La Fibre
Télécom => Logiciels et systèmes d'exploitation => 
Navigateurs web => Discussion démarrée par: corrector le 16 décembre 2013 à 05:23:13
-
Bonjour,
Numerama a propagé une information en grande partie fausse (comme toujours s'agissant de Numerama critiquant Google) :
Google Chrome interdit l'installation des extensions non approuvées
Ne faisons pas durer le suspense : c'est faux, on peut encore installer n'importe quelle extension, facilement, sans passer à Chromium, sans être un "hacker", sans manipulation secrète, sans recompiler.
L'évolution de la politique de Google Chrome est décrite dans la page d'aide de Google Chrome expliquant le message d'erreur qui apparaît quand on tente d'installer automatiquement une extension à partir d'une source autre que Google :
Protecting Windows users from malicious extensions (http://blog.chromium.org/2013/11/protecting-windows-users-from-malicious.html)
Thursday, November 07, 2013
Extensions are a great way to enhance the browsing experience; whether users want to quickly post to social networks or to stay up to date with their favorite sports teams. Many services bundle useful companion extensions, which causes Chrome to ask whether you want to install them (or not). However, bad actors have abused this mechanism, bypassing the prompt to silently install malicious extensions that override browser settings and alter the user experience in undesired ways, such as replacing the New Tab Page without approval. In fact, this is a leading cause of complaints from our Windows users.
Since these malicious extensions are not hosted on the Chrome Web Store, it’s difficult to limit the damage they can cause to our users. As part of our continuing security efforts, we’re announcing a stronger measure to protect Windows users: starting in January on the Windows stable and beta channels, we’ll require all extensions to be hosted in the Chrome Web Store. We’ll continue to support local extension installs during development as well as installs via Enterprise policy, and Chrome Apps will also continue to be supported normally.
If your extensions are currently hosted outside the Chrome Web Store you should migrate them as soon as possible. There will be no impact to your users, who will still be able to use your extension as if nothing changed. You could keep the extensions hidden from the Web Store listings if you like. And if you have a dedicated installation flow from your own website, you can make use of the existing inline installs feature.
Protecting our users is a key priority, and we believe this change will help those whose browser has been compromised by unwanted extensions. If you have questions, please get in touch with us on the Chromium extensions group.
Erik Kay, Engineering Director
http://blog.chromium.org/2013/11/protecting-windows-users-from-malicious.html (http://blog.chromium.org/2013/11/protecting-windows-users-from-malicious.html)
La phrase essentielle a échappé aux pas-très-fins limiers de Numerama :
We’ll continue to support local extension installs during development as well as installs via Enterprise policy, and Chrome Apps will also continue to be supported normally.
Donc :
- un développeur peut installer sa propre extension
- un utilisateur peut installer la propre extension d'un développeur (donc n'importe quelle extension)
- définir une "politique d'entreprise" permet d'ajouter des sites Web autorisés à installer automatiquement des extensions
-
Je précise que Google a expliqué le pourquoi de cette interdiction : Empêcher des sites web malveillants d'installer des extensions sans que l'utilisateur le souhaite.
Et c'est vrai que les sites ne manquent pas d'idées pour installer des extensions qui rajoutent de la publicité ou qui changent la page d’accueil (et changer dans les préférence la page d’accueil n'a qu'un effet temporaire)
J'ai mon voisin retraité qui est sous Windows 7 (un des rares de mon entourage à ne pas être passé sous Linux) et malgré le fait qu'il fait attention, j'ai très régulièrement des problèmes que ce soit avec Firefox ou Chrome.
-
Je précise que toute installation d'une extension à Chrome exige de valider le manifeste des droits d'accès demandés par l'extension, qui est une liste qui fait PEUR.
-
Je précise que Google a expliqué le pourquoi de cette interdiction : Empêcher des sites web malveillants d'installer des extensions sans que l'utilisateur le souhaite.
Et c'est vrai que les sites ne manquent pas d'idées pour installer des extensions qui rajoutent de la publicité ou qui changent la page d’accueil (et changer dans les préférence la page d’accueil n'a qu'un effet temporaire)
Il faudrait que comme sur Firefox on puisse ajouter des sites autorisés (sans passer par la base de registre).
-
Pour être plus précis:
Seule la version 'dev' de Chrome permettra d'installer des extensions sans passer par le Chrome Store.
Un développeur ou un utilisateur qui veut utiliser une extension qui n'est pas dans le store devra soit:
-utiliser Chrome sur autre chose que Windows
-utiliser Chrome version dev (chrome-dev) ou Chrome Canari
-être dans un environnement d'entreprise avec des stratégies d'entreprise actives.
Pour l'utilisateur lamda sous Windows c'est donc vrai en pratique, il sera bloqué d'installer des extensions non approuvées et c'est une très bonne chose.
La raison de fond n'est pas liée a Chrome mais a Windows qui n'a pas de système de protection entre applications ou d'"élévation" intermédiaire: c'est tout ou rien. Donc un site malveillant peut faire télécharger un .exe a un utilisateur (souvent en le trompant par exemple en faisait croire que c'est la mise a jour de Flash), l'utilisateur lance le .exe et accepte l'avertissement de sécurité de Windows et paf c'est cuit, le .exe installe une extension dans Chrome (ou autre) sans que l'utilisateur le sache.
Chrome lui meme est sécurisé et un site ne peut installé un truc via Chrome lui même. Le probleme c'est la passoire qu'est Windows et son système tout-ou-rien d'élévation. Microsoft n'a toujours pas capté qu'il manque un niveau intermédiaire entre full admin et utilisateur normal, un niveau qui interdit a une application de modifier les données d'une autre applications (base de registre et AppData) mais qui n'interdit pas a un utilisateur d'installer ou d’enlever une application. Bref comme c'est fait sur Android par exemple. Microsoft répond souvent que le fautif c'est l'utilisateur ce qui en soit est vrai mais ça ne résout en rien le probleme.
A noter que le probleme existe aussi sous Linux et MacOS mais comme ses plateformes ont moins d'audience il n'y a quasiment pas de sites malveillants qui proposent des '.exe' dangereux pour ses plateformes donc pour le moment Google n'a pas mit cette restriction pour eux.
-
Pour être plus précis:
Seule la version 'dev' de Chrome permettra d'installer des extensions sans passer par le Chrome Store.
À partir de quand?
-
(sans passer par la base de registre)
Sans passer par quoi ?
il sera bloqué d'installer des extensions non approuvées et c'est une très bonne chose.
Mettre entre les mains d'un tiers la décision de ce qui est bien ou mal, c'est pas une bonne chose.
A noter que le probleme existe aussi sous Linux et MacOS mais comme ses plateformes ont moins d'audience il n'y a quasiment pas de sites malveillants qui proposent des '.exe' dangereux pour ses plateformes donc pour le moment Google n'a pas mit cette restriction pour eux.
Et surtout : ce n'est pas parce qu'un site me fait télécharger un binaire quelconque que je vais l'exécuter.
-
À partir de quand?
starting in January on the Windows stable and beta channels, we’ll require all extensions to be hosted in the Chrome Web Store
a la maj de Chrome en janvier donc.
-
Déjà en essayant d'installer une extension ailleurs que chez Google, j'ai un message d'erreur.
Qu'est-ce que ça changera?
-
comment ca ? je ne comprend pas la question...
-
Déjà, aujourd'hui, Google Chrome m'empêche d'installer des extensions à partir d'autres sites.
-
Déjà, aujourd'hui, Google Chrome m'empêche d'installer des extensions à partir d'autres sites.
directement oui par sécurité mais tu peux 'glisser-deplacer' un fichier .crx dans la page chrome: "chrome://extensions" pour installer manuellement une extension (une exemple ici : https://proxtube.com/install.php )
ou bien l'installer directement en manipulant directement les fichiers de Chrome dans AppData et la base de registre.
Ces 2 choses seront bloquées en janvier.
-
Vous parlez de chrome, ou de Chromium ?
Avez-vous des infos quant à ce dernier ?
-
Chrome.
pour Chromium j'en sais rien. A priori oui c'est le même code mais y'aura peut-etre un flag de compilation pour faire un build sans la limitation.
Sinon y'a une ChromeApp officielle pour gérer les apps/extensions de facon plus pratique : Chrome Apps Developer Tool (https://chrome.google.com/webstore/detail/chrome-apps-developer-too/ohmmkhmmmpcnpikjeljgnaoabkaalbgc). Elle permet de charger une extension 'depackée' (en mode développement donc) plus facilement qu'avec l'interface intégrée ( chrome://extensions/ )
-
La raison de fond n'est pas liée a Chrome mais a Windows qui n'a pas de système de protection entre applications ou d'"élévation" intermédiaire: c'est tout ou rien. Donc un site malveillant peut faire télécharger un .exe a un utilisateur (souvent en le trompant par exemple en faisait croire que c'est la mise a jour de Flash), l'utilisateur lance le .exe et accepte l'avertissement de sécurité de Windows et paf c'est cuit, le .exe installe une extension dans Chrome (ou autre) sans que l'utilisateur le sache.
Je pense que tu n'as pas lu ça. (http://msdn.microsoft.com/en-us/library/bb625957.aspx)
Windows a tout ce qu'il faut pour bloquer ce genre d'attaque.
Mais si on active correctement les mécanisme, pas mal d'applications casse.
-
C'est le problème de Microsoft : faire évoluer le système sans casser la compatibilité avec les anciennes appli.
A terme les appli Win32 seront interdites...
-
Je pense que tu n'as pas lu ça. (http://msdn.microsoft.com/en-us/library/bb625957.aspx)
Windows a tout ce qu'il faut pour bloquer ce genre d'attaque.
Mais si on active correctement les mécanisme, pas mal d'applications casse.
Ca change rien ca malheureusement car le probleme n'est pas la mais sur les PC grand publics ou l'utilisateur de base est administrateur tres facilement et a donc tout les droits, meme ceux pour surpasser ce système de protection.
Chrome utilise déja lui même le Windows Integrity Mechanism (expliqué en détail ici (http://www.chromium.org/developers/design-documents/sandbox) - section "integrity levels") dont tu parles en se mettant en 'low' de facon a ne pas devenir dangereux s'il est compromis. Mais comme le probleme vient de fichiers .exe qui n'ont rien a voir avec chrome.exe lui même ca ne change rien.
Sur un PC d'entreprise correctement configuré il n'y a pas ce souci car l'utilisateur n'est jamais "root".
C'est le problème de Microsoft : faire évoluer le système sans casser la compatibilité avec les anciennes appli.
A terme les appli Win32 seront interdites...
Malheureusement , l'excuse de 'faire évoluer le système sans casser la compatibilité avec les anciennes appli' ne tient même pas ici.
et Win32 peut tres bien tourné sans danger comme ca se passe en entreprise (ou comme avec Wine sur Linux).
C'est le dosage liberté - sécurité. Pour l'utilisateur lamba et en utilisation grand public le curseur est trop a gauche.
C'est surtout pour se décharger du support qui coûte cher: s'ils verrouillent trop Windows les plaintes iront vers Microsoft ou le fabricant du PC ('J'ai une erreur quand je veux installer 'miseajourflash.exe' je ne peux le faire ça échoue). Ils laissent donc tout passer et les plaintes vont vers Google qui s'en prend plein a cause des Chromes contaminés. Pour diminuer cette marée de plaintes Google est quasi forcé de faire cette modification.
IL faut bien voir aussi que cette modif en janvier ne vas pas rendre la contamination impossible, elle va juste la rendre beaucoup plus difficile.
-
C'est le problème de Microsoft : faire évoluer le système sans casser la compatibilité avec les anciennes appli.
A terme les appli Win32 seront interdites...
Si on supprime la compatibilité, je vois plus trop l'intérêt de Windows... autant passer à nunux!
-
Sans passer par quoi ?
Ce Brave outils qu'est (regedit.exe) sous Windows.
Attention il pique parfois.
Cdt
Bensay
-
Pour être plus précis:
Seule la version 'dev' de Chrome permettra d'installer des extensions sans passer par le Chrome Store.
Comment on sait si on a cette version 'dev'?
-
Pour voir la version, il faut faire 'a propos de chrome' dans le menu principale de Chrome ca affiche la version (ca va sur la page chrome://chrome/ ).
Il y a inscrit 'dev' ou 'dev-m' apres le numéro de version quand on a la version dev.
S'il n'y a rien après le numéro de version ou juste 'm' alors c'est la version normale (stable).
Pour plus de détail sur la version il y a aussi la page: chrome://version/
Les informations de changement de version sont publiées ici: https://googlechromereleases.blogspot.fr/ (https://googlechromereleases.blogspot.fr/) (toutes versions de Chrome et Chrome OS).
A l'heure ou j'écris ceci la version stable est 33.0.1750.146, la version beta est 34.0.1847.11 et la version dev est 35.0.1870.2
On a donc toujours donc stable=n, beta=n+1, dev=n+2
-
"Version 33.0.1750.146 m"
Donc j'ai la version stable, et pas une version "dev".
-
Donc il suffit de passer en "Mode développeur" pour installer une extension depuis le disque dur.
C'est plus compliqué, mais je ne suis pas empêché d'installer ce que je veux sur Google Chrome version officielle normale.
Je maintiens que Numerama a dit n'importe quoi.