Firefox : toutes les extensions sont désactivées (04.05.19)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

Re: Firefox : toutes les extensions sont désactivées (04.05.

Messagede pierre » 04 Mai 2019, 20:27

Ah oui, tiens, Canvas Defender passe.
Ils ne seraient pas en train de refaire les signatures une par une ?
Ou alors, il n'y a pas de code caché dans Canvas Defender.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25353
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Firefox : toutes les extensions sont désactivées (04.05.

Messagede shl » 04 Mai 2019, 21:02

Qu'est-ce qu'ils appellent « code caché » ?
La vie privée n'est pas réservée à ceux qui ont des choses à se reprocher.
Ma config détaillée
Assiste.com
Avatar de l’utilisateur
shl
Développeur
 
Messages: 3574
Inscription: 30 Oct 2004, 23:06
Localisation: Suivez mon regard...

Re: Firefox : toutes les extensions sont désactivées (04.05.

Messagede Silure » 04 Mai 2019, 21:22

Vous allez rire.


Tout vient de se désactiver d'un seul coup sur ma Debian avec l'avis (barre jaune).

Application du contournement sur la config FF = OK
Image
Linux user #546171 Config <=
Avatar de l’utilisateur
Silure
Modérateur
 
Messages: 761
Inscription: 15 Juil 2005, 14:10
Localisation: Aquitaine

Re: Firefox : toutes les extensions sont désactivées (04.05.

Messagede pierre » 04 Mai 2019, 22:11

Les développeurs d'extension donnent obligatoirement deux choses à la Fondation :

  • Le code source de l'extension
  • Le code compilé, link édité, minifié de l'extension

Le code caché serait, à mon avis, une différence entre le code source compilé par la Fondation et le code compilé fourni par le développeur de l'extension.
C'est à partir de là qu'il détecte la présence de code caché (ce qui ne préjuge en rien de la malignité de ce code). Il y a donc suspicion, totalement logique.

La Fondation se lance alors dans un travail d'analyse du code source et d'analyse comportemental (sandboxing) du code exécutable fourni.

On ne peut qu'aller dans le sens de la Fondation et applaudir des deux mains si elle décide de laver plus blanc que blanc et observer toutes les extensions qui vont disparaître le 10 juin (et se faire une idée d'un pan du Web caché et d'un Internet qui est, globalement, une zone trompeuse et hostile).




Traduction de ce que dit la Fondation aux développeurs d'extensions :

Les modules complémentaires étendent les fonctionnalités de base de Firefox, permettant aux utilisateurs de modifier et de personnaliser leur expérience Web. Un écosystème sain, fondé sur la confiance, est essentiel pour que les développeurs réussissent et que les utilisateurs se sentent en sécurité en s'appropriant Firefox. Pour ces raisons, Mozilla exige de tous les add-ons qu'ils se conforment aux règles suivantes sur les pratiques acceptables. Ces politiques ne sont pas destinées à servir d’avis juridiques, ni de liste complète de termes à inclure dans la politique de confidentialité de votre add-on.

Tous les add-ons sont soumis à ces règles, quelle que soit la manière dont ils sont distribués. Lorsqu'un complément est examiné de manière humaine ou évalué d'une autre manière par Mozilla, ces règles servent de principes directeurs pour ces examens. Les modules complémentaires non conformes à ces stratégies peuvent être refusés ou désactivés par Mozilla. Par conséquent, suivez ces règles lorsque vous prenez des décisions de conception et de développement d’ajouts.

Pas de surprises

Les surprises peuvent être appropriées dans de nombreuses situations, mais elles ne sont pas les bienvenues lorsque la sécurité, la confidentialité et le contrôle des utilisateurs sont en jeu. Il est extrêmement important d’être aussi transparent que possible lors de la soumission d’un add-on. Les utilisateurs doivent être en mesure de discerner facilement les fonctionnalités de votre module complémentaire et de ne pas être confrontés à des expériences utilisateur inattendues après leur installation.

Caractéristiques inattendues

Les fonctionnalités «inattendues» sont celles qui ne sont pas liées à la fonction principale du module complémentaire et ne sont pas susceptibles, à partir du nom ou de la description du module complémentaire, d'être attendues par un utilisateur installant ce module complémentaire.

Un complément devrait-il inclure une fonctionnalité inattendue relevant de l'une des catégories suivantes :

  • Compromet potentiellement la confidentialité ou la sécurité de l'utilisateur (comme l'envoi de données à des tiers)
  • Modifie les paramètres par défaut tels que le nouvel onglet, la page d'accueil ou le moteur de recherche.
  • Apporte des modifications inattendues au navigateur ou au contenu Web
  • Inclut des fonctionnalités ou fonctionnalités non liées aux fonctions principales du module complémentaire.

Ensuite, la ou les fonctionnalités «inattendues» doivent respecter toutes les conditions suivantes :

  • La description du module complémentaire doit clairement indiquer les modifications apportées par le module complémentaire.
  • Toutes les modifications doivent être «acceptées», ce qui signifie que l'utilisateur doit prendre des mesures autres que celles par défaut pour appliquer les modifications. Les modifications qui invitent les utilisateurs via le système d’autorisations ne nécessitent pas d’inscription supplémentaire.
  • L'interface d'adhésion doit clairement indiquer le nom de l'add-on demandant le changement.

Contenu

Les modules complémentaires qui utilisent les marques commerciales de Mozilla doivent être conformes à la politique de Mozilla en matière de marques de commerce. Si l'add-on utilise «Firefox» dans son nom, la norme de dénomination que l'add-on devrait suivre est : «<nom de l'add-on> pour Firefox».

En outre, les modules complémentaires répertoriés sur addons.mozilla.org (AMO) doivent respecter les règles suivantes :

  • Tous les add-ons proposés à la liste sur AMO sont soumis aux Conditions d'utilisation de Mozilla.
  • Les modules complémentaires doivent indiquer quand un paiement est requis pour activer une fonctionnalité.
  • Tous les add-ons ou contenus add-on hébergés sur le (s) site (s) Mozilla doivent être conformes à la législation en vigueur aux États-Unis.
  • La liste des add-on devrait avoir une description facile à lire de tout ce qu’elle fait et de toutes les informations qu’elle recueille. Veuillez consulter notre guide des meilleures pratiques pour créer une liste attrayante.
  • Les modules complémentaires destinés à un usage interne ou privé, ne sont accessibles qu’à un groupe d’utilisateurs fermé, ou ne sont peut-être pas testés pour la distribution et ne sont pas répertoriés dans AMO. Ces add-ons peuvent être téléchargés pour une distribution automatique.
  • Si le module complémentaire est une branche d'un autre module complémentaire, le nom doit clairement le distinguer de l'original et fournir une différence significative de fonctionnalité et / ou de code.

Directives de soumission

Les modules complémentaires doivent fonctionner uniquement comme décrit et fournir une expérience utilisateur attrayante. Selon la description de l’add-on, un utilisateur doit être en mesure de comprendre et d’utiliser ses fonctionnalités sans recourir à des connaissances approfondies. Vous trouverez ici des conseils sur la manière de créer une bonne expérience utilisateur pour votre add-on.

Lors de la révision, l'add-on est soumis à des tests de base en plus de la révision du code. Pour faciliter les tests fonctionnels, l'auteur du module complémentaire doit fournir des informations sur le test et, le cas échéant, les informations d'identification du test requises pour utiliser le module complémentaire si un compte est nécessaire pour une partie quelconque de ses fonctionnalités.

Les questions soulevées au cours de l'examen doivent être traitées au mieux. Si des corrections ont été demandées, la nouvelle version ne devrait pas contenir de modifications non liées, car cela complique le processus d’examen et peut entraîner de nouveaux rejets.

Soumission de code source

Les modules complémentaires peuvent contenir du code transpilé, minifié ou généré par une autre machine, mais Mozilla doit passer en revue une copie du code source lisible par l'homme. L'auteur doit fournir ces informations à Mozilla lors de la soumission, ainsi que des instructions sur la manière de reproduire la construction.

Le code source fourni sera examiné par un administrateur et ne sera en aucun cas redistribué. Le code ne sera utilisé que dans le but de réviser le module complémentaire. L'absence de cette information entraînera le rejet.

Les modules complémentaires ne sont pas autorisés à contenir du code obscurci, pas plus que du code qui cache le but de la fonctionnalité impliquée. Si des ressources externes sont utilisées en combinaison avec un code complémentaire, la fonctionnalité du code ne doit pas être masquée. Au contraire, la minification de code dans le but de réduire la taille du fichier est autorisée.

Veuillez lire nos directives de soumission de code source pour éviter les blocages ou rejets inattendus.

Pratiques de développement

En général, les développeurs sont libres de maintenir leurs compléments de la manière qu'ils ont choisie. Cependant, afin de maintenir une sécurité des données appropriée et de réviser efficacement le code, nous avons certaines exigences techniques que tous les add-ons doivent respecter. En particulier, les API potentiellement dangereuses ne peuvent être utilisées que de manière manifestement sûre, et le code contenu dans les add-ons qui ne peuvent pas être vérifiés comme se comportant correctement et en toute sécurité peut nécessiter une refactorisation.

Tout code, méthode ou pratique figurant dans un add-on soumis est sujet à révision et rejet, mais les exigences suivantes revêtent une importance particulière:

  • Les modules complémentaires doivent uniquement demander les autorisations nécessaires pour la fonction.
  • Les add-ons doivent être autonomes et ne pas charger de code à distance pour exécution
  • Les modules complémentaires doivent utiliser des canaux cryptés pour l'envoi de données utilisateur sensibles.
  • Les modules complémentaires doivent éviter d’inclure des fichiers en double ou inutiles
  • Le code complémentaire doit être écrit de manière lisible et compréhensible. Les réviseurs peuvent vous demander de reformuler certaines parties du code s'il n'est pas révisable.
  • Les modules complémentaires ne doivent pas avoir d’impact négatif sur les performances ou la stabilité de Firefox.
  • Seules les versions des bibliothèques et / ou des frameworks tiers peuvent être inclus dans un add-on. Les modifications apportées à ces bibliothèques / cadres ne sont pas autorisées.
  • Veuillez lire nos consignes relatives aux bibliothèques tierces pour éviter les rejets inattendus.

Divulgation, collecte et gestion des données

Vous devez indiquer comment le module complémentaire collecte, utilise, stocke et partage les données des utilisateurs dans le champ de la politique de confidentialité de AMO. Mozilla s'attend à ce que cette extension limite la collecte de données autant que possible, conformément aux pratiques de gestion allégée de Mozilla et aux principes de confidentialité des données de Mozilla, et utilise les données uniquement aux fins pour lesquelles elles ont été initialement collectées.

Les données utilisateur incluent toutes les informations collectées par le module complémentaire, quel que soit le mode utilisé. Il peut s'agir de données personnelles fournies activement par l'utilisateur (nom de domaine ou adresse électronique, par exemple), de données techniques (système d'exploitation, identifiant de version, numéros de version, rapports d'incident, activation, mises à jour) et de données d'interaction ou d'activité (ajout). sur les données d'activité, les URL visitées, les journaux de la console), y compris les interactions avec Firefox.

La politique de confidentialité de l’add-on doit être le texte complet de la politique; il ne peut s'agir d'un lien vers une politique de confidentialité hébergée en externe. En outre, la politique de confidentialité doit:

  • être spécifique et exclusif à l'add-on,
  • décrire clairement le but de la collecte de données,
  • indiquer les données exactes à collecter,
  • traiter les propriétés de confidentialité particulières de l’add-on.

Un résumé de ces informations doit être inclus dans la description de la liste des add-ons. Enfin, vous et votre extension devez également vous conformer à toutes les lois applicables en matière de confidentialité des données, ainsi qu'à toute autre loi susceptible de s'appliquer à votre extension spécifique.

Veuillez consulter nos meilleures pratiques pour obtenir des conseils et des exemples sur la façon de concevoir et de mettre en œuvre une invite de consentement pour la collecte de données.


Interactions utilisateur et données techniques

  • Les utilisateurs doivent disposer d'un moyen clair de contrôler cette collecte de données. Le mécanisme de contrôle doit être affiché lors de la procédure d'installation du module complémentaire.
  • Les modules complémentaires doivent uniquement collecter des informations sur leurs performances et / ou leur utilisation.
  • La collecte d’informations auxiliaires (par exemple, toute donnée non explicitement requise pour les fonctionnalités de base du module complémentaire) est interdite.

Cookies

  • Si votre module complémentaire installe des cookies, cela doit également être indiqué dans la politique de confidentialité du module complémentaire.
  • La politique de confidentialité supplémentaire doit clairement indiquer l'emplacement et le but du (des) cookie (s). Il est fortement recommandé de divulguer les types de cookies utilisés.
  • Les utilisateurs doivent avoir la possibilité de refuser l'enregistrement ou l'accès aux cookies et doivent être informés des conséquences en résultant (par exemple, sans cookie fonctionnel, le complément peut ne pas fonctionner).
  • L’installation de cookies qui ne sont pas explicitement requis pour la fonctionnalité du module complémentaire est interdite.

Données personnelles

  • Si vous collectez des informations personnelles, les utilisateurs doivent fournir un consentement affirmatif (c'est-à-dire une acceptation explicite de l'utilisateur - note d'Assiste : Opt-In (Acceptation de l'internaute d'entrer dans un mécanisme)). Il doit être clair pour l'utilisateur qu'il donne son consentement à la collecte de données personnelles.
  • La collecte d’informations personnelles auxiliaires (par exemple, toute donnée non explicitement requise pour la fonctionnalité de base du module complémentaire) est interdite.
  • Toute transmission de ce type de données doit utiliser des connexions sécurisées et cryptées.

Protocoles de confidentialité supplémentaires

  • La fuite d'informations locales ou sensibles vers les sites Web ou d'autres processus (par exemple, en utilisant la messagerie native) est interdite.
  • Si le module complémentaire utilise une messagerie native, la politique de confidentialité doit clairement indiquer quelles informations sont échangées avec l'application native. Les données échangées avec l'application native doivent être conformes à notre politique Pas de surprises.
  • HTTPS doit être utilisé pour des opérations de sécurité et confidentielles telles que la transmission de mots de passe ou de jetons.
  • Les données de navigation issues de sessions de navigation privées ne doivent pas être stockées.
  • Les informations d'identité ne doivent pas être divulguées vers le contenu Web lors de sessions de navigation privées.

Vulnérabilités de sécurité

Les modules complémentaires s'exécutant dans un environnement doté de privilèges élevés par rapport aux pages Web ordinaires, ils présentent un ensemble de problèmes de sécurité très sérieux. Ils ont le potentiel d’ouvrir des failles de sécurité non seulement dans les modules complémentaires eux-mêmes, mais également dans le navigateur, dans les pages Web et, dans des cas particulièrement pénibles, dans l’ensemble du système sur lequel le navigateur est exécuté.

En conséquence, nous prenons nos politiques de sécurité très au sérieux et les appliquons à tous les add-ons, qu’ils soient hébergés sur AMO ou non. Nous nous attendons à ce que tous les add-ons soient sécurisés et bien maintenus, qu’ils gèrent à la fois leurs propres données et celles de leurs utilisateurs. Ils doivent également gérer en toute sécurité toutes leurs interactions avec le Web, le navigateur et le système d'exploitation.

Monétisation

  • Les mécanismes de monétisation doivent être conformes aux règles de la section Divulgation, collecte et gestion des données. En particulier, un add-on doit être accompagné d'un mécanisme de contrôle clair de l'utilisateur (et opt-in pour les données personnelles) présenté lors du processus d'installation ou de mise à jour de l'add-on. La collecte d'informations auxiliaires pour la monétisation est interdite.
  • Un add-on injectant de la publicité dans le contenu d'une page Web doit clairement identifier le contenu injecté comme provenant de l'add-on.
  • L'inclusion de mineurs de crypto-monnaie ou de fonctionnalités similaires dans un add-on est interdite.
  • La modification du contenu Web ou la facilitation des redirections pour inclure des balises de promotion d'affiliation n'est pas autorisée. Inversement, l'utilisation de la promotion des affiliés dans des éléments d'interface utilisateur clairement identifiés comme appartenant à l'add-on est acceptable.

Conformité et blocage

Mozilla peut rejeter ou bloquer les versions concernées ou des modules complémentaires entiers qui ne répondent pas à ces règles, en fonction de l'étendue de leur non-conformité.

Mozilla peut tenter de contacter le ou les développeurs du module complémentaire et prévoir un délai raisonnable pour la résolution des problèmes avant le déploiement d’un bloc. Si un add-on semble enfreindre volontairement les politiques ou si ses développeurs se sont révélés inaccessibles, insensibles, ou peu coopératifs, ou en cas de violations répétées, le blocage peut être immédiat.

Mozilla se réserve le droit de bloquer ou de supprimer tout compte de développeur sur addons.mozilla.org, empêchant ainsi toute utilisation ultérieure du service.





Cordialement,
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25353
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Firefox : toutes les extensions sont désactivées (04.05.

Messagede pierre » 04 Mai 2019, 22:17

23h17
Toujours bloqué chez moi.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25353
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Firefox : toutes les extensions sont désactivées (04.05.

Messagede pierre » 04 Mai 2019, 23:48

00h48
Toujours rien.
J'avais fait 2 réinitialisations successives de Firefox avant. Aucune avancée.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25353
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Firefox : toutes les extensions sont désactivées (04.05.

Messagede piratebab » 05 Mai 2019, 06:29

idem chez moi, toujours désactivé.
Je suis temporairement passé sur chromium, avec les mêmes extions (noscript, discourse, ublock origin ..).
comme shl, canvas defender est toujours actif sur FF
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5653
Inscription: 30 Aoû 2004, 18:20

Re: Firefox : toutes les extensions sont désactivées (04.05.

Messagede piratebab » 05 Mai 2019, 06:33

c'est traduit comment sur un FF en français "Allow Firefox to install and run studies"
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5653
Inscription: 30 Aoû 2004, 18:20

Re: Firefox : toutes les extensions sont désactivées (04.05.

Messagede pierre » 05 Mai 2019, 08:26

piratebab a écrit:c'est traduit comment sur un FF en français "Allow Firefox to install and run studies"


Je dirais : "Autoriser Firefox à installer et exécuter des bidules de tests et essais pas stables et pas signés encore en cours d'analyse pour voir si ça donne le résultat escompté et si ça ne casse rien ailleurs?".

C'est ça, non ?

:D
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25353
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Firefox : toutes les extensions sont désactivées (04.05.

Messagede piratebab » 05 Mai 2019, 08:30

voici ce que ça donne en français (inclu une copie d'écran)
https://www.generation-nt.com/firefox-e ... 64605.html
mais chez moi cette option est grisée et pas autorisée
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5653
Inscription: 30 Aoû 2004, 18:20

PrécédenteSuivante

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 8 invités