Les trous de sécurité de Firefox

  • Canada
  • GNU/Linux
  • Pine
Miguel Tremblay <miguel.tremblay(à)ptaff.ca>
2005-09-22 11:45:40 EDT
 
Une réponse que j'ai fait à mon frère et que j'aimerais vous partager.

---------- Forwarded message ----------
Date: Thu, 22 Sep 2005 11:42:55 -0400 (EDT)
From: Miguel Tremblay <miguel.tremblay(à)ptaff.ca>
To: Lino Tremblay <lino_tremblay@****.qc.ca>
Subject: Re: Firefox

On Thu, 22 Sep 2005, Lino Tremblay wrote:


Calmons-nous. Premièrement, il s'agit de « vendor-confirmed
vulnerabilities » et non simplement de « vulnerabilities ». Comme
d'habitude lorsqu'un nouveau produit arrive et est meilleurs que le
précédent, on voudrait que ce soit une panacée. Ce n'est pas le cas,
firefox a ses défauts.

Ceci étant dit, IE a une liste de bugs non rustinés qui est longue comme le
bras. Ceux-ci ne sont pas listé dans les « vendor-confirmed
vulnerabilities » Les bugs de firefox/mozilla sont corrigé dans la journée par
la communauté aussitôt qu'ils sont découvert. Pour ce qui est de IE, l'équipe
de marketing doit décidé s'ils reconnaissent le bug, si ça vaut vraiment la
peine de coder pour le corriger et dans combien de temps ils vont sortir la
mise à jour qui corrige ce défaut. Les modèles de développement sont
incomparable. On ne dirige pas un paquebot avec la même célérité qu'une flotte
de régates.

Quand aux part de marché de FF, je n'ai aucune inquiétude. Qu'est-ce qu'ils ont
sorti déjà comme nouveauté IE depuis 5 ans? Est-ce qu'il y vraiment des
utilisateurs qui passent de FF à IE ? J'en doute, s'il y a une augmentation des
parts de marché de IE, c'est dù à des nouveaux utilisateurs qui ont IE comme
navigateur par défaut (c'est pas beau la convergence ?) et non parce que des
gens sont décu des firefox et retourne à IE. Juste l'idée me donne des nausées.

Miguel
Lien permanent
 

Re: Les trous de sécurité de Firefox

  • Canada
  • Windows
  • Mozilla Thunderbird
Fadi Hobeila <fadi.hobeila(à)mail.mcgill.ca>
2005-09-22 12:25:15 EDT
 
Miguel Tremblay wrote:


> Une réponse que j'ai fait à mon frère et que j'aimerais vous partager.
>
> ---------- Forwarded message ----------
> Date: Thu, 22 Sep 2005 11:42:55 -0400 (EDT)
> From: Miguel Tremblay <miguel.tremblay(à)ptaff.ca>
> To: Lino Tremblay <lino_tremblay@****.qc.ca>
> Subject: Re: Firefox
>
> On Thu, 22 Sep 2005, Lino Tremblay wrote:
>
>> Que c'est qui se passe donc?
>>
>> http://www.internetnews.com/security/article.php/3550511
>>
>> http://www.internetnews.com/bus-news/article.php/3528266
>>
>> L.
>>
>
> Calmons-nous. Premièrement, il s'agit de « vendor-confirmed
> vulnerabilities » et non simplement de « vulnerabilities ». Comme
> d'habitude lorsqu'un nouveau produit arrive et est meilleurs que le
> précédent, on voudrait que ce soit une panacée. Ce n'est pas le cas,
> firefox a ses défauts.
>
> Ceci étant dit, IE a une liste de bugs non rustinés qui est longue
> comme le bras. Ceux-ci ne sont pas listé dans les « vendor-confirmed
> vulnerabilities » Les bugs de firefox/mozilla sont corrigé dans la
> journée par la communauté aussitôt qu'ils sont découvert.


Dans la journée? On est à 1.07. tu me dis qu'ils ont corrigés seulement
7 vulnérabilités en un an. Ce qui est vrai c'est que l'équipe de Firefox
corrigent ses bugs très rapidement et *souvent* dans la même journée.


> Pour ce qui est de IE, l'équipe de marketing doit décidé s'ils
> reconnaissent le bug, si ça vaut vraiment la peine de coder pour le
> corriger et dans combien de temps ils vont sortir la mise à jour qui
> corrige ce défaut.


Là Miguel tu fais un peu du Stefan. C'est de la pure conjecture. Ca
prends plus de temps à microsoft mais ya rien qui dit (ou prouve) que ça
fonctionne comme tu le dis. On peut bien chier sur MS, mais faut pas
prendre virer fou quand même.


> Les modèles de développement sont incomparable. On ne dirige pas un
> paquebot avec la même célérité qu'une flotte de régates.

> Quand aux part de marché de FF, je n'ai aucune inquiétude. Qu'est-ce
> qu'ils ont sorti déjà comme nouveauté IE depuis 5 ans?


Pas pertinent avec les parts de marché. Je pense surtout que les outils
pour définir les parts de marché ont une certaine incertitude et que les
fluctuations que l'on voit font parties des incertitudes.


> Est-ce qu'il y vraiment des utilisateurs qui passent de FF à IE ? J'en
> doute, s'il y a une augmentation des parts de marché de IE, c'est dù à
> des nouveaux utilisateurs qui ont IE comme navigateur par défaut
> (c'est pas beau la convergence ?) et non parce que des gens sont décu
> des firefox et retourne à IE.


Il y a certaines personnes qui retournent à IE mais je pense que tu as
raison pour les nouveaux utilisateurs.
Ce sont les extensions qui sont cool avec Firefox, mais il y a beaucoup
d'utilisateurs qui ne les utilisent pas. Il est donc concevable que
certaines personnes aient essayé Firefox, n'ont pas aimé (difficile à
croire mais bon) et sont retournés sous IE. Ils sont passé à côté d'une
des puissances de Firefox car ils ne sont pas assez geeks pour l'utiliser.
Aussi le "plafonnement" de Firefox pourrait s'expliquer par le fait que
les "techno-litterate" ont presque tous déjà adopté Firefox mais qu'ils
restent la population générale à convertir et là, ça va prendre plus de
temps.
Lien permanent
 

RE: Les trous de sécurité de Firefox

  • Commercial
  • Microsoft Outlook
Eric Maziade <maze(à)novisoft.com>
2005-09-22 12:32:20 EDT
 
À vrai dire, je pense que le seul vrai frein à l'utilisation de Firefox est
qu'il ne "marche pas tout le temps".

Entre guillements, car il s'agit ici de la perception des utilisateurs
non-technologiques (donc la très grande majorité).

Les développeurs de sites qui se donnent la peine de suivre les standards
*et* de tester cross-browser ne sont pas encore assez nombreux.

Bon nombre de pages vont utiliser ActiveX, mauvais HTML, etc... qui roulent
tous bien sous IE.

L'impression des gens? "La page marchait avec IE et avec FF, ça marche pu.
FF est donc moins bon."

Même chez moi, je roule FF mais ma copine préfère IE, parce que FF "marche
pas" (la page Web de la compagnie où elle travaille "marche pas" sous FF (
www.artistours.com ))

Même moi, je roule avec le plugin FF "view with IE" qui me permet de voir
une page sous IE via right-click... et c'est malheureusement très utile
:( - même dans un contexte extérieur au développement.

Et quand FF aura pris assez d'ampleur pour faire "peur" à IE, IE7 sortira et
viendra tout foutre à terre.

Pessimiste? Peut-être... mais j'anticipe quand même que l'histoire se
répetera :(
Lien permanent
 

Re: Les trous de sécurité de Firefox

  • Canada
  • Windows
  • Mozilla Thunderbird
Fadi Hobeila <fadi.hobeila(à)mail.mcgill.ca>
2005-09-22 12:44:33 EDT
 
Eric Maziade wrote:


>À vrai dire, je pense que le seul vrai frein à l'utilisation de Firefox est
>qu'il ne "marche pas tout le temps".
>
>Entre guillements, car il s'agit ici de la perception des utilisateurs
>non-technologiques (donc la très grande majorité).
>
>Les développeurs de sites qui se donnent la peine de suivre les standards
>*et* de tester cross-browser ne sont pas encore assez nombreux.
>
>Bon nombre de pages vont utiliser ActiveX, mauvais HTML, etc... qui roulent
>tous bien sous IE.
>
>L'impression des gens? "La page marchait avec IE et avec FF, ça marche pu.
>FF est donc moins bon."
>
>Même chez moi, je roule FF mais ma copine préfère IE, parce que FF "marche
>pas" (la page Web de la compagnie où elle travaille "marche pas" sous FF (
>www.artistours.com ))
>
>Même moi, je roule avec le plugin FF "view with IE" qui me permet de voir
>une page sous IE via right-click... et c'est malheureusement très utile
>:( - même dans un contexte extérieur au développement.


J'avoue que j'utilise le même plugin. Je l'utilise surtout pour le site
de cipc-info, bien meilleur service que microbytes en passant.


>Et quand FF aura pris assez d'ampleur pour faire "peur" à IE, IE7 sortira et
>viendra tout foutre à terre.


J'ai l'impression qu'avec la sortie de IE7, MS va interrompre la montée
de Firefox mais ne va pas tuer Firefox. Il va être assez bon pour que
les gens ne se donnent pas la peine de changer de navigateur. Les
utilisateurs plus avancés vont rester avec Firefox mais les nouveaux
risquent de rester avec IE7 qui viendra standard sur le nouvel OS de MS.
Convergence comme dit Miguel...
Lien permanent
 

Re: Les trous de sécurité de Firefox

  • Canada
  • GNU/Linux
  • Mutt
  • FOAF
  • PGP
Patrice Levesque <wayne(à)ptaff.ca>
http://ptaff.ca/
2005-09-22 13:04:08 EDT
 

> Et quand FF aura pris assez d'ampleur pour faire "peur" à IE, IE7 sortira et
> viendra tout foutre à terre.


Personnellement, en tant que développeur, ce n'est pas tant Firefox qui
démontre des qualités supérieures et qui mérite une plus grande part de
marché, mais plutôt IE6 qui ne vaut plus rien aujourd'hui et qui mérite
de disparaître.

Si on tient à l'écart la dimension libre/non-libre, Opera, Safari/KHTML
se comparent très bien à FF côté « respect des
standards d'aujourd'hui ». Si Firefox/Moz n'existaient pas, je
pousserais probablement quand même pour éviter que les gens utilisent
MSIE.

Cela dit, on nous promet de très belles choses pour IE7 côté respect des
standards; ça ne rendra pas le navigateur meilleur au point de vue
technique qu'Opera/KHTML/FF, mais je sais qu'au moins le dénominateur
commun va progresser un peu. Il demeure cependant qu'il nous reste
encore au moins un 5 ans solide à supporter IE6... la planète va pas se
garrocher dans les magasins pour acheter un nouvel ordinateur la journée
de la sortie de Windows Vista.

Reste la sécurité, 5 ans après la sortie de IE6 demeurent encore des
trous béants; on souhaite une grande amélioration de ce côté - sinon,
qu'ils arrêtent donc de nous casser les oreilles avec leur « La sécurité
est notre première préoccupation ».



--
--====|====--
--------================|================--------
Patrice Levesque
http://ptaff.ca/
wayne(à)ptaff.ca
--------================|================--------
--====|====--
--
Lien permanent
Pièces jointes
 

Re: Les trous de sécurité de Firefox

  • Canada
  • GNU/Linux
  • Mutt
  • FOAF
  • PGP
Patrice Levesque <wayne(à)ptaff.ca>
http://ptaff.ca/
2005-09-22 12:48:59 EDT
 

> >Pour ce qui est de IE, l'équipe de marketing doit décidé s'ils
> >reconnaissent le bug, si ça vaut vraiment la peine de coder pour le
> >corriger et dans combien de temps ils vont sortir la mise à jour qui
> Là Miguel tu fais un peu du Stefan. C'est de la pure conjecture. Ca


Ok, disons que la décision n'est pas prise par l'équipe de marketing.
En tous les cas,

- D'une part un processus décisionnel est impliqué (car pas tous les
bugs se voient réparés, même si publics et exploitables);
- Même des bugs reconnus ne sont pas corrigés (transparence alpha des
PNG par exemple);
- Le « combien de temps attendre avant de le sortir » également est
délibéré, comment peuvent-ils distribuer leurs rustines à l'armée
avant le grand public sans que le grand public n'attende pour
rien? (*)

Alors je ne vois pas de quelle conjecture dont on parle.




(*) http://slashdot.org/articles/05/03/12/0319256.shtml?tid=109&tid=172
Malheureusement je n'ai pas trouvé de cache de l'article de Reuters.


--
--====|====--
--------================|================--------
Patrice Levesque
http://ptaff.ca/
wayne(à)ptaff.ca
--------================|================--------
--====|====--
--
Lien permanent
Pièces jointes
 

Re: Les trous de sécurité de Firefox

  • Canada
  • Windows
  • Mozilla Thunderbird
Fadi Hobeila <fadi.hobeila(à)mail.mcgill.ca>
2005-09-22 13:04:29 EDT
 
Patrice Levesque wrote:


>>>Pour ce qui est de IE, l'équipe de marketing doit décidé s'ils
>>>reconnaissent le bug, si ça vaut vraiment la peine de coder pour le
>>>corriger et dans combien de temps ils vont sortir la mise à jour qui
>>>
>>>
>>Là Miguel tu fais un peu du Stefan. C'est de la pure conjecture. Ca
>>
>>
>
>Ok, disons que la décision n'est pas prise par l'équipe de marketing.
>En tous les cas,
>
>- D'une part un processus décisionnel est impliqué (car pas tous les
> bugs se voient réparés, même si publics et exploitables);
>- Même des bugs reconnus ne sont pas corrigés (transparence alpha des
> PNG par exemple);


La conversation de Miguel avec Lino est à propos des vulnérabiliés, pas
des bugs qui ne changent rien à la vie de l'utilisateur moyen. En tout
cas, moi je parlais de vulnérabilités, de sécurité.
A ce que je sache, le memory leak de Firefox connu depuis plus d'un an
n'a pas été corrigé non plus, ca aussi c'est un bug connu mais pas
corrigé (et bien plus importanat que le png). Anyway, chaque fureteur à
son lot de bugs pas corrigés.
Mais pour les vulnérabilités, je pense que MS s'est beaucoup amélioré et
que les bugs qui sont rapportés sont effectivement corrigés. Ca prend du
temps, mais ils sont corrigés.


>- Le « combien de temps attendre avant de le sortir » également est
> délibéré, comment peuvent-ils distribuer leurs rustines à l'armée
> avant le grand public sans que le grand public n'attende pour
> rien? (*)


C'est I-NAC-CEP-TABLE! Utiliser l'armée comme béta-testeurs. C'est
mettre la nation en danger!
Lien permanent
 
Re: Les trous de sécurité de Firefox
  • Canada
  • GNU/Linux
  • Mutt
  • FOAF
  • PGP
Patrice Levesque <wayne(à)ptaff.ca>
http://ptaff.ca/
2005-09-22 13:12:25 EDT
 

> La conversation de Miguel avec Lino est à propos des vulnérabiliés, pas
> des bugs qui ne changent rien à la vie de l'utilisateur moyen. En tout


Excuse-moi, dans ma tête, une vulnérabilité est juste une parmi tant
d'autres classes de bugs. Ce que j'avance reste vrai pour les
vulnérabilités; regardons ensemble un graphique:

http://secunia.com/product/11/#statistics_solution

Microsoft Internet Explorer 6.x
Solution Status

28% Unpatched
57% Vendor patch
3% Vendor workaround
13% Partial Fix

On ne parle que de trous de sécurité ici.



--
--====|====--
--------================|================--------
Patrice Levesque
http://ptaff.ca/
wayne(à)ptaff.ca
--------================|================--------
--====|====--
--
Lien permanent
Pièces jointes
 
Re: Les trous de sécurité de Firefox
  • Canada
  • Windows
  • Mozilla Thunderbird
Fadi Hobeila <fadi.hobeila(à)mail.mcgill.ca>
2005-09-22 13:23:25 EDT
 
Patrice Levesque wrote:


>>La conversation de Miguel avec Lino est à propos des vulnérabiliés, pas
>>des bugs qui ne changent rien à la vie de l'utilisateur moyen. En tout
>>
>>
>
>Excuse-moi, dans ma tête, une vulnérabilité est juste une parmi tant
>d'autres classes de bugs. Ce que j'avance reste vrai pour les
>vulnérabilités; regardons ensemble un graphique:
>
>http://secunia.com/product/11/#statistics_solution
>
>Microsoft Internet Explorer 6.x
>Solution Status
>
>28% Unpatched
>57% Vendor patch
> 3% Vendor workaround
>13% Partial Fix
>
>On ne parle que de trous de sécurité ici.


Intéressant. Tu as bien raison.
Je vois qu'Opera est en tête avec 0% Unpatched, 100% patched. Firefox a
plutôt 13% unpatched et 4% partial fix. C'est juste plate qu'Opera n'ait
pas de plugin comme FF...
En tout cas, c'est bien la preuve qu'une solution non-libre peut être
sécuritaire aussi.
Lien permanent
 
 

Propulsé par xhtmail