FF3 et update.url des extensions > amo obligatoire ?

Courageux ou téméraire, vous testez des versions nocturnes, Aurora ou Bêta de Firefox ? Partagez vos expériences avec les autres membres du forum.

Modérateurs : nico@nc, teoli2003

Avatar de l’utilisateur
ra-mon
Varan
Messages : 1448
Inscription : 16 janv. 2004, 09:51
Contact :

Message par ra-mon » 06 oct. 2007, 20:15

Salut,
voilà, on fait de la sécurité
Voila... comme le salvateur service pack 2 de XP, l'UAC de Vista, l'offre considérable d'anti-virus, anti-spyware, anti-phishing et compagnie, les ActiveX signés eux aussi :) ...
On ne rigole pas avec le sentiment de sécurité, çà serait dommage de contrarier un utilisateur à cause d'une petite extension pour navigateur web :D
@+
--
Pierre

Message envoyé avec : Opera/9.50 (Windows NT 5.1; U; build 9523; fr)

teoli2003
Animal mythique
Messages : 7580
Inscription : 13 nov. 2005, 09:23
Contact :

Message par teoli2003 » 07 oct. 2007, 08:27

Goofy a écrit :[ Si vous voulez juste pouvoir tester votre extension, il suffit d'ajouter un s au htttp qui donne l'adresse de votre update.rdf dans la ligne updateURL de l'install.rdf, même si cette adresse n'existe pas en fait :wink: ]

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7
Il y a plus simple, il suffit de laisser le champ vide...
La liberté n'est jamais accordée de bon gré par l'oppresseur; elle doit être exigée par l'opprimé (Martin Luther King).
Les convictions sont des ennemis de la vérité plus dangereux que les mensonges. (Nietzsche).
Native Mozillian.

arno.
Varan
Messages : 1347
Inscription : 19 août 2004, 12:26
Contact :

Message par arno. » 07 oct. 2007, 14:51

teoli2003 a écrit : Compter sur le premier cas pour faire une attaque Man-in-the-middle, c'est à peu près comme jouer au loto. Compter sur le deuxième, c'est comme jouer au loto en connaissant 5 des 6 chiffres qui vont sortir.
Peut-être, ou bien c'est comme tenter d'entrer dans une maison qui a un mur presque tout autour. Ça dépend de qui veut t'attaquer, de son objectif, etc.

En tout cas, je trouve ça vraiment bourrin face à un problème de ce genre de le corriger partiellement seulement, avec une solution bancale (qui va pousser les gens à se partager des clés secrétes :roll:), et qui va donner du boulot aux développeurs d'extensions. D'autant plus qu'il y a des problèmes de sécurité tout aussi graves et bien plus facilement exploitables qui mettent plusieurs années à être corrigés (genre le bug 230606).

Avatar de l’utilisateur
Goofy
Iguane
Messages : 593
Inscription : 23 juil. 2004, 22:39
Localisation : je suis pour !
Contact :

Message par Goofy » 07 oct. 2007, 21:50

:) pour information, l'article sur la question que vient de traduire Chbok
http://developer.mozilla.org/fr/docs/Ve ... ilit%C3%A9

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7
- Pensez global, faites des locales -

Image

Avatar de l’utilisateur
Benoit
Administrateur
Messages : 4894
Inscription : 19 juil. 2003, 10:59
Localisation : Bruxelles, Belgique
Contact :

Message par Benoit » 08 oct. 2007, 08:18

arno. a écrit :En tout cas, je trouve ça vraiment bourrin face à un problème de ce genre de le corriger partiellement seulement, avec une solution bancale (qui va pousser les gens à se partager des clés secrétes :roll:), et qui va donner du boulot aux développeurs d'extensions. D'autant plus qu'il y a des problèmes de sécurité tout aussi graves et bien plus facilement exploitables qui mettent plusieurs années à être corrigés (genre le bug 230606).
La solution complète et non bancale c'est d'utiliser HTTPS. De par la nature du problème il ne peut pas en exister d'autre (si c'est la première fois que tu te rends sur un site il est impossible de savoir si "on" ne l'a pas remplacé par un autre).

Les signatures numériques sont l'alternative de rechange quand ce n'est pas directement possible. Et franchement, après avoir essayé l'outil, ça n'a rien de compliqué.
♫ Li tens s'en veit, je n'ai riens fais ;
Li tens revient, je ne fais riens. ♪

Avatar de l’utilisateur
calimo
Animal mythique
Messages : 14118
Inscription : 26 déc. 2003, 11:51
Localisation : Le frigo scandinave
Contact :

Message par calimo » 24 déc. 2007, 14:37

Bon, effectivement, ce n'est pas "si" compliqué, mais quand-même, c'est terriblement compliqué :lol:

Note : dans le em:updateHash il faut bien préciser le hash utilisé !

Code : Tout sélectionner

em:updateHash="sha1:LeHashBlaBlaBla"
Ça m'a pris un de ces temps pour comprendre :roll:

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.1.11) Gecko/20071204 Firebird/7.10 Firefox/2.0.0.11

efdur
Arias
Messages : 2
Inscription : 28 déc. 2007, 15:35
Localisation : bretagne

Re: FF3 et update.url des extensions > amo obligatoire ?

Message par efdur » 28 déc. 2007, 15:47

martin a écrit :
- l'update.rdf pour les mises à jour contient un élément em:signature, et un élément em:updateHash (important, j'ai pas compris de suite qu'il était indispensable, il contient le sha1 du .xpi).
voir les précisions.


Tout çà semble pénible à mettre en oeuvre, mais mccoy vient à la rescousse, et le fait pout nous (sauf le em:updateHash, à faire soi-même !)

ps: ce post mériterai d'être dans la section " Développement d'applications Gecko", les développeurs vont tous y être confronté ;) .
Bonjour,
Quelqu'un c'est il justement comment créé ce em:updateHash? Parce que j'ai fait des recherches mais rien trouvé!
Merci :)

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.11) Gecko/20071127 ImageShackToolbar/4.0.7 Firefox/2.0.0.11

Avatar de l’utilisateur
nico@nc
Animal mythique
Messages : 7799
Inscription : 21 août 2005, 08:04
Localisation : fr-FR
Contact :

Message par nico@nc » 28 déc. 2007, 16:14

Sous linux : sha1sum nomfichier.xpi, sous Windows il faut utiliser un logiciel comme HashTab.

Ensuite, sous updateLink :

Code : Tout sélectionner

em:updateHash="sha1:170082d99642f48432d9e64541388d20265876e2"
ou

Code : Tout sélectionner

<em:updateHash>sha1:170082d99642f48432d9e64541388d20265876e2</em:updateHash>
Nicolas
☛ Problème [résolu] ? Modifiez votre premier message pour l'indiquer.
Pas de support par message privé, postez sur le forum, merci.

efdur
Arias
Messages : 2
Inscription : 28 déc. 2007, 15:35
Localisation : bretagne

Message par efdur » 28 déc. 2007, 16:30

Merci nico :)

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.11) Gecko/20071127 ImageShackToolbar/4.0.7 Firefox/2.0.0.11

Répondre

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités