À partir du 1^er septembre prochain, la page personnalisable My Netscape redirigera vers le portail de Netscape/AOL. À cette occasion, des FAQ ont été publiées. Ils rappellent que le support officiel des navigateurs Netscape a cessé et que Netscape recommande de passer à Flock ou à Firefox.

On peut aussi rappeler que les utilisateurs des Netscape 4, 6 et 7 prennent des risques en utilisant des suites logicielles de plus en plus sujettes à des vulnérabilités de sécurité reconnues et exploitées. Cependant grâce à SeaMonkey ils ont accès à une suite moderne qui ne les dépaysera pas.

Gregg Keizer discute dans ComputerWorld de la sécurité dans le prochain Firefox 3.0 avec des commentaires de Window Snyder, chef de la sécurité chez Mozilla. Il y est d'abord question d'un filtre anti-malware développé avec Google pour bloquer les sites voulant installer des logiciels ou des extensions malveillants sur le système ou dans le navigateur. Il est ensuite question de l'implémentation des certificats EV, qui dans IE font changer la barre d'adresse en vert feront apparaitre une popup avec un douanier vérifiant un passeport stylisé et baptisé « Larry » dans Firefox 3.

Les autres changements qui impactent la sécurité de l'utilisateur sont sous le capot. Le code lui-mêmme a été rendu plus sûr.

Snyder a dit que la plupart de son temps depuis qu'elle a rejoint Mozilla en septembre dernier a été passé à améliorer la sécurité du code de Firefox, avec un effort majeur de création d'outils de test de pénétration que les développeurs puissent utiliser pour repérer les failles avant que l'application quitte la maison. Mozilla a utilisé divers « fuzzers », des outils qui automatisent quelques processus de détection des vulnérabilités, et a trouvé des douzaines des bogues avec juste un, un fuzzer JavaScript que Mozilla a rendu public la semaine dernière pour la communauté open-source à la conférenceBlack Hat sur la sécurité.

Jeudi matin, à la conférence Black Hat, Window Snyder et Mike Shaver de Mozilla ont dévoilé des outils permettant de tester Firefox. Ces outils et le test en lui-même ne sont pas tout à fait conventionnels étant donné qu’ils sont utilisés aussi bien par les “gentils” que par les “méchants”. Il ne s’agit donc pas simplement d’installer une des nightlies et de la regarder.

Ces fameux outils comprennent un « protocol fuzzer » et un « Javascript fuzzer ». Sous le nom énergique de fuzzer on découvre une méthode qui simule un grand nombre de conditions et de données dans lesquelles un navigateur pourrait révéler une faille.

Mozilla a donc l’intention de rendre publics des moyens permettant aux utilisateurs de découvrir des failles et d’en faire le rapport. Comme on sait que la communauté qui entoure Mozilla est très active et très enthousiaste, mettre ces outils dans les mains de la communauté pourra donc sans doute rendre la future version de Firefox plus forte et plus sûre. Ca, c’est la manière gentille de voir les choses.

L’autre point de vue, c’est celui des hackers qui utilisent cette même méthode, mais pour faire des attaques à travers les vulnérabilités qu’ils découvrent. Il n’est pas nécessaire de s’inquiéter suite à la mise en ligne de ces bouts de code par Mozilla, les personnes mal intentionnées connaissant et utilisant ça depuis un moment.

Quoiqu’il en soit, le « Javascript fuzzer » est disponible à cette adresse.

TechWeb : Microsoft Vs. Mozilla - Spyware Barely Touches Firefox :

Internet Explorer users can be as much as 21 times more likely to end up with a spyware-infected PC than people who go online with Mozilla's Firefox browser, academic researchers from Microsoft's backyard said in a recently published paper.

«  We can't say whether Firefox is a safer browser or not, » said Henry Levy, one of the two University of Washington professors who, along with a pair of graduate students, created Web crawlers to scour the Internet for spyware in several 2005 forays. « But we can say that users will have a safer experience [surfing] with Firefox. »

MÀJ : Voir aussi : The Washington Post, Security Fixes Come Faster With Mozilla, 12 février 2006, Brian Krebs, page F07

MÀJ : GenerationNT parle aussi de cette étude dans son article « Moins de risque d'infection par spyware avec Firefox ».

La parution d'un exploit pour Linux et pour Mac (pour l'instant), concernant une des failles patchées par la dernière mise à jour de Firefox a conduit la fondation a réévalué son appréciation de la sévérité de la vulnérabilité pour « critique ». Un certain Avi Raff critique la légéreté de la fondation :

« This again shows that Mozilla are not learning from past mistakes and are still downplaying vulnerabilities. My guess is that they are waiting for an exploit in the wild before they are going to rate any exploitable memory corruption vulnerability as 'Critical'. »

Brian Krebs sur son blog du Washington Post publie sa seconde étude sur le temps de réaction des éditeurs à patcher les failles de sécurité découvertes. Les données analysées sont celles publiées par les éditeurs eux-mêmes. Mozilla s'en sort pas trop mal surtout si on la compare à la première organisation étudiée, Microsoft. Extrait :

« Mozilla also had relatively few cases of security researchers disclosing critical flaws to the public instead of privately to Mozilla ; this happened only a couple of times in 2005 (Security Fix will release more data on Thursday that address this issue in much further detail). Mozilla took an average of 16 days to release critical software updates after flaws were publicly reported, while Microsoft averaged two months in the same situations. »

MÀJ : Voir aussi : The Washington Post, Security Fixes Come Faster With Mozilla, 12 février 2006, Brian Krebs, page F07