Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

[MàJ] Chrome 25 bêta : la fin de l’installation silencieuse d’une extension

Il aura fallu attendre la 25e version

[MàJ] Chrome 25 bêta : la fin de l'installation silencieuse d'une extension

Le 15 janvier 2013 à 10h00

Depuis longtemps maintenant, il est possible d'installer « silencieusement » une extension sur Chrome, via la base de registre dans le cas de Windows par exemple. Suite à des abus, Google annonce que ce ne sera plus le cas, et la version 25 de son navigateur intègrera deux fonctionnalités permettant de s'en prémunir.

google chrome extensions silencieuses

 

D'après Google, une majorité d'utilisateurs installent leurs extensions Chrome directement depuis le Web Store, mais ce n'est pas toujours le cas. En effet, certaines peuvent venir s'ajouter automatiquement à votre navigateur lorsque vous installez une application, on parle alors d'une mise en place « silencieuse » puisque vous n'avez pas donné explicitement votre accord. Deux méthodes officielles existent : via la base de registre pour Windows, ou bien via un Json.

 

Via son blog dédié à Chromium, Google précise que, suite à de nombreux abus, ce ne sera plus le cas. En effet, les extensions déployées via cette technique seront désormais désactivées par défaut, mais vous aurez évidemment la possibilité de l'activer ou bien de la supprimer. Le choix revient donc à l'utilisateur, ce qui est plutôt appréciable.

 

De plus, ce changement est rétroactif et les extensions précédemment mises en place via l'une de ces méthodes seront automatiquement désactivées. Chrome vous proposera néanmoins de les réactiver manuellement si besoin.

 

google chrome extensions silencieuses

 

Google précise enfin que ces fonctionnalités seront déployées sur Chrome 25, sans que l'on sache s'il s'agit de la version stable ou d'une bêta.

Commentaires (43)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Tant mieux !

votre avatar

C’est pas plus mal.

votre avatar

<img data-src=" />

votre avatar

Ah bah enfin ! Plus de “Click-to-Call” de Skype. <img data-src=" />

votre avatar

Si ça pouvait être pareil pour tous, rien que pour la babylon toolbar <img data-src=" />

votre avatar

<img data-src=" />

Chrome devient de plus en plus chiant!



Je veux un mode expert/développeur!

Laissez moi tranquille je fais ce que je veux <img data-src=" />

votre avatar







Jim PROFIT a écrit :



<img data-src=" />

Chrome devient de plus en plus chiant!



Je veux un mode expert/développeur!

Laissez moi tranquille je fais ce que je veux <img data-src=" />







En quoi un mode “expert/développeur” devrait autoriser que les plugins s’installent sournoisement silencieusement ?


votre avatar

Déjà qu’on ne peux plus installer un plugin depuis un site web sans passer par le store …

votre avatar







JCLB a écrit :



Si ça pouvait être pareil pour tous, rien que pour la babylon toolbar <img data-src=" />





La baylon toolbar ? le truc que tout le monde a, mais personne ne veut ?


votre avatar







atem18 a écrit :



Sauf qu’il va te répondre que ce n’est pas son problème. C’est à toi, créateur du service, de lui mâcher le travail.





Et concrètement je lui mâche comment le travail si je ne veux pas passer par le store?


votre avatar







Dyblast a écrit :



Et concrètement je lui mâche comment le travail si je ne veux pas passer par le store?







Ben… Tu cibles un autre navigateur. C’est pas pour rien que tous le monde crache sur le store de Windows 8, hein…


votre avatar







Dyblast a écrit :



Déjà qu’on ne peux plus installer un plugin depuis un site web sans passer par le store …







C’est possible. Tu n’as juste pas cherché… <img data-src=" />


votre avatar







ErGo_404 a écrit :



Bah ton malware va devoir taper dans les préférences de Chrome. Autrement dit soit il sera bloqué par les systèmes car il n’aura pas les droits, soit ça sera au moins facilement détectable. Sans compter que si tes prefs sont synchronisées, il y a moyen de protéger encore plus.







Justement, je ne comprend pas la protection, si c’est juste ça. Si le malware peut écrire dans la base de registre, il peut aussi écrire dans le profile de l’utilisateur. Donc dans les préférences de Chrome. Les droits il les a, puisqu’il tourne avec les droits de l’utilisateur (sinon il ne pourrait même pas ajouter sa clé de registre et le problème ne se poserait pas).



C’est vraiment uniquement ça ?


votre avatar







NeVeS a écrit :



Justement, je ne comprend pas la protection, si c’est juste ça. Si le malware peut écrire dans la base de registre, il peut aussi écrire dans le profile de l’utilisateur. Donc dans les préférences de Chrome. Les droits il les a, puisqu’il tourne avec les droits de l’utilisateur (sinon il ne pourrait même pas ajouter sa clé de registre et le problème ne se poserait pas).



C’est vraiment uniquement ça ?





C’est pas pasqu’il a le droit d’écrire dans la BDR qu’il peut écrire n’importe où dans le profil utilisateur. Et depuis Vista, à moins de désactiver l’UAC, le programme ne tourne pas avec les mêmes droits que l’utilisateur.


votre avatar







fitfat a écrit :



C’est pas pasqu’il a le droit d’écrire dans la BDR qu’il peut écrire n’importe où dans le profil utilisateur. Et depuis Vista, à moins de désactiver l’UAC, le programme ne tourne pas avec les mêmes droits que l’utilisateur.







Si Chrome a le droit d’écrire dans le profile pour y écrire ses préferences, l’utilisateur a le droit d’écrire dans le profile. Si l’utilisateur lance le malware, le malware a le droit d’écrire dans le profile. Je ne vois pas ce qu’il y a de compliqué à comprendre ici.

L’UAC n’entre pas en jeu ici, l’UAC n’intervient que pour les taches administratives, pas pour écrire dans le profile de l’utilisateur (et heureusement sinon il s’activerait toutes les secondes.). Ici on parle d’actions qui se déroulent intégralement sans droit administratif (écrire dans le profile de l’utilisateur, écrire dans la base de registre de l’utilisateur).


votre avatar







Blood_Man a écrit :



La baylon toolbar ? le truc que tout le monde a, mais personne ne veut ?





comment vous faites ?? faut vraiment etre noob <img data-src=" />


votre avatar







NeVeS a écrit :



Si Chrome a le droit d’écrire dans le profile pour y écrire ses préferences, l’utilisateur a le droit d’écrire dans le profile. Si l’utilisateur lance le malware, le malware a le droit d’écrire dans le profile. Je ne vois pas ce qu’il y a de compliqué à comprendre ici.





C’est toi qui ne comprend pas qu’un programme ne peut pas sortir de son espace définie. Chrome à le droit d’écrire dans son propre espace à l’intérieur de l’espace utilisateur. Mais il ne peut pas écrire dans l’espace de Firefox qui se situe dans le même espace utilisateur.





L’UAC n’entre pas en jeu ici, l’UAC n’intervient que pour les taches administratives, pas pour écrire dans le profile de l’utilisateur (et heureusement sinon il s’activerait toutes les secondes.).



Ce n’est pas pasque tu ne voit pas l’UAC que l’UAC n’agit pas. Ce que tu appelle l’activation de l’UAC, c’est simplement une requête du programme pour élever ses droits. Si un programme sort de son espace sans faire de requête d’élévation, l’UAC le bloque sans embêter l’utilisateur.





Ici on parle d’actions qui se déroulent intégralement sans droit administratif (écrire dans le profile de l’utilisateur, écrire dans la base de registre de l’utilisateur).



Et il faut les droit de l’utilisateur pour accéder librement à l’intégralité du profile utilisateur. Hors les programmes n’ont pas les droits utilisateurs, donc ils ne peuvent pas accéder à l’intégralité du profile utilisateur.


votre avatar







fitfat a écrit :



C’est toi qui ne comprend pas qu’un programme ne peut pas sortir de son espace définie. Chrome à le droit d’écrire dans son propre espace à l’intérieur de l’espace utilisateur. Mais il ne peut pas écrire dans l’espace de Firefox qui se situe dans le même espace utilisateur.







Mais on ne parle pas de Chrome ni d’espace utilisateur ! On parle d’un malware qui installerait une extension Chrome malicieuse. Ce à quoi Chrome répond qu’on ne peut plus silencieusement installer une extension maintenant, il vaut une validation manuelle. Rien à voir avec ce que tu expliques.


votre avatar







NeVeS a écrit :



Mais on ne parle pas de Chrome ni d’espace utilisateur ! On parle d’un malware qui installerait une extension Chrome malicieuse. Ce à quoi Chrome répond qu’on ne peut plus silencieusement installer une extension maintenant, il vaut une validation manuelle. Rien à voir avec ce que tu expliques





Ok, je reprend :







fitfat a écrit :



C’est toi qui ne comprend pas qu’un programme ne peut pas sortir de son espace définie. Chrome Le malware à le droit d’écrire dans son propre espace à l’intérieur de l’espace utilisateur. Mais il ne peut pas écrire dans l’espace de Firefox Chrome qui se situe dans le même espace utilisateur.



votre avatar







fitfat a écrit :



Ok, je reprend :







Je crois que je vais lâcher l’affaire, mais bon je tente une dernière fois :



Prenons un utilisateur. Il n’est pas administrateur sur sa machine. Il exécute le malware avec ses droits d’utilisateur simple, comme il le ferait pour lancer la calculatrice de Windows. Le malware peut donc écrire dans le base de registre de l’utilisateur. Comme n’importe quel programme qu’il utiliserait pour stocker ses préférences, par exemple.

Maintenant, le malware décide d’aller modifier les préférences de Chrome dans ses fichiers de configuration. Ces préférences sont stockés dans le profile utilisateur, pour que Chrome puisse y accéder avec les droits de l’utilisateur qui l’exécute.



Chrome ou malware, les deux programmes sont lancés par le même utilisateur, et toutes les actions du malware se cantonnent à modifier des informations de l’utilisateur, ce qui ne nécessite aucun droit administratif.



Rien n’empêche le programme B d’aller modifier les fichiers du programme A puisque ces fichiers appartiennent sur le système de fichiers au même utilisateur. On ne peut pas dire “ces fichiers sont à l’utilisateur X mais ils ne peuvent être accessibles que par l’application A”.


votre avatar







NeVeS a écrit :



Prenons un utilisateur. Il n’est pas administrateur sur sa machine. Il exécute le malware avec ses droits d’utilisateur simple, comme il le ferait pour lancer la calculatrice de Windows.





Justement, la calculatrice ne s’exécute pas avec les droits de l’utilisateur. De même que le malware ne s’exécute pas avec les droits utilisateurs.





Le malware peut donc écrire dans le base de registre de l’utilisateur. Comme n’importe quel programme qu’il utiliserait pour stocker ses préférences, par exemple.



Oui, mais seulement dans les zones dont il est propriétaire.





Maintenant, le malware décide d’aller modifier les préférences de Chrome dans ses fichiers de configuration. Ces préférences sont stockés dans le profile utilisateur, pour que Chrome puisse y accéder avec les droits de l’utilisateur qui l’exécute.



Mais également dans une zone dont Chrome est propriétaire. Le malware ne peux donc pas y accéder (à moins que Chrome ou un compte accrédité le lui ait donné). Accessoirement, Chrome n’a toujours pas les droits de l’utilisateur.





Chrome ou malware, les deux programmes sont lancés par le même utilisateur, et toutes les actions du malware se cantonnent à modifier des informations de l’utilisateur, ce qui ne nécessite aucun droit administratif.



Sauf qu’il n’a pas le droit. Tous comme Chrome n’a pas le droit de modifier les données d’un logiciel tiers (à moins qu’il y ait été autorisé par le-dit logiciel ou l’utilisateur/administrateur).

Et, effectivement, les droits administratif n’ont rien à voir là-dedans.





Rien n’empêche le programme B d’aller modifier les fichiers du programme A puisque ces fichiers appartiennent sur le système de fichiers au même utilisateur. On ne peut pas dire “ces fichiers sont à l’utilisateur X mais ils ne peuvent être accessibles que par l’application A”.



C’est justement le rôle de l’UAC de contrôler ce qu’il se passe à l’intérieur du compte utilisateur.


votre avatar

Hein ? Mais c’est complètement faux ce que tu racontes ? Ça n’existe pas cette notion de compartimentage d’application sous Windows.









fitfat a écrit :



Justement, la calculatrice ne s’exécute pas avec les droits de l’utilisateur. De même que le malware ne s’exécute pas avec les droits utilisateurs.







La calculatrice s’exécuterait avec quels droits alors ? Les droits sont peut être limités par l’UAC mais ça ne change pas qu’il s’agit toujours du même utilisateur. Les fichiers sur le système de fichiers lui appartiennent toujours. Sinon notepad demanderait à l’utilisateur de s’identifier à chaque fichier qu’il essaye de lire, par exemple.







fitfat a écrit :



Sauf qu’il n’a pas le droit. Tous comme Chrome n’a pas le droit de modifier les données d’un logiciel tiers (à moins qu’il y ait été autorisé par le-dit logiciel ou l’utilisateur/administrateur).







Mais bien sûr que si. Un logiciel lancé par un utilisateur à tous les droits pour modifier n’importe quel fichier appartenant à cet utilisateur (modulo les fichiers lockés par les applications lancées, admettons).

Ouvre notepad avec un fichier dans le dossier Google de %LOCALAPPDATA% tu le verras tout de suite.


votre avatar







atem18 a écrit :



C’est possible. Tu n’as juste pas cherché… <img data-src=" />







Va expliquer à l’utilisateur de ton site que pour que ton service fonctionne bien il doit aller glisser dans sa page “extension” le fichier qu’il va télécharger …


votre avatar

Que de contre vérités…









fitfat a écrit :



Justement, la calculatrice ne s’exécute pas avec les droits de l’utilisateur. De même que le malware ne s’exécute pas avec les droits utilisateurs.





Bien sûr que si, ils s’exécutent évidemment avec les droits de l’utilisateur. C’est logique et pas très compliqué à vérifier : gestionnaire des taches, colonne username. Les applications n’ont évidemment pas leurs propres comptes.





Oui, mais seulement dans les zones dont il est propriétaire.



Mais également dans une zone dont Chrome est propriétaire. Le malware ne peux donc pas y accéder (à moins que Chrome ou un compte accrédité le lui ait donné). Accessoirement, Chrome n’a toujours pas les droits de l’utilisateur.



Sauf qu’il n’a pas le droit. Tous comme Chrome n’a pas le droit de modifier les données d’un logiciel tiers (à moins qu’il y ait été autorisé par le-dit logiciel ou l’utilisateur/administrateur).

Et, effectivement, les droits administratif n’ont rien à voir là-dedans.



C’est drôle mais beaucoup de choses fausses.

Déjà Chrome est une application et n’a pas de compte, il n’est propriétaire d’aucun fichier ou dossier.

De plus la propriété des dossiers n’a rien à voir là dedans. Il faut juste avoir les droits d’écritures dans le dossier, pas besoin d’en être propriétaire. Il se trouve que l’utilisateur est propriétaire de son profil mais peu importe.

Un petit test, tu fais un nouveau fichier test.cmd (qui représente le malware) avec dedans :

echo test &gt; %userprofile%/AppData/Local/Google/Chrome/test.txt

Tu double clic le cmd, le fichier test.txt sera effectivement créé dans le dossier des paramètres de Chrome sans demande d’élévation via l’UAC.





C’est justement le rôle de l’UAC de contrôler ce qu’il se passe à l’intérieur du compte utilisateur.



Non, le rôle de l’UAC c’est de bloquer les élévations de privilèges non autorisés.


votre avatar







Dyblast a écrit :



Va expliquer à l’utilisateur de ton site que pour que ton service fonctionne bien il doit aller glisser dans sa page “extension” le fichier qu’il va télécharger …







Sauf qu’il va te répondre que ce n’est pas son problème. C’est à toi, créateur du service, de lui mâcher le travail.


votre avatar







Shilz a écrit :



comment vous faites ?? faut vraiment etre noob <img data-src=" />





Sachant que 90% des utilisateurs sont des noobs, alors oui on est tous les 2 d’accord.


votre avatar







Dyblast a écrit :



Va expliquer à l’utilisateur de ton site que pour que ton service fonctionne bien il doit aller glisser dans sa page “extension” le fichier qu’il va télécharger …







C’est pas la mort.


votre avatar

Firefox le fait depuis un certain temps. <img data-src=" />

votre avatar



Firefox le fait depuis un certain temps





IE9 aussi demande a l’utilisateur s’il souhaite activer les plugins nouvellement installés ou les garder désactivés.



c’est marrant que google ait pu croire que Chrome serait épargné par les éditeurs de crapwares aussi longtemps sans réagir.



même sur osx on voit de plus de plugins publicitaires installés dans les navigateurs par des logiciels “gratuits”.

votre avatar

il ne reste plus que chrome lui même ne s’installe plus silencieusement et la boucle sera boucle <img data-src=" />

votre avatar







Baron.lost a écrit :



il ne reste plus que chrome lui même ne s’installe plus silencieusement et la boucle sera boucle <img data-src=" />





J’attend çà avec impatience, un Chrome qui ne s’installe pas dans le profil utilisateur. Quelle daube ce Chrome rien que pour cela, obligé de le virer régulièrement sur les postes que je gère.


votre avatar







jmanici a écrit :



c’est marrant que google ait pu croire que Chrome serait épargné par les éditeurs de crapwares aussi longtemps sans réagir.







Ils devaient se dire qu’avec le mode de distribution de Chrome qui est proche du malware (aka “je m’installe en même temps qu’un autre logiciel avec une option à décocher qui ne sera pas vue par “clicliclic finish”), ajouter des add-ons de la même façon n’aurait pas choqué l’utilisateur. <img data-src=" />


votre avatar







SebGF a écrit :



Ils devaient se dire qu’avec le mode de distribution de Chrome qui est proche du malware (aka “je m’installe en même temps qu’un autre logiciel avec une option à décocher qui ne sera pas vue par “clicliclic finish”), ajouter des add-ons de la même façon n’aurait pas choqué l’utilisateur. <img data-src=" />







C’est pas ça qui booste les PDM tu sais, cherche une autre excuse


votre avatar



C’est pas ça qui booste les PDM tu sais, cherche une autre excuse





si ça ne booste pas les PDM, alors tu peux nous expliquer pourquoi Google jetterait de l’argent par les fenêtres en payant $1 les développeurs tiers a chaque install réussie (+ mise en navigateur par defaut) de ce spyware?

votre avatar







jmanici a écrit :



en payant $1 les développeurs tiers a chaque install réussie (+ mise en navigateur par defaut) de ce spyware?







Ta source ?


votre avatar







jmanici a écrit :



si ça ne booste pas les PDM, alors tu peux nous expliquer pourquoi Google jetterait de l’argent par les fenêtres en payant $1 les développeurs tiers a chaque install réussie (+ mise en navigateur par defaut) de ce spyware?







Pour inciter à développer pour le browser, vu que ça peut pas être payant.

Navigateur par défaut, toujours cet argument moisi, le michu continuera de cliquer sur l’icone IE hein (et d’accepter de remettre IE par défaut lors qu’il le demandera)


votre avatar







ff9098 a écrit :



Navigateur par défaut, toujours cet argument moisi, le michu continuera de cliquer sur l’icone IE hein (et d’accepter de remettre IE par défaut lors qu’il le demandera)





Effectivement, c’est le cas pour tout ceux qui ne s’y connaissent pas trop et pour qui j’ai installé Chrome. Ils démarrent toujours l’ancien navigateur qu’ils utilisaient…



votre avatar







ff9098 a écrit :



Pour inciter à développer pour le browser, vu que ça peut pas être payant.

Navigateur par défaut, toujours cet argument moisi, le michu continuera de cliquer sur l’icone IE hein (et d’accepter de remettre IE par défaut lors qu’il le demandera)





+1, ça me fait toujours rire cette excuse pour justifier la réussite de Chrome, ça doit jouer forcément quelque part mais depuis la fin 2008 Chrome augmente tranquillement ses PDM dans un marché “impossible” à prendre (du moins c’est ce qu’on pensait), ils ont quand même conçu un super navigateur qui a bien relancé le marché, il y a du mérite.


votre avatar







zaknaster a écrit :



+1, ça me fait toujours rire cette excuse pour justifier la réussite de Chrome, ça doit jouer forcément quelque part mais depuis la fin 2008 Chrome augmente tranquillement ses PDM dans un marché “impossible” à prendre (du moins c’est ce qu’on pensait), ils ont quand même conçu un super navigateur qui a bien relancé le marché, il y a du mérite.







Oui, j’étais pas fan au début mais maintenant <img data-src=" />


votre avatar







ff9098 a écrit :



Oui, j’étais pas fan au début mais maintenant <img data-src=" />





Pareil, j’ai du attendre dans les alentours de la version 10 pour switcher <img data-src=" />


votre avatar







MickeyFreeStyler a écrit :



J’attend çà avec impatience, un Chrome qui ne s’installe pas dans le profil utilisateur.







support.google.com GoogleDeuxième lien de la liste.


votre avatar

Comment ça marche cette nouvelle fonctionnalité ? Qu’est ce qui empêche le malware qui a ajouté l’extension dans la base de registre d’aller dire à Chrome “c’est bon cette extension je l’ai validé à la main” ?

votre avatar







NeVeS a écrit :



Comment ça marche cette nouvelle fonctionnalité ? Qu’est ce qui empêche le malware qui a ajouté l’extension dans la base de registre d’aller dire à Chrome “c’est bon cette extension je l’ai validé à la main” ?





Bah ton malware va devoir taper dans les préférences de Chrome. Autrement dit soit il sera bloqué par les systèmes car il n’aura pas les droits, soit ça sera au moins facilement détectable. Sans compter que si tes prefs sont synchronisées, il y a moyen de protéger encore plus.


[MàJ] Chrome 25 bêta : la fin de l’installation silencieuse d’une extension

Fermer