Je suppose que le délai d'installation des modules complémentaires par Firefox présente un avantage en termes de sécurité, mais je n'arrive pas à comprendre lequel. (Oui, je sais que vous pouvez désactiver le délai).
Si vous répondez à cette question, veuillez fournir des références provenant des listes de diffusion de Firefox ou des journaux de commit.
Pourquoi ?
Voici un article intéressant sur conditions de course dans les dialogues de sécurité par Jesse Ruderman :
Une autre forme d'attaque consiste à convaincre l'utilisateur de double-cliquer à un endroit précis de l'écran. Cet endroit se trouve être l'endroit où le bouton "Oui" apparaît. Le premier clic déclenche la boîte de dialogue ; le deuxième clic tombe sur le bouton "Oui". J'ai fait un Démo de cette attaque pour Firefox et Mozilla.
La solution de Firefox, de bug 162020 est de retarder l'activation des boutons "Oui"/"Installer". jusqu'à trois secondes après l'apparition de la boîte de dialogue. Je pense qu'il s'agit de la seule solution possible, à part le fait de priver complètement les contenus non fiables de la possibilité de poser le dialogue. Malheureusement, cette solution est frustrante pour les utilisateurs qui installent souvent des extensions.
En fait, il s'agit de prévoir le moment où l'utilisateur cliquera et d'intercepter ce clic dans une boîte de dialogue d'installation. Ruderman a expliqué une situation de jeu plus concise comme suit dans son rapport de bogue de Firefox, ce qui a finalement conduit à l'inclusion de la période de retard.
Pour résumer à nouveau, son point principal était :
Si je peux contrôler ou prédire quand et où un utilisateur va cliquer, Je peux les faire installer un logiciel .
Le délai n'était certainement qu'un moyen parmi d'autres d'y remédier. Une autre aurait pu être brassage des boutons pour "Installer", "Annuler" chaque fois que vous voulez installer quelque chose. C'est quelque chose d'utilisé très souvent, mais cela perturbe l'utilisateur plus que cela ne l'aide.
Une autre idée serait déplacer l'emplacement de la fenêtre aléatoirement pour chaque dialogue. Cela a le même résultat que de mélanger les boutons, à savoir dérouter l'utilisateur.
De plus, l'introduction du hasard n'est pas la solution ultime. S'il existe des raccourcis clavier pour les boutons, vous pourriez également intercepter les pressions sur les touches. Tout cela étant dit, il s'agit plutôt d'une fonctionnalité héritée du passé, car la plupart des plugins sont de toute façon installés à partir du site officiel des modules complémentaires de Firefox.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
