Geckozone

Forums d'assistance et de discussion sur les logiciels produits par Mozilla ou créés à partir des technologies Mozilla. Ce site ne dépend pas de la fondation Mozilla et est maintenu par un collectif de bénévoles.
https://forums.mozfr.org/

FF3 et update.url des extensions > amo obligatoire ?

https://forums.mozfr.org/viewtopic.php?t=58962

Page 2 sur 2

Publié : 06 oct. 2007, 20:15
par ra-mon
Salut,
voilà, on fait de la sécurité
Voila... comme le salvateur service pack 2 de XP, l'UAC de Vista, l'offre considérable d'anti-virus, anti-spyware, anti-phishing et compagnie, les ActiveX signés eux aussi :) ...
On ne rigole pas avec le sentiment de sécurité, çà serait dommage de contrarier un utilisateur à cause d'une petite extension pour navigateur web :D
@+
--
Pierre

Message envoyé avec : Opera/9.50 (Windows NT 5.1; U; build 9523; fr)

Publié : 07 oct. 2007, 08:27
par teoli2003
Goofy a écrit :[ Si vous voulez juste pouvoir tester votre extension, il suffit d'ajouter un s au htttp qui donne l'adresse de votre update.rdf dans la ligne updateURL de l'install.rdf, même si cette adresse n'existe pas en fait :wink: ]

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7
Il y a plus simple, il suffit de laisser le champ vide...

Publié : 07 oct. 2007, 14:51
par arno.
teoli2003 a écrit : Compter sur le premier cas pour faire une attaque Man-in-the-middle, c'est à peu près comme jouer au loto. Compter sur le deuxième, c'est comme jouer au loto en connaissant 5 des 6 chiffres qui vont sortir.
Peut-être, ou bien c'est comme tenter d'entrer dans une maison qui a un mur presque tout autour. Ça dépend de qui veut t'attaquer, de son objectif, etc.

En tout cas, je trouve ça vraiment bourrin face à un problème de ce genre de le corriger partiellement seulement, avec une solution bancale (qui va pousser les gens à se partager des clés secrétes :roll:), et qui va donner du boulot aux développeurs d'extensions. D'autant plus qu'il y a des problèmes de sécurité tout aussi graves et bien plus facilement exploitables qui mettent plusieurs années à être corrigés (genre le bug 230606).

Publié : 07 oct. 2007, 21:50
par Goofy
:) pour information, l'article sur la question que vient de traduire Chbok
http://developer.mozilla.org/fr/docs/Ve ... ilit%C3%A9

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7

Publié : 08 oct. 2007, 08:18
par Benoit
arno. a écrit :En tout cas, je trouve ça vraiment bourrin face à un problème de ce genre de le corriger partiellement seulement, avec une solution bancale (qui va pousser les gens à se partager des clés secrétes :roll:), et qui va donner du boulot aux développeurs d'extensions. D'autant plus qu'il y a des problèmes de sécurité tout aussi graves et bien plus facilement exploitables qui mettent plusieurs années à être corrigés (genre le bug 230606).
La solution complète et non bancale c'est d'utiliser HTTPS. De par la nature du problème il ne peut pas en exister d'autre (si c'est la première fois que tu te rends sur un site il est impossible de savoir si "on" ne l'a pas remplacé par un autre).

Les signatures numériques sont l'alternative de rechange quand ce n'est pas directement possible. Et franchement, après avoir essayé l'outil, ça n'a rien de compliqué.

Publié : 24 déc. 2007, 14:37
par calimo
Bon, effectivement, ce n'est pas "si" compliqué, mais quand-même, c'est terriblement compliqué :lol:

Note : dans le em:updateHash il faut bien préciser le hash utilisé !

Code : Tout sélectionner

em:updateHash="sha1:LeHashBlaBlaBla"
Ça m'a pris un de ces temps pour comprendre :roll:

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.1.11) Gecko/20071204 Firebird/7.10 Firefox/2.0.0.11

Re: FF3 et update.url des extensions > amo obligatoire ?

Publié : 28 déc. 2007, 15:47
par efdur
martin a écrit :
- l'update.rdf pour les mises à jour contient un élément em:signature, et un élément em:updateHash (important, j'ai pas compris de suite qu'il était indispensable, il contient le sha1 du .xpi).
voir les précisions.


Tout çà semble pénible à mettre en oeuvre, mais mccoy vient à la rescousse, et le fait pout nous (sauf le em:updateHash, à faire soi-même !)

ps: ce post mériterai d'être dans la section " Développement d'applications Gecko", les développeurs vont tous y être confronté ;) .
Bonjour,
Quelqu'un c'est il justement comment créé ce em:updateHash? Parce que j'ai fait des recherches mais rien trouvé!
Merci :)

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.11) Gecko/20071127 ImageShackToolbar/4.0.7 Firefox/2.0.0.11

Publié : 28 déc. 2007, 16:14
par nico@nc
Sous linux : sha1sum nomfichier.xpi, sous Windows il faut utiliser un logiciel comme HashTab.

Ensuite, sous updateLink :

Code : Tout sélectionner

em:updateHash="sha1:170082d99642f48432d9e64541388d20265876e2"
ou

Code : Tout sélectionner

<em:updateHash>sha1:170082d99642f48432d9e64541388d20265876e2</em:updateHash>

Publié : 28 déc. 2007, 16:30
par efdur
Merci nico :)

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.11) Gecko/20071127 ImageShackToolbar/4.0.7 Firefox/2.0.0.11
Fuseau horaire sur UTC+02:00
Page 2 sur 2

Développé par phpBB® Forum Software © phpBB Limited

Traduction française officielle © Qiaeru