfire a écrit :

> Ce qui réduit fortement les risques.

La nuit dernière, FF 1.5.0.5 est sorti, avec
une belle collection de failles critiques corrigées.

Je crois que Firefox bats des records, ça fait quand
même une trentaine de failles critiques depuis le
début de l'année. Un paquet a l'air exploitable,
dont certaines des plus récentes, avec mise au secret
plusieurs mois des discussions dans le bugzilla.

Je suis d'accord avec Emmanuel, pour une fois. Le
risque d'un bel exploit façon IE grande époque augmente
dangereusement.

--
"Wearing of this garment does not enable you to fly."

Manuel Leclerc a écrit :

> Jolinfire a écrit :
>
> > Ce qui réduit fortement les risques.
>
> La nuit dernière, FF 1.5.0.5 est sorti, avec
> une belle collection de failles critiques corrigées.

Combien exploitable "facilement" ?

>
> Je crois que Firefox bats des records, ça fait quand

Faut dire que le développement en parallèle des versions 2.0 et 3.0
doit aider aux débogage de ce style.

> même une trentaine de failles critiques depuis le
> début de l'année. Un paquet a l'air exploitable,

Facilement ou avec des manipulations trop importantes ?

> dont certaines des plus récentes, avec mise au secret
> plusieurs mois des discussions dans le bugzilla.

C'est la politique de sécurité de la fondation mozilla.

>
> Je suis d'accord avec Emmanuel, pour une fois. Le
> risque d'un bel exploit façon IE grande époque augmente
> dangereusement.
>

Soit. Mais tant que ce n'est pas un fait avéré et reproductible sur
toutes les plateformes que supporte Firefox, cela restera dans le
domaine de l'hypothèse. Qui vivra verra.

>
> il en faut des libs pour lancer un navigateur LEGER

lynx en charge moins :P, mais c'est moins joli... encore que sur un site
sans images, c'est beau quand même.