[calimo]

Les "drive by downloads" sont des exploits qui profitent des failles des navigateurs pour installer un malware:

Donc rendu caducs par un navigateur bien consciencieusement mis à jour, qui ne devrait plus contenir de failles

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.0.3) Gecko/2008092510 Ubuntu/8.04 (hardy) Firefox/3.0.3

[Ogu]

[pirlouy]

Je vois que Pierre n'a pas non plus changé de philosophie.

Tour d'abord, c'est un tuto très bien fait, avec beaucoup de captures d'écran, et des phrases explicatives bienvenues, une mise en forme très agréable. J'adore ce genre de tuto, donc bravo pour la présentation.

Le problème, et oui, ra-mon en a déjà parlé, mais je suis désolé, ce guide ne sécurise en rien Firefox. :/

Je vais te sortir mes stats (qui vont encore faire jaser parce qu'on va me demander d'où je les sors ).
Admettons qu'on ait 1% de chance de se prendre "quelque chose de pas bien" en navigant avec Firefox. Avec tout ce que tu propose d'installer, on pourrait penser que tu fais tomber le nombre à 0.1%, sauf que c'est sans avoir imaginé que tout ce que t'as installé peut très bien avoir des failles de sécurité, et oui, même les logiciels/modules de sécurité peuvent avoir des failles; donc on retombe à 1% finalement.

Du coup, on se retrouve avec un bordel de logiciels et d'extensions qui vont entrainer pleins de problèmes, de ralentissements (tel un de ces "quelque chose de pas bien") et qui au final, ne sécuriseront pas davantage Firefox.

Quant à cette stat', j'aimerais bien savoir comment elle a été calculée !



Je vois vraiment pas comment ils ont fait pour avoir ça !
Parce que si ils considèrent la dernière version comme sécurisée, et pas les anciennes, je trouve ça beaucoup trop facile...


Après, je vais rentrer dans les détails petit à petit, mais pour chaque point je peux critiquer, je suis sûr.

- Stripmyright: quand je lis ça: "StripMyRights est maintenant actif! Il protégera votre navigateur contre l'installation de virus dans les dossiers vitaux de Windows", je me demande, comment il différencie un virus d'un non virus ? Qui te dit qu'il ne va pas empêcher un bon logiciel de s'installer correctement ?!!

- la gestion des droits pour le cache: pourquoi s'embêter à faire tout ça ? Autant ne pas avoir de cache, tu vas dans les options de Firefox et tu désactives le cache.

Je continuerai plus tard !

ps: bien vu pour le pare-feu !

[Ogu]

[Ogu]

[Omnisilver]

Hello,

Une seule remarque pour moi : au début de ton tuto tu donnes le lien vers une version donnée de Firefox, or cette version va évoluer régulièrement au vu des mises à jours mineures, relativement fréquentes.

Je suis sûr que tu vas mettre à jour, mais entre le moment où la nouvelle version sort et le moment où tu vas mettre à jour ton sujet, ton lecteur va :
- soit télécharger la version précédente de Firefox (pas bien méchant, il aura juste une MAJ dès son second lancement).
- soit tomber sur une erreur 404, comme c'est le cas actuellement.

Je te propose donc :
- soit de diriger sur http://www.mozilla-europe.org/fr/firefox/ qui présente l'avantage de proposer systématiquement la version la plus récente, et de détecter le système et la langue du visiteur et de lui proposer la version de Firefox qui en découle (là ton article est très orienté Windows et est destiné aux francophones, donc cet intérêt est assez marginal).
- soit (si ça existe, je ne suis pas sûr) d'utiliser un lien du style firefox-lastest-stable.exe (et comme je suis pressé je n'ai pas le temps d'aller vérifier).

Cordialement,

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.0.3) Gecko/2008101315 Ubuntu/8.10 (intrepid) Firefox/3.0.3

[Ogu]

[Fabrice.Tres.Net]

Supprimer le cache n'est pas une bonne idée, même pour les gens qui sont en ADSL. Le but du cache a pour objet de réduire la charge réseau, celle des serveurs web et la consommation énergétique générale.
Les supprimer aurait un coût incommensurable par rapport au gain escompté.

[chinon37]

Les supprimer aurait un coup incommensurable par rapport au gain escompté.

Un coup ou un coût
cela dit, c'est un sale coup pour la planète

[Fabrice.Tres.Net]

Les supprimer aurait un coût incommensurable par rapport au gain escompté.

Un coup ou un coût
cela dit, c'est un sale coup pour la planète

Arrête de faire croire que je fais des fautes.
Sinon je vais te tordre le cou sur ce coup et à moindre coût!

[Benoit]

Les cookies et le referrer, c'est la vie privée, pas la sécurité directement, je le dis assez clairement.

Je ne suis pas d'accord, tu dis :

Le referer indique aux webmaster quel est le site que vous visitiez précédemment: par respect pour votre vie privée, nous allons le désactiver

La partie que tu as mis en gras est simplement fausse. Les en-têtes Referer indiquent la source du lien suivi par l'internaute et non pas "le site qu'il visitait précédemment". C'est une information de base du réseau, et dès le départ le world wide web a été conçu pour être bidirectionnel.

En bref, cette information n'indique pas qui tu es mais par où tu arrives. Cela peut s'avérer utile et même important dans certains cas (hébergement d'images, informations contextuelles, réaction à de fausses informations, gestion de trafic, effet slashdot, etc.). Il peut même y avoir des conséquences en termes de sécurité. C'est une nuance de taille et mérite une meilleure explication que « c'est votre vie privée ».

[Ogu]

[Benoit]

C'est exactement ce que je lui reproche

À quoi bon faire un tutoriel si on n'explique ni les raisons ni les conséquences de ce qu'il propose. Comment un néophyte va-t-il comprendre qu'un problème qu'il rencontre (disons une image qui ne s'affiche pas) est causé par l'une de ces nombreuses manipulations, et surtout identifier laquelle si ces points ne sont pas exposés ?

Pour chacune de ces actions, je verrais bien une petite introduction sur ce qu'on veut désactiver exactement (éventuellement juste un lien), et un petit résumé des conséquences positives et négatives.

Comme on le dit souvent, la sécurité n'est pas un état, c'est un processus. On ne peut pas dire "en faisant ceci vous êtes à l'abri", car ce n'est pas vrai (et on ne dit même pas de quoi). On échange aussi souvent un peu de sécurité contre beaucoup de liberté. Bref, il faut que les décisions de l'utilisateur soient conscientes et informées pour être efficaces.

[Ogu]

[ra-mon]

Salut,

Je vois que tu es toujours aussi sympathique!

mais chiant, oui, je sais... et trop verbeux, je m'en excuse pour ceux qui lisent

leurs volontés sont doubles: protéger leur vie privée et éviter de choper des malwares: de ce point de vue, la gestion des cookies et du referer est utile.

Tu crois pas que c'est de la poudre aux yeux ? Tu penses pas que Madame Michu dévoilera davantage d'informations sur sa sacro-sainte vie privée par de banals bavardages sur des forums ou des épanchements réguliers sur des blogs ou autres systèmes de communications ?

dans la même optioque, que c'est en conseillant aux gens de se passer de protection qu'on leur donnera les bons réflexes?

Ce que j'ai pu voir parmi les innombrables traces (style log HJT ou runscanner) qui inondent les forums des "désinfection", c'est qu'on trouve bien plus fréquemment des machins sur des machines sur-protégées par des anti-machins que sur des machines sans AV, pare-feu et compagnie...
Je me souviens pas d'avoir vu passer, même sur du groupe Usenet comme fr.comp.securite.virus, un log qui ne présentait qu'une infection "virale"... Il y avait systématiquement AUSSI une infection "anti-virale", voire plusieurs...

j'explique que le système de mise à jour et la réactivité des développeurs permet de corriger les failles au plus vite

Plus vite que IE ou Opera ?
Regarde: juste sur les plus récentes m-à-j. sécuritaires d'Opera et de Firefox. Celle de Firefox corrigeaient 9 failles dont six sérieuses avec un délai de 50 jours entre 3.0.2 et 3.0.4. Opera quant à lui corrigeait les 3 des 5 failles sérieuses de la 9.60 en seulement 13 jours, puis les deux suivantes 9 jours après... Avec un système d'alerte de mise à jour aussi pertinent à priori...
Donc tu vois que ton explication n'est pas, à mes yeux, super suffisante... ou peut-être trop au contraire. Après, tu pourras me dire que c'est plus par rapport à IE que tu comparais... mais là encore, faudrait des arguments (quel IE, quelle période, quelles failles ?) un peu plus crédibles...

certains chercheurs estiment que le port du casque en moto ne protège pas

Je suis tombé 8 fois en moto et mon casque ne m'a jamais protégé. Une fois seulement, il a du frotter un tout petit peu le sol, mais il n'aura pas évité plaies, bosses, fractures et autres enlèvement de matières sur les parties les plus charnues de mon anatomie (excusez pour les détails ).
Je ne déconseillerais pourtant pas le port du casque, qui est une obligation légale vis à vis du code de la route. Mais je ne gueulerai jamais "met ton casque, c'est pour ta sécurité" La sécurité en moto c'est très long à expliquer, avec plein de détails très techniques, surtout pour les néophytes.
Par contre, je comprends ton chercheur et ai remarqué aussi que quand je faisais de le moto en short et en tong, je prenais systématiquement moins d'angle, ni de suées restrospectives à des dépassements acrobatiques... que lorsque je pensais à mettre du cuir épais un peu partout...

le peu de désagréments causés par ces extensions sont repérés au fi ldes retours

Oui mais quand on est confronté comme jpj et consort, ici ou ailleurs, à des bouhouhouh...j'arrive pas à me connecter sur x.com ou mon firefox marche pô bien sur y.fr, tu imagines pas le boulot quand, en plus de l'antivirus et du pare feu ,on va dire traditionnels, il faut songer à l'anti-pub, au referer, au cookies bloqués, au fichier host, au noscript, aux bloqueur de flash, aux restrictions systèmes, aux anti-phishing-malware, aux super-nettoyeurs, aux bacs à sables, aux anonymiseurs ou à l'armée de robots victorieux...

c'est un tuto de vulgarisation pour les néophytes qui ont besoin d'avoir un surf sécurisé contre les malwares. Je ne peux donc pas rentrer dans des détails ultra-techniques, ni dans des nuances de geeks.

Donc c'est fait pour que le néophyte reste néophyte ?
Ou pour déplacer le problème : au lieu d'avoir un problème de malware, le néophyte aura un problème avec un Firefox... et il sera obligé, peut-être, de relancer son vieil IE des familles ou pire d'installer Chrome ou Safari pour venir chercher de l'aide

Tu as raison, finalement, je n'devrais pas en rire

@+
--
Pierre

Message envoyé avec : Opera/9.62 (Windows NT 5.1; U; fr) Presto/2.1.1