Le Rayon UX

La radiographie du Web en temps presque réel / thème en chantier (je m'appelle Teuse)

Une vulnérabilité critique dans Firefox : la fondation Mozilla n'est pas la seule à surfer sur le buzz firefox 3

Peut être ai-je lu un peu trop d’ouvrages traitant du grand complot judéo maçonnique mondial ourdi par les adorateurs de Cthulhu et que le Necronomicon n’est pas forcément un livre de chevet recommandable pour une personne normale. Je trouve cependant singulièrement frappant qu’une vulnérabilité de sécurité critique touchant Firefox 3 ET Firefox 2 ait fort opportunément été découverte, et publiée, moins de 5 heures après la release en grandes pompes de Firefox 3 et le début du Firefox Download Day.

Certes, sur un malentendu, ça peut marcher, mais vus la longueur du cycle de développement de Firefox, l’ouverture de son code à qui veut bien le lire, et le nombre considérable de bêta et de RC qui ont précédé la sortie du produit fini, on ne m’enlèvera pas de la tête que cette coïncidence est trop frappante pour être tout à fait honnête.

[edit]
Cela dit, j’aimerais aussi comprendre pourquoi la fondation Mozilla, mise au courant de la vulnérabilité a laissé se poursuivre le Firefox Download Day. À moins évidemment que le marketing soit devenu plus important que la sécurité des utilisateurs.

  • Par Damien 19/06/2008 at 11h37

    J’te dis ouais.

  • Par Jean-Sébastien Mansart 19/06/2008 at 11h38

    Moui, et après on pourrait aussi dire que c’est l’équipe d’IE7 qui aurait dévoilé la vulnérabilité et là, ça serait vraiment du complot….

    Mon coté optimiste me fait quand même penché pour de la coïncidence.

  • Par Cédric 19/06/2008 at 13h04

    Curieux en effet que cela arrive maintenant. Quant à la fondation Mozilla, si cela touche les versions 2 et 3, arrêter le téléchargement de la 3 ne change rien. Par contre j’espère qu’ils ont redirigés les équipes vers ce problème en priorité.

    C’était ma crainte : que le buzz autour de FF3 fasse le lit d’un problème. Hack d’un serveur, faille, … et que tout le positif espéré se retourne contre FF.

  • Par jeff.keyser 19/06/2008 at 13h29

    Etonnant en effet. Je pense qu’il y a un peu des deux : le marketing qui dit de ne pas arreter le record alors qu’une faille horrible viens d’être découverte par hazard

  • Par Cédric 21/06/2008 at 11h12

    Sérieux, qu’est-ce qu’arrêter l’évènement aurait changé, puisque FF2 est également touché? Autant laisser faire le coup médiatique, et corriger rapidement pour les deux versions : à défaut de montrer que FF est parfait, cela montrera au moins que ses équipes sont réactives.

  • Par Frédéric de Villamil 21/06/2008 at 12h25

    @J-S : laisse moi deviner, dans les jeux de rôles, tu prends toujours un perso loyal {b|c}on ?

    @Cédric1 : c’est vrai, autant encourager des millions de personnes télécharger un logiciel vérolé en connaissance de cause.

    @Cédric2 : bonne idée. Maintenant transposon ça à du jambon à la lysteria dans un supermarché. Pendant une grosse promo, on apprend que le jambon est contaminé, mais surtout, on ne le retire pas. On rappellera simplement les lots contaminés une fois la vente terminée, ce qui montrera la réactivité de l’équipe du supermarché. Et pendant ce temps là, tu as des millions d’utilisateurs qui peuvent se faire rooter leur machine / chopper la lysteriose en toute tranquillité.

  • Par Cédric 22/06/2008 at 12h09

    Je pense simplement que FF3 n’augmente pas le risque - par rapport à FF2 c’est la même chose, pas pire pas mieux - par rapport à IE6 au moins on sait que le bug sera corrigé

    Si FF2 n’avait pas été sensible à la faille j’aurais été 100% d’accord avec toi. Ensuite de leur point de vue s’ils bloquent le d-day ils risquent d’avoir l’effet inverse à celui espéré, et de transformer le “on fait parler de FF” en “FF c’est plein de failles”. Ceci étant je n’ai toujours pas vu la correction et j’avoue que plus le temps passe et plus je me sens nerveux sur ce sujet.

    Enfin, nerveux, ce n’est qu’un outil, je me frappe pas non plus pour cela.

Commentaire Une vulnérabilité critique dans Firefox : la fondation Mozilla n'est pas la seule à surfer sur le buzz firefox 3