Parait que la configuration par defaut de Safari permet aux widgets
dashboard de s'auto downloader et s'auto installer, sans rien demander
à l'utilisateur.
Parait que la configuration par defaut de Safari permet aux widgets dashboard de s'auto downloader et s'auto installer, sans rien demander à l'utilisateur.
C'est vrai ?
Oui. Mais contrairement à ce que l'on peut lire à certains endroits, il ne s'exécute pas automatiquement, il faut aller dans la barre Dashboard et cliquer sur le widget avant qu'il devienne actif.
Le problème est qu'il est assez facile pour un widget malicieux de se faire passer pour un widget standard, ce qui peut amener l'utilisateur à l'activer alors qu'il pense activer le module météo d'Apple !
Mesures préventives :
- Désactiver l'ouverture automatique des fichiers "fiables" dans Safari --> empêche les widgets de s'installer automatiquement
ou
- Interdire l'accès en écriture à ~/Library/Widgets --> même effet, sans modifier le comportement de Safari pour les autres fichiers.
Par ailleurs, c'est une bonne idée de ne pas demander à Safari d'effacer automatiquement la liste des téléchargements, ce qui d'avoir une trace d'éventuels fichiers téléchargé à l'insu de l'utilisateur.
Patrick -- Patrick Stadelmann
In article <42806592$0$297$636a15ce@news.free.fr>,
Laurent PERON <laurent_point_peron_point_lap@free.fr> wrote:
Salut à tous,
Parait que la configuration par defaut de Safari permet aux widgets
dashboard de s'auto downloader et s'auto installer, sans rien demander
à l'utilisateur.
C'est vrai ?
Oui. Mais contrairement à ce que l'on peut lire à certains endroits, il
ne s'exécute pas automatiquement, il faut aller dans la barre Dashboard
et cliquer sur le widget avant qu'il devienne actif.
Le problème est qu'il est assez facile pour un widget malicieux de se
faire passer pour un widget standard, ce qui peut amener l'utilisateur à
l'activer alors qu'il pense activer le module météo d'Apple !
Mesures préventives :
- Désactiver l'ouverture automatique des fichiers "fiables" dans Safari
--> empêche les widgets de s'installer automatiquement
ou
- Interdire l'accès en écriture à ~/Library/Widgets
--> même effet, sans modifier le comportement de Safari pour les
autres fichiers.
Par ailleurs, c'est une bonne idée de ne pas demander à Safari d'effacer
automatiquement la liste des téléchargements, ce qui d'avoir une trace
d'éventuels fichiers téléchargé à l'insu de l'utilisateur.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Parait que la configuration par defaut de Safari permet aux widgets dashboard de s'auto downloader et s'auto installer, sans rien demander à l'utilisateur.
C'est vrai ?
Oui. Mais contrairement à ce que l'on peut lire à certains endroits, il ne s'exécute pas automatiquement, il faut aller dans la barre Dashboard et cliquer sur le widget avant qu'il devienne actif.
Le problème est qu'il est assez facile pour un widget malicieux de se faire passer pour un widget standard, ce qui peut amener l'utilisateur à l'activer alors qu'il pense activer le module météo d'Apple !
Mesures préventives :
- Désactiver l'ouverture automatique des fichiers "fiables" dans Safari --> empêche les widgets de s'installer automatiquement
ou
- Interdire l'accès en écriture à ~/Library/Widgets --> même effet, sans modifier le comportement de Safari pour les autres fichiers.
Par ailleurs, c'est une bonne idée de ne pas demander à Safari d'effacer automatiquement la liste des téléchargements, ce qui d'avoir une trace d'éventuels fichiers téléchargé à l'insu de l'utilisateur.
Patrick -- Patrick Stadelmann
JMGB
Patrick Stadelmann wrote:
Mesures préventives :
- Désactiver l'ouverture automatique des fichiers "fiables" dans Safari --> empêche les widgets de s'installer automatiquement
Heu... tu veux parler de: PREFERENCES->SÉCURITÉ->ContenuWeb: activer les modules externes (qu'il faut donc décocher là?)
Parce que sinon, je ne trouve pas ce réglage dont tu parles...
Par ailleurs, c'est une bonne idée de ne pas demander à Safari d'effacer automatiquement la liste des téléchargements, ce qui d'avoir une trace d'éventuels fichiers téléchargé à l'insu de l'utilisateur.
Tout à fait d'accord avec ça...
-- Le génie fait ce qu'il doit. Le talent fait ce qu'il peut. *Virer les minuscules pour me répondre*
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Mesures préventives :
- Désactiver l'ouverture automatique des fichiers "fiables" dans Safari
--> empêche les widgets de s'installer automatiquement
Heu... tu veux parler de:
PREFERENCES->SÉCURITÉ->ContenuWeb: activer les modules externes
(qu'il faut donc décocher là?)
Parce que sinon, je ne trouve pas ce réglage dont tu parles...
Par ailleurs, c'est une bonne idée de ne pas demander à Safari d'effacer
automatiquement la liste des téléchargements, ce qui d'avoir une trace
d'éventuels fichiers téléchargé à l'insu de l'utilisateur.
Tout à fait d'accord avec ça...
--
Le génie fait ce qu'il doit.
Le talent fait ce qu'il peut.
*Virer les minuscules pour me répondre*
- Désactiver l'ouverture automatique des fichiers "fiables" dans Safari --> empêche les widgets de s'installer automatiquement
Heu... tu veux parler de: PREFERENCES->SÉCURITÉ->ContenuWeb: activer les modules externes (qu'il faut donc décocher là?)
Parce que sinon, je ne trouve pas ce réglage dont tu parles...
Par ailleurs, c'est une bonne idée de ne pas demander à Safari d'effacer automatiquement la liste des téléchargements, ce qui d'avoir une trace d'éventuels fichiers téléchargé à l'insu de l'utilisateur.
Tout à fait d'accord avec ça...
-- Le génie fait ce qu'il doit. Le talent fait ce qu'il peut. *Virer les minuscules pour me répondre*
c.demeester
JmG wrote:
Patrick Stadelmann wrote:
Mesures préventives :
- Désactiver l'ouverture automatique des fichiers "fiables" dans Safari --> empêche les widgets de s'installer automatiquement
Heu... tu veux parler de: PREFERENCES->SÉCURITÉ->ContenuWeb: activer les modules externes (qu'il faut donc décocher là?)
Parce que sinon, je ne trouve pas ce réglage dont tu parles...
Dans Préférences ===> générales, décocher "ouvrir
automatiquement les fichiers fiables"
-- Claude Demeester
JmG <JMGB@antipourrielsLACASE.COM> wrote:
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Mesures préventives :
- Désactiver l'ouverture automatique des fichiers "fiables" dans Safari
--> empêche les widgets de s'installer automatiquement
Heu... tu veux parler de:
PREFERENCES->SÉCURITÉ->ContenuWeb: activer les modules externes
(qu'il faut donc décocher là?)
Parce que sinon, je ne trouve pas ce réglage dont tu parles...
- Désactiver l'ouverture automatique des fichiers "fiables" dans Safari --> empêche les widgets de s'installer automatiquement
Heu... tu veux parler de: PREFERENCES->SÉCURITÉ->ContenuWeb: activer les modules externes (qu'il faut donc décocher là?)
Parce que sinon, je ne trouve pas ce réglage dont tu parles...
Dans Préférences ===> générales, décocher "ouvrir
automatiquement les fichiers fiables"
-- Claude Demeester
patpro ~ Patrick Proniewski
In article , Patrick Stadelmann wrote:
In article <42806592$0$297$, Laurent PERON wrote:
Salut à tous,
Parait que la configuration par defaut de Safari permet aux widgets dashboard de s'auto downloader et s'auto installer, sans rien demander à l'utilisateur.
C'est vrai ?
Oui. Mais contrairement à ce que l'on peut lire à certains endroits, il ne s'exécute pas automatiquement, il faut aller dans la barre Dashboard et cliquer sur le widget avant qu'il devienne actif.
et donc si la page web méchante rafraîchit son contenu vers, mettons, une URL du genre :
(tu peux tester avec file:///Library/Widgets/Weather.wdgt/Weather.html j'ai pas de Tiger sous la main, mais la derniere fois que j'ai testé ça chargeait le widget dans safari)
patpro
In article <Patrick.Stadelmann-93F403.10054210052005@individual.net>,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article <42806592$0$297$636a15ce@news.free.fr>,
Laurent PERON <laurent_point_peron_point_lap@free.fr> wrote:
Salut à tous,
Parait que la configuration par defaut de Safari permet aux widgets
dashboard de s'auto downloader et s'auto installer, sans rien demander
à l'utilisateur.
C'est vrai ?
Oui. Mais contrairement à ce que l'on peut lire à certains endroits, il
ne s'exécute pas automatiquement, il faut aller dans la barre Dashboard
et cliquer sur le widget avant qu'il devienne actif.
et donc si la page web méchante rafraîchit son contenu vers, mettons,
une URL du genre :
(tu peux tester avec file:///Library/Widgets/Weather.wdgt/Weather.html
j'ai pas de Tiger sous la main, mais la derniere fois que j'ai testé ça
chargeait le widget dans safari)
Parait que la configuration par defaut de Safari permet aux widgets dashboard de s'auto downloader et s'auto installer, sans rien demander à l'utilisateur.
C'est vrai ?
Oui. Mais contrairement à ce que l'on peut lire à certains endroits, il ne s'exécute pas automatiquement, il faut aller dans la barre Dashboard et cliquer sur le widget avant qu'il devienne actif.
et donc si la page web méchante rafraîchit son contenu vers, mettons, une URL du genre :
(tu peux tester avec file:///Library/Widgets/Weather.wdgt/Weather.html j'ai pas de Tiger sous la main, mais la derniere fois que j'ai testé ça chargeait le widget dans safari)
patpro
Patrick Stadelmann
In article , patpro ~ Patrick Proniewski wrote:
et donc si la page web méchante rafraîchit son contenu vers, mettons, une URL du genre :
(tu peux tester avec file:///Library/Widgets/Weather.wdgt/Weather.html j'ai pas de Tiger sous la main, mais la derniere fois que j'ai testé ça chargeait le widget dans safari)
Ca charge la page HTML dans Safari, mais ça ne lance pas le widget dans Dashboard.
Patrick -- Patrick Stadelmann
In article <patpro-A56786.10502310052005@localhost>,
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
et donc si la page web méchante rafraîchit son contenu vers, mettons,
une URL du genre :
(tu peux tester avec file:///Library/Widgets/Weather.wdgt/Weather.html
j'ai pas de Tiger sous la main, mais la derniere fois que j'ai testé ça
chargeait le widget dans safari)
Ca charge la page HTML dans Safari, mais ça ne lance pas le widget dans
Dashboard.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
(tu peux tester avec file:///Library/Widgets/Weather.wdgt/Weather.html j'ai pas de Tiger sous la main, mais la derniere fois que j'ai testé ça chargeait le widget dans safari)
Ca charge la page HTML dans Safari, mais ça ne lance pas le widget dans Dashboard.
Patrick -- Patrick Stadelmann
patpro ~ Patrick Proniewski
In article , Patrick Stadelmann wrote:
In article , patpro ~ Patrick Proniewski wrote:
et donc si la page web méchante rafraîchit son contenu vers, mettons, une URL du genre :
(tu peux tester avec file:///Library/Widgets/Weather.wdgt/Weather.html j'ai pas de Tiger sous la main, mais la derniere fois que j'ai testé ça chargeait le widget dans safari)
Ca charge la page HTML dans Safari, mais ça ne lance pas le widget dans Dashboard.
non, bien sur, mais l'effet est le meme, le code du widget est chargé, et il est fonctionnel. Si il doit être nuisible, il le sera aussi bien là que dans le dashboard.
patpro
In article <Patrick.Stadelmann-48F26B.11561410052005@individual.net>,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article <patpro-A56786.10502310052005@localhost>,
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
et donc si la page web méchante rafraîchit son contenu vers, mettons,
une URL du genre :
(tu peux tester avec file:///Library/Widgets/Weather.wdgt/Weather.html
j'ai pas de Tiger sous la main, mais la derniere fois que j'ai testé ça
chargeait le widget dans safari)
Ca charge la page HTML dans Safari, mais ça ne lance pas le widget dans
Dashboard.
non, bien sur, mais l'effet est le meme, le code du widget est chargé,
et il est fonctionnel. Si il doit être nuisible, il le sera aussi bien
là que dans le dashboard.
(tu peux tester avec file:///Library/Widgets/Weather.wdgt/Weather.html j'ai pas de Tiger sous la main, mais la derniere fois que j'ai testé ça chargeait le widget dans safari)
Ca charge la page HTML dans Safari, mais ça ne lance pas le widget dans Dashboard.
non, bien sur, mais l'effet est le meme, le code du widget est chargé, et il est fonctionnel. Si il doit être nuisible, il le sera aussi bien là que dans le dashboard.
patpro
JMGB
Claude Demeester wrote:
Dans Préférences ===> générales, décocher "ouvrir
automatiquement les fichiers fiables"
Ha oui, ok... comme je l'avais déjà décochée, je ne l'avais même pas remarqué dans ce choix... :)
-- Le génie fait ce qu'il doit. Le talent fait ce qu'il peut. *Virer les minuscules pour me répondre*
Claude Demeester <c.demeester@alussinan.org> wrote:
Dans Préférences ===> générales, décocher "ouvrir
automatiquement les fichiers fiables"
Ha oui, ok... comme je l'avais déjà décochée, je ne l'avais même pas
remarqué dans ce choix... :)
--
Le génie fait ce qu'il doit.
Le talent fait ce qu'il peut.
*Virer les minuscules pour me répondre*
Ha oui, ok... comme je l'avais déjà décochée, je ne l'avais même pas remarqué dans ce choix... :)
-- Le génie fait ce qu'il doit. Le talent fait ce qu'il peut. *Virer les minuscules pour me répondre*
Laurent PERON
Question subsidiaire :
Les widgets ont-ils les mêmes droit que l'utilisateur qui les lance, ou bien ont ils des droits restreints spécifiques aux widgets, qui les rendent inoffensifs ?
(Je suis quand meme supris qu'apple propose un truc pareil, qui avec la config par défaut de Tiger, peut permettre à une saleté de s'installer d'un seul clic sur une page web).
LaP
Question subsidiaire :
Les widgets ont-ils les mêmes droit que l'utilisateur qui les lance, ou
bien ont ils des droits restreints spécifiques aux widgets, qui les
rendent inoffensifs ?
(Je suis quand meme supris qu'apple propose un truc pareil, qui avec la
config par défaut de Tiger, peut permettre à une saleté de s'installer
d'un seul clic sur une page web).
Les widgets ont-ils les mêmes droit que l'utilisateur qui les lance, ou bien ont ils des droits restreints spécifiques aux widgets, qui les rendent inoffensifs ?
(Je suis quand meme supris qu'apple propose un truc pareil, qui avec la config par défaut de Tiger, peut permettre à une saleté de s'installer d'un seul clic sur une page web).
LaP
patpro ~ Patrick Proniewski
In article <4280908b$0$286$, Laurent PERON wrote:
Question subsidiaire :
Les widgets ont-ils les mêmes droit que l'utilisateur qui les lance, ou bien ont ils des droits restreints spécifiques aux widgets, qui les rendent inoffensifs ?
(Je suis quand meme supris qu'apple propose un truc pareil, qui avec la config par défaut de Tiger, peut permettre à une saleté de s'installer d'un seul clic sur une page web).
LaP
ceux de l'utilisateur qui les lance.
patpro
In article <4280908b$0$286$636a15ce@news.free.fr>,
Laurent PERON <laurent_point_peron_point_lap@free.fr> wrote:
Question subsidiaire :
Les widgets ont-ils les mêmes droit que l'utilisateur qui les lance, ou
bien ont ils des droits restreints spécifiques aux widgets, qui les
rendent inoffensifs ?
(Je suis quand meme supris qu'apple propose un truc pareil, qui avec la
config par défaut de Tiger, peut permettre à une saleté de s'installer
d'un seul clic sur une page web).
Les widgets ont-ils les mêmes droit que l'utilisateur qui les lance, ou bien ont ils des droits restreints spécifiques aux widgets, qui les rendent inoffensifs ?
(Je suis quand meme supris qu'apple propose un truc pareil, qui avec la config par défaut de Tiger, peut permettre à une saleté de s'installer d'un seul clic sur une page web).
LaP
ceux de l'utilisateur qui les lance.
patpro
dominiquelang
Patrick Stadelmann wrote:
- Interdire l'accès en écriture à ~/Library/Widgets --> même effet, sans modifier le comportement de Safari pour les autres fichiers.
Bonne idée, mais ça risque d'empêcher Widget Manager de fonctionner correctement (ou alors, il faut être certain de sa liste de widgets). C'est bien pratique, Widget Manager... -- Ghupt esch ghupt! Zeruckhupe git's net! Dominique Lang Gériatrie: <http://perso.wanadoo.fr/dominique.lang/accueil.html>
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
- Interdire l'accès en écriture à ~/Library/Widgets
--> même effet, sans modifier le comportement de Safari pour les
autres fichiers.
Bonne idée, mais ça risque d'empêcher Widget Manager de fonctionner
correctement (ou alors, il faut être certain de sa liste de widgets).
C'est bien pratique, Widget Manager...
--
Ghupt esch ghupt! Zeruckhupe git's net!
Dominique Lang
Gériatrie: <http://perso.wanadoo.fr/dominique.lang/accueil.html>
- Interdire l'accès en écriture à ~/Library/Widgets --> même effet, sans modifier le comportement de Safari pour les autres fichiers.
Bonne idée, mais ça risque d'empêcher Widget Manager de fonctionner correctement (ou alors, il faut être certain de sa liste de widgets). C'est bien pratique, Widget Manager... -- Ghupt esch ghupt! Zeruckhupe git's net! Dominique Lang Gériatrie: <http://perso.wanadoo.fr/dominique.lang/accueil.html>
