Parmi les innombrables plugins Firefox que j’ai pris l’habitude d’utiliser. Il y a ASNumber, ce plugin permet de faire la correspondance entre un site web et l’AS qui l’héberge. Pour simplifier, l’AS est un des identifiants réseau de l’hébergeur.
Malheureusement, je suis passé sur la dernière version de Firefox et vu qu’aucune mise à jour n’a été effectué par le mainteneur du plugin, le plugin n’était plus utilisable. Heureusement pour moi, les plugins Firefox sont en fait de simple fichiers ZIP contenant une description et une archive JAR qui contient des fichiers javascripts et css. Après quelques modifications, j’ai pu réaliser une version du plugin compatible avec Firefox 3.5. Le mainteneur a été contacté mais pour les impatients la version modifiée du plugin est disponible à cette adresse : http://mirror.labs.fr/pub/Firefox/asnumber_35.xpi.
Astuce : Si vous voullez heberger des extensions Firefox sur votre propre serveur, il ne faut pas oublier d’associer l’extension .xpi au mime-type application/x-xpinstall.
Big Brother is making your web unsecure
Ce qu’il y a de plus effrayant avec certaines grandes entreprises, c’est cette petite manie qu’elles ont de se croire au dessus des règles. Prenons l’exemple de Google, comme toute les grosses boites dans le domaine de l’informatique, ils ont leur équipe « sécurité informatique ». Chez eux, ils font dans l’originalité et appellent cette équipe : la « Google Security Team ». Comme dans toutes les équipes du même genre, on y trouve des chercheurs dans différents domaines. Comme Google est une boite jouissant d’une certaine réputation, ils n’ont pas de mal à recruter des profils intéressants ayant envie d’ajouter une ligne qui peut rapporter gros à leur CV. L’équipe finit donc par monter en compétence et publie donc des vulnérabilités.
Et c’est là que les problèmes commencent. Pas pour Google, ce sont de grand enfants, ils savent quand ils vont publier, ils savent donc quand patcher leurs serveurs. Par contre, ils oublient que reveler une faille un jeudi soir [1] et juste quelques heures après que le patch ait été ajouté dans les sources Linux, c’est rendre l’ensemble des serveurs Linux vulnérable pour au moins un week-end. Et ça n’a pas manqué aucune distribution majeure n’a eu de patch prêt avant lundi.
Jusqu’à hier, on avait donc quasiment l’ensemble des Linux du monde vulnérable et avec comme seule solution de patchage des grosses bidouilles. C’est quand même assez genant, et cela est totalement opposé aux règles communement admises pour la révalation de failles de sécurité. [2]