Doh: Firefox & Chrome peuvent enregistrer les premaster-keys des sessions TLS directement dans un fichier.
Pratique pour déchiffrer à la volée du trafic TLS vers un serveur.
Bon, c'est pas rassurant niveau sécurité, parce qu'il faut simplement mettre une variable utilisateur dans l'environnement (utilisateur, même pas système !!)
Il est aussi possible, si on a la main sur le serveur, de demander au démon SSL d'exporter ces secrets, mais côté client ça devient plus difficile : il faudra un canal SSH pour lire les secrets dans Wireshark.
Oh non, quelle tristesse. WOT c'est vraiment une super extension, je suis vraiment dégouté de lire ça. Et donc de la dégager… Snifff.
(Note: I'm the original author of this extension, but haven't been affiliated with it for the past few years, during which time I believe there's been an ownership change.)
[…]
However, the actual issue that's being widely discussed in German media, which both you and AMO reviewers at the time appear to have completely missed was introduced in 2015 in this commit:
https://github.com/mywot/firefox-xul/commit/0df107cae8ac18901bd665acace4b369c244a3f9This change adds logging of each visited URL and clearly attempts to obfuscate the traffic with double Base-64 encoding. Definitely sounds like something that should have been indicated to users.
Oh, yeah baby!
En plus d'être assez drôle :
GNU/Linux fans: Get better Canvas performance with speedy Skia support. Try saying that three times fast
… le changelog pour la version 48 (EME-Free inclue) de Firefox annonce enfin les débuts du multi-process. Ouf ! C'est pas trop tôt.
J'étais prêt à quitter mon navigateur préféré juste parce qu'il n'arrivait plus à tirer les performances des PC actuels, sans compter la RAM qu'il bouffe.
Mozilla je t'aime d'amour :heart_eyes:
EDIT : dans les faits, c'est encore expérimental (1% des utilisateurs testés comme compatibles) mais la mise en production globale va prendre plusieurs versions. Prévue pour H1 2017. Et y a du travail pour les mainteneurs et développeurs d'extensions :
If our Beta testing goes well, in Firefox 49 we will enable the multi-process architecture for users with a small set of add-ons that are known to work well with the multi-process architecture. In Firefox 50, again provided beta testing goes well, we plan to enable the multi-process architecture for users with add-ons that have either set a flag to say they are compatible or that were built with our new WebExtensions add-on API which is compatible by design. Eventually we will enable the multi-process architecture for all users and add-ons that are incompatible may no longer work. For this reason it is imperative that add-on authors update their add-ons to be compatible with the multi-process architecture.
Chaud cette histoire de faille dans les extensions Firefox. En cause : la non isolation des différentes apps.
via : https://twitter.com/bluetouff/status/717378238268448769
Pas trop tôt ! Une version 64 bits de Firefox sur les rails… J'espère que ça va supprimer tous les problèmes de mémoire qu'on pouvait rencontrer dans ce navigateur.
Bon… Ça fait maintenant des mois et des mois que les choix de Mozilla sont plus que discutables. Le pire, c'est que ce ne sont pas des choix guidés par "l'expérience utilisateur" ou autre, c'est juste des choix tranchants (fait comme je pense). Bref, ça ne me plaît pas.
J'attends désormais un fork de Firefox. Bye bye.
@private("rep a sa, AG !");
Encore une publicité qui diffuse un exploit. Et Mozilla qui réagit en moins de 24h. Bravo.
Le problème vient du lecteur PDF intégré… Mise à jour à faire.
Une page Github qui explique ce qu'il faut faire dans le about:config de Firefox pour respecter la privacy. Utile !
Pour ma part, Pocket et Google Safe Browsing (j'ai déjà une version EME-Free).
via : https://twitter.com/sam_et_max/status/614484153279582208
Tiens tiens…
Étrange comportement de notre ami Firefox : j'ai une page ouverte, en SSL, et qui fait tourner de l'AJAX. Je change le certificat du serveur et le redémarre. La page toujours ouverte, et qui continue de recevoir du contenu m'indique toujours l'ancien certificat. Tant que je ne recharge pas la page elle ne le fait pas.
Mais alors, que se passe-t-il si dans ce type d'échange, un "advanced firewall" quelconque s'amuse à changer de certificat ? Hmm… Question con sans doute.
M'enfin, j'suis pas super rassuré par ce comportement.
Oh, d'ailleurs je n'avais pas vu que CAcert se lançait pour être accréditer par les navigateurs, notamment Firefox !!
Ce serait génial : non seulement ça ferait des certificats SSL gratuits (allez donc voir le prix pour le moindre certif ailleurs : hors de prix) mais en plus leurs confiances seraient validées par un système de WOT, donc communautaire.
Voulait qui résoudrait en très grande partie le problème actuel des autorités de certification. JE DIS OUI !!!
C'est bizarre : de temps en temps j'ai besoin de réinstaller le root de CAcert (autorité de certification indépendante et en WOT, qui certifie notamment LinuxFR)
Peut-être les mises-à-jour Firefox ?
Désagréable en tout cas…
Tiens, j'avais jamais remarqué ça. Quand on met des liens vers certains domaines dans bitly, ça les raccourci différemment. Par exemple, les liens Amazon se raccourcissent en amzn.to/…
Du coup, comme utilitaire dans FlagFox, ça envoie du poney.
https://addons.mozilla.org/fr/firefox/addon/flagfox/
Au fait, je recommande vivement ce module accompagné d'une foule d'outils très pratiques.
Rien à voir : en utilisant bit.ly via cet outil, j'ai remarqué qu'il m'a raccourci mon adresse longue amazon en : http://amzn.to/113IeIT
Génial non ?