Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-06-2015 07:31:49

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Sécurité des navigateurs Web "alternatifs"

Bonjour à tous,
Ces derniers temps j'ai utilisé quelques navigateurs Web que je qualifie d'alternatifs (dwb, surf notamment).
Ils fonctionnent très bien pour ce que je leur demande mais je pose la question de leur sécurité.
De plus en plus de services et serveurs sont accessibles via une interface Web, de même que l'accès à des sites sensibles (banque etc...) et les navigateurs deviennent un point clé de la sécurité informatique à ce niveau. Il y a régulièrement des mises à jour de sécu pour Firefox/Iceweasel par exemple.

Alors que penser du niveau de sécurité apporté par les logiciels cités ci-dessus ? Ils sont, dans cet exemple, tout deux basés sur webkit, doit-on donc considérer que si la libwebkit n'a pas de faille de sécurité, le navigateur est sûr ? Où bien n'est-ce pas si simple et, au final, pour certains accès devrait-on plutôt utiliser des navigateurs connus (Iceweasel / Chromium) potentiellement mieux maintenus / mis à jour ?

Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#2 02-06-2015 08:08:08

stephgarg
Membre
Lieu : Périgueux
Distrib. : Debian GNU/Linux Stable (Jessie)
Noyau : Linux 3.16.0-4-amd64
(G)UI : KDE 4.14.2
Inscription : 01-01-2015

Re : Sécurité des navigateurs Web "alternatifs"

Bonjour à tous.

sogal a écrit :

Alors que penser du niveau de sécurité apporté par les logiciels cités ci-dessus ? Ils sont, dans cet exemple, tout deux basés sur webkit, doit-on donc considérer que si la libwebkit n'a pas de faille de sécurité, le navigateur est sûr ? Où bien n'est-ce pas si simple et, au final, pour certains accès devrait-on plutôt utiliser des navigateurs connus (Iceweasel / Chromium) potentiellement mieux maintenus / mis à jour ?



Cela ne répond peut-être pas à ta question mais Debian émet régulièrement des mises en garde concernant l'état de sécurité des navigateurs web.

Cela concerne Jessie mais cette problématique est identique pour les anciennes versions.

A bientôt.

Dernière modification par stephgarg (02-06-2015 08:12:00)


Trois PC dont un fixe Sirius, un transportable Canopus et un miniportable Arcturus. smile
Sirius : AMD Athlon 64 X2 à 3 GHz, SDRAM DDR2 800 MHz de 8 Gio, 2 WD VelociRaptor SATA2 de 1000 Go.
Canopus : Intel Core 2 Duo à 2 GHz, SDRAM DDR2 667 MHz de 4 Gio, WD Black Mobile SATA2 de 750 Go.
Arcturus : Intel Atom N270 à 1,6 Ghz, SDRAM DDR2 533 MHz de 2 Gio, Hitachi SATA2 de 160 Go.

Hors ligne

#3 02-06-2015 09:36:04

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

Bonjour,

Pour moi, ça répond bien à la problématique :

... les navigateurs basés sur les moteurs webkit, qtwebkit et khtml sont inclus dans Jessie mais ne sont pas couverts par une prise en charge complète de la sécurité. Ces navigateurs ne devraient pas être utilisés sur des sites web non fiables.

Pour un usage général de navigation web, nous recommandons Iceweasel et Chromium.


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#4 02-06-2015 09:48:49

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

Bonjour stephgarg,
Effectivement cela répond parfaitement à ma question, tant sur le niveau de sécurité de ces navigateurs que sur la position claire du projet Debian là-dessus.
Merci beaucoup pour ces réponses.

La question conséquente est : est-il pertinent de coller ces paragraphes en en-tête dans les tutos du wiki des navigateurs visés ?
Je serais d'avis que oui, n'ayant pas envie de recommander, même implicitement, l'usage d'un logiciel dont je sais (maintenant) pertinemment qu'il n'est pas nécessairement sécurisé.

Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#5 02-06-2015 09:57:36

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

Je pense que, d'une façon générale, même si on utilise Iceweasel ou Chromium, la meilleure sécurité réside dans le comportement de l'utilisateur.

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#6 02-06-2015 09:58:41

stephgarg
Membre
Lieu : Périgueux
Distrib. : Debian GNU/Linux Stable (Jessie)
Noyau : Linux 3.16.0-4-amd64
(G)UI : KDE 4.14.2
Inscription : 01-01-2015

Re : Sécurité des navigateurs Web "alternatifs"

Bonjour à tous.

sogal a écrit :

La question conséquente est : est-il pertinent de coller ces paragraphes en en-tête dans les tutos du wiki des navigateurs visés ?



En tout cas, peut-être qu'on peut envisager d'ajouter une mise en garde en incluant un lien vers ce paragraphe l'état de sécurité des navigateurs web (déjà cité) tout en précisant bien que cela ne concerne pas uniquement Jessie. smile

A bientôt.


Trois PC dont un fixe Sirius, un transportable Canopus et un miniportable Arcturus. smile
Sirius : AMD Athlon 64 X2 à 3 GHz, SDRAM DDR2 800 MHz de 8 Gio, 2 WD VelociRaptor SATA2 de 1000 Go.
Canopus : Intel Core 2 Duo à 2 GHz, SDRAM DDR2 667 MHz de 4 Gio, WD Black Mobile SATA2 de 750 Go.
Arcturus : Intel Atom N270 à 1,6 Ghz, SDRAM DDR2 533 MHz de 2 Gio, Hitachi SATA2 de 160 Go.

Hors ligne

#7 02-06-2015 10:05:20

stephgarg
Membre
Lieu : Périgueux
Distrib. : Debian GNU/Linux Stable (Jessie)
Noyau : Linux 3.16.0-4-amd64
(G)UI : KDE 4.14.2
Inscription : 01-01-2015

Re : Sécurité des navigateurs Web "alternatifs"

Bonjour à tous.

paskal a écrit :

Je pense que, d'une façon générale, même si on utilise Iceweasel ou Chromium, la meilleure sécurité réside dans le comportement de l'utilisateur.



Je pense aussi que cela dépend aussi de la configuration de son navigateur Web.

Exemple : désactiver, par défaut, Javascript quitte à le réactiver au cas par cas... comme pour Debian Facile. smile

A bientôt.

Dernière modification par stephgarg (02-06-2015 10:08:12)


Trois PC dont un fixe Sirius, un transportable Canopus et un miniportable Arcturus. smile
Sirius : AMD Athlon 64 X2 à 3 GHz, SDRAM DDR2 800 MHz de 8 Gio, 2 WD VelociRaptor SATA2 de 1000 Go.
Canopus : Intel Core 2 Duo à 2 GHz, SDRAM DDR2 667 MHz de 4 Gio, WD Black Mobile SATA2 de 750 Go.
Arcturus : Intel Atom N270 à 1,6 Ghz, SDRAM DDR2 533 MHz de 2 Gio, Hitachi SATA2 de 160 Go.

Hors ligne

#8 02-06-2015 10:13:16

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

stephgarg a écrit :

Je pense aussi que cela dépend aussi de la configuration de son navigateur Web.

Exemple : désactiver, par défaut, Javascript quitte à le réactiver au cas par cas... comme pour Debian Facile. smile

Oui, dans une certaine mesure : avant une mise-à-jour de sécurité, le navigateur est probablement vulnérable et il est permis de douter que seul javascript soit en cause.


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#9 02-06-2015 10:23:23

nIQnutn
Modérateur
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16-amd64
(G)UI : XFCE
Inscription : 16-03-2012
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

Pour désactiver javascript par défaut, c'est une connerie. Je l'ai compris au moment de faire un paiement en ligne, une catastrophe.

Que cela dépende du comportement de l'utilisateur hmm vu la quantité de pop-up script sur chaque page, il ne reste plus beaucoup de sites à aller voir.
Au mieux, on peut faire les mises à jour, et utiliser les extensions avec modération.

Par contre je suis vraiment surpris, c'est sans compromis: Iceweasel ou Chromium.
C'est vrai que le rythme de développement est assez intense et les failles nombreuses donc faut du monde pour maintenir un navigateur.

Est ce qu'il faut passer à n navigateur en mode texte, type lynx big_smile

Hors ligne

#10 02-06-2015 10:24:31

Severian
Membre
Distrib. : Debian GNU/Linux 8.6 (jessie)
Noyau : Linux 4.6.0-0.bpo.1-amd64
(G)UI : Openbox 3.6.1-2
Inscription : 13-12-2014

Re : Sécurité des navigateurs Web "alternatifs"

sans compter flash, les pubs (véreuses ou pas), la gestion des certificats, le traçage...

bref les navigateurs "alternatifs" sont bien, mais une mise en garde sur les wikis serait utile à mon avis.

"il est urgent d'attendre" (bendia)
ob3-debian2-150x50.png

Hors ligne

#11 02-06-2015 11:18:24

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

stephgarg a écrit :

En tout cas, peut-être qu'on peut envisager d'ajouter une mise en garde en incluant un lien vers ce paragraphe l'état de sécurité des navigateurs web (déjà cité) tout en précisant bien que cela ne concerne pas uniquement Jessie. smile


Oui ça me paraît pertinent.

paskal a écrit :

Je pense que, d'une façon générale, même si on utilise Iceweasel ou Chromium, la meilleure sécurité réside dans le comportement de l'utilisateur.


Tout à fait d'accord, mais en tant que rédacteurs de wiki, je trouve que nous avons une forme de "responsabilité" et que c'est correct d'avertir l'utilisateur potentiel du logiciel que celui n'est pas forcément aussi bien maintenu que d'autres.

nIQnutn a écrit :

Est ce qu'il faut passer à n navigateur en mode texte, type lynx big_smile


Ce serait le top mais pour le paiement en ligne...pas facile tongue

Le web est devenu une vraie poubelle et c'est dommage.


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#12 02-06-2015 11:40:41

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

sogal a écrit :

Le web est devenu une vraie poubelle et c'est dommage.


Ça dépend franchement des coins du Web où on se balade : pas besoin de bloqueur de pubs sur debian-facile wink


Jouer sous Debian ? Facile !

Hors ligne

#13 02-06-2015 11:46:28

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

vv222 a écrit :

Ça dépend franchement des coins du Web où on se balade


Certes, mais ceux qui sont propres sont de plus en plus rares. Et quand je fais des recherches je ne sais jamais à l'avance sur la gueule que va avoir le site que je visite, s'il va être rempli de pub ou non etc...
À force on apprend et il est clair que j'évite certains forums ou sites pour ces raisons.


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#14 02-06-2015 12:22:50

nIQnutn
Modérateur
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16-amd64
(G)UI : XFCE
Inscription : 16-03-2012
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

Quand bien même DF est un site considéré comme clean, on n'est pas à l'abri d'une mauvaise surprise.
Comme le dit sogal, quand tu vas sur un site tu ne connais pas nécessairement le contenu.

Pour le paiement en ligne, c'est vraiment de la m***e. En plus, il se foute de nous avec une pseudo sécurité (j'ai trouvé un article sur le sujet assez croustillant, si je le retrouve je fait passer).

Hors ligne

#15 02-06-2015 14:21:14

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

sogal a écrit :

... en tant que rédacteurs de wiki, je trouve que nous avons une forme de "responsabilité" et que c'est correct d'avertir l'utilisateur potentiel du logiciel que celui n'est pas forcément aussi bien maintenu que d'autres.

Oui, pourquoi pas.  smile

nIQnutn a écrit :

Pour désactiver javascript par défaut, c'est une connerie. Je l'ai compris au moment de faire un paiement en ligne, une catastrophe.

D'où l'intérêt de NoScript, d'utilisation assez souple.  cool


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#16 02-06-2015 14:30:13

nIQnutn
Modérateur
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16-amd64
(G)UI : XFCE
Inscription : 16-03-2012
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

nIQnutn a écrit :

Pour désactiver javascript par défaut, c'est une connerie. Je l'ai compris au moment de faire un paiement en ligne, une catastrophe.

D'où l'intérêt de NoScript, d'utilisation assez souple.  cool


Ben, justement, c'était avec NoScript. J'ai jamais réussi à le configurer convenablement.
Je suis passer à ABP et je définit ma liste noire.

Hors ligne

#17 02-06-2015 14:34:08

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

Avec Iceweasel, je ne saurais trop recommander RequestPolicy configuré pour utiliser une liste blanche.
Grâce à lui je me suis débarrassé sans regrets d’Adblock Plus et de NoScript.

https://packages.debian.org/jessie/xul- … uestpolicy

Jouer sous Debian ? Facile !

Hors ligne

#18 02-06-2015 14:35:47

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

vv222 a écrit :

Avec Iceweasel, je ne saurais trop recommander RequestPolicy configuré pour utiliser une liste blanche.
Grâce à lui je me suis débarrassé sans regrets d’Adblock Plus et de NoScript.


Tu parviens à obtenir le même comportement simplement avec RequestPolicy ? blocage des pubs ET de l'ensemble de éléments basés sur JS ?


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#19 02-06-2015 14:36:21

nIQnutn
Modérateur
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16-amd64
(G)UI : XFCE
Inscription : 16-03-2012
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

vv222 a écrit :

Avec Iceweasel, je ne saurais trop recommander RequestPolicy configuré pour utiliser une liste blanche.
Grâce à lui je me suis débarrassé sans regrets d’Adblock Plus et de NoScript.

https://packages.debian.org/jessie/xul- … uestpolicy


je me remettrai dessus pour voir ce qu'on peut en tirer.

Hors ligne

#20 02-06-2015 14:38:22

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

sogal a écrit :

vv222 a écrit :

Avec Iceweasel, je ne saurais trop recommander RequestPolicy configuré pour utiliser une liste blanche.
Grâce à lui je me suis débarrassé sans regrets d’Adblock Plus et de NoScript.


Tu parviens à obtenir le même comportement simplement avec RequestPolicy ? blocage des pubs ET de l'ensemble de éléments basés sur JS ?


Blocage de tout contenu qui n’est pas hébergé sur le domaine que je visite, ce qui revient plus ou moins au même.
Quand je visite un site, je fais confiance à son contenu (JS compris), mais pas forcément à celui de ses "partenaires".


Jouer sous Debian ? Facile !

Hors ligne

#21 02-06-2015 15:03:53

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

nIQnutn a écrit :

je me remettrai dessus pour voir ce qu'on peut en tirer.


Pareil, merci vv222 pour cette piste, on verra si ça convient à ce que je recherche.


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

Pied de page des forums