BlogZiNet

La fondation Mozilla publie un communiqué de presse annonçant la distribution de cinq bounties récompensant la soumission, selon la procédure de sécurité mise en place, de cinq bogues de sécurité.

Le 28 mars 2005 (Mountain View, CA), Mozilla Foundation, une organisation à but non lucratif consacrée à favoriser le choix et l'innovation sur Internet, a aujourd'hui démontré son engagement à préserver une expérience d'Internet sûre et sécurisée en attribuant des « bug bounties », un prix en numéraire pour les utilisateurs qui identifient des bogues de sécurité précédemment inconnus dans le logiciel open source. Michael Krax, d'Allemagne, a reçu cinq bug bounties pour un total de 2 500 US$. Les bogues identifiés par Krax concernent les privilèges du chrome.

« Nous avons développé le programme de bug bounty pour encourager et attribuer des membres de la communauté qui identifient des bogues inconnus dans le logiciel », a déclaré Chris Hofmann, directeur de l'engineering de la fondation Mozilla. « Ce programme est une des nombreuses manières par lesquelles la fondation Mozilla produit des logiciels sûrs et sécurisés pour ses utilisateurs. »

Le programme Bug Bounty a été instauré en 2004 avec le financement de Linspire et Mark Shuttleworth. Depuis cette origine, Mozilla Foundation a décerné des bug bounties à cinq participants.

Sboulema annonce l'inscription de la six centième extension de Firefox sur son site The Extensions Mirror. Compte tenu qu'il ne retient pas toutes les extensions existantes et notamment celles qui n'ont pas à son goût une dénomination assez anglaise, on peut dire qu'il y a bien plus de 600 extensions disponibles pour Firefox. Il y a donc à boire et à manger. Il est à rappeler que les extensions ne sont pas soumises à un audit de sécurité et de confidantialité, même sur Mozilla Update. Il faut donc, comme pour tout ce qu'on fait entrer dans son PC et tout particulièremment les applications et les additifs aux logiciels, être très prudent avec ce que l'on charge.

Boing Boing rapporte la création d'une extension permettant d'avoir continuellement sous les yeux dans son Firefox l'état de la pauvre Terri Schiavo.

Pour faire pièce à ceux qui m'accusent (et souvent les défenseurs de Mozilla) d'en faire des tonnes sur les vulnérabilités de Microsoft, et particulièrement celle d'Internet Explorer, et de balayer les failles de Firefox et autres produits libres sous le tapis, je publierai cet article des Nouvelles.net de Jérôme Staiz qui qualifie la plus grave des failles patchée par la dernière mise à jour de Firefox (mais aussi par Thunderbird 1.0.2 et Mozilla 1.7.6) d'« extrêmement critique ». Il s'agit d'une faille découverte dans le module hérité du code de Netscape pour le traitement des images GIF. De leur côté, K-Otik qualifie la faille de « critique » et Secunia de « Highly Critical » (un cran en dessous d'« Extremely Critical » ; liens ci-dessous). La fondation Mozilla présente, elle, la faille comme étant d'une sévérité critique et d'un risque élevé.

Lire la suite

EricJ de FrenchMozilla publie sur Geckozone un tutoriel pour importer ses signets de Safari, le navigateur d'Apple par défaut sur Mac OS X (enfin les derniers seulement) vers Firefox, navigateur multiplateforme. Les fans d'Apple diront quelle drôle d'idée d'autres moins exclusif ou n'ayant pas le choix pour certaines de leur activités pourront y trouver de l'intérêt.

L'essentiel consistant à transformer les signets du premier en marque-pages pour le second, nous vous proposerons dans cet article une méthode pour y parvenir. (…) Nous vous proposons ici une solution en trois temps pour les habitués du Terminal. Pour ceux qui souhaiteraient procéder autrement, nous proposons le recours à une application tiers, en l'occurrence il s'agira d'Onyx (…) un logiciel libre et gratuit librement diffusable. Ce logiciel offre en outre des fonctions de maintenance, des services pratiques comme celui d'activer/désactiver le menu Debug de Safari, d'un seul clic de souris.

01net. dont les magazines grand-public sont plutôt suivistes que leaders d'opinion prend définitivement en compte le phénomène Firefox. Telecharger n° 11 « présenté par l'éditeur de Micro Hebdo et de l'Ordinateur individuel » propose en couverture de vous révéler « les fonctions cachées d'Internet Explorer et toutes les astuces pour enrichir Firefox. » Toutes les astuces pour Firefox, je voudrais bien voir ça dans un si petit journal (je me demande bien alors pourquoi certains se cassent le #$# à écrire des livres entiers sur Firefox !). De toute façon même en déterrant tous les trésors cachés d'IE, jamais le possesseur de Windows n'aura autant que ce que lui offre Firefox par défaut…

Ancré dans nos habitudes, on oublierait presque qu'Internet Explorer recèle, tout comme Firefox, une multitude de fonctions très utiles pour gagner du temps, enrichir notre expérience Web, personnaliser davantage notre navigation et même renforcer la sécurité du système pour mieux préserver notre anonymat ou éviter à nos enfants d'être confrontés à des contenus peu recommandables.

Notre dossier du mois dévoile les dessous cachés des deux principaux navigateurs Web…

Il faut quand même débourser 6 € 90 (plus de 45 francs pour ceux qui ont encore du mal). Pour ce prix là, on a deux CD en plus du magazine. Un don équivalent à un projet open source ne serait-il pas plus productif pour « enrichir notre expérience Web » ?

MozillaZine-fr met en valeur dans le cadre des Amis du lézard l'article de Laurent Jouanneau sur XULfr « Du changement dans la gestion des extensions » :

« Ben Goodger, le chef de projet de Firefox, vient de dévoiler les changements qui vont être apportés au gestionnaire d'extensions (Voir le billet sur son blog). » Demandez le programme sur XULfr.

Je n'ai pas le temps d'en dire plus mais Firefox 1.0.2 est disponible en français.

Dans une intervention dans le désert de l'Arizona, Mitchell Baker, la présidente de la fondation Mozilla, a abordé la meilleure sécurité de Firefox même en gagnant en popularité, selon CNET News.com. Elle y parle aussi des licences publiques.

Chase Phillips de la fondation Mozilla (ingénieur en charge des compilations) explique pourquoi il n'y a pas d'archive Zip disponible pour Thunderbird 1.0.2 et le très proche Firefox 1.0.2. Ces archives Zip, pourtant très pratiques quand on ne dispose pas des droits d'installation, en entreprise particulièrement, ne seront plus sorties pour les versions grand-public :

Certains se sont demandés pourquoi il n'y a aucun fichier .zip pour les versions 1.0.2 Firefox et Thunderbird. La raison de cela est que la fondation Mozilla a cessé de les publier pour nos versions majeures afin d'éviter la confusion des utilisateurs que ça causait.

Pendant les précédentes sorties, un certain nombre de personnes ont récupéré le package .zip et l'ont utilisé dans leur répertoire d'installation de Firefox. Quand Firefox 1.0.1 a été diffusé, elles ont récupéré le package .exe avec installeur. Quand elles ont installé le 1.0.1 en utilisant l'installeur, beaucoup d'entre elles ont choisi le même emplacement d'installation dans lequel elles ont décompressé le fichier .zip. Ceci a amené leur installation de Firefox 1.0.1 à se planter à plusieurs reprises et (très !) mystérieusement.

Nous avons dépisté la cause du grand nombre d'incidents avec retour qualité (Talkback), que nous recevions tard-tard-tard dans la nuit de la sortie de Firefox 1.0.1, comme étant provoqués par un mauvais usage des packages .zip et .exe. Il était évident alors qu'il n'y aurait aucune correction rapide. La chose la plus futée à faire pour nous était de réduire la complexité de notre configuration de gestion/assurance qualité tout en simplifiant l'expérience de l'utilisateur en aidant les moins débrouillards d'entre nous en sélectionnant le fichier correct à utiliser pour leur plateforme. Pour Windows, les gens devraient utiliser le package .exe.

Si vous êtes un développeur Mozilla et aimez les fichiers .zip, vous pouvez être assuré qu'ils ne disparaissent pas complètement. Tandis que nous ne publierons pas le package .zip avec le reste des fichiers des versions majeures, nous publierons toujours ces packages sous leur forme standard de nocturne.