Denis Szalkowski Formateur Consultant

Formateur et formations Linux Red Hat, CentOS, Fedora, Ubuntu Server, Debian, SUSE, openSUSE, Bash, PowerShell, IPv6, Sécurité informatique, GLPI, FusionInventory, Squid, LAMP, Apache, MySQL, PostgreSQL, SQL Server, Oracle Database, SQL, PHP, WordPress, SEO, Référencement naturel, Veille stratégique et concurrentielle

Du faux sentiment de sécurité du monde OpenSource

Je suis tombé sur un article de TechWeb qui parle d’un trojan qui prend l’apparence d’une extension Firefox.

Depuis longtemps je considère que le système d’extension de Firefox est sa force, mais aussi sa faiblesse.

• Aucune des extensions n’est signée digitalement, et il n’y a aucune vérification faite au niveau du code des extensions. On pourrait pourtant imaginer différencier des extensions « officielles » ( signées, vérification du code ) et des extensions « communautaires ».
• On peut remarquer qu’il semble relativement aisé pour une extension de bypasser la sécurité notamment en écrivant des données sur le disque et ceci sans confirmation ou vérification ! Il faudrait un minimum de sandboxing !

Cela me renvoie aussi aux problèmes de sécu d’OpenOffice.org avec les macros. Le fait d’être OpenSource donnent aux développeurs un faux sentiment de sécurité et ils ne mettent pas en place les infrastructures nécessaires pour éviter ce genre de problème. Ce sont des choses auxquelles il faut penser dès le début. Pas après coups !

• Accueil
• Présentation
• Parcours
• Compétences
• Formation
• Supports
• Actualités
• Contact
• Newsletter
• Mentions légales