11/05/2005
 
Failles classée hautement critique.
Versions touchées pour le moment 1.0.6 sur windows et linux et 1.5 beta.
 
Voir http://www.lesnouvelles.net/articl [...] -oxad.html  pour plus d'infos.
 
( Si il y a dejà un topic sur la sécurité de firefox merci de détruire ce post )
 
   
 

le patch ici :
http://ftp.mozilla.org/pub/mozilla [...] 307259.xpi
plus de précision :
http://www.hkcert.org/salert/engli [...] rflow.html

tiens personne ne dis de prendre IE dans ces cas là? charie..

C'est Bizarre il n'est parle pas de ce problème sur le site officiel de FireFox...
 
   

 
+1
 
Si la faille est hautement critique, je trouve ca bizarre que la 1.0.7 ne soit pas déjà sortie!!    

quand une faille est corrigée, ils ne sont pas obligé de changer de version.

Paraît-il que le patch ne corrige pas la faille. Il supprime purement et simplement la gestion des liens avec accents ce qui réduit encore le nombre de sites accessible via Firefox !
 
Bon pas d'affolement, il reste encore Opera (pour combien de temps)  

 
Oui c'est vrai, enfin ca serait signalé sur leur site quand même...

https://addons.mozilla.org/messages/307259.html en date du 9 septembre

 
C'est vrai que les sites avec des accents dans l'URL ou en chinois, ça court les rues actuellement

 
Evidemment, Firefox étant américain, pour ses développeurs qui ont l'anglais comme langue maternelle, ça ne doit pas poser beaucoup de problèmes, vu que l'Anglais ne connaît pas de lettre accentuée. Mais pour les Chinois et accessoirement, pour nous les Français, eh bien !... grâce à Firefox, nous tâcherons de nous plier aux standards de la langue anglaise.  Et de bonne grâce s'il vous plaît !

 
La prochaine fois, tu essaieras de savoir de quoi tu parles avant de chercher a donner des leçons : le probleme en question et son correctif n'ont RIEN a voir avec les langues ou les jeux de caractères utilisés dans les pages web en elle même, qui peuvent evidemment sans le moindre probleme a utiliser des accents ou a être en chinois.
 
Le probleme concerne la norme IDN, qui permet d'utiliser des caractères locaux dans les noms de domaines, genre www.télécharger.com ou .com
Et donc cette possibilité est toute neuve, et perso je connais aucun site se reposant uniquement sur cette possibilité, le fait de la désactiver ne pose donc actuellement quasiment aucun problème.
 
Et anglophone ou pas, les développeurs de softs libre prennent tres a coeur ce genre de considération, souvent bien plus que la plupart des editeurs commerciaux...

 
Je sais très bien de quoi je parle et c'est tout bien pesé et à dessein, que j'ai écrit que grâce à Firefox, «nous tâcherons de nous plier aux standards de la langue anglaise». Et je te mets au défi de me démontrer en quoi les faits contrediraient mes dires ! Car si l'impossiblité de choisir comme nom de domaine télécharger.com à cause des lettres accentuées, ce n'est pas un asservissement aux standards de la langue de Shakespear, alors je serais curieux d'apprécier la logique qui guide tes pensées : Cela nous changera de la banalité...
 
Maintenant, sache que je ne me serais pas permis de proférer ici sans raison quoi que ce soit qui puisse être entendu comme une tentative de donner une leçon à quiconque. Mais cette leçon tu la voulais, maintenant, tu l'as.  
 
Et si ça ne te suffit pas, je me tiens à ta disposition.

 
On va bien rigoler tous les 2 je crois
 
Alors :
 
- le système DNS existe un peu depuis plus de 30 ans, soit légèrement avant Firefox ou même le web, et c'est cette norme internationale qui définit ce qu'on a droit ou pas de mettre dans un nom de domaine sans que les dev de Firefox ai grand chose a y dire, et donc jusqu'a il y a quelques mois c'etait forcement limité a l'alphabet latin sans accent et caractère spéciaux, c'etait comme ça, c'est tout, et globalement le net arrivait quand même a tourner, même en france et en chine... Et plus qu'un asservissement a la langue de Shakespeare, c'etait surtout un asservissement a l'encodage ASCII.
 
- cela fait donc quelques mois qu'on peut reserver des noms de domaines avec d'autres caractères, ce qui evidemment une evolution dans le bon sens, mais de toutes façons la résolution d'un tel nom de domaine ne peut pas renvoyer vers une adresse IP, mais forcément vers un autre nom de domaine classique. Autrement dit, AUCUN site n'est rendu inaccessible par la désactivation de cette fonction, ils ont forcément tous une URL "classique".
 
- le nombre de site utilisant effectivement de format d'adresse est pour le moment plus que réduit, perso j'en connaissais même aucune avant que je me rende compte que le télécharger.com que j'ai mis au pif en exemple existait réelement...
 
- Firefox a été un des 1ers navigateurs a supporter nativement cette nouvelle norme, ce qui n'est pas exemple toujours pas le cas d'IE, le navigateur qui est toujours utilisé par 90% de la planete anglophone ou non, pour lequel il faut un plugin externe.
 
- Firefox est totalement ouverts aux autres langues depuis son apparition, il a une bonne quarantaine de traduction officielle. (Opera qui te semble tellement plus ouvert a priori a en moins de 30 par exemple).
 
- La Mozilla Fondation n'a jamais dit qu'ils allaient en rester la pour la question, la désactivation de cette fonction est evidemment une solution d'urgence temporaire en attendant un vrai patch.
 
Bref t'es franchement a côté de la plaque.
 

 
 
He ben.

moi je garde mon firefox

 
Moi aussi, j'aime trop le principe des onglets!! le blocage des images...  

 
Joli petit laïus mais qui sonne à mes oreilles comme une dérobade larvée dont je ne suis pas dupe. Dans un message auquel vous avez répondu et que vous avez textuellement repris en citation dans le vôtre, vous m'avez accusé de ne pas savoir ce dont je parlais. Eh bien, j'attends que vous me démontriez où et en quoi mes propos seraient contredits par les faits. Ce qui n'est jusqu'à présent pas le cas car, que je sache, quand j'écris «grâce à Firefox, nous tâcherons de nous plier aux standards de la langue anglaise» je ne prononce aucune exclusive à l'égard d'un autre navigateur, je n'introduis aucune polémique quant au nombre de sites qui par des noms de domaine comme ceux qui retiennent notre attention seraient exclus, je ne remets nullement en question l'aspect "pionnier" en son temps de Firefox sur la question, je ne prétends pas que Mozilla envisage cette solution de façon définitive, je fais un simple constat sur le présent, un constat qui n'a rien d'une leçon donnée à quiconque, mais un constat que vous vous êtes pourtant empressé de décrier.  
 
Alors maintenant, j'attends que vous justifiiez vos critiques ou que par votre silence voire la confusion de vos contorsions cérébrales, vous me montriez que la leçon est passée...

Tu as le droit de me tutoyer tu sais, même si c'est vrai que ton discours sonneraient sans doute beaucoup moins pédant et condescendant (et drôle) apres.
 
Bref, les discours idiots et vains sur la sémantique laissant de côté le fond du problème ne m'interessent pas, j'ai dis ce que j'avais a dire, si tu veux avoir le dernier mot on va dire que tu as gagné.
Je vais retourner me plier aux standards techniques utilisés depuis toujours que les egoistes développeurs anglophones de Firefox ose m'imposer temporairement dans mon coin, et laisser les lecteurs de ce topic se faire leur idée sur la question et sur la haute qualité de nos interventions respectives

 
J'imagine aisément que cela vous rendrait la leçon moins pénible si vous pouviez vous convaincre que mon but n'était que d'avoir le dernier mot. Mais non ! Et à l'avenir, si la sémantique n'est pas votre fort, prenez votre temps pour lire convenablement les messages de vos interlocuteurs et évitez de les accuser à la légère de ne pas savoir ce dont ils parlent : Il se peut qu'ils aient davantage pesé leurs mots que vous...    
 
A la prochaine, dans de meilleures circonstances, je l'espère  

La bataille est déjà finie???  

Qu'est-ce qu'il a El Diablo,   il jette l'éponge      
 
C'est dommage, cela commençait a sentir le roussi.  Enfin comme on dit tjs : "Les plus intelligents cedent...."
 

 
El Pollo a raison sur ce coup là: le premier message dit que le correctif ne corrige pas le problème mais empêche simplement d'aller sur les sites accentués ce qui réduit encore plus les sites visibles avec Firefox (très exagéré, mais bon). El Pollo répond que ça court pas les rues les sites avec adresse accentuée. Après, prise de bec mais dans le fond El Pollo a raison. Et ce n'est pas parce que l'on essaie de bien formuler l'argumentaire, à coup de formules pompeuses (et, en passant, de ponctuation pas toujours bien inspirée), qu'on a forcément raison.
 
Donc si j'ai bien compris si on va pas sur ces sites avec accent, on court aucun risque avec Firefox???

 
Je voulais plus intervenir, mais a priori y'a encore des choses pas claire : c'est pas juste exagéré, mais faux, puisque que tous les sites avec une URL avec des caractères locaux ont forcément également un nom de domaine "classique".
 

 
Tu peux même aller dessus sans risques s'il y en a que tu connais déjà, le soucis c'est si quelqu'un met par exemple un lien sur une page avec une fausse URL de ce type concue explicitement pour exploiter cette faille.
 
A noter aussi que pour le moment il n'y a a priori aucun exploit de dispo, donc même dans ce cas la le risque n'est "que" de faire planter Firefox.

c'est même pas les accents dans le cas de cette faille c'est le caractère "-"
 
http://www.security-protocols.com/ [...] visory.txt
 
edit : et si y a un exploit, même une page pour tester la faille
 

et d'ailleurs

http://www.clubic.com/actualite-22 [...] entot.html

Puisque la tension semble redescendre, je voudrais rajouter que même si je trouve dommage que la fondation Mozilla, en supprimant purement et simplement la fonction incriminée dans son navigateur, ait finalement adopté le comportement de Microsoft, je trouve que Firefox reste un excellent navigateur. Et je ne voudrais pas laisser penser à ses détracteurs que je me joins à eux dans leurs injustes critiques. Je ne sais pas quel aveuglement a poussé "El Pollo Diablo" à m'agresser comme si j'étais en train de calomnier quelque grande figure de l'histoire, mais ma pointe d'ironie à propos des développeurs anglophones de Firefox, n'avait rien qui doive déclencher l'ire de quiconque. Si "El Pollo Diablo" avait pris le temps de me lire sans céder à l'aveuglement de la passion, il aurait réalisé que mes propos étaient exempts de tout mauvais sentiment à l'égard de Mozilla (et il aurait pu retourner se plier aux standards techniques utilisés depuis toujours que les égoïstes développeurs anglophones de Firefox osent lui imposer, le coeur léger   ).
 
Pour "El Pollo Diablo", le sentiment que ses messages vous inspirent semble compter beaucoup, puisqu'il vous laisse juges de nous départager dans la qualité de nos interventions !!! Personnellement, je m'en fiche, je n'ai rien à prouver à personne. Mais, même si je n'utilise plus Firefox par défaut (parce que je lui ai trouvé un remplaçant ayant les mêmes fonctions sans les problèmes d'affichage) je ne voudrais pas du fait de la confusion créée par l'intervention de "El Pollo Diablo", que ma voix s'ajoute malgré moi aux critiques non fondées portées contre Firefox : Un bon outil dont les développeurs ne méritent pas cela !
 
Je souhaite donc que "El Pollo Diablo" et moi-même, nous puissions à l'avenir discuter ensemble de façon plus posée et l'esprit forcément moins chargé de préjugés.  

 
Et tu continues
La fonction en question n'a jamais été purement et simplement supprimée, le fix en question se contente de la desactiver, et on peut tout a fait la reactiver si on a en besoin.
Et d'ailleurs je vois pas en quoi ce serait un comportement a la Microsoft, cite moi un exemple ou Microsoft aurait "supprimer purement et simplement" une fonction avec une faille...
 

 

T'es tout le temps comme ça dans la vie ?
Et l'ironie ne dispense pas d'eviter de raconter des conneries.

 
Oui, désactivée, si tu préfères, c'est comme cela que je l'entendais. Il n'y a pas si longtemps, Microsoft plutôt que de nous fournir un correctif nous proposait de désactiver provisoirement je ne sais plus quelle fonction (je n'ai pas noté puisque je ne l'ai pas fait (je suis passé sous Firefox).
 
Est-ce que ce sont toujours tes préjugés qui parlent ou bien, cette fois, ton amertume ?
 
Allez, reprends-toi ! Et bonne journée l'ami