FF3 et update.url des extensions > amo obligatoire ?

ra-mon · Message par **ra-mon** » 06 oct. 2007, 20:15

Salut,

voilà, on fait de la sécurité

Voila... comme le salvateur service pack 2 de XP, l'UAC de Vista, l'offre considérable d'anti-virus, anti-spyware, anti-phishing et compagnie, les ActiveX signés eux aussi

...
On ne rigole pas avec le sentiment de sécurité, çà serait dommage de contrarier un utilisateur à cause d'une petite extension pour navigateur web

@+
--
Pierre

Message envoyé avec : Opera/9.50 (Windows NT 5.1; U; build 9523; fr)

teoli2003 · Message par **teoli2003** » 07 oct. 2007, 08:27

Goofy a écrit :[ Si vous voulez juste pouvoir tester votre extension, il suffit d'ajouter un s au htttp qui donne l'adresse de votre update.rdf dans la ligne updateURL de l'install.rdf, même si cette adresse n'existe pas en fait ]

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7

Il y a plus simple, il suffit de laisser le champ vide...

arno. · Message par **arno.** » 07 oct. 2007, 14:51

teoli2003 a écrit : Compter sur le premier cas pour faire une attaque Man-in-the-middle, c'est à peu près comme jouer au loto. Compter sur le deuxième, c'est comme jouer au loto en connaissant 5 des 6 chiffres qui vont sortir.

Peut-être, ou bien c'est comme tenter d'entrer dans une maison qui a un mur presque tout autour. Ça dépend de qui veut t'attaquer, de son objectif, etc.

En tout cas, je trouve ça vraiment bourrin face à un problème de ce genre de le corriger partiellement seulement, avec une solution bancale (qui va pousser les gens à se partager des clés secrétes

), et qui va donner du boulot aux développeurs d'extensions. D'autant plus qu'il y a des problèmes de sécurité tout aussi graves et bien plus facilement exploitables qui mettent plusieurs années à être corrigés (genre le bug 230606).

Goofy · Message par **Goofy** » 07 oct. 2007, 21:50

pour information, l'article sur la question que vient de traduire Chbok
http://developer.mozilla.org/fr/docs/Ve ... ilit%C3%A9

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7

Message par **Benoit** » 08 oct. 2007, 08:18

arno. a écrit :En tout cas, je trouve ça vraiment bourrin face à un problème de ce genre de le corriger partiellement seulement, avec une solution bancale (qui va pousser les gens à se partager des clés secrétes ), et qui va donner du boulot aux développeurs d'extensions. D'autant plus qu'il y a des problèmes de sécurité tout aussi graves et bien plus facilement exploitables qui mettent plusieurs années à être corrigés (genre le bug 230606).

La solution complète et non bancale c'est d'utiliser HTTPS. De par la nature du problème il ne peut pas en exister d'autre (si c'est la première fois que tu te rends sur un site il est impossible de savoir si "on" ne l'a pas remplacé par un autre).

Les signatures numériques sont l'alternative de rechange quand ce n'est pas directement possible. Et franchement, après avoir essayé l'outil, ça n'a rien de compliqué.

calimo · Message par **calimo** » 24 déc. 2007, 14:37

Bon, effectivement, ce n'est pas "si" compliqué, mais quand-même, c'est terriblement compliqué

Note : dans le em:updateHash il faut bien préciser le hash utilisé !

Code : Tout sélectionner

em:updateHash="sha1:LeHashBlaBlaBla"

Ça m'a pris un de ces temps pour comprendre

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.1.11) Gecko/20071204 Firebird/7.10 Firefox/2.0.0.11

efdur · Message par **efdur** » 28 déc. 2007, 15:47

martin a écrit :
- l'update.rdf pour les mises à jour contient un élément em:signature, et un élément em:updateHash (important, j'ai pas compris de suite qu'il était indispensable, il contient le sha1 du .xpi).
voir les précisions.

Tout çà semble pénible à mettre en oeuvre, mais mccoy vient à la rescousse, et le fait pout nous (sauf le em:updateHash, à faire soi-même !)

ps: ce post mériterai d'être dans la section " Développement d'applications Gecko", les développeurs vont tous y être confronté .

Bonjour,
Quelqu'un c'est il justement comment créé ce em:updateHash? Parce que j'ai fait des recherches mais rien trouvé!
Merci

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.11) Gecko/20071127 ImageShackToolbar/4.0.7 Firefox/2.0.0.11

Message par **nico@nc** » 28 déc. 2007, 16:14

Sous linux : sha1sum nomfichier.xpi, sous Windows il faut utiliser un logiciel comme HashTab.

Ensuite, sous updateLink :

Code : Tout sélectionner

em:updateHash="sha1:170082d99642f48432d9e64541388d20265876e2"

ou

Code : Tout sélectionner

<em:updateHash>sha1:170082d99642f48432d9e64541388d20265876e2</em:updateHash>

efdur · Message par **efdur** » 28 déc. 2007, 16:30

Merci nico

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.11) Gecko/20071127 ImageShackToolbar/4.0.7 Firefox/2.0.0.11

Geckozone

FF3 et update.url des extensions > amo obligatoire ?

Re: FF3 et update.url des extensions > amo obligatoire ?

Qui est en ligne ?