Mozilla et Microsoft : sécurité et convergence de stratégies

Les développeurs de l'équipe Mozilla ont passé quelques jours sur le campus de Microsoft afin de travailler avec l'équipe de développement de Windows Vista. Ils ont principalement traité de problèmes de sécurité et de l'éventuelle  application d'une mesure de sécurité dans le prochain OS, afin de mieux protéger les futures versions de Firefox d'attaques possibles.

Mo' Détails
Vladimir Vukievi, qui était l'un des membres de l'équipe Mozilla à prendre part à l'initative lancée par Microsoft concernant un programme d'assistance à l'intégration à Vista commencé en août, à indiqué que le mode particulier de Vista connu sous le nom de " Low Integrity Mode " devrait rendre Firefox moins vulnérable aux abus et attaques.

Ce mode, qui fait partie de la technologie développée pour Vista, sous le nom de User Account Control (UAC) fait que les attaques seront nettement plus dures à réaliser sur les systèemes distants et bloquera notamment l'installation des codes malicieux sur les PC, un peu à la façon des techniques de " sandbox ", qui isolent une application du reste du système. 

En réduisant les droits du navigateur le " Low Integrity Mode " préviens l'application malicieuse de codes en les séparant de l'OS. Internet explorer 7 bénéficiera de ce mode de fonctionnement et sera inclus dans ce que Microsoft apelle le " Protected Mode ".

Mode protégé
Vukievi a écrit sur son blog que " Nous avons passé beaucoup de temps avec les équipes de l'UAC et d'IE afin de réunir les meilleures idées quant à la meilleure facon de structurer nos applications afin de prévenir les applications malicieuses de l'obtention de droits d'accès plus élevés que ceux qu'on leur donne dans le système. "  Il a ajouté qu'il " [avait] déjà quelques idées à propos de la manière dont nous pourrons le faire afin que cela bénéficie à toutes les plateformes, en faisant usage de l'UAC pour Vista et en abaissant les privilèges d'accès sur Linux et mac OS. "

Les développeurs de Mozilla vont faire en sorte que ceci soit disponible pour la prochaine version de Firefox, 3.0, qui est planifiée pour une sortie en 2007. " Cela nous forcerait à évaluer exactement où le navigateur est en contact avec le reste de l'OS et de trouver un moyen qui permettra d'augmenter les mesures de sécurité autour de ces interactions. " 

Il avait été fait mention, avant même ces trois jours sur le campus de Microsoft, de renforcer la sécurité en ce qui concerne le navigateur Firefox. Window Snyder, l'actuel chef de la sécurité chez Mozilla, avait indiqué lors d'une réunion le mois dernier que la compagnie cherchait à " réduir le nombre de points d'entrée dans le système opérant. " 

" Nos avis sont mitigés quant à cette décision car implémenter ceci traduit en fait le désir de vouloir réduire l'impact des vulnérabilites plutôt que les vulnérabilités en elles-mêmes. " a dit Vukievi. " Mais c'est de toute façon une finalité globale très importante. "