Firefox : Rumeurs et news sur le développement

Abraxas · Message par **Abraxas** » 05 oct. 2012, 19:26

Un billet de Paul sur l'agencement des dev tools dans FF qui sont arrivés en masse depuis 1 an: http://paulrouget.com/e/devtools-toolbox/
Une API va être mise en place, histoire que la page sur laquelle travaille le dev soit encore visible.

vulcain · Message par **vulcain** » 06 oct. 2012, 08:55

Uther a écrit :Je ne suis pas sur de comprendre exactement ce que tu entends par "javascript de l'environnement" mais les web workers fonctionnent déjà sur tous les navigateurs modernes depuis un moment. Il permettent d'exécuter du JavaScript en parallèle sans interrompre le rendu de la page.

Je parlais de Javascript pour l'interface du navigateur ou assimilés: celui des boutons de vidéo (lecture, pause, plein écran, son) qui sont si ma mémoire est bonne lié au javascript.

antistress · Message par **antistress** » 06 oct. 2012, 13:15

ça c'est un bogue de firefox, pas besoin de spec, juste un truc qui est un gros chantier qu'ils sont pas motivés à lancer du coup
https://bugzilla.mozilla.org/show_bug.cgi?id=449358
https://bugzilla.mozilla.org/show_bug.cgi?id=550557
https://bugzilla.mozilla.org/show_bug.cgi?id=236839
précisément https://bugzilla.mozilla.org/show_bug.cgi?id=236839#c29

Zefling · Message par **Zefling** » 07 oct. 2012, 00:14

Abraxas a écrit :CSS Flexbox dispo avec layout.css.flexbox.enabled = true.

J'ai fais mumuse avec, mais les parties qui me semble importante ce sont pas encore là comme flex-flow qui permet de faire du flex multi ligne.

Abraxas · Message par **Abraxas** » 09 oct. 2012, 15:21

Ca y est, Firefox 19 est passé en Nightly.

~HP · Message par **~HP** » 09 oct. 2012, 18:00

Abraxas a écrit :Ca y est, Firefox 19 est passé en Nightly.

Let's go!

Zefling · Message par **Zefling** » 09 oct. 2012, 21:03

Hop et la v 16 au passage : Firefox 16 for developers.

vulcain · Message par **vulcain** » 11 oct. 2012, 10:45

Et Hop, une faille de sécurité avec retrait de FF 16 (mais on le retrouve ici: https://www.mozilla.org/en-US/firefox/all.html)

ra-mon · Message par **ra-mon** » 11 oct. 2012, 11:27

Salut,

vulcain a écrit :Et Hop, une faille de sécurité avec retrait de FF 16 (mais on le retrouve ici: https://www.mozilla.org/en-US/firefox/all.html)

Pourquoi la retirer ? Firefox 16 corrige quand même une quinzaine de failles majoritairement classées critiques de la v.15... Ça serait pas mieux de rester en v16 en attendant la rustine pour cette nouvelle faille ?

--
@+
Pierre

Message par **pascal** » 11 oct. 2012, 12:11

ra-mon a écrit :Salut,
vulcain a écrit :Et Hop, une faille de sécurité avec retrait de FF 16 (mais on le retrouve ici: https://www.mozilla.org/en-US/firefox/all.html)
Pourquoi la retirer ? Firefox 16 corrige quand même une quinzaine de failles majoritairement classées critiques de la v.15... Ça serait pas mieux de rester en v16 en attendant la rustine pour cette nouvelle faille ?

Parce que les failles de sécu réglées dans Firefox sont en général trouvées par les développeurs Mozilla et ne deviennent connues publiquement que lorsqu'on sort une nouvelle version, alors que la nouvelle faille dont on parle dans 16.0 est une faille divulguée et documentée publiquement et donc exploitable par les malandrins sans effort.

J'ai désactivé les derniers boutons de téléchargement vers la 16, une 16.0.1 est en préparation et sera publiée d'ici peu (ce soir ou demain si on a pas de problème).

A+

Patclash · Message par **Patclash** » 11 oct. 2012, 12:23

Bonjour,

est-ce que cette faille est/était présente dans Firefox 16.0 Beta1, 2, 3, 4, 5, et/ou 6 ?
(car ça fait quand même 6 semaines qu'elle est sortie

)

ra-mon · Message par **ra-mon** » 11 oct. 2012, 12:24

pascal a écrit :les failles de sécu réglées dans Firefox sont en général trouvées par les développeurs Mozilla

Celles qui sont citées en known vulnerabilities montrent plutôt une majorité de failles trouvées "en externe".

et ne deviennent connues publiquement que lorsqu'on sort une nouvelle version, alors que la nouvelle faille dont on parle dans 16.0 est une faille divulguée et documentée publiquement et donc exploitable par les malandrins sans effort.

Ah, ok, merci, ça n'était pas clair dans l'article du security blog

Les découvreurs ont été rapides sur le coup, non ? Pourquoi tant de haine ?

EDIT : Accessoirement je n'trouve pas où elle est documentée...

@+
--
Pierre

Message par **pascal** » 11 oct. 2012, 12:31

ra-mon a écrit :
pascal a écrit :les failles de sécu réglées dans Firefox sont en général trouvées par les développeurs Mozilla
Celles qui sont citées en known vulnerabilities montrent plutôt une majorité de failles trouvées "en externe".

Dans le cas de failles externes, on travaille directement avec ces personnes pour qu'ils ne parlent de ces failles qu'après que nous ayons patché Firefox
, ça s'appelle le responsible disclosure (http://en.wikipedia.org/wiki/Responsible_disclosure)

et ne deviennent connues publiquement que lorsqu'on sort une nouvelle version, alors que la nouvelle faille dont on parle dans 16.0 est une faille divulguée et documentée publiquement et donc exploitable par les malandrins sans effort.

Ah, ok, merci, ça n'était pas clair dans l'article du security blog

Les découvreurs ont été rapides sur le coup, non ? Pourquoi tant de haine ?
[/quote]

En fait d'après ce que j'ai vu, le découvreur n'est pas un expert sécurité, il n'y a pas de malice de sa part, il a juste fait un billet sur son blog disant 'eh j'ai trouvé ça dans Firefox 16 !' avec toutes les explications pour reproduire.

ra-mon · Message par **ra-mon** » 11 oct. 2012, 12:47

pascal a écrit :Dans le cas de failles externes, on travaille directement avec ces personnes pour qu'ils ne parlent de ces failles qu'après que nous ayons patché Firefox
, ça s'appelle le responsible disclosure (http://en.wikipedia.org/wiki/Responsible_disclosure)

Oui c'est assez logique et classique, je pense... Mais dans ce cas, dès hier, une dizaine de failles de Firefox 15 auraient pu être documentées aussi par ces chercheurs indépendants et, de ce fait, poser le même risque (enfin statistiquement 10 fois plus de risques) aux utilisateurs actuels ou revenus sur Firefox 15 que la divulgation et documentation de cette seule faille (si j'ai bien compris) aux utilisateurs de FIrefox 16.

En fait d'après ce que j'ai vu, le découvreur n'est pas un expert sécurité, il n'y a pas de malice de sa part, il a juste fait un billet sur son blog disant 'eh j'ai trouvé ça dans Firefox 16 !' avec toutes les explications pour reproduire.

Donc un méchant hacker a moins de chance de tomber sur ce blog d'un gentil user que d'aller fureter sur les sites des experts en sécurité ayant peut-être déjà divulgé les moyens techniques d'exploiter les failles de Firefox 15, non ?

@+
--
Pierre

vulcain · Message par **vulcain** » 11 oct. 2012, 13:40

Je crois que la divulgation publique des failles ne se fait pas immédiatement après la sortie de la correction.

Edit avec la version 16, je peux jouer à https://developer.mozilla.org/fr/demos/ ... ananabread sous Linux \o/:

Geckozone

Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

…

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Re: Firefox : Rumeurs et news sur le développement

Qui est en ligne ?