Du faux sentiment de sécurité du monde OpenSource
26 juillet 2006
Je suis tombé sur un article de TechWeb qui parle d’un trojan qui prend l’apparence d’une extension Firefox.
Depuis longtemps je considère que le système d’extension de Firefox est sa force, mais aussi sa faiblesse.
- Aucune des extensions n’est signée digitalement, et il n’y a aucune vérification faite au niveau du code des extensions. On pourrait pourtant imaginer différencier des extensions « officielles » ( signées, vérification du code ) et des extensions « communautaires ».
- On peut remarquer qu’il semble relativement aisé pour une extension de bypasser la sécurité notamment en écrivant des données sur le disque et ceci sans confirmation ou vérification ! Il faudrait un minimum de sandboxing !
Cela me renvoie aussi aux problèmes de sécu d’OpenOffice.org avec les macros. Le fait d’être OpenSource donnent aux développeurs un faux sentiment de sécurité et ils ne mettent pas en place les infrastructures nécessaires pour éviter ce genre de problème. Ce sont des choses auxquelles il faut penser dès le début. Pas après coups !