Du faux sentiment de sécurité du monde OpenSource
Je suis tombé sur un article de TechWeb qui parle d’un trojan qui prend l’apparence d’une extension Firefox.
Depuis longtemps je considère que le système d’extension de Firefox est sa force, mais aussi sa faiblesse.
- Aucune des extensions n’est signée digitalement, et il n’y a aucune vérification faite au niveau du code des extensions. On pourrait pourtant imaginer différencier des extensions « officielles » ( signées, vérification du code ) et des extensions « communautaires ».
- On peut remarquer qu’il semble relativement aisé pour une extension de bypasser la sécurité notamment en écrivant des données sur le disque et ceci sans confirmation ou vérification ! Il faudrait un minimum de sandboxing !
Cela me renvoie aussi aux problèmes de sécu d’OpenOffice.org avec les macros. Le fait d’être OpenSource donnent aux dév un faux sentiment de sécurité et ils ne mettent pas en place les infrastructures nécessaires pour éviter ce genre de problème. Ce sont des choses auxquelles il faut penser dès le début, pas après coups !
Autres billets sur le sujet :
- Les extensions qui font ralentir Firefox selon Mozilla
- Firefox 3.5.4b incompatible avec NewsFox
- Native Client : Google veut s’affranchir du système d’exploitation ?
- Référencement – SEO : configurer Exalead sur GoldoRank
- Moteurs : le Bing-Bang n’aura pas lieu !
Tags :
Si vous avez apprécié cet article, s'il vous plait, prenez le temps de laisser un commentaire ou de souscrire au flux afin de recevoir les futurs articles directement dans votre lecteur de flux.
Commentaires
Pas encore de commentaire.
Laisser un commentaire