Si comme @sebsauvage 🙂 vous trouvez que Mozilla fait de la merde, NE LISEZ PAS cet article en français cette fois qui explique comment s’est produit le problème et comment Mozilla a essayé de le résoudre.

blog.mozfr.org/post/2019/05/Ce

@goofy
Merci pour le partage.
J'aime ça, le «on a fait une bourde et on fait tout pour corriger»
Au moins c'est clair et on ne cache rien.
Désolé @sebsauvage mais pour le coup je tire mon chapeau à @Mozilla

Suivre

@globulebleu
Moi non.
Un problème de certificat lié à leur Appstore ne devrait pas impacter et désactiver les extensions déjà installées.

Le fait que l'option "télémétrie", contrairement à ce que son nom indique, INSTALLE SILENCIEUSEMENT DES CHOSES À DISTANCE est tout bonnement inacceptable pour un organisme qui prétend protéger notre vie privée.
Et je ne parle pas des requêtes qui partent vers Google quand vous démarrez votre Firefox (coucou Safebrowsing) - 1/2

@globulebleu
Sinon imaginez Linux avec le même genre de conception ?
Le certificat du dépôt expire, et tous les paquets sont invalidés et votre OS cesse de fonctionner ?
C'est pas juste une bourde, c'est une énorme connerie dès la conception. Une énorme FBI (Fausse Bonne Idée).

Mais c'est pour notre bien, c'est pour notre sécurité. Meh.

Non la pillule n'arrive pas à passer.

@sebsauvage @globulebleu Pour moi ce qui compte pour valider une signature c'est la date de la signature, pas la date courante... Il semble que pour Mozilla ça ne soit pas le cas...

@R1Rail Non.
Avant ça, il faut pouvoir faire confiance à la date de la signature.
Il faut donc vérifier auprès de l’AC la validité de toute la chaîne de confiance. Concrètement, c’est une requête OCSP.
En cas d’échec, il faut renoncer à ce qu’on voulait faire (ne pas exécuter des extensions)… Ou ignorer la vérification (à quoi bon signer dans ce cas ?!)

fr.wikipedia.org/wiki/Online_C

@sebsauvage @globulebleu

@Lanza @globulebleu

Firefox, mais en faisant comme une installation standard de Windows:
Aller changer plein d'option et bidouiller des trucs pour désactiver tout un tas d'options. 😐

@sebsauvage @globulebleu Yapuka forker, alors. Je suis sûr que ça a déjà ete fait quelque part d'ailleurs.

@jpfox C'est une firefox, et du coup,il a eu le même problème. 😜

@sebsauvage @globulebleu

@sebsauvage @globulebleu UN GRAND MERCI @sebsauvage tu sembles peut-être un peu seul contre tous dans cette discussion, mais tu as raison !

NE SACRIFIONS PAS NOTRE LIBERTÉ POUR (ce qu'on nous présente comme) NOTRE SÉCURITÉ !
😬

@sebsauvage @globulebleu
Cette affirmation réveille mon intérêt. La télémétrie n'a pas de définition propre en informatique, et chacun fait un peu ce qu'il veut avec cela actuellement (microsoft en fait des belles, la télémétrie d'ubuntu est hardcodé dans des packets spécifiques, la télémétrie d'un site web est totalement différent de celle d'un soft, etc...).

Donc en quoi le fait que la télémétrie de firefox fonctionne de la sorte est un scandale ?

@darcosion

Télémétrie = "mesure à distance."
Acception courante : collecte d'informations et statistiques qui sont envoyées (plus ou moins anonymement) à un serveur distant.

Et pas "téléchargement de code automatiquement et exécution silencieuse sur le client, sans le consentement de l'utilisateur.".
Ça c'est la définition d'un malware.

@globulebleu

@sebsauvage @globulebleu
Ça c'est ton acceptation courante, ton point de vue.

Dans la réalité, la télémétrie de microsoft, qui a été le premier à en mettre en place à grande échelle nécessite de l'exécution de code plus au moins silencieusement sur une machine distante. Quand je dis plus au moins silencieusement, je veux dire que c'est silencieux quand la télémétrie viens d'un update de package windows, et non silencieuse quand elle est demandé par un utilisateur.
fr.wikipedia.org/wiki/T%C3%A9l

@sebsauvage @globulebleu
Quand au téléchargement de code automatique et exécution silencieuse sur un client sans consentement de l'utilisateur, cela vaut pour beaucoup plus qu'un malware. Une page web avec du webGL fait cela. Windows update fait cela (mauvais exemple cela dis), une bonne partie des clients lourds plus au moins open source font cela (discord, matrix, signal), et je n'évoque même pas les ROM custom...

@sebsauvage @globulebleu
La définition d'un malware n'est absolument pas de télécharger du code et de l'exécuter en arrière plan sans consentement. Sinon les compteurs Linky sont des malwares...

Ce que tu nomme serais plutôt un "loader". Une fonctionnalité de portion de code qu'on retrouve souvent dans les malwares de fait, mais pas obligatoirement que là dedans.
Pour finir sur une citation classe : "Mal nommer un objet, c'est ajouter au malheur de ce monde"

@sebsauvage @globulebleu
Tout les briques informatiques trop critiques pour ne pas être mises à jour doivent contenir un loader pour leur mises à jour, et la télémétrie n'est qu'une fonctionnalité ajoutant au maintient du logiciel des garanties de bonne exécution.

@sebsauvage @globulebleu
Lorsque je te lis, j'ai l'impression de voir la notion de télémétrie être considéré comme une atteinte grave à la liberté et au respect de la vie privé. Mais pour avoir développé de la télémétrie, je ne connais aucun système de télémétrie logiciel (la télémétrie web est assez différente) qui ne nécessite pas d'exécution de code récupéré sur un serveur distant.

Le terme est peut-être un peu maladroit, mais je ne comprend pas ton point de vue pour autant...

@sebsauvage @globulebleu
Petit post scriptum tout de même : C'est en grande partie à cause de l'absence de loader et d'outil de télémétrie que la famille des failles spectre pour les CPU est aussi critique.
Le nombre de système patché est assez bas et malheureusement ça n'est vraiment pas prêt de s'arranger.
En comparaison, les failles NVIDIA comme rowhammer sont très rares du fait de leur fort support avec HCL, nView et NCP.

@sebsauvage @globulebleu
Une dernière chose que je trouve bizarre dans ton propos : la télémétrie de firefox n'autorise pas forcément l'exécution de code en dehors du scope de about:telemetry, sauf si on coche également la case "autoriser firefox à lancer des études", qui dans les options de firefox contient aussi un lien vers about:studies qui montre l'ensemble des études et permet même d'en consulter le code pour chacune...

J'ai du mal à comprendre : que faut-il de plus ?

@darcosion
Si je ne me trompe pas, les "studies" sont activées par défaut.
Mozilla choisit donc de télécharger des et exécuter ses "expériences". L'utilisateur est un cobaye.
@globulebleu

@sebsauvage @globulebleu
Cela est peut-être révolu, mais ayant fait plusieurs installations de firefox récemment dans un cadre d'entreprise, j'ai constaté que la télémétrie de manière générale est désactivé, sauf about:telemetry (scope réduit) et qu'a l'installation, il est demandé à l'utilisateur de les activer pour améliorer firefox. Sur la page d’accueil figure également un barre de popup formulant cette demande.

support.mozilla.org/fr/kb/comm

support.mozilla.org/fr/kb/part

Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !