Extensions Firefox "avira-browser-safety" non signée

[comptesupprime13]

Bonjour

La nouvelle version de Mozilla Firefox vient de désactiver les extensions non signées par Mozilla, et on ne peut plus les réactiver en passant par les modules complémentaires de Firefox ( en ce qui me concerne, il s'agit de la protection web avira-browser-safety. Je ne comprends pas pourquoi Avira n'a pas signé cette extension ?????

@+

[anibal85220]

Problème identique.....et récurrent chez Kaspersky. Mais protection toujours fonctionnelle.

[comptesupprime13]

Je voudrais demander à avira pourquoi l'extension "protection web" " avira browser notify" n'est pas signée si bien que les versions récentes de Firefox l'ont carrément désactivée. Je sais qu'il y a une méthode pour la réactiver, on vient d'en parler, mais ce n'est pas normal que les développeurs ne l'aient pas fait d'eux mêmes.

y a t il une adresse précise où on peut contacter avira ?

merci

[ѠOOT]

Bonjour,

Posez vos questions directement à Avira ou Mozilla.
→ http://forum.avira.com/
→ https://www.mozilla.org/

Hagan, en quoi êtes vous apte à juger ce qui est "normal" de ce qui ne l'est pas ?
Si tout était aussi simple que quelques signatures ici et là, ça se saurait, non ?
Approfondissez le sujet et là peut-être qu'il y aura matière à en discuter.

[anibal85220]

Bonjour,

Voici la procédure qui fonctionne pour Kaspersky , je pense que ça doit marcher pour Avira... :

> Dans la barre d'adresse de Firefox taper "about:config" (sans les guillemets)
> Accepter l'avertissement
> Rechercher "xpinstall.signatures.required"
> Si la valeur est "true" veuillez la modifier en "false"

[comptesupprime13]

Bonjour

merci pour les liens

Pour le reste, il me semble , sans porter de jugement , que j'ai le droit de formuler une opinion, non ? Je n'ai fait que constater, pour ce qui m’intéresse , en occurrence la protection web avira que celle ci n'était pas signée, et qu'il serait souhaitable que les développeurs en tiennent compte et prennent les dispositions nécessaires . C'est pourquoi je demandais où les joindre. Il n'y a rien de plus à approfondir, me semble t il. Dans ces conditions votre remarque sur mon attitude à être apte à juger , me semble pour le moins déplacée et discourtoise

bonne journée

[Malekal_morte]

Signal leur via leur forum ou avec ce formulaire : http://www.avira.com/fr/contact

[comptesupprime13]

Merci pour ce lien

très bonne journée

[ѠOOT]

Bonjour,

À la relecture, la remarque matinale était effectivement un tantinet bourrue, plates excuses.
Les prises de positions / décisions de Mozilla ( et d'autres acteurs ) sont assez brusques.
Les emplois de prétextes pseudo-sécuritaires peuvent cacher d'autres intentions.
C'est quasi-mécanique, dès qu'il y a "freins" ça engendre de nouveaux couts.
De fait, on es en droit de se demander qui, à terme, en paiera la facture.
Différents marchés, jadis latents, explosent $_$ (ex : les certificats )
Mozilla arpente le chemin sur le modèle Apple, Google,.. Microsoft.

Je comprends bien que ça puisse être choquant que des extensions dites sécuritaires ne montrent pas l'exemple mais la tournure de cette affaire à fait que les éditeurs se sont pris la corde autour du cou. Mozilla impose ses nouvelles règles car elle veux subitement pouvoir "contrôler" ( ex: restreindre les greffons potentiellement malveillants ). Ceci étant, rien n'empêche de signer quelque chose de malveillant ou plus difficilement de contourner les mécanismes existants ; Malekal a d'ailleurs relayé beaucoup d'articles sur le sujet ces derniers mois. Si on regarde ce qui se passe chez les autres acteurs basés sur ce modèle ( je te signe donc je t'aime ), on observe que ça ne réduit pas spécialement les volumes et qui plus est ça a tendance à augmenter le degré de sophistications des codes. Alors admettons que, suite aux ajouts de contrôles supplémentaires en amont comme sur certains "Store", .. ça effectue une sorte de sélection naturelle sur le long terme ; on l'observe déjà ; les faibles étant temporairement éliminés restera plus que les aguerris ( les pires ) qui, par nécessité, relancent la vapeur en direction des faibles en apportant de nouveaux services criminels prospères ( "As A Service" ). Exemples : ce qui se fait actuellement sur les marchés noirs concernant les reventes de clefs volées, d'accès à des terminaux ciblés pour générer de nouvelles clés,.. ( Certificate Authority Pwning - Let's Encrypt Now being abused by hackers )

What was once reserved for targeted attacks is being increasingly used to distribute common crimeware.
( source : Spymel : Yet Another Signed Malware )

Il y a une bonne dizaine d'années, les utilisateurs s'exclamaient "c'est sécurisé, regarde, il y a le petit cadenas jaune dans la barre.." Aujourd'hui, les humains ont été jugés incapables, il y a donc retraits progressifs des choix. Concrètement, le pouvoir décisionnel appartient en grande partie aux : algorithmes. Alors pourquoi pas, la confiance assistée par ordinateur, ( ex: comportements du navigateur en fonction de l'environnement / contexte ) c'est pas plus idiot que le reste sauf que.. c'est généralement calqué sur un modèle normalisé qui manque un peu (souvent) d'hétérogénéité dans les possibles solutions aux situations alors quand il y a fausses routes, krrr.. -couic- tout le monde suffoque des mêmes maux et c'est l'étouffement généralisé. Enfin, pour couronner le tout, ceux qui sont sensés être "gentils", à qui on place de la super confiance, peuvent parfois jouer de super sales tours ( ex: scandales à répétition de Dell / Lenovo / Comodo ) + les incalculables backdoors dormantes d'équipementiers comme Cisco, Juniper, Fortinet,..

Alors.. à quand les algorithmes pour orienter l'utilisateur à accepter les choses comme elles le sont, la réalité ? Bah oui par exemple quand les utilisateurs de Windows hurlent et s'indignent face à certaines fonctionnalités intrusives activées par défaut sur Windows 10 ( ex: relevés télémétries en temps réel ) alors que Mozilla fait, entre autre, la même blague depuis des années.. ? A quoi bon chercher, désactiver, télécharger, patcher, bidouiller,.. puisque quoi qu'il arrive l'utilisateur se retrouvera un jour ou l'autre dans une situation délicate au regard des textes législatifs → s'il y a installation, il y a eu acceptation ( ex: termes et conditions d'utilisation de Microsoft ) Si vous les avez lu, vous comprendrez ce clin d'œil. Bref.. je dérive un peu là, faudra que j'édite cette partie ;p

Les protections web ( Avira, Kaspersky, ... ) non signées seront, dans l'intérêt de tous, rapidement signées.
En attendant, il y a une tonne d'extensions non signées et probablement non chargées qui sommeillent.
Était-ce la meilleure approche possible ? Mozilla a souvent brillé pour ses idées là.. ça coince.
Mon petit doigt quantique me rappel de vous dire de bien utiliser https partout ou pas ^_o

[comptesupprime13]

Bonjour

Bien reçu les informations

merci

[Malekal_morte]

Il s'était déjà passé la même chose précédemment avec les Applets Java non signées qui ont été bloquées par Oracle à cause de la sur-utilisation des vulnérabilités Java sur les exploits Kits et on a vu le résultat. Côté matériel, il y a eu aussi le coups du passage en force de codes propriétaires sécuritaires, bas niveau, qui s'est révélé être pire car comme ultra-puissants, de véritables mini-systèmes, les possibilités à commettre des actes malveillants ont été démultipliées. Qui est bien certains de la bonne configuration de son UEFI, personne.. Mozilla, Wikipedia, Microsoft,.. imposent et forcent l'usage de sites en HTTPS et même avec des chantages et menaces comme l'annonce de Google avec sa non-indexation des sites pour les mauvais élèves. C'est stupide, pas besoins d'https pour afficher une pauvre page avec deux images et trois bouts de textes. Non parce que dans ce cas là autant pousser le ridicule à son comble en délivrant côté serveur des pages chiffrées uniques par visiteurs et les déchiffrer à la volée côté client dans un environnement isolé avec un système cryptographique digne de ce nom,.. se passer du navigateur. Y'en a qui vont faire la grimace.

Les certificats auto-signés ne peuvent être considérés comme fiables donc pour devenir de bons élèves, les webmestres doivent mettre la main au portefeuille, payer de rutilants certificats. On en trouve des gratuits limités dans le temps mais ça équivaut à accorder la confiance à n'importe qui. D'autres comme Google tentent et réussissent à imposer leurs propres, normes, protocoles, .. pour (ré) écrire à leurs avantages le monde de demain. Sur Apple Store, Google Play, etc. certaines applications signées et vérifiées ont, des mois plus tard, été détectées comme malicieuses donc ça n'est pas forcément un gage de sécurité ( Apple iOS & DarkSideLoader ) . Certains se donnent maintenant le droit de segmenter la toile, de réserver l'accès des contenus aux uns et pas aux autres, sous des prétextes injustifiés, "Votre version de * n'est pas autorisée" ou avec la géolocalisation du "This * is not available in your country." Mieux, véritables frontières virtuelles, les "protections" proposées par des services CDN comme CloudFlare, Sucuri, .. qui un jour trouve que votre connexion ou que votre navigateur ou que votre ordinateur ou que.. bref, vous avez une sale tête et c'est le refus d'accès à vos sites favoris et vous qui pestez derrière l'écran : mais gros c**nard, je ne suis pas un robot de spam!! ça sent le vécu, hein?

Et maintenant c'est au tour de Firefox d'obliger tout le monde à n'avoir que des extensions signées. Un jour prochain, ce sera peut-être tous les fichiers en circulation qui devront être taxés sous des prétextes sécuritaires, comme c'est parfois le cas avec les exécutables. Déjà que les systèmes de réputations de fichiers bourrins ont tendance à rejeter les fichiers non signés sans forcément poser de question alors ça promet. Les outils "maisons" y compris de sécurité, fiables et sains comme Avira ou Kasperksy ou AdwCleaner, se font flaguer ou carrément bloquer par d'autres, comme avec Google Chrome.

Outre l'aspect sécurité, c'est vrai que c'est aussi des marchés.
Et du cloisonnement pour affronter la guerre concurrentielle.
Cela fait vendre, des certificats et d'autres trucs: business

Ceux qui vont être pénalisés sont les créateurs, les petits programmeurs, qui devront pour subsister obligatoirement répercuter les frais sur leurs utilisateurs. Comme le modèle dominant est celui du "faux gratuit", ils seront obligés de monétiser sur, de l'affichage des publicités, de la collecte de données, d'informations personnelles, .. au final ce qui, aujourd'hui, nous pourri la vie et ce à quoi nous luttons au quotidien sur ce forum.

[comptesupprime13]

Outre l'aspect sécurité, c'est vrai que c'est aussi des marchés.
Et du cloisonnement pour affronter la guerre concurrentielle.
Cela fait vendre, des certificats et d'autres trucs: business

ils seront obligés de monétiser sur, de l'affichage des publicités, de la collecte de données, d'informations personnelles, .. au final ce qui, aujourd'hui, nous pourri la vie et ce à quoi nous luttons au quotidien sur ce forum.

Hello

Tout à fait d'accord, malheureusement, on en revient toujours à la même finalité: L'Argent

@+

[comptesupprime13]

Bonjour

je n'avais pas modifié la valeur de xpinstall.signatures.required et j'avais laissé avira browser notify ( protection web ) désactivée en attendant qu'avira prenne ses dispositions pour signer l'extension, or tout à l'heure je viens de voir à nouveau sur mon navigateur Firefox l’icône protection web avira présente. J'ai alors vérifié dans les modules complémentaires et en effet la protection web est de nouveau activée.



Par contre, et c'est ce qui m'étonne, xpinstall.signatures.required est toujours à true

est ce normal ?

[ѠOOT]

Bonjour,

Oui, dans la mesure où la mise à jour automatique des modules est activée par défaut.

[comptesupprime13]

ok, merci et bonne année