Perso, j’ai pas grand chose à reprocher à IE9 si ce n’est ses régressions sur les tableaux. (Pas les tableaux pour faire la mise en page, les tableaux pour faire des tableaux de données.) Je ne comptes même plus le nombre d’anomalies rencontrées dessus alors qu’elles ne sont pas présentes sous IE8
es tu sûr que ces anomalies ne sont pas en réalité un comportement d’avantage conforme aux standards?
car si on va par là, le comportement d’IE6 est souvent plus pratique que celui défini dans les standards (ex: conteneur qui s’adapte à la taille de l’élément enfant si celui ci dépasse).
Le
25/03/2013 à
22h
25
La communauté a gueulé (à raison) justement parce que Microsoft voulait tout faire dans son coin à sa sauce sans s’occuper des autres. Certes xmlhttprequest existait sous forme de contrôle activeX mais non seulement l’instanciation mais, et surtout, l’implémentation était différente, avec des préoccupations de sécurité qui n’étaient pas les mêmes (intégration avec l’OS, comme tous les activeX)
“la communauté” s’est reveillée un peu tard… Des années après l’apparition de ces fonctionnalités dans IE5! Elle espérait quoi? Que Microsoft retire des fonctionnalités d’IE 5 et 6 dans une maj WU et casse la compatibilité du jour au lendemain? Complément ridicule.
quant à l’instanciation de xmlhttprequest, tu n’a pas compris ce que j’expliquais
nul besoin de gérer les contrôles activex pour créer un navigateur alternatif qui comprenne la syntaxe d’instanciation de xmlhttprequest d’IE, et qui instancie un objet interne au navigateur, comme c’est le cas actuellement.
Le
25/03/2013 à
22h
16
J’ai plutôt l’impression que c’est un prétexte de Microsoft pour freiner OpenGL indirectement.
Mais j’aimerais bien qu’on m’explique en quoi WebGL n’est pas assez sécurisé par rapport à ce qu’il est possible de faire actuellement en web (question sérieuse).
PC INpactle but n’est pas de se braquer contre OpenGL, puisque MS peut tres bien faire une implementation de webgl qui exploite direct3d.
Le
25/03/2013 à
18h
48
Des infos sur l’ajout de WebGl pour IE 11 ?
Paske ca fait quand même un bout de temps que tout le monde s’y est mis (ou presque), ils vont finir par être vraiment à la traine.
… à moins qu’ils préparent un WebDirect3D
webGL n’est pas un standard w3c.
et ce n’est franchement pas une bonne idée sur les mobiles. Apple l’a implémenté uniquement pour sa régie de pub. Peut être redoutent ils les risques de jailbreak via un simple site web, à cause des problèmes inhérents à laisser n’importe qui exécuter des shaders via des drivers gpu tournant en mode kernel.
et vu la tendance à remplacer les applis web par des applis natives, ce n’est pas dans leur intérêt de supporter webgl dans safari (sans oublier le coup porté à l’autonomie si tout le monde en abuse comme Flash)
MS refuse de l’implémenter à cause des risques de sécurité. Même dans Silverlight 5.x ils ont désactivé XNA par défaut pour éviter de soumettre les utilisateurs de Silverlight aux même risques de sécurité potentiels que les navigateurs supportant WebGL.
Le
25/03/2013 à
16h
34
Donc si quelqu’un sort un truc 10x mieux que W3C , il pourra rien faire puisque W3C est la norme.
bon j’avoue je chipote complétement …
c’est ce qu’a fait MS dans les années 90 avec IE5.
beaucoup de fonctionnalités propriétaires étaient beaucoup plus avancées que tout ce qui était standardisé par le w3c:
les webmasters ont adoré ça à l’époque, jusqu’au jour où ils ont commencé à détester…
Le
25/03/2013 à
16h
25
Quand une des fonctions est standardisée, Mozilla remplace l’API par la version standardisée immédiatement,
non c’est faux.
Mozilla et webkit continuent à supporter les versions prefixees en parallèle.
du coup tant que ca marche, les webmasters continuent à les utiliser, au détriment d’IE qui respecte uniquement le standard finalisé non préfixé.
même problème sur les sites mobiles où le préfixe -webkit est massivement utilisé, ce qui va obliger Microsoft à le supporter dans ie mobile.
la vrai solution serait que Mozilla et webkit retirent le support des versions prefixees lorsque la version non préfixée devient supportée.
mais évidemment du jour au lendemain tous les sites codés avec les pieds cesseraient de fonctionner sur ces navigateurs…
ce n’est donc pas dans l’intérêt de Google et Mozilla d’épurer le web de leurs préfixes proprios.
encore une fois contrairement à MS, qui s’est explicitement et publiquement battu pour tenter d’imposer SON API Web en concurrence avec celle du w3c.
n’importe quoi. Le gars qui réécrit l’histoire a sa sauce.
bon nombre de fonctionnalités “proprio” d’IE5.X ont été naturellement adoptées par les autres navigateurs sous forme modifiée, puis standardisées 10 ans plus tard dans html5 (contenteditable, innerhtml, xmlhttprequest, …)
même svg est un dérivé de VML que MS avait tenté de soumettre au w3c fin 90, bien avant l’existence de SVG.
Ironiquement, les trolls qui réécrivent l’histoire voient ça autrement : “MS a tenté d’imposer sa techno proprio à la place d’un standard existant”
Le
25/03/2013 à
16h
11
2010, t’as pas plus vieux.
Flash et Java sont des passoires, ça n’empêche rien non plus
décembre 2010, ca correspond à la phase où IE9 était déjà feature complete, et prêt à passer en RC.
je te rappelle que la faille en question était bien plus problématique qu’une faille classique affectant un logiciel sur un poste de travail.
cette faille était de nature à exposer à des risques des machines autres que celles où le logiciel était installé (empoisonnement de cache).
citer flash et java est complètement hors sujet.
au passage, Flash a nettement moins de failles que webkit par exemple, malgré le fait que ce soit des environnement d’une complexité similaire (flash comprend même d’avantage de fonctionnalités que webkit seul)
même vupen (société spécialisée dans la recherche et revente de failles dans les navigateurs) a déclaré que le point faible de chrome était webkit (à cause du nombre de failles), et qu’ adobe n’est pas si mauvais qu’on peut le croire.
Le
25/03/2013 à
16h
00
Sauf que HTML 5 ou CSS3 apportent des solution et Active X des problèmes
Ca n’a jamais bien fonctionne et a part donner des sueurs froides pour la sécurité et le fonctionnement, compliquer la vie des utilisateurs et des devs et n’être pas multi-plateforme on peut pas dire que ce fut un grand pas en avant.
je pense qu’il faisait allusion à xmlhttprequest, introduit sous ie5.5 sous la forme d’un objet activex préinstallé dans IE (aucun risque de sécurité, ce n’est pas comme si c’était l’utilisateur qui devait installer un plugin provenant d’une source inconnue).
et pour les autres navigateurs, il aurait été facile d’assurer la compatibilité en reconnaissant la syntaxe d’instanciation de xmlhttprequest spécifique à IE, mais sans avoir à gérer activex évidemment.
après les trolls ont gueulé parce que IE6 ne supportait pas l’instanciation de xmlhttprequest de la même façon que les autres navigateurs, alors que ce standard est dérivé de l’implémentation propriétaire de Microsoft.
Le
25/03/2013 à
15h
52
Les putois qui gueulent à tout va que IE9 ne supporte même pas WebSocket devraient se remémorer ceci:
heureusement que MS n’a pas supporté ce brouillon tel qu’il était à l’époque de la sortie d’ IE9.
Le
25/03/2013 à
15h
49
Non mais cela a meme gueulé sur des balises proprios qui respectaient la norme (voir les news concernant le système permettant d’épingler un site web dans la barre des taches).
sauf que ce type de fonction ne gêne en rien le rendu d’une page web pour les navigateurs qui ne les supportent pas.
rien à voir avec les sites qui utilisent des propriétés css critiques pour le layout d’une page uniquement dans leurs versions prefixées -moz et -webkit, et dont le rendu casse sous IE qui ne supporte “que” les versions standard non préfixées.
Chrome dit que naCL est pret pour ARM, tu es sur qu’ils utilisent le brouillon dont tu parles ?
c’est ce que j’ai lu sur slashdot.
NaCl est opensource
oui, et alors?
seul Google l’utilise, et NaCl n’a pas vocation à être adopté par les autres navigateurs, ni à devenir un standard W3C.
ça reste une extension propriétaire.
que ce soit open source n’y change rien.
Le
12/03/2013 à
14h
46
Et ceux qui abandonnent silverlight ils passent sur quoi ? Sur flash ? Non sur html5
cf netflix qui passe à html5
non hélas.
html5 n’est pas prêt pour le streaming vidéo avec DRM.
donc effectivement la seule alternative à Silverlight actuellement c’est flash.
netflix utilise toujours Silverlight, sauf sur les chromebooks où il utilise le système propriétaire de Google, NaCl (sur x86) pour gérer les DRM, ou le standard brouillon de gestion des DRM de HTML5 (qui ne semble supporté que par chrome tournant sur chromeOS) en ARM.
au final tu ne peux toujours pas utiliser netflix en html5 sur un linux standard. Trop bien HTML5…
( tu remarqueras que Flash offre plus de cohérence niveau fonctionnalités d’une plateforme à l’autre).
Le
12/03/2013 à
12h
36
Nous sommes majoritairement passés à l HTML5 ;) et au pire il y a le fallback
j’ai pas encore vu de pub en HTML5 sur un pc sans flash.
à moins qu’un gif animé dans une page HTML soit considéré comme du html5.
le jour où il y aura des animations en canvas/svg/javascript et de la vidéo dans les bannières de pub html5 (comme c’est le cas avec la plupart des bannières en Flash) niveau consommation cpu/ram ce sera probablement pire qu’avec flash. A contenu égal, Flash est plus efficace pour ce type d’usage multimédia que la plupart des navigateurs.
Le
12/03/2013 à
12h
31
Je dois admettre que flash, ça bouffe beaucoup de ressources pour la puissance faiblarde des puces ARM. Mais ça peut toujours s’avérer utile
figure toi que Flash Player tourne très bien sous Windows RT.
aucun problème pour lire des vidéos en 720p même avec un tegra3, et la plupart des animations tournent très bien. Du coup le blocage de tout ce qui n’était pas dans la whitelist était une décision incompréhensible, surtout sur Windows RT où même IE desktop subissait cette limitation.
le seul problème peut être les pubs en flash, mais ça c’est vite réglé grâce aux Tracking Protection Lists qui peuvent permettre d’éliminer les pubs.
Le
12/03/2013 à
12h
26
Ya la même chose à la Société Générale sans le Flash
pourtant le site de la société générale était quand même dans la whitelist Flash d’IE10.
je sais pas si c’est toujours le cas, mais il y a quelques années, pour rajouter un compte externe (pour faire un virement), il fallait passer par un formulaire codé en flash, ce qui m’a paru complètement absurde à l’époque.
Le
12/03/2013 à
12h
22
C’est le retour des plugins ? Quid de Silverlight ?
Silverlight est mort.
Microsoft n’a jamais publié de version WindowsRT, ni même de version win8 compatible avec l’enhanced protected mode utilisé par IE Metro.
ce serait un travail considérable pour le supporter alors que MS essaye de se débarrasser de cette techno.
Le
12/03/2013 à
12h
19
Sur iPad, on fait plus de chose que tu crois.
Le président des USA ainsi que le 1er ministre anglais pilotent leur pays avec ça.
Les traders font valser l’économie mondiale avec l’iPad.
il y a une application ipad pour diriger un pays? –’
plus sérieusement, je pense qu’il dirigent d’avantage leur pays avec du papier et un stylo qu’avec un iPad. L’ipad est là juste pour leur donner un côté “moderne” et branché (comme pour le pape). Le vrai travail administratif est fait par des collaborateurs, et certainement pas sur des ipads.
quant à la bourse, on pouvait déjà suivre ça avec un minitel. Donc tes exemples sont un peu insignifiants.
le fait est que si une personne ne doit avoir qu’une seule machine pour tous ses usages, une machine Windows RT a de grandes chances de répondre à tous ses besoins, sans avoir à switcher sur un ordinateur pour lire la carte mémoire de son appareil photo, une clef USB, imprimer, ou visiter un site qui contient des galleries photo uniquement en Flash.
Le
12/03/2013 à
10h
30
Je trouve que des machines comme le Dell XPS10 sous Windows RT (avec un CPU snapdragon) deviennent très intéressantes suite à cette news!
moins cher que surface RT, plus rapide que le tegra3, et aucun risque de malware puisque l’environnement est fermé et bien protégé.
je m’apprêtais à offrir une tablette Win8/Atom à ma mère (en tant qu’unique ordinateur, donc compatibilité flash Player nécessaire) mais ce revirement de situation change la donne: une tablette WindowsRT m’évitera d’avoir à payer une upgrade vers Windows 8 pro (pour applocker), et en plus office 2013 RT est fourni.
dommage qu’officeRT n’est pas compatible avec les macros, car sinon je connais beaucoup de monde qui serait intéressé par Windows RT en tant que machine principale à la maison (pour bosser un peu).
au passage, comme le dit Microsoft, cette décision donne accès à une experience web complète, ce qui fait sortir les machines windows RT du cadre des “companion devices” comme l’est l’ipad.
Le
12/03/2013 à
10h
16
En voilà une excellente nouvelle!
voila qui devrait booster les ventes de tablettes Windows RT!
(et couper l’herbe sous les pieds des chromebooks qui perdent leur seul intérêt compétitif face à WindowsRT)
Notez que ce changement n’intervient que pour la version Modern UI d’Internet Explorer 10. La version bureau reste quant à elle inchangée puisque le lecteur Flash s’y ébrouait déjà sans contrainte
pas tout à fait exact.
sous Windows RT, même IE Desktop était soumis à cette liste blanche, ce qui rendait difficile la lecture de contenu flash non whitelisté (Nécessitait une modif d’un fichier xml)
désormais, IE Desktop sous Windows RT profitera de Flash par défaut, en étant soumis à la même blacklist que IE Metro.
Ça aurait été pas mal comme faille à utiliser à Pown2Own. Mais je pense que ça rapportait pas assez.
java a déjà été exploité plusieurs fois lors du pwn2own 2013.
mais c’est sûr que cet exploit là va rapporter beaucoup plus que $20.000 à ses créateurs, puisque bon nombre de machines vont rester infectées pendant des années, et qu’elles appartiennent à des cibles de haute valeur (développeurs principalement, donc possibilité de voler des clefs privées, ou d’utiliser ces machines pour infiltrer le réseau local d’une entreprise, ou intercepter le trafic en clair).
Le
12/03/2013 à
15h
04
Pourquoi utiliser l’icone de l’UAC de Windows (visible sur la page d’accueil mais pas dans l’article) pour illustrer une news qui concerne une attaque de malware ayant touché principalement des utilisateurs d’OSX?
(y compris la Mac Business Unit de Microsoft).
au passage, GateKeeper n’offre aucune protection contre ce type d’attaques contrairement à ce que certains pouvaient croire.
Solution : se passer des vendeurs et aller soi-même à la source via le net.
ça c’est pas un probleme pour nous, lecteurs de PCI. Mais 99% des gens n’y connaissent rien et se basent sur ce qu’ils voient dans les pubs, ou sur l’opinion des autres (que ce soit leurs amis ou les vendeurs) pour décider quoi acheter.
donc forcément si les vendeurs on un intérêt a dénigrer la plateforme, win8 aura beaucoup de mal à percer sur les tablettes, car les gens ne peuvent pas deviner les qualités des tablettes hybrides si personne ne leur explique (support des clef USB, des imprimantes, de Flash Player, autonomie de 18h sur certaines tablettes atom, machine qui fait à la fois laptop et tablette,..)
bref, pour faire décoller win8 on ne peut pas ignorer les 99% et se contenter de 1%. Du coup malheureusement ce qui se passe dans les magasins comme la Fnac est important.
Le
08/03/2013 à
22h
25
Non ! Il n’a pas pu dire cela !?
Un vendeur me dit cela, je demande directement à voir la direction !
sans enregistrement audio j’aurais pas eu grand chose pour appuyer ma plainte.
le vendeur sait qu’il risque rien, vu son âge ça devait être le chef de rayon, bien syndiqué, donc il en a rien à branler que des clients viennent se plaindre de son attitude. Vendre des ipads à des pigeons pour remplir se objectifs de vente c’est beaucoup plus important. Et surtout, ne laisser personne l’empêcher de conclure sa vente, quels que soient les moyens.
ça se serait passé aux USA, avec un enregistrement audio, il aurait été viré sur le champ.
Le
08/03/2013 à
22h
19
Bah un mec qui dit qu’il y a un Atom dans l’ATIV tab merite ptet d’etre avacue par la securite
ativ pc smart -> atom
tu m’en voudras pas si je connais pas tous les noms a rallonge de tous les modèles de PC de tous les fabricants ;)
Le
08/03/2013 à
17h
52
J’ai la même anecdote, sauf que j’ai fait la demo, pour le client et….pour le vendeur FNAC
tu as eu plus de chance que moi.
j’ai fait remarquer au vendeur que conseiller une machine sans port USB à un client qui veut lire des clefs USB était un peu à coté de la plaque, et il s’est mis à m’insulter, me disant “je suis un professionnel, je suis plus à même de déterminer les besoins de mes clients que vous. Vous vous êtes rien du tout. Vous m’emmerdez, alors taisez vous ou j’appelle la sécurité” (ce qu’il a fait!)
Le
08/03/2013 à
15h
53
Petite anecdote:
il y a quelques semaines je regardais les pc a la Fnac, et j’entend derrière moi un vieux qui n’y connaissait pas grand chose demander conseil à un vendeur.
il était intéressé par surface RT, car il a besoin d’une tablette pour lire des pdf et travailler sur des documents Excel stockés sur une clef USB, mais il n’etait pas certain que surface soit capable de faire cela.
(scenario d’utilisation parfait pour Surface RT, non? Pour le coup le gars a trouvé tout seul la machine qui lui conviendrait le mieux).
l’avis du vendeur de la Fnac? “Un iPad 4 avec un clavier Logitech est le produit le plus adapté à vos besoin.”
(pas de port USB sur l’ipad? On s’en fout, prenez l’ipad quand même, puisqu’on vous dit que c’est le must!)
bref, avec des vendeurs aussi incompétents ou corrompus par des commissions plus importantes sur l’ipad, ou des objectifs de vente obligatoires de produits Apple (comme c’était le cas sur les iPods pour avoir le droit de vendre l’iPhone), pas étonnant que le grand public ne se tourne pas encore vers Windows RT. Quelqu’un intéressé par une tablette sous Windows RT a toutes les chances de se faire embobiner par un vendeur pour acheter un produit qui apporte plus de bénéfice au magasin (et au vendeur).
Le
08/03/2013 à
15h
37
[quote]Pour l’instant c’est un peu bâtard, car les tablette Windows 8 n’ont pas une autonomie vraiment top,[quote]
avec un CPU Atom Clover Trail on atteint facilement les 9h d’autonomie tablette seule (voire même 14h pour la Samsung ativ tab) + 8h/9h avec un dock.
l’autonomie est excellente. La Samsung sous win8/atom se paye même le luxe de dépasser largement l’autonomie de l’ipad.
évidemment il ne faut pas comparer les core i5 avec des cpus ARM 5 à 10x moins puissants…
2013 et j’attends toujours un portable avec plus de 8 heures d’autonomie affichée. Pour un usage bureautique simple, de la navigation internet et quelques films, une puce ARM suffit amplement. Pourtant, cet usage semble être ignoré par les constructeurs.
n’importe quelle tablette windows 8 Atom clover trail atteint les 8h d’autonomie.
et meme 18h avec dock pour certaines comme la Asus vivotab tf810c.
mais c’est sûr que si tu veux du core i5 10x plus puissant que de l’ARM, t’auras une autonomie 2 ou 3x moins bonne que sur de l’ARM ou de l’Atom.
Surtout la différence avec les éditions précédentes c’est que Safari n’inclut plus aucun plugin, et c’était des portes d’entrée de luxe pour les hackers
c’est surtout chrome qui a souvent été hacké à cause de flash
lors des précédentes éditions, Charlie Miller exploitait uniquement des failles de webkit et osx.
mais depuis deux ans il a déclaré qu’il ne participait plus au concours p2own à cause des changements de règle, et ce malgré le fait qu’il possédait déjà un exploit fonctionnel qui lui aurait permis de gagner le concours.
Le
08/03/2013 à
16h
16
Si c’est pour le memory disclosure => certes la grande majorité est exécutée grâce à du script quel qu’il soit, mais ça n’empêche pas de le récupérer d’une autre manière.
Du coup, tu peux détailler à quoi tu pensais exactement
il y a peut être un risque théorique, mais je n’ai jamais vu d’exploit arrivant à contourner ASLR et DEP sans utiliser de JS ou de plugin capable d’exécuter du code
même si en théorie ça reste possible, un tel exploit devrait rester exceptionnel. Là actuellement malgré aslr/dep et d’autres protections mémoire intégrées à IE/Chrome, les hackers arrivent toujours après plusieurs mois de travail à contourner ces protections.
ça leur rend la vie plus difficile, heureusement, mais ça ne réduit plus le risque autant qu’on ne le pensait il y a encore 4ans.
mais bon ce débat n’a guère d’intérêt puisque de toutes façons javascript est là pour rester.
Le
08/03/2013 à
16h
04
Bien sûr que si.
Il existe des outils d’analyse du code, et n’importe qui d’extérieur au projet peut les utiliser.
La faille use-after-free de Firefox trouvée par Vupen en est un exemple parfait.
les hackers n’utilisent en général pas d’outil d’analyse de code vu que ce genre d’outil est déjà utilisé par Microsoft, Mozilla, Google, adobe,… avant la diffusion de leur produit. Je doute fort qu’ils laissent des failles qui pourraient être trouvées avec ce genre d’outil aussi “simplement”.
les failles sont principalement trouvées grâce à des outils de fuzzing qui fonctionnent grâce au code compilé, en exécution. Le code source n’est absolument pas nécessaire pour trouver des failles (et il ne rend pas le travail plus simple non plus).
Le
08/03/2013 à
15h
05
…qu’aucune démonstration n’est prévue pour le navigateur d’Apple. Ils ne semblent d’ailleurs pas comprendre pourquoi : trop complexe ? Récompense pas assez intéressante ? Manque d’intérêt ? De fait, Safari pourrait bien être vainqueur, mais sans avoir mené une seule bataille.
Charlie Miller ne participe hélas plus à ce concours à cause de l’obligation de dévoiler les failles utilisées (en vigueur depuis deux ans). C’est un des rares hackers qui s’intéresse à la sécurité d’osx.
safari en lui même n’offre pas une sécurité supérieure, au contraire il a beaucoup de failles en commun avec chrome à cause de l’utilisation de webkit.
mais évidemment l’exploitation de la sandbox de safari/osx est différente de celle de chrome (cette partie de l’exploit est totalement différente).
citation intéressante d’un membre de vupen:
“Chrome is probably the most hard to attack because of the sandbox. The weakness in Chrome is Webkit and the strength is the sandbox. Probably one of the reasons Chrome is so secure is that the Google guys don’t just fix vulnerabilities but they’re proactive in fixing techniques and sandbox bypasses.”
Le
08/03/2013 à
14h
54
D’ailleurs est ce que la sandbox de IE10 (en mode sécurité avancée) est la même que celle des apps WinRT ?
oui, c’est la même (appcontainer).
par contre je n’ai pas vu la confirmation qu’il s’agit bien de la nouvelle sandbox qui a été percée (seule l’ancienne est active par défaut sur IE10 desktop). Mais bon je présume que c’est le cas.
Ce qui aurait été intéressant est qu’ils testent la même chose sous Linux pour voir s’ils arrivent à faire tourner du code arbitraire, et avec quel niveau de privilèges, à partir d’un navigateur.
pour Firefox, pas besoin d’attaque noyau puisqu’il n’y a pas de sandbox.
donc l’attaque de Firefox doit fonctionner aussi sous linux/osx
pour chrome, il faut trouver un autre moyen de contourner la sandbox, mais cela n’a rien d’impossible.
rien que l’an dernier a plusieurs reprises sans exploiter de faille noyau des hackers ont réussi à sortir de la sandbox de chrome grâce à une faille dans le process broker.
Le code noyau étant ouvert, a priori les failles potentielles sont plus facilement repérées/corrigées.
webkit aussi est ouvert et pourtant on y trouve plein de failles.
tout ça c’est juste un mythe.
il n’y a aucune réalité technique qui ferait que les failles sont plus facile à trouver et à éliminer dans un projet open source.
Le
08/03/2013 à
14h
44
Dans la sécurité des softs, il faut aussi faire des efforts sur l’abaissement de la complexité/taille de la stack logicielle dans son ensemble. Par exemple, la complexité/taille d’un renderer www moderne… est juste du foutage de gueule.
ça ne changerait pas grand chose. Même si on arrivait à diviser par 3 la surface d’exposition en sacrifiant des tas de fonctionnalités, au final il resterait toujours suffisamment de failles pour rendre possible le fait de trouver de nouvelles failles 0day.
c’est donc sur la sécurité des sandbox et des protections mémoire qu’il faut se concentrer.
une autre solution serait de supprimer tout bonnement javascript (et les plugins comme flash qui permettent l’exécution de scripts).
sans possibilité de faire du script, pas de possibilité de contourner ASLR et DEP.
ça ferait pas plaisir aux webmasters, mais un web sans javascript serait bénéfique pour les utilisateurs: chargements plus rapides, meilleure autonomie sur batterie, moins de risque de sécurité.
tu n’a visiblement aucune idée de ce en quoi consiste ce test.
ce n’est absolument pas un test de performance ou de respect des standards.
c’est un test qui liste les fonctionnalités que le navigateur DECLARE supporter (y compris des brouillons encore loin d’être standardisés). Même si l’implémentation d’une fonctionnalité est buggée, elle est quand même comptabilisée.
évidemment Google fait la course a la quantité, et non à la qualité.
si tu regardes les test cases html5 du w3c, chrome échoue sur beaucoup d’entre eux depuis plus d’un an, et Google ne prend pas la peine de corriger ces bugs de non respect des standards. Rajouter des nouvelles fonctionnalités sur des fondations instables semble être plus important pour eux.
quand les employés de google ont sorti ce benchmark, ils etaient persuadés que chrome était le navigateur qui le ferait tourner le mieux.
ils n’avaient apparemment pas pris la peine de tester sous win8/ie10.
la version MS de ce benchmark est la même, sauf que MS a rajouté des animations css3 pour montrer que non seulement ie10 est le plus rapide, mais en plus il arrive a faire un rendu fluide des animations malgré la charge de traitements JS en arrière plan. Chrome en comparaison était incapable de faire un rendu fluide dans une telle situation.
Le
01/03/2013 à
13h
34
Pour ceux qui disent que c’est normal que IE soit vainqueur dans ce benchmark juste parce que c’est MS qui l’a écrit, je vous ferais remarquer que IE bat également chrome dans le benchmark robohornet pro, alors qu’il a été créé par Google :
selon Google c’est sensé être le benchmark le plus représentatif d’une utilisation réelle…
Sinon, pour sortir du HS, personne a remarqué le joli “Internet Explorer a cessé de fonctionner ?”
C’est quand même le coeur du message, pour un bench fait par microsoft, c’est un peu la loose quand même…
le problème ne vient pas du code d’IE10, puisque ça tourne parfaitement chez les autres utilisateurs:
le problème vient de ta machine:
soit tu as un module complémentaire foireux (peut causer des crashes ou des ralentissements)
soit tu as un driver graphique foireux.
la 1ere option étant la plus probable, essaye se désactiver tous les modules complémentaires inutiles installés par des applis tierces. (menu outils, gérer les modules complémentaires)
Donc dire que OSX est “insensible” aux virus c’est vrai, mais il n’est pas pour autant infaillible ou mieux loti qu’un autre contre les menaces récentes.
même la supposée invulnérabilité des OS type Unix aux virus est un mythe.
à partir du moment où un OS autorise la manipulation d’executables ou de package d’installation et leur échange entre machines, alors un malware peut très bien les modifier à la volée pour s’y inclure, ce qui en fait… rien de moins qu’un virus.
mais évidemment pour se propager efficacement, il faut que l’OS victime ait assez de PDM, et que beaucoup d’utilisateurs s’échangent les packages infectés entre eux, ce qui n’est plus trop le cas maintenant que tout le monde a internet et telecharge depuis des sites internet, directement depuis la source, sans passer par la disquette d’un collègue.
osx, linux, Windows mobile 6 ont tous en commun qu’ils sont vulnérables aux virus, mais la plupart des malwares ciblant ces plateformes ne se propagent pas par infection d’executables ou de package.
Le
19/02/2013 à
20h
17
En même temps, ce n’est pas vraiment lié à OSX mais surtout à Java (encore)
en même temps, si c’était pas java, ce serait webkit. Lui aussi est un gruyère niveau sécurité, mais java étant installé sur 80% des machines, il est beaucoup plus intéressant et plus facile à exploiter, d’autant plus qu’aucun navigateur ne peut le sandboxer.
bref, peu importe le moyen d’intrusion, le fait est qu’aucun OS desktop n’est invulnérable aux malwares et aux drive-by downloads, contrairement aux mythes bombardés pendant des années par les adeptes d’Apple.
Le
19/02/2013 à
19h
34
on peut surtout voir qu’ils corrigent vite un problème rencontré ;)
20 jours pour corriger un problème qui gaspille le forfait data des utilisateurs et qui harcèle de requêtes les serveurs exchange, c’est plutôt long, surtout pour les entreprises qui ont banni ios6.1 de leur Exchange depuis une 10aine de jours.
les executifs munis d’iPhone et privés de mail doivent apprécier la rapidité d’action d’Apple…
Ça ressemble sacrément à Windows 8 sur de nombreux aspects: les bordures actives, les applications snappées sur le côté, le mode bureau classique lorsqu’on branche clavier et souris, la barre de gauche qui permet de passer d’une appli à l’autre, et même les vignettes actives.
logiquement on devrait entendre les mêmes critiques donc (crise d’identité, le desktop c’est nul, et tout le blabla habituel)
ps: les applis tablettes sont elles sandboxées comme WinRT? Ou est-ce qu’ elles présentent les mêmes risques de sécurité que les applis linux/windows classiques?
D’apres Ars technica, la faille etait exploitée egalement sous OSX.
il me semble d’ailleurs que les hipsters qui bossent chez FB utilisent beaucoup de Macs …
Il faudrait faire la comparaison avec silverlight. Les failles sont spécifiques aux applets
tu remarqueras que Silverlight 5.1 n’a pas eu besoin de maj de sécurité depuis juin 2012.
à titre de comparaison, il est installé sur environ 50% des machines (contre 80% pour java).
bien que Silverlight ait déjà eu quelques rares failles, elles ont jamais été massivement exploitées
Je suis quand même étonné, pour moi l’intérêt d’une sandbox c’est de limiter l’étendue d’une faille de sécurité. A quoi ça sert si c’est faillible sérieusement ? C’est dingue ça
le runtime java.exe n’est PAS sandboxé au même sens que chrome et IE, car il tourne avec les mêmes privilèges que n’importe quelle appli utilisateur.
le terme sandbox est utilisé dans ce contexte avec la même signification que lorsqu’on dit que le code javascript est exécuté dans une sandbox au niveau du navigateur. Cela signifie juste que l’environnement d’exécution (que ce soit java.exe ou le navigateur) n’autorise pas le code provenant d’une source inconnue à utiliser des APIs potentiellement dangereuses (ex: accès au système de fichier)
cela n’a rien à voir avec la sandbox d’IE, chrome, ou de WinRT qui sont des mesures de protection intégrées au noyau de l’OS et qui visent à empêcher un processus tournant en mode utilisateur limité d’accéder au système de fichier (même pas aux fichiers de l’utilisateur qui l’exécute), afin de réduire les risques d’infection si le processus est compromis par une faille.
Pour Asus qui monte, rien de surprenant non plus, produit de très bonnes qualités en général, et un des rares qui n’installe pas 50000 crapware qui tuent la machine
sur les tablettes Atom, Acer et HP ont également fait un bel effort, il n’y a pour ainsi dire aucun crapware win32 préinstallé. Aucune toolbar dans IE!
c’est la première fois depuis des années que les installations OEM de Windows me paraissent correctes!
comme quoi les choses évoluent dans le bon sens!
Ou dire aussi que les personnes qu’on les moyens achètent (toujours) des pc.
Les autres moins ou se rabattent sur des tablettes ou autre.
vu qu’un PC à 400€ fait bien plus qu’une tablette à 400€, je pense plutôt que les gens qui achètent des tablettes ont les moyens de gaspiller de l’argent.
évidemment les tablettes à 99€ sous Android qu’on achète a Noël pour offrir, c’est une autre affaire.
Le
15/02/2013 à
15h
40
Faut dire aussi que le besoin de renouveler ses PC est très limité, quand on sait que Windows est supporté 10ans et qu’un pc vieux de 7 ans est encore parfaitement utilisable aujourd’hui, et fonctionne même encore plus vite sous Windows 8 que XP.
perso, je n’ai pas acheté de PC portable ou desktop depuis 2009 et pourtant je m’en sers tous les jours.
et j’ai du mal à imaginer le grand public utiliser uniquement des tablettes, surtout sans support de flash Player.
donc ca ne m’etonnerais pas que microsoft a un CA supperieur a google
surtout quand on sais que google ne gagne rien sur la vente de telephone android… alors que microsoft SI
et que sur google ya plein d’appli gratuite en face d’appli payante pas forcement beaucoup mieux => moins de vente
si a ca on ajoute la facilité de piratage sous android …..
tu sous estimes vraiment l’immensité du business de la pub.
le fait d’etre en moteur de recherche par defaut sur android rapporte bien plus à google que les \(5 que perçoit MS sur les ventes de quelques constructeurs d'appareils android.
pour info, un clic sur des pubs dans les résultats Google peut facilement rapporter 50centimes de dollars, voire même plusieurs dollars lorsqu'il s'agit d'annonceurs dans des secteurs à haute rentabilité (finance, crédits, ...)
quand tu sais qu'un utilisateur lambda ne fait pas la différence entre les pubs dans les résultats de recherche Google et les vrais résultats, je te laisse imaginer que MS préférait bien être moteur de recherche par défaut plutôt que toucher les \)5/device vendu.
sans oublier qu’android amène de nouveaux utilisateurs sur des services comme gmail dont les pubs sont hautement ciblées et très rentables pour Google…
donc dire que Google ne gagne pas d’argent avec Android…. Lol
En tant que Webdev, je ne comprends absolument pas la comparaison avec IE6. Webkit est soutenu par 4 grosses boites (et beaucoup de plus petites). On ne peut pas parler de monopole ou de blocage
plutot contradictoire avec le paragraphe suivant :
On a un navigateur qui respecte les standards, qui affiche souvent vite et bien, mais malgré tout nos efforts on fait face a des sites qui ne testent pas sous Opera, qui n’utilisent que les préfixes de type -webkit-
webkit est bien dans une situation de monopole qui bloque l’évolution de ses concurrents, au bénéfice d’Apple et Google qui n’ont aucun intérêt à ce que la situation change.
meme si certains ne veulent pas l’admettre tous les ingrédients sont là pour répéter les mêmes erreurs sur le web mobile qu’il y a 12ans sur le desktop.
que webkit soit open source n’y change rien, faire un fork de plus ne va pas aider Microsoft et Mozilla à convaincre les webmasters de respecter les standards.
Ou alors, comme moi, tu milites pour que les vendeurs de système d’exploitation arrêtent de faire des évolutions graphiques kikoolol et travaillent plutôt sur l’isolation/sandboxing de l’espace de travail. En 2013, je ne vois pas de raison pour qu’un OS laisse un viewer de documents accéder à des données confidentielles, et encore moins le laisse ouvrir des connexions http.
exactement, c’est pour ça que l’environnement WinRT de Windows 8 a été conçu.
maintenant reste à convaincre les hateboys de privilégier les applis métro aux applis desktop.
Le
14/02/2013 à
00h
47
Et sinon il y a la version metro de adobe Reader pour Windows 8 qui n’est pas vulnérable.
par contre comme sur toutes les versions smartphone/tablettes de adobe reader, il manque des fonctionnalités comme le support des formulaires.
Bon sinon, je suis ravis de constater que l’ajout d’une sandbox depuis la v10 du Reader fut au final très utile
c’est utile, mais ce n’est dispo que sur vista/7/8.
et oui, parfois les hackers arrivent a contourner les sandbox, mais pour autant ça reste de bons moyens de protection une fois les failles de contournement corrigées
après tout même ie9/win7 et chrome ont eu leur sandbox contournée à plusieurs reprises (ie10 pas encore).
au passage, la version win8/metro de adobe reader utilise la sandbox de winRT qui est plus efficace que celle d’ adobe reader desktop.
871 commentaires
Internet Explorer 11 peut s’identifier comme Firefox pour éviter les hacks CSS
25/03/2013
Le 25/03/2013 à 22h 29
Perso, j’ai pas grand chose à reprocher à IE9 si ce n’est ses régressions sur les tableaux. (Pas les tableaux pour faire la mise en page, les tableaux pour faire des tableaux de données.) Je ne comptes même plus le nombre d’anomalies rencontrées dessus alors qu’elles ne sont pas présentes sous IE8
es tu sûr que ces anomalies ne sont pas en réalité un comportement d’avantage conforme aux standards?
car si on va par là, le comportement d’IE6 est souvent plus pratique que celui défini dans les standards (ex: conteneur qui s’adapte à la taille de l’élément enfant si celui ci dépasse).
Le 25/03/2013 à 22h 25
La communauté a gueulé (à raison) justement parce que Microsoft voulait tout faire dans son coin à sa sauce sans s’occuper des autres. Certes xmlhttprequest existait sous forme de contrôle activeX mais non seulement l’instanciation mais, et surtout, l’implémentation était différente, avec des préoccupations de sécurité qui n’étaient pas les mêmes (intégration avec l’OS, comme tous les activeX)
“la communauté” s’est reveillée un peu tard… Des années après l’apparition de ces fonctionnalités dans IE5! Elle espérait quoi? Que Microsoft retire des fonctionnalités d’IE 5 et 6 dans une maj WU et casse la compatibilité du jour au lendemain? Complément ridicule.
quant à l’instanciation de xmlhttprequest, tu n’a pas compris ce que j’expliquais
nul besoin de gérer les contrôles activex pour créer un navigateur alternatif qui comprenne la syntaxe d’instanciation de xmlhttprequest d’IE, et qui instancie un objet interne au navigateur, comme c’est le cas actuellement.
Le 25/03/2013 à 22h 16
J’ai plutôt l’impression que c’est un prétexte de Microsoft pour freiner OpenGL indirectement.
Mais j’aimerais bien qu’on m’explique en quoi WebGL n’est pas assez sécurisé par rapport à ce qu’il est possible de faire actuellement en web (question sérieuse).
Le 25/03/2013 à 18h 48
Des infos sur l’ajout de WebGl pour IE 11 ?
Paske ca fait quand même un bout de temps que tout le monde s’y est mis (ou presque), ils vont finir par être vraiment à la traine.
… à moins qu’ils préparent un WebDirect3D
webGL n’est pas un standard w3c.
et ce n’est franchement pas une bonne idée sur les mobiles. Apple l’a implémenté uniquement pour sa régie de pub. Peut être redoutent ils les risques de jailbreak via un simple site web, à cause des problèmes inhérents à laisser n’importe qui exécuter des shaders via des drivers gpu tournant en mode kernel.
et vu la tendance à remplacer les applis web par des applis natives, ce n’est pas dans leur intérêt de supporter webgl dans safari (sans oublier le coup porté à l’autonomie si tout le monde en abuse comme Flash)
MS refuse de l’implémenter à cause des risques de sécurité. Même dans Silverlight 5.x ils ont désactivé XNA par défaut pour éviter de soumettre les utilisateurs de Silverlight aux même risques de sécurité potentiels que les navigateurs supportant WebGL.
Le 25/03/2013 à 16h 34
Donc si quelqu’un sort un truc 10x mieux que W3C , il pourra rien faire puisque W3C est la norme.
bon j’avoue je chipote complétement …
c’est ce qu’a fait MS dans les années 90 avec IE5.
beaucoup de fonctionnalités propriétaires étaient beaucoup plus avancées que tout ce qui était standardisé par le w3c:
VML (bien avant svg)
transparence alpha , gradient, transitions animees
Ajax (xmlhttprequest)
support des fonts css
contenteditable, innerHTML
les webmasters ont adoré ça à l’époque, jusqu’au jour où ils ont commencé à détester…
Le 25/03/2013 à 16h 25
Quand une des fonctions est standardisée, Mozilla remplace l’API par la version standardisée immédiatement,
non c’est faux.
Mozilla et webkit continuent à supporter les versions prefixees en parallèle.
du coup tant que ca marche, les webmasters continuent à les utiliser, au détriment d’IE qui respecte uniquement le standard finalisé non préfixé.
même problème sur les sites mobiles où le préfixe -webkit est massivement utilisé, ce qui va obliger Microsoft à le supporter dans ie mobile.
la vrai solution serait que Mozilla et webkit retirent le support des versions prefixees lorsque la version non préfixée devient supportée.
mais évidemment du jour au lendemain tous les sites codés avec les pieds cesseraient de fonctionner sur ces navigateurs…
ce n’est donc pas dans l’intérêt de Google et Mozilla d’épurer le web de leurs préfixes proprios.
encore une fois contrairement à MS, qui s’est explicitement et publiquement battu pour tenter d’imposer SON API Web en concurrence avec celle du w3c.
n’importe quoi. Le gars qui réécrit l’histoire a sa sauce.
bon nombre de fonctionnalités “proprio” d’IE5.X ont été naturellement adoptées par les autres navigateurs sous forme modifiée, puis standardisées 10 ans plus tard dans html5 (contenteditable, innerhtml, xmlhttprequest, …)
même svg est un dérivé de VML que MS avait tenté de soumettre au w3c fin 90, bien avant l’existence de SVG.
Ironiquement, les trolls qui réécrivent l’histoire voient ça autrement : “MS a tenté d’imposer sa techno proprio à la place d’un standard existant”
Le 25/03/2013 à 16h 11
2010, t’as pas plus vieux.
Flash et Java sont des passoires, ça n’empêche rien non plus
décembre 2010, ca correspond à la phase où IE9 était déjà feature complete, et prêt à passer en RC.
je te rappelle que la faille en question était bien plus problématique qu’une faille classique affectant un logiciel sur un poste de travail.
cette faille était de nature à exposer à des risques des machines autres que celles où le logiciel était installé (empoisonnement de cache).
citer flash et java est complètement hors sujet.
au passage, Flash a nettement moins de failles que webkit par exemple, malgré le fait que ce soit des environnement d’une complexité similaire (flash comprend même d’avantage de fonctionnalités que webkit seul)
même vupen (société spécialisée dans la recherche et revente de failles dans les navigateurs) a déclaré que le point faible de chrome était webkit (à cause du nombre de failles), et qu’ adobe n’est pas si mauvais qu’on peut le croire.
Le 25/03/2013 à 16h 00
Sauf que HTML 5 ou CSS3 apportent des solution et Active X des problèmes
Ca n’a jamais bien fonctionne et a part donner des sueurs froides pour la sécurité et le fonctionnement, compliquer la vie des utilisateurs et des devs et n’être pas multi-plateforme on peut pas dire que ce fut un grand pas en avant.
je pense qu’il faisait allusion à xmlhttprequest, introduit sous ie5.5 sous la forme d’un objet activex préinstallé dans IE (aucun risque de sécurité, ce n’est pas comme si c’était l’utilisateur qui devait installer un plugin provenant d’une source inconnue).
et pour les autres navigateurs, il aurait été facile d’assurer la compatibilité en reconnaissant la syntaxe d’instanciation de xmlhttprequest spécifique à IE, mais sans avoir à gérer activex évidemment.
après les trolls ont gueulé parce que IE6 ne supportait pas l’instanciation de xmlhttprequest de la même façon que les autres navigateurs, alors que ce standard est dérivé de l’implémentation propriétaire de Microsoft.
Le 25/03/2013 à 15h 52
Les putois qui gueulent à tout va que IE9 ne supporte même pas WebSocket devraient se remémorer ceci:
PC INpact
heureusement que MS n’a pas supporté ce brouillon tel qu’il était à l’époque de la sortie d’ IE9.
Le 25/03/2013 à 15h 49
Non mais cela a meme gueulé sur des balises proprios qui respectaient la norme (voir les news concernant le système permettant d’épingler un site web dans la barre des taches).
sauf que ce type de fonction ne gêne en rien le rendu d’une page web pour les navigateurs qui ne les supportent pas.
rien à voir avec les sites qui utilisent des propriétés css critiques pour le layout d’une page uniquement dans leurs versions prefixées -moz et -webkit, et dont le rendu casse sous IE qui ne supporte “que” les versions standard non préfixées.
Le Flash lisible sans restrictions dans Internet Explorer 10 Modern UI
12/03/2013
Le 12/03/2013 à 16h 55
Chrome dit que naCL est pret pour ARM, tu es sur qu’ils utilisent le brouillon dont tu parles ?
c’est ce que j’ai lu sur slashdot.
NaCl est opensource
oui, et alors?
seul Google l’utilise, et NaCl n’a pas vocation à être adopté par les autres navigateurs, ni à devenir un standard W3C.
ça reste une extension propriétaire.
que ce soit open source n’y change rien.
Le 12/03/2013 à 14h 46
Et ceux qui abandonnent silverlight ils passent sur quoi ? Sur flash ? Non sur html5
cf netflix qui passe à html5
non hélas.
html5 n’est pas prêt pour le streaming vidéo avec DRM.
donc effectivement la seule alternative à Silverlight actuellement c’est flash.
netflix utilise toujours Silverlight, sauf sur les chromebooks où il utilise le système propriétaire de Google, NaCl (sur x86) pour gérer les DRM, ou le standard brouillon de gestion des DRM de HTML5 (qui ne semble supporté que par chrome tournant sur chromeOS) en ARM.
au final tu ne peux toujours pas utiliser netflix en html5 sur un linux standard. Trop bien HTML5…
( tu remarqueras que Flash offre plus de cohérence niveau fonctionnalités d’une plateforme à l’autre).
Le 12/03/2013 à 12h 36
Nous sommes majoritairement passés à l HTML5 ;) et au pire il y a le fallback
j’ai pas encore vu de pub en HTML5 sur un pc sans flash.
à moins qu’un gif animé dans une page HTML soit considéré comme du html5.
le jour où il y aura des animations en canvas/svg/javascript et de la vidéo dans les bannières de pub html5 (comme c’est le cas avec la plupart des bannières en Flash) niveau consommation cpu/ram ce sera probablement pire qu’avec flash. A contenu égal, Flash est plus efficace pour ce type d’usage multimédia que la plupart des navigateurs.
Le 12/03/2013 à 12h 31
Je dois admettre que flash, ça bouffe beaucoup de ressources pour la puissance faiblarde des puces ARM. Mais ça peut toujours s’avérer utile
figure toi que Flash Player tourne très bien sous Windows RT.
aucun problème pour lire des vidéos en 720p même avec un tegra3, et la plupart des animations tournent très bien. Du coup le blocage de tout ce qui n’était pas dans la whitelist était une décision incompréhensible, surtout sur Windows RT où même IE desktop subissait cette limitation.
le seul problème peut être les pubs en flash, mais ça c’est vite réglé grâce aux Tracking Protection Lists qui peuvent permettre d’éliminer les pubs.
Le 12/03/2013 à 12h 26
Ya la même chose à la Société Générale sans le Flash
pourtant le site de la société générale était quand même dans la whitelist Flash d’IE10.
je sais pas si c’est toujours le cas, mais il y a quelques années, pour rajouter un compte externe (pour faire un virement), il fallait passer par un formulaire codé en flash, ce qui m’a paru complètement absurde à l’époque.
Le 12/03/2013 à 12h 22
C’est le retour des plugins ? Quid de Silverlight ?
Silverlight est mort.
Microsoft n’a jamais publié de version WindowsRT, ni même de version win8 compatible avec l’enhanced protected mode utilisé par IE Metro.
ce serait un travail considérable pour le supporter alors que MS essaye de se débarrasser de cette techno.
Le 12/03/2013 à 12h 19
Sur iPad, on fait plus de chose que tu crois.
Le président des USA ainsi que le 1er ministre anglais pilotent leur pays avec ça.
Les traders font valser l’économie mondiale avec l’iPad.
il y a une application ipad pour diriger un pays? –’
plus sérieusement, je pense qu’il dirigent d’avantage leur pays avec du papier et un stylo qu’avec un iPad. L’ipad est là juste pour leur donner un côté “moderne” et branché (comme pour le pape). Le vrai travail administratif est fait par des collaborateurs, et certainement pas sur des ipads.
quant à la bourse, on pouvait déjà suivre ça avec un minitel. Donc tes exemples sont un peu insignifiants.
le fait est que si une personne ne doit avoir qu’une seule machine pour tous ses usages, une machine Windows RT a de grandes chances de répondre à tous ses besoins, sans avoir à switcher sur un ordinateur pour lire la carte mémoire de son appareil photo, une clef USB, imprimer, ou visiter un site qui contient des galleries photo uniquement en Flash.
Le 12/03/2013 à 10h 30
Je trouve que des machines comme le Dell XPS10 sous Windows RT (avec un CPU snapdragon) deviennent très intéressantes suite à cette news!
moins cher que surface RT, plus rapide que le tegra3, et aucun risque de malware puisque l’environnement est fermé et bien protégé.
je m’apprêtais à offrir une tablette Win8/Atom à ma mère (en tant qu’unique ordinateur, donc compatibilité flash Player nécessaire) mais ce revirement de situation change la donne: une tablette WindowsRT m’évitera d’avoir à payer une upgrade vers Windows 8 pro (pour applocker), et en plus office 2013 RT est fourni.
dommage qu’officeRT n’est pas compatible avec les macros, car sinon je connais beaucoup de monde qui serait intéressé par Windows RT en tant que machine principale à la maison (pour bosser un peu).
au passage, comme le dit Microsoft, cette décision donne accès à une experience web complète, ce qui fait sortir les machines windows RT du cadre des “companion devices” comme l’est l’ipad.
Le 12/03/2013 à 10h 16
En voilà une excellente nouvelle!
voila qui devrait booster les ventes de tablettes Windows RT!
(et couper l’herbe sous les pieds des chromebooks qui perdent leur seul intérêt compétitif face à WindowsRT)
Notez que ce changement n’intervient que pour la version Modern UI d’Internet Explorer 10. La version bureau reste quant à elle inchangée puisque le lecteur Flash s’y ébrouait déjà sans contrainte
pas tout à fait exact.
sous Windows RT, même IE Desktop était soumis à cette liste blanche, ce qui rendait difficile la lecture de contenu flash non whitelisté (Nécessitait une modif d’un fichier xml)
désormais, IE Desktop sous Windows RT profitera de Flash par défaut, en étant soumis à la même blacklist que IE Metro.
L’attaque contre Facebook, partie émergée de l’iceberg
12/03/2013
Le 12/03/2013 à 15h 20
Ça aurait été pas mal comme faille à utiliser à Pown2Own. Mais je pense que ça rapportait pas assez.
java a déjà été exploité plusieurs fois lors du pwn2own 2013.
mais c’est sûr que cet exploit là va rapporter beaucoup plus que $20.000 à ses créateurs, puisque bon nombre de machines vont rester infectées pendant des années, et qu’elles appartiennent à des cibles de haute valeur (développeurs principalement, donc possibilité de voler des clefs privées, ou d’utiliser ces machines pour infiltrer le réseau local d’une entreprise, ou intercepter le trafic en clair).
Le 12/03/2013 à 15h 04
Pourquoi utiliser l’icone de l’UAC de Windows (visible sur la page d’accueil mais pas dans l’article) pour illustrer une news qui concerne une attaque de malware ayant touché principalement des utilisateurs d’OSX?
Ars Technica
(y compris la Mac Business Unit de Microsoft).
au passage, GateKeeper n’offre aucune protection contre ce type d’attaques contrairement à ce que certains pouvaient croire.
Les tablettes sous Windows se vendraient-elles si mal ?
08/03/2013
Le 09/03/2013 à 15h 11
Solution : se passer des vendeurs et aller soi-même à la source via le net.
ça c’est pas un probleme pour nous, lecteurs de PCI. Mais 99% des gens n’y connaissent rien et se basent sur ce qu’ils voient dans les pubs, ou sur l’opinion des autres (que ce soit leurs amis ou les vendeurs) pour décider quoi acheter.
donc forcément si les vendeurs on un intérêt a dénigrer la plateforme, win8 aura beaucoup de mal à percer sur les tablettes, car les gens ne peuvent pas deviner les qualités des tablettes hybrides si personne ne leur explique (support des clef USB, des imprimantes, de Flash Player, autonomie de 18h sur certaines tablettes atom, machine qui fait à la fois laptop et tablette,..)
bref, pour faire décoller win8 on ne peut pas ignorer les 99% et se contenter de 1%. Du coup malheureusement ce qui se passe dans les magasins comme la Fnac est important.
Le 08/03/2013 à 22h 25
Non ! Il n’a pas pu dire cela !?
Un vendeur me dit cela, je demande directement à voir la direction !
sans enregistrement audio j’aurais pas eu grand chose pour appuyer ma plainte.
le vendeur sait qu’il risque rien, vu son âge ça devait être le chef de rayon, bien syndiqué, donc il en a rien à branler que des clients viennent se plaindre de son attitude. Vendre des ipads à des pigeons pour remplir se objectifs de vente c’est beaucoup plus important. Et surtout, ne laisser personne l’empêcher de conclure sa vente, quels que soient les moyens.
ça se serait passé aux USA, avec un enregistrement audio, il aurait été viré sur le champ.
Le 08/03/2013 à 22h 19
Bah un mec qui dit qu’il y a un Atom dans l’ATIV tab merite ptet d’etre avacue par la securite
ativ pc smart -> atom
tu m’en voudras pas si je connais pas tous les noms a rallonge de tous les modèles de PC de tous les fabricants ;)
Le 08/03/2013 à 17h 52
J’ai la même anecdote, sauf que j’ai fait la demo, pour le client et….pour le vendeur FNAC
tu as eu plus de chance que moi.
j’ai fait remarquer au vendeur que conseiller une machine sans port USB à un client qui veut lire des clefs USB était un peu à coté de la plaque, et il s’est mis à m’insulter, me disant “je suis un professionnel, je suis plus à même de déterminer les besoins de mes clients que vous. Vous vous êtes rien du tout. Vous m’emmerdez, alors taisez vous ou j’appelle la sécurité” (ce qu’il a fait!)
Le 08/03/2013 à 15h 53
Petite anecdote:
il y a quelques semaines je regardais les pc a la Fnac, et j’entend derrière moi un vieux qui n’y connaissait pas grand chose demander conseil à un vendeur.
il était intéressé par surface RT, car il a besoin d’une tablette pour lire des pdf et travailler sur des documents Excel stockés sur une clef USB, mais il n’etait pas certain que surface soit capable de faire cela.
(scenario d’utilisation parfait pour Surface RT, non? Pour le coup le gars a trouvé tout seul la machine qui lui conviendrait le mieux).
l’avis du vendeur de la Fnac? “Un iPad 4 avec un clavier Logitech est le produit le plus adapté à vos besoin.”
(pas de port USB sur l’ipad? On s’en fout, prenez l’ipad quand même, puisqu’on vous dit que c’est le must!)
bref, avec des vendeurs aussi incompétents ou corrompus par des commissions plus importantes sur l’ipad, ou des objectifs de vente obligatoires de produits Apple (comme c’était le cas sur les iPods pour avoir le droit de vendre l’iPhone), pas étonnant que le grand public ne se tourne pas encore vers Windows RT. Quelqu’un intéressé par une tablette sous Windows RT a toutes les chances de se faire embobiner par un vendeur pour acheter un produit qui apporte plus de bénéfice au magasin (et au vendeur).
Le 08/03/2013 à 15h 37
[quote]Pour l’instant c’est un peu bâtard, car les tablette Windows 8 n’ont pas une autonomie vraiment top,[quote]
avec un CPU Atom Clover Trail on atteint facilement les 9h d’autonomie tablette seule (voire même 14h pour la Samsung ativ tab) + 8h/9h avec un dock.
l’autonomie est excellente. La Samsung sous win8/atom se paye même le luxe de dépasser largement l’autonomie de l’ipad.
évidemment il ne faut pas comparer les core i5 avec des cpus ARM 5 à 10x moins puissants…
Les tablettes devancent les PC portables dans les avions, l’iPad en tête
09/03/2013
Le 09/03/2013 à 14h 59
2013 et j’attends toujours un portable avec plus de 8 heures d’autonomie affichée. Pour un usage bureautique simple, de la navigation internet et quelques films, une puce ARM suffit amplement. Pourtant, cet usage semble être ignoré par les constructeurs.
n’importe quelle tablette windows 8 Atom clover trail atteint les 8h d’autonomie.
et meme 18h avec dock pour certaines comme la Asus vivotab tf810c.
mais c’est sûr que si tu veux du core i5 10x plus puissant que de l’ARM, t’auras une autonomie 2 ou 3x moins bonne que sur de l’ARM ou de l’Atom.
Concours Pwn2Own : Internet Explorer, Chrome et Firefox sont tombés
08/03/2013
Le 08/03/2013 à 18h 36
Surtout la différence avec les éditions précédentes c’est que Safari n’inclut plus aucun plugin, et c’était des portes d’entrée de luxe pour les hackers
c’est surtout chrome qui a souvent été hacké à cause de flash
lors des précédentes éditions, Charlie Miller exploitait uniquement des failles de webkit et osx.
mais depuis deux ans il a déclaré qu’il ne participait plus au concours p2own à cause des changements de règle, et ce malgré le fait qu’il possédait déjà un exploit fonctionnel qui lui aurait permis de gagner le concours.
Le 08/03/2013 à 16h 16
Si c’est pour le memory disclosure => certes la grande majorité est exécutée grâce à du script quel qu’il soit, mais ça n’empêche pas de le récupérer d’une autre manière.
Du coup, tu peux détailler à quoi tu pensais exactement
il y a peut être un risque théorique, mais je n’ai jamais vu d’exploit arrivant à contourner ASLR et DEP sans utiliser de JS ou de plugin capable d’exécuter du code
même si en théorie ça reste possible, un tel exploit devrait rester exceptionnel. Là actuellement malgré aslr/dep et d’autres protections mémoire intégrées à IE/Chrome, les hackers arrivent toujours après plusieurs mois de travail à contourner ces protections.
ça leur rend la vie plus difficile, heureusement, mais ça ne réduit plus le risque autant qu’on ne le pensait il y a encore 4ans.
mais bon ce débat n’a guère d’intérêt puisque de toutes façons javascript est là pour rester.
Le 08/03/2013 à 16h 04
Bien sûr que si.
Il existe des outils d’analyse du code, et n’importe qui d’extérieur au projet peut les utiliser.
La faille use-after-free de Firefox trouvée par Vupen en est un exemple parfait.
les hackers n’utilisent en général pas d’outil d’analyse de code vu que ce genre d’outil est déjà utilisé par Microsoft, Mozilla, Google, adobe,… avant la diffusion de leur produit. Je doute fort qu’ils laissent des failles qui pourraient être trouvées avec ce genre d’outil aussi “simplement”.
les failles sont principalement trouvées grâce à des outils de fuzzing qui fonctionnent grâce au code compilé, en exécution. Le code source n’est absolument pas nécessaire pour trouver des failles (et il ne rend pas le travail plus simple non plus).
Le 08/03/2013 à 15h 05
…qu’aucune démonstration n’est prévue pour le navigateur d’Apple. Ils ne semblent d’ailleurs pas comprendre pourquoi : trop complexe ? Récompense pas assez intéressante ? Manque d’intérêt ? De fait, Safari pourrait bien être vainqueur, mais sans avoir mené une seule bataille.
Charlie Miller ne participe hélas plus à ce concours à cause de l’obligation de dévoiler les failles utilisées (en vigueur depuis deux ans). C’est un des rares hackers qui s’intéresse à la sécurité d’osx.
safari en lui même n’offre pas une sécurité supérieure, au contraire il a beaucoup de failles en commun avec chrome à cause de l’utilisation de webkit.
mais évidemment l’exploitation de la sandbox de safari/osx est différente de celle de chrome (cette partie de l’exploit est totalement différente).
citation intéressante d’un membre de vupen:
“Chrome is probably the most hard to attack because of the sandbox. The weakness in Chrome is Webkit and the strength is the sandbox. Probably one of the reasons Chrome is so secure is that the Google guys don’t just fix vulnerabilities but they’re proactive in fixing techniques and sandbox bypasses.”
Le 08/03/2013 à 14h 54
D’ailleurs est ce que la sandbox de IE10 (en mode sécurité avancée) est la même que celle des apps WinRT ?
oui, c’est la même (appcontainer).
par contre je n’ai pas vu la confirmation qu’il s’agit bien de la nouvelle sandbox qui a été percée (seule l’ancienne est active par défaut sur IE10 desktop). Mais bon je présume que c’est le cas.
Ce qui aurait été intéressant est qu’ils testent la même chose sous Linux pour voir s’ils arrivent à faire tourner du code arbitraire, et avec quel niveau de privilèges, à partir d’un navigateur.
pour Firefox, pas besoin d’attaque noyau puisqu’il n’y a pas de sandbox.
donc l’attaque de Firefox doit fonctionner aussi sous linux/osx
pour chrome, il faut trouver un autre moyen de contourner la sandbox, mais cela n’a rien d’impossible.
rien que l’an dernier a plusieurs reprises sans exploiter de faille noyau des hackers ont réussi à sortir de la sandbox de chrome grâce à une faille dans le process broker.
Le code noyau étant ouvert, a priori les failles potentielles sont plus facilement repérées/corrigées.
webkit aussi est ouvert et pourtant on y trouve plein de failles.
tout ça c’est juste un mythe.
il n’y a aucune réalité technique qui ferait que les failles sont plus facile à trouver et à éliminer dans un projet open source.
Le 08/03/2013 à 14h 44
Dans la sécurité des softs, il faut aussi faire des efforts sur l’abaissement de la complexité/taille de la stack logicielle dans son ensemble. Par exemple, la complexité/taille d’un renderer www moderne… est juste du foutage de gueule.
ça ne changerait pas grand chose. Même si on arrivait à diviser par 3 la surface d’exposition en sacrifiant des tas de fonctionnalités, au final il resterait toujours suffisamment de failles pour rendre possible le fait de trouver de nouvelles failles 0day.
c’est donc sur la sécurité des sandbox et des protections mémoire qu’il faut se concentrer.
une autre solution serait de supprimer tout bonnement javascript (et les plugins comme flash qui permettent l’exécution de scripts).
sans possibilité de faire du script, pas de possibilité de contourner ASLR et DEP.
ça ferait pas plaisir aux webmasters, mais un web sans javascript serait bénéfique pour les utilisateurs: chargements plus rapides, meilleure autonomie sur batterie, moins de risque de sécurité.
Microsoft Minesweeper : le démineur devient un benchmark HTML5 / CSS3
01/03/2013
Le 01/03/2013 à 21h 51
Fait un html5test alors pour rigoler
c’est ton commentaire qui me fait rigoler!
tu n’a visiblement aucune idée de ce en quoi consiste ce test.
ce n’est absolument pas un test de performance ou de respect des standards.
c’est un test qui liste les fonctionnalités que le navigateur DECLARE supporter (y compris des brouillons encore loin d’être standardisés). Même si l’implémentation d’une fonctionnalité est buggée, elle est quand même comptabilisée.
évidemment Google fait la course a la quantité, et non à la qualité.
si tu regardes les test cases html5 du w3c, chrome échoue sur beaucoup d’entre eux depuis plus d’un an, et Google ne prend pas la peine de corriger ces bugs de non respect des standards. Rajouter des nouvelles fonctionnalités sur des fondations instables semble être plus important pour eux.
Le 01/03/2013 à 17h 41
Ouai mais pas selon MS, donc OSEF ? Ils se sont meme sentis obliges de sortir leur propre version de ce bench http://techcrunch.com/2012/09/25/for-microsoft-googles-robohornet-browser-benchm…
En tout cas ca montre que Google ne triche pas.
quand les employés de google ont sorti ce benchmark, ils etaient persuadés que chrome était le navigateur qui le ferait tourner le mieux.
ils n’avaient apparemment pas pris la peine de tester sous win8/ie10.
la version MS de ce benchmark est la même, sauf que MS a rajouté des animations css3 pour montrer que non seulement ie10 est le plus rapide, mais en plus il arrive a faire un rendu fluide des animations malgré la charge de traitements JS en arrière plan. Chrome en comparaison était incapable de faire un rendu fluide dans une telle situation.
Le 01/03/2013 à 13h 34
Pour ceux qui disent que c’est normal que IE soit vainqueur dans ce benchmark juste parce que c’est MS qui l’a écrit, je vous ferais remarquer que IE bat également chrome dans le benchmark robohornet pro, alors qu’il a été créé par Google :
http://www.robohornet.org/
selon Google c’est sensé être le benchmark le plus représentatif d’une utilisation réelle…
Sinon, pour sortir du HS, personne a remarqué le joli “Internet Explorer a cessé de fonctionner ?”
C’est quand même le coeur du message, pour un bench fait par microsoft, c’est un peu la loose quand même…
le problème ne vient pas du code d’IE10, puisque ça tourne parfaitement chez les autres utilisateurs:
le problème vient de ta machine:
soit tu as un module complémentaire foireux (peut causer des crashes ou des ralentissements)
soit tu as un driver graphique foireux.
la 1ere option étant la plus probable, essaye se désactiver tous les modules complémentaires inutiles installés par des applis tierces. (menu outils, gérer les modules complémentaires)
iOS 6.1.2 : Apple corrige le bug d’Exchange via une mise à jour
19/02/2013
Le 19/02/2013 à 22h 26
Donc dire que OSX est “insensible” aux virus c’est vrai, mais il n’est pas pour autant infaillible ou mieux loti qu’un autre contre les menaces récentes.
même la supposée invulnérabilité des OS type Unix aux virus est un mythe.
à partir du moment où un OS autorise la manipulation d’executables ou de package d’installation et leur échange entre machines, alors un malware peut très bien les modifier à la volée pour s’y inclure, ce qui en fait… rien de moins qu’un virus.
mais évidemment pour se propager efficacement, il faut que l’OS victime ait assez de PDM, et que beaucoup d’utilisateurs s’échangent les packages infectés entre eux, ce qui n’est plus trop le cas maintenant que tout le monde a internet et telecharge depuis des sites internet, directement depuis la source, sans passer par la disquette d’un collègue.
osx, linux, Windows mobile 6 ont tous en commun qu’ils sont vulnérables aux virus, mais la plupart des malwares ciblant ces plateformes ne se propagent pas par infection d’executables ou de package.
Le 19/02/2013 à 20h 17
En même temps, ce n’est pas vraiment lié à OSX mais surtout à Java (encore)
en même temps, si c’était pas java, ce serait webkit. Lui aussi est un gruyère niveau sécurité, mais java étant installé sur 80% des machines, il est beaucoup plus intéressant et plus facile à exploiter, d’autant plus qu’aucun navigateur ne peut le sandboxer.
bref, peu importe le moyen d’intrusion, le fait est qu’aucun OS desktop n’est invulnérable aux malwares et aux drive-by downloads, contrairement aux mythes bombardés pendant des années par les adeptes d’Apple.
Le 19/02/2013 à 19h 34
on peut surtout voir qu’ils corrigent vite un problème rencontré ;)
20 jours pour corriger un problème qui gaspille le forfait data des utilisateurs et qui harcèle de requêtes les serveurs exchange, c’est plutôt long, surtout pour les entreprises qui ont banni ios6.1 de leur Exchange depuis une 10aine de jours.
les executifs munis d’iPhone et privés de mail doivent apprécier la rapidité d’action d’Apple…
Le 19/02/2013 à 19h 27
ça baisse en qualité…
2 MAJ en 2 semaines.. ça pue un peu
c’est la fete à apple en ce moment!
http://www.neowin.net/news/apple-was-hacked-small-number-of-macs-infected
entre le “it just works” et le “mac don’t get malwares”, ça fait beaucoup de mythes qui s’effondrent ces dernières années.
[MàJ] Nexus 4, 7, 10 ou Galaxy Nexus : comment installer Ubuntu
21/02/2013
Le 19/02/2013 à 17h 00
Sinon en effet un système qui a l’air cohérent, libre, et non épié par un géant du renseignement, c’est plutôt une bonne nouvelle!
c’est pas Ubuntu qui envoi toutes tes recherches à Amazon?
http://www.fsf.org/blogs/rms/ubuntu-spyware-what-to-do
Le 19/02/2013 à 16h 42
Ça ressemble sacrément à Windows 8 sur de nombreux aspects: les bordures actives, les applications snappées sur le côté, le mode bureau classique lorsqu’on branche clavier et souris, la barre de gauche qui permet de passer d’une appli à l’autre, et même les vignettes actives.
logiquement on devrait entendre les mêmes critiques donc (crise d’identité, le desktop c’est nul, et tout le blabla habituel)
ps: les applis tablettes sont elles sandboxées comme WinRT? Ou est-ce qu’ elles présentent les mêmes risques de sécurité que les applis linux/windows classiques?
Facebook en partie contaminé par un malware exploitant une faille Java
18/02/2013
Le 18/02/2013 à 20h 56
D’apres Ars technica, la faille etait exploitée egalement sous OSX.
il me semble d’ailleurs que les hipsters qui bossent chez FB utilisent beaucoup de Macs …
Il faudrait faire la comparaison avec silverlight. Les failles sont spécifiques aux applets
tu remarqueras que Silverlight 5.1 n’a pas eu besoin de maj de sécurité depuis juin 2012.
à titre de comparaison, il est installé sur environ 50% des machines (contre 80% pour java).
bien que Silverlight ait déjà eu quelques rares failles, elles ont jamais été massivement exploitées
Je suis quand même étonné, pour moi l’intérêt d’une sandbox c’est de limiter l’étendue d’une faille de sécurité. A quoi ça sert si c’est faillible sérieusement ? C’est dingue ça
le runtime java.exe n’est PAS sandboxé au même sens que chrome et IE, car il tourne avec les mêmes privilèges que n’importe quelle appli utilisateur.
le terme sandbox est utilisé dans ce contexte avec la même signification que lorsqu’on dit que le code javascript est exécuté dans une sandbox au niveau du navigateur. Cela signifie juste que l’environnement d’exécution (que ce soit java.exe ou le navigateur) n’autorise pas le code provenant d’une source inconnue à utiliser des APIs potentiellement dangereuses (ex: accès au système de fichier)
cela n’a rien à voir avec la sandbox d’IE, chrome, ou de WinRT qui sont des mesures de protection intégrées au noyau de l’OS et qui visent à empêcher un processus tournant en mode utilisateur limité d’accéder au système de fichier (même pas aux fichiers de l’utilisateur qui l’exécute), afin de réduire les risques d’infection si le processus est compromis par une faille.
Les ventes de PC s’écroulent en France, le grand public principal fautif
15/02/2013
Le 15/02/2013 à 15h 51
Pour Asus qui monte, rien de surprenant non plus, produit de très bonnes qualités en général, et un des rares qui n’installe pas 50000 crapware qui tuent la machine
sur les tablettes Atom, Acer et HP ont également fait un bel effort, il n’y a pour ainsi dire aucun crapware win32 préinstallé. Aucune toolbar dans IE!
c’est la première fois depuis des années que les installations OEM de Windows me paraissent correctes!
comme quoi les choses évoluent dans le bon sens!
Ou dire aussi que les personnes qu’on les moyens achètent (toujours) des pc.
Les autres moins ou se rabattent sur des tablettes ou autre.
vu qu’un PC à 400€ fait bien plus qu’une tablette à 400€, je pense plutôt que les gens qui achètent des tablettes ont les moyens de gaspiller de l’argent.
évidemment les tablettes à 99€ sous Android qu’on achète a Noël pour offrir, c’est une autre affaire.
Le 15/02/2013 à 15h 40
Faut dire aussi que le besoin de renouveler ses PC est très limité, quand on sait que Windows est supporté 10ans et qu’un pc vieux de 7 ans est encore parfaitement utilisable aujourd’hui, et fonctionne même encore plus vite sous Windows 8 que XP.
perso, je n’ai pas acheté de PC portable ou desktop depuis 2009 et pourtant je m’en sers tous les jours.
et j’ai du mal à imaginer le grand public utiliser uniquement des tablettes, surtout sans support de flash Player.
Microsoft doit 52,5 millions d’euros au fisc français suite à un redressement
15/02/2013
Le 15/02/2013 à 15h 27
donc ca ne m’etonnerais pas que microsoft a un CA supperieur a google
surtout quand on sais que google ne gagne rien sur la vente de telephone android… alors que microsoft SI
et que sur google ya plein d’appli gratuite en face d’appli payante pas forcement beaucoup mieux => moins de vente
si a ca on ajoute la facilité de piratage sous android …..
tu sous estimes vraiment l’immensité du business de la pub.
le fait d’etre en moteur de recherche par defaut sur android rapporte bien plus à google que les \(5 que perçoit MS sur les ventes de quelques constructeurs d'appareils android.
pour info, un clic sur des pubs dans les résultats Google peut facilement rapporter 50centimes de dollars, voire même plusieurs dollars lorsqu'il s'agit d'annonceurs dans des secteurs à haute rentabilité (finance, crédits, ...)
quand tu sais qu'un utilisateur lambda ne fait pas la différence entre les pubs dans les résultats de recherche Google et les vrais résultats, je te laisse imaginer que MS préférait bien être moteur de recherche par défaut plutôt que toucher les \)5/device vendu.
sans oublier qu’android amène de nouveaux utilisateurs sur des services comme gmail dont les pubs sont hautement ciblées et très rentables pour Google…
donc dire que Google ne gagne pas d’argent avec Android…. Lol
Opera abandonne son moteur de rendu et passe à Webkit
13/02/2013
Le 14/02/2013 à 03h 09
En tant que Webdev, je ne comprends absolument pas la comparaison avec IE6. Webkit est soutenu par 4 grosses boites (et beaucoup de plus petites). On ne peut pas parler de monopole ou de blocage
plutot contradictoire avec le paragraphe suivant :
On a un navigateur qui respecte les standards, qui affiche souvent vite et bien, mais malgré tout nos efforts on fait face a des sites qui ne testent pas sous Opera, qui n’utilisent que les préfixes de type -webkit-
webkit est bien dans une situation de monopole qui bloque l’évolution de ses concurrents, au bénéfice d’Apple et Google qui n’ont aucun intérêt à ce que la situation change.
pour rappel :
https://developer.mozilla.org/en-US/docs/CSS/CSS_Reference/Webkit_Extensions
meme si certains ne veulent pas l’admettre tous les ingrédients sont là pour répéter les mêmes erreurs sur le web mobile qu’il y a 12ans sur le desktop.
que webkit soit open source n’y change rien, faire un fork de plus ne va pas aider Microsoft et Mozilla à convaincre les webmasters de respecter les standards.
Une nouvelle faille 0-day dans le lecteur PDF Reader d’Adobe
13/02/2013
Le 14/02/2013 à 00h 50
Ou alors, comme moi, tu milites pour que les vendeurs de système d’exploitation arrêtent de faire des évolutions graphiques kikoolol et travaillent plutôt sur l’isolation/sandboxing de l’espace de travail. En 2013, je ne vois pas de raison pour qu’un OS laisse un viewer de documents accéder à des données confidentielles, et encore moins le laisse ouvrir des connexions http.
exactement, c’est pour ça que l’environnement WinRT de Windows 8 a été conçu.
maintenant reste à convaincre les hateboys de privilégier les applis métro aux applis desktop.
Le 14/02/2013 à 00h 47
Et sinon il y a la version metro de adobe Reader pour Windows 8 qui n’est pas vulnérable.
par contre comme sur toutes les versions smartphone/tablettes de adobe reader, il manque des fonctionnalités comme le support des formulaires.
Bon sinon, je suis ravis de constater que l’ajout d’une sandbox depuis la v10 du Reader fut au final très utile
c’est utile, mais ce n’est dispo que sur vista/7/8.
et oui, parfois les hackers arrivent a contourner les sandbox, mais pour autant ça reste de bons moyens de protection une fois les failles de contournement corrigées
après tout même ie9/win7 et chrome ont eu leur sandbox contournée à plusieurs reprises (ie10 pas encore).
au passage, la version win8/metro de adobe reader utilise la sandbox de winRT qui est plus efficace que celle d’ adobe reader desktop.