[Résolu] Module et Java pas d'accord

[ajja93]

Bonjour,

Je constate que ma page module (FF 18.0.1) m'indique que Java Platform SE7 U11 (la toute dernière version, donc, mise à jour il y a quelques jours...) « est connu pour être vulnérable »...
Et si je clique sur le lien « Plus d'information », je lis ceci : « Java Plugin 7 update 11 and lower (click-to-play), Windows a été bloqué pour votre protection. ».

Or :
1) http://www.mozilla.org/fr/plugincheck/ ne trouve RIEN à redire à mon plugin,
2) Java me confirme que je suis à jour...

Quésacko ???
Votre Navigateur : Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0

[scoobidiver]

1) http://www.mozilla.org/fr/plugincheck/ ne trouve RIEN à redire à mon plugin

Plugin check vérifie les plugins actifs, or Java Deployment Toolkit qui n'a rien de vulnérable (utile uniquement pour les développeurs) l'est et donc c'est OK

2) Java me confirme que je suis à jour...

... ce qui n'empêche pas cette version d'être vulnérable avec des kits d'exploitation qui traînent dans la nature :
http://krebsonsecurity.com/2013/01/new- ... per-buyer/
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0

[ajja93]

Plugin check vérifie les plugins actifs, or Java Deployment Toolkit qui n'a rien de vulnérable (utile uniquement pour les développeurs) l'est et donc c'est OK

J'avais oublié de préciser : Java Deployment Toolkit est absent (PAS désactivé : viré !).

... ce qui n'empêche pas cette version d'être vulnérable avec des kits d'exploitation qui traînent dans la nature

Oui... bien sûr... mais... tout, ou presque, peut-être sujet à caution avec un peu de paranoïa (la limite est toujours - un peu - question de niveau (sic) de prudence !).

Ceci dit (j'ai décidément mal posé ma question, j'étais un peu irrité) : puisque Java est désactivé, pourquoi, dans « Outils/ modules complémentaires » le bouton « Désactiver » (se transformant bel et bien en « Activer » si l'on clique dessus) RESTE-IL ainsi puisque Java est - automatiquement - désactivé ????
Votre Navigateur : Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0

[scoobidiver]

puisque Java est désactivé, pourquoi, dans « Outils/ modules complémentaires » le bouton « Désactiver » (se transformant bel et bien en « Activer » si l'on clique dessus) RESTE-IL ainsi puisque Java est - automatiquement - désactivé ????

OK, j'ai fait des manips. Les plugins bloqués en CTP (Cliquer pour lire) ne sont pas désactivés dans le gestionnaire des modules complémentaires puisqu'ils peuvent être activés pour tous les sites par session ou par site. Il y a donc des niveaux de vulnérabilités. Même si SE7 U10 et 11 sont tous les deux vulnérables, le dernier l'est moins que le premier et il est normal que plugin check te conseille le dernier.
Le type de blocage est indiqué dans :
https://addons.mozilla.org/fr/firefox/blocked/

tout, ou presque, peut-être sujet à caution avec un peu de paranoïa (la limite est toujours - un peu - question de niveau (sic) de prudence !).

Il faut bien différencier les vulnérabilités potentiellement exploitables, comme celles dans les anciennes version de Firefox, et celles activement exploitées avec des preuves d'exploitation comme celles dans Java. Si un kit d'exploitation est vendu 5000$, cela veut bien dire qu'il peut en rapporter beaucoup plus.
Ce n'est pas la paranoïa, mais du bon sens dans ce cas.
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0

[ajja93]

Merci scoobidiver, mais je ne comprends toujours pas !
D'accord, c'est très-très secondaire, je m'en f... même un peu (*), mais... j'aime comprendre !

Pour savoir où j'en étais, j'avais tout simplement visité le site de Java (vérifiez votre version), qui m'avait bien confirmé - ainsi d'ailleurs qu'une petite fenêtre/ onglet de FF - que Java était bien désactivé !
Et Java n'avait absolument pas fait autre chose QUE de me l'indiquer !

Je ne comprends donc toujours pas pourquoi l'outil SENSÉ me permettre de désactiver et/ ou activer un module n'indique PAS cette désactivation, et même.... me laisse croire le contraire !!!
Et donc je pense à un p'tit bogue (???) à quelque part...

(*) Un site auquel je suis abonné depuis longtemps pour sa précieuse lettre d'info/ alertes (secuser.com, pour ne pas le nommer) a envoyé hier soir une confirmation au sujet du problème actuel de Java :
« La nouvelle version du logiciel Java diffusée le 13/01/13 ne corrige pas complètement les défauts de sécurité identifiés, qui restent donc toujours exploités de façon malveillante. »
Votre Navigateur : Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0

[scoobidiver]

Ayant désinstallé Java depuis un certain temps, les manips que j'ai faites l'ont été avec Flash et un pluginreg.dat patché pour simuler une version de Flash bloquée en CTP.
Flash est bloqué ET actif à la fois, le blocage en CTP ne désactivant pas un plugin au contraire d'un blocage classique.

Plugin check s'occupant des plugins actifs, il le détecte et recommande de le mettre à jour.
Comme il est bloqué, je ne peux utiliser Flash sauf si je l'autorise pour la session ou toujours pour un site dédié.

C'est simple, non ?
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0

[mops]

Mais du coup, quand on utilise Firefox et qu'on a besoin de java, on fait comment ?
Votre Navigateur : Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0

[scoobidiver]

Mais du coup, quand on utilise Firefox et qu'on a besoin de java, on fait comment ?

On lit la doc :
https://support.mozilla.org/fr/kb/utiliser-java-bloque
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0

[mops]

OK, merci.
Votre Navigateur : Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0

[ajja93]

C'est simple, non ?

Ben oui, c'est comme la quadrature du cercle : quand c'est expliqué, c'est simple !
Merci scoobidiver d'en avoir pris la peine
Votre Navigateur : Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0

[Rpkx]

Bonjour,

Mais du coup, quand on utilise Firefox et qu'on a besoin de java, on fait comment ?

On lit la doc :
https://support.mozilla.org/fr/kb/utiliser-java-bloque
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0

Ça c'est une réponse typique de geek qui ne satisfera jamais l'utilisateur lambda.

J'ai fait mes premiers pas en informatique dès 1976 à l'Université de Namur.
Je suis sur PC depuis 1988, sous Windows depuis 1994 et depuis que je suis retraité (en 1996) je passe bien plus de 12 heures par jour devant mon Ordi.
J'utilise Mozilla depuis ses débuts après avoir utilisé Netscape au lieu de IE.
Eh bien je ne trouve pas les explications de Mozilla suffisantes, en suivant le lien Plus d'informations, qui apparaît sur la page plugins dans le bandeau rouge signalant que le plugin Java est dangereux.

Ras le bol que l'on prenne des décisions sécuritaires à ma place sans correctement m'avertir. J'envisage sérieusement de faire d'Opera, que j'utilise aussi depuis des années, mon navigateur par défaut.

Un fidèle supporter de Mozilla Firefox de plus en plus déçu par les prétendues améliorations au fil des versions.

@+
Votre Navigateur : Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0

[BIGMAT]

Bonjour tout le monde, Bon je vois qu'il y a eu de l'énervement par rapport à cette affaire de Java voici mon petit point de vue:
1) Il y a des explications très claires à ce sujet sur le site Mozilla en tout cas à l'heure où j'écris ça.
2) Je préfère plus de sécurité à moins et la contrainte de devoir activer un module Java chaque fois, ou site par site, ne me paraît pas problématique.
3) Je reconnais cependant avoir tourné en rond et réinstallé 2 ou 3 fois Java ( versions 32 et 64 bits en même temps ) recommandé sur leur site, tout ça parce que je n'avais pas consulté tout de suite l'assistance Mozilla.
En tout cas pour moi affaire close et vive Mozilla mon navigateur préféré car génial ! Jacot
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0

[jpj]

Salut Rpkx

… Ras le bol que l'on prenne des décisions sécuritaires à ma place sans correctement m'avertir.

Le problème ici est qu'il s'agit d'une faille qui est connue et déjà largement exploitée par des sites web (cf. par exemple Secuser).

Il y a donc un risque bien réel avec un plugin qui n'est vraiment utile que pour une infime partie des internautes.
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:20.0) Gecko/20130121 Firefox/20.0

[Rpkx]

Salut jpj,

Cela fait un bout de temps que l'on se connaît mais je ne suis toujours pas d'accord que l'on restreigne ma liberté soi-disant pour mon plus grand bien, parce que l'on sait mieux que moi ce qu! est bon pour moi...

Ceci étant dit, j'ai constaté que Java était bloqué sur un site réputé donnant les données de températures satellitaires.
http://discover.itsc.uah.edu/amsutemps/ ... utemps+009

J'ai essayé de débloquer le plugin comme expliqué sur la page https://support.mozilla.org/fr/kb/utiliser-java-bloque sous "Activer Java une fois".
Quand je clique sur "Cliquez ici pour activer le plugin..." rien ne se passe.
De qui se moque-t-on, dites le moi...

Pour moi c'est du foutage de gueule, et je pèse mes mots.

@+

"Une société prête à sacrifier un peu de liberté contre un peu de sécurité ne mérite ni l’une, ni l’autre, et finit par perdre les deux". (Benjamin Franklin)
Votre Navigateur : Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0

[jpj]

… j'ai constaté que Java était bloqué sur un site réputé…

Là, le site n'a rien a voir, contrairement à la liste des sites potentiellement dangereux. Comme c'est le plugin qui est bloqué, c'est pour tous les sites, quel qu’ils soient.

… Quand je clique sur "Cliquez ici pour activer le plugin..." rien ne se passe.

Curieux car chez moi la procédure décrite fonctionne correctement (testé avec Fx 18 et Aurora sur profils courants et sur profils vierges) :



La seules chose que j'ai en plus par rapport à ce qui est décrit est une fenêtre de confirmation :



dont je ne sais pas d'où elle sort. Ce n'est pas Firefox car je l'ai avec tous les navigateurs donc c'est mon AV ou Java (probablement mais je n'ai pas trouvé rapidement le réglage dans la config et j'ai la flemme de tout tester).
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:20.0) Gecko/20130121 Firefox/20.0