Temps de lecture 2 min
Peut-être avez-vous entendu parler de cette future fonctionnalité de Firefox annoncée par Mozilla il y a quelques semaines : la validation obligatoire des extensions qui ont fait le succès de Firefox depuis des années. Un article du blog de Mozilla (voir la traduction en français par Alexandre) explique cela (et Numerama l’explique également). J’ai assisté à quelques discussions animées sur le sujet (sur Framasphère notamment), mais je pense qu’une petite sonnette d’alarme supplémentaire n’est pas inutile…
Je précise que cette BD n’engage que moi, des avis divergents existent au sein même de Framasoft :)
Tu quoque Firefox
Firefox est depuis longtemps un porte-étendard du logiciel libre et de ses valeurs.
(Exemple de deux sensibilités libristes différentes.)
Mais Firefox a récemment mis le doigt dans un engrenage dangereux…
(Exemple de sensibilité libriste particulièrement chatouilleuse.)
Précisons qu’a priori, Firefox acceptera les extensions non-signées… dans ses versions de développement.
Ce qui ne résout donc pas le problème.
Ce qui est terrible, c’est que non seulement Firefox devient ainsi plus verrouillé qu’un Android de base non-rooté…
… mais qu’en plus, cela n’a pas l’air d’émouvoir la communauté du Libre outre mesure.
(Cet exemple est décidément très chatouilleux et devrait probablement consulter un spécialiste ORL.)
Je sais ce que vous allez dire. « Oui mais si on met un bouton, tout le monde l’activera et la démarche n’aura servi à rien. »
Amis libristes, réveillez-vous !
Cette démarche, à l’opposé de l’esprit du logiciel libre, vous ferait HURLER dans n’importe quelle autre situation.
Bien sûr, il existe d’autres navigateurs libres.
Bien sûr, les plus réfractaires forkeront probablement Firefox en version déverrouillée.
Mais quand même… Firefox , je t’aime, mais là…
Tu crains.
Crédit : Simon Gee Giraudot (Creative Commons By-Sa)
Ceci est mon nom complet
Très bon ! J’approuve sans aucune réserve !
matteo
Pas d’accord avec la réponse présentée comme « acceptable » pour rm -rf /* : si tu voulais une interaction il ne fallait pas mettre -f. Avec le -f, tu as dit que tu voulais forcer ta commande. Si, une commande à laquelle j’ai passé –force commence à me poser des questions, ça va grandement m’énerver.
WillehKey
Je suis tout à fait d’accord sur ce point : lorsqu’on a connaissance de l’option -force, pas question d’être embêté par un message de ce genre à l’écran.
Pour le reste, j’ai un exemple dans le même genre : les certificats !
Si je me pointe sur le site d’un ami, qui a un certificat auto-signé, il me dit que c’est dangereux, mais il me propose tout de même de continuer, avec le message adapté pour expliquer ce quoi il s’agit (plus ou moins bien). C’est exactement comme ça qu’il faudrait que cela se passe, je trouve. L’utilisateur lambda est souvent perturbé de voir ce genre de message, et à moins qu’il connaisse un poil ce que ça engendre il acceptera peut-être, il en sera responsable, mais quand j’ai posé la question aux gens que je vois souvent, ils sont tous néophytes, ils m’ont toujours répondu qu’ils fermaient la page tout simplement, et attendent que quelqu’un qui a quelques connaissances puissent leur expliquer.
Qu’en pensez-vous ?
Jean-Christophe
C’est pour moi une réponse acceptable. Parce qu’une personne non érudite pourrait très bien copier/coller cette commande. Et parce qu’il fait toujours essayer de discuter avec un candidat au suicide.
Sébastien Bossennec
Excellente illustration, déjà que l’intégration du codec fermé OpenH264 nous avançait d’un pas vers le côté obscur.
Pour cette histoire, ke parie que ça se finira avec une petite option à modifier dans la section about:config (au moins ici on a un avertissement !).
jptouch
un Codec fermé qui s’appelle Open…, je trouve ça zarbi !
D’après le site officiel, c’est sous licence BSD : http://www.openh264.org/
Pour ce qui est de ce bridage des extensions dans FF, je suis d’accord parce-que je sais, et je le souhaite, que ce navigateur vise le grand public et pas seulement une poignée de fans.
Mais j’ai confiance en la fondation, il sera sans doute possible par la config cachée de passer outre.
WillehKey
Tu peux aller sur le site officiel : http://www.openh264.org/ tu trouveras le lien vers le code source et surtout, la licence utilisée pour ce projet : https://github.com/cisco/openh264/blob/master/LICENSE
Gee
@matteo
Bonne remarque, je corrige !
Framasky
@Gee autre correction à faire : le « cool » est illisible car sur le bras de l’android
Gilles
Et le pire c’est que je n’ai pas vu de « libriste en vue » râler contre ça…
lamessen
Je suis tellement à la masse en ce moment que je n’ai pas vu passer l’info.
Et je suis bien d’accord avec ce dessin. It sucks.
MoiMeme
j’installe quasi exclusivement des extensions depuis le depot debian.
Iceweasel est un fork mais comment ça va se passer (ou pas) ?
Fla
>Si on commence à décider ce qui est bien ou pas à la place de l’utilisateur, on est sur la pente.
On y est depuis longtemps. L’utilisateur ne veut pas choisir, il veut que ça marche. Google, Facebook, et surtout Apple sont les champions pour ne pas laisser le choix. Ça fait rager les utilisateurs compétents (0.005%) mais ça leur fait gagner constamment des nouveaux utilisateurs (face à MS par exemple), parce que ça marche™.
Tu sais pourquoi il n’est plus possible dans les paramètres de Firefox de désactiver JavaScript ? Quand même, c’est un réglage, personne ne va fouiller là dedans, c’est activé par défaut, ils auraient pu le laisser… Parce qu’au moment où il y a eu des failles dans le plugin Java à tout bout de champ, les “pseudo-techniques” ont paniqué, rechercher sur un truc àlacon genre « Comment ça marche », n’ont pas su faire la différence entre Java et JavaScript et ont désactivé JavaScript dans Firefox. Tu n’imagines pas le nombre de demandes de support que Mozilla a reçu pour ce problème. Résultat, le réglage a disparu dans Firefox, et puis c’est tout. Malheureusement, les outils grand public sont obligés d’évoluer pour devenir cons, car c’est dans cette direction que les grands les poussent. (Ouai ba je c pas ce qui se passe mé sous Chrome bah Facebook é Gmail sa marche ! Hein ? Le message qui dit « Veuillez activer JavaScript ? », non je l’ai pas lu, et puis c’est quoi ça ?)
Bref, comme pour les DRM, on subit et on s’adapte, ou on crève. Mozilla réussie à apporter le libre au grand public car Mozilla est pragmatique.
Framasky
> Tu sais pourquoi il n’est plus possible dans les paramètres de Firefox de désactiver JavaScript ?
Il nous reste le about:config
PereDesPeuples
Du coup j’ai une question: il existe déjà combien de forks de Firefox? le browser de Tor n’en est il pas un ? en termes de pourcentage de la communauté d’utilisateurs ça représente quoi? en termes de pourcentage de la commuanuté de développeurs?
Incontinentia Buttocks
Bah, il y aura probablement une extension pour faire sauter ce bloquage.
cozylc
M’étonnerait qu’elle soit validée ton extension.
JulienW
Attendons de voir… si on a un comportement différent sur le canal stable et les versions de dev, c’est que ça sera certainement derrière une préférence… Et donc désactivable facilement.
On a un bug number ?
JulienW
Vu sur la doc Mozilla:
« A global on/off toggle would leave developers unprotected so we will instead support developers whitelisting the ID of the add-on(s) for which they would like to disable signature verification. »
Traduction:
« Puisque une pref globale ne protégerait plus les développeurs, nous allons plutôt permettre aux développeurs de whitelister l’ID du ou des add-ons dont ils voudraient désactiver la vérification de la signature ».
source: le doc en lien là : https://bugzilla.mozilla.org/show_bug.cgi?id=1047239
Framasky
Oui mais juste dans la version de dév. Il feront sauter la préférence pour la version stable. Pas acceptable (pour moi).
MoiMeme
Firefox est reconnu par beaucoup et j’imagine que le nb de fork est en conséquence.
TorBrowser en est un, mais l’installation d’extension ne me parait pas judicieuse dans ce cas.
https://tails.boum.org/doc/anonymous_internet/Tor_Browser/index.fr.html
J’imagine l’extension validé par Mozilla qui permet de désactiver la vérifcation /:
Sébastien Bossennec
Juste en précision sur le codec OpenH264 qui est open source, il y a quand même quelque chose de curieux, car Cisco paie des royalties…
http://www.clubic.com/telecharger/logiciel-video-streaming/actualite-596850-cisco-h264-codec-open-source-mozilla-firefox.html
Sur les extensions, je reste optimiste car il y a forcement des développeurs censés qui ne voudront pas fermer Firefox, le tout sera de bien communiquer sur la mise en place de ces nouvelles protections.
WillehKey
Je crois que tu as mal compris cet article… Cisco paye des royalties, il n’en reçoit pas.
Extrait :
OpenH.264 a beau être open source, il n’est pas pour autant dispensé de royalties. Pour qu’elles soient invisibles pour les éditeurs, elles seront en fait entièrement assumées par Cisco.
De même que, pour x264, il aurait fallu conclure un contrat avec la MPEG LA.
j-c
N’est-ce pas la même chose pour le noyau Linux ?
Si tu veux une modification, il faut la soumettre aux mainteneurs qui peuvent, s’ils le veulent, la refuser.
Mais si c’est refusé, il suffit de compiler soi-même les sources pour l’intégrer.
C’est pareil ici: recompiler les sources avec une modification triviale permet de rajouter ce qu’on veut.
Je doute que quelqu’un qui sache développer une extension ne sache pas suivre la liste d’instruction pour compiler firefox.
Si ensuite on dit que c’est un problème parce que Mme Michu, qui à l’évidence n’a pas compilé son firefox, ne peut pas utiliser l’extension qui a été développée, c’est alors un problème global pour le libre, car c’est pareil pour tout: si Mme Michu utilise Framakey et que je souhaite y ajouter quelque chose alors que l’équipe de développement de Framakey n’est pas d’accord, Mme Michu ne pourra utiliser ma modification que si elle abandonne FramaKey et utilise mon fork.
(PS: Si je ne m’abuse, la version stable unbranded est également non affectée.)
Loy
Ce qui me dérange personnellement, c’est pas l’usage personnel (si je développe quelque chose pour moi seul et que je dois modifier une lib, par exemple, je m’en fou, tant que je me le note).
Là où ça deviens embêtant c’est pour le dev qui veut publier : obligé, soit de prendre un fork de la stable ou de forker lui-même la stable. Non, c’est lourd.
Après, je suis d’accord que mettre un simple bouton à la vue du monde, c’est pas cool, un bouton dans un menu prévu pour les devs (où Mr Michu ne va tout simplement pas), là oui.
Le fait que quelqu’un vérifie les appli ça peut éventuellement éviter de faire payer les gens pour un antivirus qui contiens une image et un bout de texte … je dis ça, j’dis rien, j’ai un ff OS… 😉
JulienW
> Juste en précision sur le codec OpenH264 qui est open source, il y a quand même quelque chose de curieux, car Cisco paie des royalties…
Il n’y a rien de curieux. Les brevets logiciels et le logiciel libre sont des sujets complètement indépendants… (même si certaines licences essaient de gérer le souci, comme la GPL3 ou l’Apache 2).
WillehKey
L’explication est dans l’article cité, j’ai expliqué ça ici : http://framablog.org/2015/03/04/tu-quoque-firefox/#comment-36902
Fenrir
Je trouve la réaction exagérée, principalement pour 2 raisons :
La première est le public visé, 90% des utilisateurs n’ont aucune notion de sécurité ou ne savent pas estimer si une extension est saine ou non.
La seconde et que si le poste d’un utilisateur se fait « véroler », il risque de servir, pas exemple, de passerelle (bot) pour en attaquer d’autres, donc ce n’est pas uniquement « son » problème, mais le problème de « tous » les internautes.
C’est similaire aux utilisateurs qui considèrent qu’un antivirus est inutile (même sous Linux ou Mac), ce n’est pas parce que notre machine n’est pas (trop) impactée que celles autour de nous ne risquent rien.
Un exemple typique est :
-un mail avec un beau powerpoint© bien vérolé;
-reçu via fetchmail/evolution/thunderbird/… sur une bonne vieille ;
-transféré à Mme Michu (encore elle !) qui le récupère avec OutchLook sous Windows
A la limite ce qui serait pas mal, mais qui ferait râler bien plus de personnes (mais pas les mêmes), ça serait un système d’avertissement (non désactivable de préférence), à chaque ouverture de firefox si des extensions non validées sont installées :
« Vous utilisez des extensions qui n’ont pas été validées, vous vous exposez à un risque de vol d’informations, d’usurpation d’identité, … »
De manière générale, même si nous (les lecteurs/utilisateurs de frama) préférons pouvoir tout maitriser sur le bout des doigts, ce n’est pas le cas des autres, au mieux ils veulent le croire, mais surtout pas le faire.
Comme le dit si bien Fla : « L’utilisateur ne veut pas choisir, il veut que ça marche. […] Ça fait rager les utilisateurs compétents (0.005%) mais ça leur fait gagner constamment des nouveaux utilisateurs (face à MS par exemple), parce que ça marche™. »
Complet
@Gee : « Mais je te préviens que si dans quelques années, il faudra ROOTER son Firephone »
Que vient faire Amazon dans cet histoire !? (o.0)
https://fr.wikipedia.org/wiki/Fire_Phone
Merci pour cette BD qui correspond à ma façon de voir les choses. Bravo pour le titre, très bien trouvé ! 😀
WillehKey
Troll…
Il parlait de FFOS, c’est un acronyme de Firefox : Fire et Téléphone : phone
https://fr.wikipedia.org/wiki/Firefox_OS
Complet
WillehKey : Oui, j’avais compris ce à quoi il faisait référence, mais je n’utilise plus ce mot depuis la sortie de l’appareil d’Amazon. J’ai hésité à ajouter un smiley 😛 , mais j’ai pensé que ça ferait trop.
Laurentj
Cette BD est très critique, mais finalement ne propose pas de solution (ou son auteur n’a pas vraiment réfléchi au problème).
Si le navigateur propose un moyen de désactiver la vérification de la signature, comme le bouton proposé par l’auteur de la BD, cela veut dire que quelque part, il y a un option de config.
Si il y a une option de config, cela sera à coup sûr utilisé par les adware/malware, pour installer leurs extensions pourries.
D’ailleurs, il y a déjà depuis longtemps des options de config pour interdire l’installation automatique des extensions à partir de tel ou tel endroit du système. Mais finalement, les adware/malware arrivent à contourner le truc : en modifiant la configuration.
Et contrairement à ce que prétend l’auteur de la bd, le problème que Mozilla tente de régler, ce n’est pas pour protéger l’utilisateur contre lui même, mais le protéger contre les autres, c’est à dire à toutes les cochonneries qui s’installent À SON INSU, et qui l’ennui à tout bout de champs, sans qu’il sache vraiment comment y remédier (en général, désinstaller l’extension fautive ne sert à rien : le malware la réinstalle dés que possible).
Alors oui, comme le dit l’auteur de la BD, ce serait bien de laisser le choix à l’utilisateur d’installer si il veut prendre le risque, une extension non-signée. Mais le souci, c’est qu’actuellement, la plupart des cochonnerieswares installées, le sont sans son consentement ! Il n’a pas choisi ! genre il installe un logiciel, qui en douce lui installe une extension de merde dans son navigateur.
Bref, la seule solution trouvée jusqu’à maintenant, c’est d’avoir une whitelist (distante et pas locale, sinon le malware peut la modifier), avec signature de l’extension. Et si vous pensez avoir une meilleure solution, plutôt que de râler et troller dans une BD, allez en discuter avec mozilla. C’est aussi ça le libre : contribuer en proposant des solutions.
Gee
« Cette BD est très critique, mais finalement ne propose pas de solution (ou son auteur n’a pas vraiment réfléchi au problème). »
Non, et je ne suis d’ailleurs pas compétent pour ça. Je ne suis pas non plus diplômé de cinéma, ça ne m’empêche pas d’émettre un avis sur les films que je regarde.
« Si le navigateur propose un moyen de désactiver la vérification de la signature, comme le bouton proposé par l’auteur de la BD, cela veut dire que quelque part, il y a un option de config.
Si il y a une option de config, cela sera à coup sûr utilisé par les adware/malware, pour installer leurs extensions pourries. »
C’est possible, je ne sais pas. J’ai aussi du mal à croire que le simple fait de retirer une ligne dans un about:config va vraiment bloquer les logiciels malveillants qui s’attaquent, il me semble, bien plus à l’OS (Windows en tête) qu’au navigateur. Pourquoi dans un autre contexte donné en exemple (Android où on peut installer des packages non vérifiés), on laisse une option de config et le monde ne s’écroule pas ? Sur nos Gnunux, c’est pareil, les dépôts apt par exemple ont des signatures pour vérifier leur confiance, mais tu peux passer outre si tu veux.
« Et contrairement à ce que prétend l’auteur de la bd, le problème que Mozilla tente de régler, ce n’est pas pour protéger l’utilisateur contre lui même, mais le protéger contre les autres, c’est à dire à toutes les cochonneries qui s’installent À SON INSU, et qui l’ennui à tout bout de champs, sans qu’il sache vraiment comment y remédier (en général, désinstaller l’extension fautive ne sert à rien : le malware la réinstalle dés que possible). »
Mais ça… ça arrive tant que ça ? Enfin je ne sais pas, personnellement je n’ai jamais eu l’expérience d’un truc qui s’installe sans le vouloir. Et je connais un sacré paquet de non-avertis noobiens qui utilisent Firefox sur Windows sans aucune précaution, qui vont voir des sites pourris et qui n’ont jamais eu une extension foireuse qui apparaît comme ça. Les toolbars de merde et cie, dans tous les cas que j’ai vu, c’était des programmes externes – pas des extensions – installés en parallèle d’une autre saloperie que l’utilisateur installe parce qu’il fait n’importe quoi.
« Alors oui, comme le dit l’auteur de la BD, ce serait bien de laisser le choix à l’utilisateur d’installer si il veut prendre le risque, une extension non-signée. Mais le souci, c’est qu’actuellement, la plupart des cochonnerieswares installées, le sont sans son consentement ! Il n’a pas choisi ! genre il installe un logiciel, qui en douce lui installe une extension de merde dans son navigateur. »
Donc on est d’accord, c’est bien en installant un truc moisi qu’on se retrouve avec une extension foireuse. Pas par l’opération du saint esprit. D’où l’intérêt d’apprendre aux gens à ne pas installer n’importe quoi.
« Bref, la seule solution trouvée jusqu’à maintenant, c’est d’avoir une whitelist (distante et pas locale, sinon le malware peut la modifier), avec signature de l’extension. Et si vous pensez avoir une meilleure solution, plutôt que de râler et troller dans une BD, allez en discuter avec mozilla. C’est aussi ça le libre : contribuer en proposant des solutions. »
Roh ça va les grands airs… j’ai soulevé un point polémique en précisant les arguments du camp opposé et en y répondant, il me semble, sans mauvaise foi. Si ça, c’est considéré comme du _troll_, il va juste falloir arrêter de lire les avis contraires au vôtre…
Ma solution, c’est de laisser une option et de continuer à juste _éduquer_ les gens à ne pas installer n’impôrte quelle connerie. De télécharger les logiciels sur leur site off, pas sur 01net ou ce genre de chose. Etc. Oui la route est longue et beaucoup continueront à faire n’imp. Mais je trouve que c’est juste un incroyable renoncement que dire « c’est mort, les gens sont de toute façon trop cons pour utiliser leur ordi avec précaution et pour réfléchir à ce qu’ils utilisent ».
Laurentj
> J’ai aussi du mal à croire que le simple fait de retirer une ligne dans un about:config va vraiment bloquer les logiciels malveillants qui s’attaquent, il me semble, bien plus à l’OS (Windows en tête) qu’au navigateur
On parle ici des trucs qui s’installent dans le navigateur. Ceux qui s’installent au niveau OS est une autre histoire.
>Pourquoi dans un autre contexte donné en exemple (Android où on peut installer des packages non vérifiés), on laisse une option de config et le monde ne s’écroule pas ?
Qu’est ce que tu en sais ? qu’il s’écroule pas ? Tu devrais aller visiter un callcenter de support 😉
Et puis là tu parles d’un OS, qui a un bien plus grand contrôle de ce qui peut se faire ou non sur la machine. Et les applications, qu’elles soient ou non installées avec vérification ou non, ne modifie pas le système. Elles n’en n’ont juste pas la possibilité.(ou alors en mode développeur, en passant par la console adb, ce qui n’est pas à la portée de tout le monde, et en aucun cas faisable automatiquement par une appli).
Tout le contraire du principe des extensions d’un navigateur, dont le but c’est justement de modifier le comportement du navigateur ou lui de lui ajouter des fonctionnalités. Avec une extension, tu peux changer plein de choses, modifiant alors « l’expérience » utilisateur, et lui imposer des choses qu’il ne veut pas.
Bref, tu compares des choux et des carottes.
>Mais ça… ça arrive tant que ça ?
Suffisamment pour avoir des gens qui laisse tomber Firefox à cause de ça (souvent les ennuis provoqués par des extensions malveillantes, sont provoqués par le navigateur), et encombrer le support Mozilla et avoir trop de rapports de bug relatifs à ces merdes.
>Ma solution, c’est de laisser une option
justement, ce n’est PAS possible. qui dit option, dit désactivable par un programme, en particulier un malware. Ce que l’on veut éviter justement.
> et de continuer à juste _éduquer_ les gens à ne pas installer n’impôrte quelle connerie
J’aime bien le « juste » 🙂 C’est tout simplement naïf de croire que l’on pourra éduquer suffisamment de personne pour que les malwares deviennent rares. Pour trop de gens par exemple, Internet c’est le E bleu sur le bureau. Pire, pour énormément de gens, le web c’est juste facebook (je n’ai plus le lien de d’une histoire qui le confirme). Et même si on arrive à éduquer des gens, il y aura une proportion significative de personnes qui seront embêter par les malwares. L’éducation, ça dure des mois, des années. Trop long pour endiguer un phénomène de plus en plus emmerdant.
>Donc on est d’accord, c’est bien en installant un truc moisi qu’on se retrouve avec une extension foireuse
bah non. Le truc en question peut avoir une réèlle utilité pour l’utilisateur. Et même pour un utilisateur averti cela peut être compliqué de savoir qu’il embarque un malware.
>Mais je trouve que c’est juste un incroyable renoncement que dire « c’est mort, les gens sont de toute façon trop cons pour utiliser leur ordi avec précaution et pour réfléchir à ce qu’ils utilisent ».
Moi ce que je trouve incroyable, c’est qu’il y ait encore des gens comme toi qui pensent que tout le monde peut être comme eux, et devrait avoir les mêmes centre d’intérêt qu’eux.
Comme il est dit plus haut, 99% des gens veulent juste que ça marche. Ils s’en foutent de savoir comment ça marche, de savoir comment gérer les problèmes de malwares ou autre. Tout simplement souvent parce qu’ils ont vraiment autre chose à foutre dans leur vie que de potasser des sites techniques et autres. Ils ont un appareil qui leur permet de faire des choses. Et faut que ça fonctionne. point. Ils n’ont pas envie de s’embêter avec la technique.
Gee
« Moi ce que je trouve incroyable, c’est qu’il y ait encore des gens comme toi qui pensent que tout le monde peut être comme eux, et devrait avoir les mêmes centre d’intérêt qu’eux. »
Ah non, alors ce n’est absolument pas ce que je préconise. Je pense juste qu’utiliser un ordinateur devrait s’accompagner d’un _minimum_ de compréhension. J’ai horreur des bagnoles et ce n’est clairement pas mon centre d’intérêt, pourtant j’en sais suffisamment dessus pour avoir une conduite sure et ne pas être dangereux pour moi et pour les autres.
Internet c’est pareil. Et si je navigue de manière sure, c’est bien plus par expérience et parce que je ne mets pas mon cerveau en pause quand j’ai les mains sur un clavier qu’en lisant des sites techniques chiants. Et c’est ça qu’il faut apprendre aux gens, juste à ne pas mettre leur cerveau en pause. Il n’est pas question d’en faire des experts, il n’y a pas besoin d’en être un. Tu regardes à droite et à gauche avant de traverser, c’est un réflexe de sécurité, et bien regarde si c’est bien l’adresse de ta banque dans la barre en haut avant de te faire phisher, c’est pour moi du même ordre.
J’entends ce que tu dis sur le fait que ce soit long et compliqué, mais c’est pour moi la meilleure réponse à apporter, juste dédramatiser l’ordi et arrêter avec cette culture du « j’m’en fous, j’veux que ça marche sans rien comprendre », quand bien même est-elle dominante.
Pour le reste, je pense que nos opinions ne sont pas réconciliables alors j’arrête de polémiquer 🙂
WillehKey
>Cette BD est très critique, mais finalement ne propose pas de solution […]
Ce simple extrait nous montre clairement que tu viens troller, selon toi on ne peut même pas émettre un avis si on ne propose pas une solution aux autorités compétentes. Pourtant je doute que toi-même le fasse pour ce à quoi tu trouve à redire.
Rien que pour ça une partie de ton argumentation s’effondre. Il serait bien d’ailleurs qu’on on évoque des faits, d’apporter des références, sans ça, c’est comme apporter un bac à glace sans glace, inutile si ce n’est rester dans un vague brouillard de potentielle vérité/tromperie.
>Et si vous pensez avoir une meilleure solution, plutôt que de râler et troller dans une BD, allez en discuter avec Mozilla. C’est aussi ça le libre : contribuer en proposant des solutions.
Cette phrase illustre encore très bien ce que je veux dire.
Et pour corriger ta phrase : C’est aussi ça le libre : partager, contribuer, modifier, etc.
Il a partager son avis, des personnes qui le liront, eux iront probablement en discuter avec Mozilla, lui ne le fait pas ou peut-être pas car tu ne sais même pas s’il l’a fait. Et tu ne connais pas sa vie, il n’a peut-être simplement pas le temps ou la possibilité de le faire en ce moment.
Avant de dire des conneries, on réfléchit, c’est pas en se comportant comme toi qu’on fait avancer les choses.
Pour prendre le sujet original, l’exemple de la voiture est très bon, on passe bien un permis pour conduire, on éduque les gens à la conduite. Il faut continuer à pousser les gens à faire de même pour l’informatique. Internet c’est comme une autoroute…
Gee
Merci pour ton soutien mais inutile de monter sur ses grands chevaux.
Laurent a eu une réaction épidermique parce que c’est un sujet qui le touche de près, mais à part son accusation de troll qui m’a agacé, il a présenté des arguments solides et honnêtes, donc ne commençons pas avec les attaques ad nominem.
De manière générale pour les commentaires de cet article, restons calmes hein, ce n’est qu’une BD stupide 🙂
Bruno
Je m’interroge vraiment sur l’argument des logiciels malveillants qui sont capables de modifier la configuration du navigateur…
Parce que si c’est le cas, rien n’empêche un logiciel malveillant de modifier les paramètres de proxy pour intercepter toutes les requêtes de l’internaute, et donc ses mots de passes et autres. Ce type de logiciel malveillant devrait donc être assez répandu de très nombreuses alertes de sécurité auraient dues être publiées…
Pazns
Je ne comprends pas cette réaction épidermique et injuste.
D’abord, c’est quoi le foutu rapport avec le logiciel libre et ses (prétendues) valeurs ?
Le projet Mozilla Firefox reste libre !
Même en s’attachant aux « valeurs » du logiciel libre, en quoi sont-elles bafouées ?
Ce n’est pas comme si on avait aucune porte de sortie. Rappelons que les canaux de développement Aurora et Nightly (n+2 et n+3) (Aurora en la personne de Firefox Developer Edition) devraient être exemptés de ce verrou.
Et du coup même chose avec FirefoxOS.
Je défends toujours Firefox contre vents et marées, même malgré des défauts parfois.
Même si cette décision peut paraître horrible en ce qu’elle nous rappelle les penchants privateurs et fascistes de nombreuses sociétés d’édition de logiciels, il faut rester pragmatique et lucide.
Et pis au pire, si les craintes des apeurés se révèlent vérifiées, on pourra toujours forker. Puisque Firefox est un logiciel =P
Gee
« D’abord, c’est quoi le foutu rapport avec le logiciel libre et ses (prétendues) valeurs ?
Le projet Mozilla Firefox reste libre !
Même en s’attachant aux « valeurs » du logiciel libre, en quoi sont-elles bafouées ? »
Oui il reste libre, et encore heureux, sinon la BD aurait été autrement plus virulente. Selon moi, les valeurs du libre, ça réside aussi dans l’émancipation de l’utilisateur, ça passe par son éducation (populaire, forcément) à la compréhension et à l’utilisation de son ordi. Pas à foutre des miradors autour de la maison parce que c’est plus simple (ça, c’est la politique Apple et cie qu’on conchie tous à longueur de journée).
« Ce n’est pas comme si on avait aucune porte de sortie. Rappelons que les canaux de développement Aurora et Nightly (n+2 et n+3) (Aurora en la personne de Firefox Developer Edition) devraient être exemptés de ce verrou.
Et du coup même chose avec FirefoxOS. »
Dessin n°5.
« Je défends toujours Firefox contre vents et marées, même malgré des défauts parfois. »
Moi aussi 🙂
« Même si cette décision peut paraître horrible en ce qu’elle nous rappelle les penchants privateurs et fascistes de nombreuses sociétés d’édition de logiciels, il faut rester pragmatique et lucide. »
…ou tirer la sonnette d’alarme, ce qui n’empêche pas d’aimer et de défendre le logiciel par ailleurs.
« Et pis au pire, si les craintes des apeurés se révèlent vérifiées, on pourra toujours forker. »
Bien sûr, c’est ma conclusion, mais c’est dommage !
Pazns
« …ou tirer la sonnette d’alarme »
On peut et être pragmatique et lucide, et tirer la sonnette d’alarme.
Ce que je voulais dire, c’est que tirer une sonnette ne suffit pas à rendre ce tirage de sonnette légitime.
Ici, j’ai donc l’impression que le tirage de sonnette est un peu exagéré, le problème n’étant pas tant que ça alarmant.
C’est bien de veiller sur le fief collectif de Firefox, mais il faut faire attention à ne pas crier au loup pour n’importe quoi. Sinon les gens se lasseront.
On peut être de doctrine activiste sans être forcément épidermique 🙂
Gee
« Ici, j’ai donc l’impression que le tirage de sonnette est un peu exagéré, le problème n’étant pas tant que ça alarmant. »
Ne pas oublier que c’est aussi une simple BD qui flirte avec la caricature dans un but de divertissement. Et qu’au passage, le point de vue des anti – que je rejoins effectivement même si je ne renie pas Firefox pour autant – est aussi tourné en dérision via le geek cracheur de feu 🙂
j-c
Dans ce cas, dommage que cette BD (dont le but de divertissement en fait un propagateur très efficace) renforce les clichés.
Comme souligné dans d’autres commentaires, le contre-argument tombe à côté de la plaque vu que ça ne règle pas le problème que Firefox veut éviter.
Je pense qu’après cette BD, beaucoup de gens vont penser que Mozilla a illégitimement fermé son logiciel, alors que ce n’est pas illégitime (vu que les autres solutions sont discutables: l’utilisateur ne se soucie même pas des alertes de mauvais certificats après des années d' »éducation », l’éduquer à se méfier de tout, y compris Linux vu que de l’extérieur l’évangeliste linux n’est pas différent de l’évangéliste google-no-privacy, n’est pas gagné d’avance) et que ce n’est pas de la fermeture (vu que c’est libre, à moins de considérer le noyau linux comme fermé, vu que lui aussi il faut soit l’aval des développeurs, soit le recompiler, pour le modifier).
Cette BD n’est pas un drame, mais entretenir le FUD va forcément appeler à des réactions. C’est effectivement juste une BD, mais ça ne veut pas dire que ça n’aura pas des (petites, certes) conséquences injustes.
Gee
Oh oui, par ma faute, Mozilla est frappée à jamais du sceau de l’infamie, honte sur moi.
Sérieux, arrêtez un peu avec les accusations de FUD ou de troll là, les arguments de Mozilla (sécurité, expérience utilisateur) sont clairement indiqués dans l’article et ne sont pas tournés en ridicule, j’ai l’impression d’avoir été à peu près honnête dans la contradiction et sans mauvaise foi dans les argumentaires qui reprennent à peu près tout ce que j’ai lu sur le sujet… en beaucoup plus politiquement correct et moins virulent !
S’il faut passer la pommade pendant 3 heures dès qu’on émet la moindre critique avec un ton un peu taquin, moi je rends mon stylet.
j-c
‘Faut arrêter les gamineries, aussi.
Personne n’a dit que ces dessins sont graves. J’ai même rajouté « (petites, certes) ».
Personne ne prétend que tu dois te justifier non plus.
Par contre, ce que tu dis, c’est que personne ne peut réagir à ces dessins: si on le fait, c’est « juste un dessin -> ta gueule » ou « le message de ces dessins est pourtant correct » alors que non, il est bel et bien à côté de la plaque.
J’ai encore vu un shaarli reprendre ces dessins et dire que Mozilla œuvre pour un web plus fermé, alors que la situation n’a rien à voir.
Quant aux arguments de Mozilla, ils ne sont pas correctement indiqués dans les dessins: Mozilla ne dit pas « on fait ça parce que les utilisateurs ne sont pas capables de se prendre en charge eux-mêmes » (ce qui transparaît des dessins, tu dis « pour l’empêcher de faire des conneries », oui ou non ?) , mais « on fait ça parce que c’est à notre avis le seul moyen pour endiguer qu’un tiers profite pour faire des choses malveillantes ».
Le fait que tu parles d’activation en option montre que ça n’a pas été compris.
Si je réagis, c’est justement que j’avais vu la nouvelle par des gens qui disaient la même chose que toi, et j’ai effectivement pesté contre Mozilla. Et c’est en tombant par chance sur une meilleure explication que je me suis rendu compte que j’avais été induis en erreur.
Du coup, normal qu’il y ait des réactions là dessus (d’autant plus que je suis tombé moi-même sur un réaction, heureusement que celle-ci était là).
Maintenant, si tu es incapable d’accepter qu’il y ait de telles réactions, alors, c’est plutôt ton problème que le mien (car de telles réactions n’arrêteront pas: même si tu me convaincs moi d’arrêter, demain, un « nouveau » qui réagit pour la première fois prendra ma place).
Gee
« Par contre, ce que tu dis, c’est que personne ne peut réagir à ces dessins: si on le fait, c’est « juste un dessin -> ta gueule » ou « le message de ces dessins est pourtant correct » alors que non, il est bel et bien à côté de la plaque. »
Je n’ai JAMAIS refusé qu’on réagisse sur le fond, Laurent l’a très bien fait et il a exposé des arguments pertinents. Ce qui me gonfle, c’est le procès d’intention, « tu trolles », « tu fais juste ça pour dénigrer », « FUD », etc. J’ai exposé un avis, d’autres ont exposés le leur, point.
j-c
Ce que j’ai dit, c’est que tu propageais du FUD. Cela n’implique pas que tu sois conscient de ça ou que tu veuilles explicitement le faire.
Il n’y a donc pas de procès d’intention dans mon commentaire.
Je pense que mes deux commentaires ici sont pertinents et ne s’attaquent qu’au fond:
– ta réponse à Pazns dit: 1) ce n’est que du divertissement, donc, il n’y a pas de conséquences néfastes, 2) la situation est correctement présentées.
– je commente en disant: 1) le divertissement est justement très efficace pour propager le FUD (même si ce n’est pas du FUD volontaire), 2) je ne trouve pas la situation correctement présentées et j’explique pourquoi.
Voilà pourquoi j’ai interprété ta réaction sur mon premier commentaire comme une attaque envers une réaction sur le fond.
(PS: Pas important, mais vu les commentaires, tu as toi-même fait un gros procès d’intention envers Mozilla)
Joliclic
Et ben moi je suis d’accord avec Gee. Et ce changement horrifie l’amoureux de Mozilla que je suis.
>Même en s’attachant aux « valeurs » du logiciel libre, en quoi sont-elles bafouées ?
Tu ne peux plus simplement et facilement utiliser des extensions plus/mal suivies par leurs auteurs et les mettre à jour et les partager autour de toi (et c’est pas anecdotique). Les boites avec des extensions privées ne peuvent plus s’en servir. Tu ne peux plus simplement faire tester des versions alpha/beta à des gens qui très gentiment se propose de tester. Et je ne peux plus utiliser mon propre code personnel !!!
Alors oui, je peux recompiler Firefox, c’est *très* lourd et ce n’est pas du tout bidouiller « simplement » du code et le partager comme aujourd’hui.
Et alors quoi, on dit autour de nous d’installer la version « sans marque » qui sera plutôt caché, mais pas trop, mais quand même pas trop facile à trouver ? D’installer les versions alpha instables !?
Attention, les « power users » sont une des raisons du succès de Firefox ! Un tel utilisateur en moins, c’est beaucoup d’autres qui suivent. Les geeks sans considérations pour le libre installent déjà chrome autour d’eux.
Oui, y’a un problème actuellement. Mais ce genre de solution va faire chier les vrais utilisateurs, pas les auteurs de malware. Ils trouveront une solution, peut être qu’ils patcheront carrément l’exécutable de Firefox pour contourner. Dans les newsgroup de moz, du coup, ils disent qu’ils ne ciblent pas les malwares, mais les « graywares », qui seraient sous le coup de la loi si ils abusent au point de patcher l’exécutable. Mais si c’est ces malwares la cible, y’a d’autres solutions avec la liberté laissé à l’utilisateur.
Déjà aucune extension ne devrait pouvoir s’installer silencieusement, absolument aucune, à part celles signées par Mozilla. Les autres devraient déclencher un gros warning avec annulation de l’installation par défaut, les utilisateurs basiques auront suffisamment peur pour ne pas faire l’installation.
Ensuite signer les extensions, c’est super. Il faut juste que l’utilisateur avancé puisse ajouter des certificats en plus. Avec de nouveau un gros warning si un certificat est ajouté silencieusement. Et pis n’oublions pas que Mozilla participe en ce moment à mettre en place Let’s Encrypt, donc une autorité de certification.
Et petit aparté, arrêter de dire qu’on pourra forker Firefox, c’est monstrueusement lourd comme fork, j’y crois pas une minute !! Iceweasel, c’est Firefox à 99.9999%, seamonkey n’existerait pas sans le code de mozilla,etc.
j-c
Sous Linux, il suffira d’installer le paquet unbranded (probablement iceweasel). Le paquet Firefox, pour être créé, doit lui-même être compilé. Donc, c’est réellement 0 efforts en plus, juste un seconde compilation avec l’option –disable-branding et l’option –disable-checkextensioncert (qui existera surement. sinon, modifier une ligne de code au niveau du « if » de la vérification suffira).
Sous Windows / Mac, c’est plus embêtant, mais là, le vers est dans le fruit vu que sous ces systèmes, la personne qui compile et garantit que le logiciel n’est pas malveillant est celui qui crée le logiciel et qui n’a donc aucun intérêt à se dénoncer.
Je ne suis pas d’accord pour la simpliciter des autres solutions.
On parle souvent de google-chrome qui a tendance à s’installer avec tout si on ne fait pas attention. Si on n’est pas capable d’empêcher ça, il est évident qu’on ne peut pas empêcher la petite option non-cochée « ne pas installer les outils d’intégration à la navigation » qui iront installer une extension, et ce 100% légallement.
(on note qu’avec la solution de Mozilla, impossible de faire ce genre de chose légalement, vu que la seule façon est soit de modifier le binaire à la manière d’un virus, soit d’installer un « autre » firefox mais dans ce cas, l’appeler « firefox » est illégal)
Pareil avec les popups « connection non sécurisée » alors que le bouton « refuser » est mis très très fortement en évidence. Après 3 ou 4 fois, les gens cliquent sur « accepter » sans y porter attention.
Le popup implique qu’il apparaisse à chaque démarrage, pour chacune des extensions (sinon, c’est qu’il y a un fichier de conf qui peut être modifié pour empêcher le popup), et c’est contradictoire avec le début: si tu distribues autour de toi des versions modifées, alors, ça signifie que ces personnes autour de toi acceptent d’utiliser une extension non signée (en d’autres termes: si ta solution est réellement efficace, tu reviens au même problème que souligne au début: les personnes autour de toi ne pourront pas utiliser ton extension car ils la désinstalleront, une boîte ne pourra pas faire ses propres extensions car les employés la désinstalleront, … S’ils ne la désinstallent pas, c’est qu’ils ne désinstalleront pas les extensions foireuses).
joliclic
Relis mieux ce que j’ai écrit:
– pour la popup d’installation, le comportement *par défaut* doit être de *refuser* l’installation.
– je propose de garder la signature les extensions, mais de pouvoir importer son propre certificat et de signer ses extensions avec, du coup je peux partager mon certificat et mes extensions. Et l’importation « silencieuse » de certificat serait tout aussi illégale.
j-c
Je ne comprends pas ce que tu veux dire par « comportement par défaut d’une popup ». Tu dis qu’il faudrait une popup sans aucun bouton, juste pour dire « hé, on a essayé d’installer une extension non signée, mais c’est interdit. Point. Bye » ?
Dans ce cas, à quoi sert la popup, vu que l’extension n’est pas installée.
Si tu veux dire par contre que tout est fait pour décourager l’utilisateur à accepter l’extension, alors, c’est exactement ce qui est fait pour les certificats: « cette connexion n’est pas certifiée » -> 2 possibilités
1) bouton « sortir d’ici »
2) cliquer sur « je comprends les risques » (qui n’est pas un bouton) + « accepter » + un autre popup « confirmer l’exception »
J’ai du mal à voir comment faire plus « refuser par défaut en laissant le choix ». Et pourtant, en pratique, l’utilisateur accepte ces certificats.
De nouveau, je ne comprends pas la contradiction:
tu dis d’un côté que les utilisateurs normaux vont refuser les extensions non signées, mais d’un autre que si toi ou une entreprise distribue une extension non signée, les utilisateurs l’accepteront.
Je ne comprends pas ce que tu veux dire par l’importation « silencieuse » serait illégale ?
En pratique, ça veut dire quoi ?
Installer google-chrome via un installeur qui a l’option cochée par défaut n’est certainement pas illégal. En quoi installer le certificat via un installeur qui a l’option cochée par défaut peut-il être illégal ?
Et si je change d’ordi et que je copie mes préférences de Firefox (automatiquement avec le logiciel de sauvegarde), est-ce que je fais quelque chose d’illégal ?
Justifier que modifier des fichiers de configuration utilisateur doit être illégal me parait difficile, même quand il s’agit de configuration tiers (firefox le fait probablement lui-même), tandis que modifier le binaire alors que l’éditeur initial ne l’approuve pas, c’est beaucoup plus clair.
Bref, je ne vois pas en quoi j’ai « mal lu » ton commentaire.
joliclic
>… tout est fait pour décourager l’utilisateur à accepter l’extension, alors, c’est exactement ce qui est fait pour les certificats… Et pourtant, en pratique, l’utilisateur accepte ces certificats.
Oui, c’est ce que je propose, et à mon avis (j’ai pas d’étude pou
r le prouver), l’utilisateur basique n’accepte pas ces certificats, c’est ce que je vois autour de moi. Pouvoir les accepter est justement ce qu’on demande ! Ceux qui les accepte, moi par exemple dans
certains cas, savent ce qu’ils font.
>tu dis d’un côté que les utilisateurs normaux vont refuser les extensions non signées, mais d’un autre que si toi ou une entreprise distribue une extension non signée, les utilisateurs l’accepteront.
Non, je dis qu’on doit signer les extensions, mais aussi avoir la possibilité de les signer avec son certificat personnel. L’entreprise aura confiance en son certificat. Les beta testeurs, si ils font confiance à l’auteur importeront son certificat. Les utilisateurs avancés pourront signer leur code privé.
Je ne suis pas juriste, donc je m’a goure peut être, mais un installeur qui modifierait la chaîne de confiance des certificats sans l’accord de l’utilisateur, çà me semble pas légal. Et en plus je propose le popup/warning pour les certificats qui n’ont été installé par l’utilisateur, comme pour les extensions.
j-c
> l’utilisateur basique n’accepte pas ces certificats, c’est ce que je vois autour de moi.
Ce serait mieux d’avoir des vrais chiffres plutôt que des impressions.
Ces chiffres doivent exister, vu que j’imagine que les sites avec certificats auto-signés doivent voir le pourcentage de visiteurs qu’ils ont perdu.
Mozilla a très sans doute lui aussi ces chiffres, et il en conclut que ce que tu observes est faux (et ça correspond aussi plus à mon observation).
> L’entreprise aura confiance en son certificat.
Ce n’est pas « monsieur Lentreprise » qui travaille, ce sont tout un tas d’employés. Soit tu me dis:
1) le service informatique sera capable d’automatiquement accepter le certificat à la place de l’employé. Mais dans ce cas, soit c’est qu’un grayware peut le faire aussi, soit cela signifie qu’ils ont plus de boulot que de simplement installer le version unbranded.
2) l’employé va faire confiance à son entreprise. Mais c’est un fait: l’utilisateur fait confiance au grayware (sinon, il ne l’installerait pas). Donc, de nouveau, c’est inutile.
> mais un installeur qui modifierait la chaîne de confiance des certificats sans l’accord de l’utilisateur, çà me semble pas légal.
Dans ce cas, une entreprise qui utilise ta technique est elle-même illégale, non ? vu qu’elle décide à la place de l’utilisateur.
Il ne suffit pas de dire « ça me semble pas légal » pour que ça le soit, le problème est souvent une définition où les actions légitimes ne deviennent pas illégales.
Tes propositions sont intéressantes, mais elles m’ont l’air plus compliquées et plus « dangereuses » (dans le sens qu’elles peuvent soit foirer, soit blesser l’écosystème)
> Et en plus je propose le popup/warning pour les certificats qui n’ont été installé par l’utilisateur, comme pour les extensions.
En pratique, comment est-ce possible ?
Sur mon ordinateur, je peux modifier tout les fichiers utilisateurs qui m’appartiennent, sans que cela puisse déclencher une pop-up.
Si je copie mon compte firefox d’une machine à une autre, comment la nouvelle machine sera au courant que la copie est nouvelle ?
1138
Oui, ça me fait chier. J’utilise en effet trois extensions qui ne sont pas hébergées par Mozilla :
– la version Gnunux de HTML Validator (celle chez Mozilla est uniquement pour Windows)
– la version bêta de RequestPolicy
– HTTPS Everywhere de l’Electronic Frontier Foundation.
Et je n’ai pas envie de passer à une version alpha de Firefox juste pour pouvoir les installer.
D’ailleurs, je trouve ça plutôt nul aussi que la Developper Edition n’existe qu’en alpha : voir les nouveautés, c’est chouette mais, pour bosser, je préfère du stable. Je ne vais pas m’amuser à débugguer à la fois mes sites et le navigateur.
Dès lors, Mozilla ne pourrait-elle pas faire une Developper Edition en version stable ? Ça règlerait deux problèmes d’un coup.
Nicolas Floquet
J’en profite pour faire découvrir Qupzilla que j’utilise depuis peu.
C’est visuellement proche des anciennes versions de Firefox ; c’est aussi des raccourcis-clavier identiques ([Ctrl]+[L], [K], [H], [T], [W], [D] etc.) mais c’est sensiblement bien plus rapide sur un vieux pc (Eeepc 100H dans mon cas) :
– Le site : http://www.qupzilla.com/
– Pour installer sous un système GNU/Linux de la famille Archlinux : # pacman -S qupzilla.
– Un article sur la Vache Libre : http://la-vache-libre.org/qupzilla-un-navigateur-web-tres-interessant/
Sinon, je suis d’accord avec Gee:
Et de toute manière, si à Mozilla, on était réellement libriste :
– leur logiciel n’aurait pas sa propre licence. GPL, BSD… c’est pas pour les chiens ! Il y a des normes techniques… c’est bien de comprendre qu’il y a des normes juridiques également. Or 4 ou 5 licences de logiciels libres, c’est déjà presque trop. Virons ces licences historiques qui ne concernent qu’un logiciel telle la Mozilla Public Licence !
– Debian pourrait modifier sa version de Firefox sans en changer le nom.
– La FSF n’aurait pas à faire sa propre version (en changeant le nom encore une fois) pour éviter l’installation d’extension non-libre.
Alors bref, Mozilla…
asmanel
j’ai une idée de solution :
un historique des extensions proposées (installées ou non) spécifiant, pour chaque extension
* l’adresse de téléchargement de la dite extension
* l’adresse de la page de téléchargement
* la date et l’heure heure de la proposition
* l’éventuelle signature
* le type d’extension
* le status de l’extension (installé, non installé, désinstallé…)
*quelques infos utiles sur l’extension.
L’installation nécessiterait d’accéder à cette liste et ne respecterait pas la règle des trois clics, même si la dite liste est facile d’accès.
De plus, la couleur de fond de chaque entrée indiquerait le degré de dangerosité potentielle de l’extension selon les infos connues.