logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-06-2015 06:31:49

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Sécurité des navigateurs Web "alternatifs"

Bonjour à tous,
Ces derniers temps j'ai utilisé quelques navigateurs Web que je qualifie d'alternatifs (dwb, surf notamment).
Ils fonctionnent très bien pour ce que je leur demande mais je pose la question de leur sécurité.
De plus en plus de services et serveurs sont accessibles via une interface Web, de même que l'accès à des sites sensibles (banque etc...) et les navigateurs deviennent un point clé de la sécurité informatique à ce niveau. Il y a régulièrement des mises à jour de sécu pour Firefox/Iceweasel par exemple.

Alors que penser du niveau de sécurité apporté par les logiciels cités ci-dessus ? Ils sont, dans cet exemple, tout deux basés sur webkit, doit-on donc considérer que si la libwebkit n'a pas de faille de sécurité, le navigateur est sûr ? Où bien n'est-ce pas si simple et, au final, pour certains accès devrait-on plutôt utiliser des navigateurs connus (Iceweasel / Chromium) potentiellement mieux maintenus / mis à jour ?

1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#2 02-06-2015 07:08:08

stephgarg
Membre
Lieu : Périgueux
Distrib. : Debian GNU/Linux Stable (Buster)
Noyau : linux-image-4.19.0-*-amd64
(G)UI : KDE Plasma 5.14.5
Inscription : 01-01-2015

Re : Sécurité des navigateurs Web "alternatifs"

Bonjour à tous.

sogal a écrit :

Alors que penser du niveau de sécurité apporté par les logiciels cités ci-dessus ? Ils sont, dans cet exemple, tout deux basés sur webkit, doit-on donc considérer que si la libwebkit n'a pas de faille de sécurité, le navigateur est sûr ? Où bien n'est-ce pas si simple et, au final, pour certains accès devrait-on plutôt utiliser des navigateurs connus (Iceweasel / Chromium) potentiellement mieux maintenus / mis à jour ?



Cela ne répond peut-être pas à ta question mais Debian émet régulièrement des mises en garde concernant l'état de sécurité des navigateurs web.

Cela concerne Jessie mais cette problématique est identique pour les anciennes versions.

A bientôt.

Dernière modification par stephgarg (02-06-2015 07:12:00)


Trois PC dont un fixe Sirius, un transportable Canopus et un miniportable Arcturus. smile
Sirius : Ryzen 7 3700X à 4,4 GHz, SDRAM DDR4 3,6 GHz de 32 Gio, 10 To de SSD dont 20% en PCIe 3.0 4x.
Canopus : Intel Core 2 Duo à 2 GHz, SDRAM DDR2 667 MHz de 4 Gio, WD Black Mobile SATA2 de 750 Go.
Arcturus : Intel Atom N270 à 1,6 Ghz, SDRAM DDR2 533 MHz de 2 Gio, Hitachi SATA2 de 160 Go.

Hors ligne

#3 02-06-2015 08:36:04

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

Bonjour,

Pour moi, ça répond bien à la problématique :

... les navigateurs basés sur les moteurs webkit, qtwebkit et khtml sont inclus dans Jessie mais ne sont pas couverts par une prise en charge complète de la sécurité. Ces navigateurs ne devraient pas être utilisés sur des sites web non fiables.

Pour un usage général de navigation web, nous recommandons Iceweasel et Chromium.


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#4 02-06-2015 08:48:49

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

Bonjour stephgarg,
Effectivement cela répond parfaitement à ma question, tant sur le niveau de sécurité de ces navigateurs que sur la position claire du projet Debian là-dessus.
Merci beaucoup pour ces réponses.

La question conséquente est : est-il pertinent de coller ces paragraphes en en-tête dans les tutos du wiki des navigateurs visés ?
Je serais d'avis que oui, n'ayant pas envie de recommander, même implicitement, l'usage d'un logiciel dont je sais (maintenant) pertinemment qu'il n'est pas nécessairement sécurisé.

1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#5 02-06-2015 08:57:36

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

Je pense que, d'une façon générale, même si on utilise Iceweasel ou Chromium, la meilleure sécurité réside dans le comportement de l'utilisateur.

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#6 02-06-2015 08:58:41

stephgarg
Membre
Lieu : Périgueux
Distrib. : Debian GNU/Linux Stable (Buster)
Noyau : linux-image-4.19.0-*-amd64
(G)UI : KDE Plasma 5.14.5
Inscription : 01-01-2015

Re : Sécurité des navigateurs Web "alternatifs"

Bonjour à tous.

sogal a écrit :

La question conséquente est : est-il pertinent de coller ces paragraphes en en-tête dans les tutos du wiki des navigateurs visés ?



En tout cas, peut-être qu'on peut envisager d'ajouter une mise en garde en incluant un lien vers ce paragraphe l'état de sécurité des navigateurs web (déjà cité) tout en précisant bien que cela ne concerne pas uniquement Jessie. smile

A bientôt.


Trois PC dont un fixe Sirius, un transportable Canopus et un miniportable Arcturus. smile
Sirius : Ryzen 7 3700X à 4,4 GHz, SDRAM DDR4 3,6 GHz de 32 Gio, 10 To de SSD dont 20% en PCIe 3.0 4x.
Canopus : Intel Core 2 Duo à 2 GHz, SDRAM DDR2 667 MHz de 4 Gio, WD Black Mobile SATA2 de 750 Go.
Arcturus : Intel Atom N270 à 1,6 Ghz, SDRAM DDR2 533 MHz de 2 Gio, Hitachi SATA2 de 160 Go.

Hors ligne

#7 02-06-2015 09:05:20

stephgarg
Membre
Lieu : Périgueux
Distrib. : Debian GNU/Linux Stable (Buster)
Noyau : linux-image-4.19.0-*-amd64
(G)UI : KDE Plasma 5.14.5
Inscription : 01-01-2015

Re : Sécurité des navigateurs Web "alternatifs"

Bonjour à tous.

paskal a écrit :

Je pense que, d'une façon générale, même si on utilise Iceweasel ou Chromium, la meilleure sécurité réside dans le comportement de l'utilisateur.



Je pense aussi que cela dépend aussi de la configuration de son navigateur Web.

Exemple : désactiver, par défaut, Javascript quitte à le réactiver au cas par cas... comme pour Debian Facile. smile

A bientôt.

Dernière modification par stephgarg (02-06-2015 09:08:12)


Trois PC dont un fixe Sirius, un transportable Canopus et un miniportable Arcturus. smile
Sirius : Ryzen 7 3700X à 4,4 GHz, SDRAM DDR4 3,6 GHz de 32 Gio, 10 To de SSD dont 20% en PCIe 3.0 4x.
Canopus : Intel Core 2 Duo à 2 GHz, SDRAM DDR2 667 MHz de 4 Gio, WD Black Mobile SATA2 de 750 Go.
Arcturus : Intel Atom N270 à 1,6 Ghz, SDRAM DDR2 533 MHz de 2 Gio, Hitachi SATA2 de 160 Go.

Hors ligne

#8 02-06-2015 09:13:16

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

stephgarg a écrit :

Je pense aussi que cela dépend aussi de la configuration de son navigateur Web.

Exemple : désactiver, par défaut, Javascript quitte à le réactiver au cas par cas... comme pour Debian Facile. smile

Oui, dans une certaine mesure : avant une mise-à-jour de sécurité, le navigateur est probablement vulnérable et il est permis de douter que seul javascript soit en cause.


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#9 02-06-2015 09:23:23

Anonyme-8
Invité

Re : Sécurité des navigateurs Web "alternatifs"

Pour désactiver javascript par défaut, c'est une connerie. Je l'ai compris au moment de faire un paiement en ligne, une catastrophe.

Que cela dépende du comportement de l'utilisateur hmm vu la quantité de pop-up script sur chaque page, il ne reste plus beaucoup de sites à aller voir.
Au mieux, on peut faire les mises à jour, et utiliser les extensions avec modération.

Par contre je suis vraiment surpris, c'est sans compromis: Iceweasel ou Chromium.
C'est vrai que le rythme de développement est assez intense et les failles nombreuses donc faut du monde pour maintenir un navigateur.

Est ce qu'il faut passer à n navigateur en mode texte, type lynx big_smile

#10 02-06-2015 09:24:31

Severian
Membre
Distrib. : Debian GNU/Linux 9.4 (stretch)
Noyau : Linux 4.14.0-0.bpo.3-amd64
(G)UI : Openbox 3.6.1-4
Inscription : 13-12-2014

Re : Sécurité des navigateurs Web "alternatifs"

sans compter flash, les pubs (véreuses ou pas), la gestion des certificats, le traçage...

bref les navigateurs "alternatifs" sont bien, mais une mise en garde sur les wikis serait utile à mon avis.

Hors ligne

#11 02-06-2015 10:18:24

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

stephgarg a écrit :

En tout cas, peut-être qu'on peut envisager d'ajouter une mise en garde en incluant un lien vers ce paragraphe l'état de sécurité des navigateurs web (déjà cité) tout en précisant bien que cela ne concerne pas uniquement Jessie. smile


Oui ça me paraît pertinent.

paskal a écrit :

Je pense que, d'une façon générale, même si on utilise Iceweasel ou Chromium, la meilleure sécurité réside dans le comportement de l'utilisateur.


Tout à fait d'accord, mais en tant que rédacteurs de wiki, je trouve que nous avons une forme de "responsabilité" et que c'est correct d'avertir l'utilisateur potentiel du logiciel que celui n'est pas forcément aussi bien maintenu que d'autres.

Anonyme-8 a écrit :

Est ce qu'il faut passer à n navigateur en mode texte, type lynx big_smile


Ce serait le top mais pour le paiement en ligne...pas facile tongue

Le web est devenu une vraie poubelle et c'est dommage.


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#12 02-06-2015 10:40:41

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

sogal a écrit :

Le web est devenu une vraie poubelle et c'est dommage.


Ça dépend franchement des coins du Web où on se balade : pas besoin de bloqueur de pubs sur debian-facile wink


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#13 02-06-2015 10:46:28

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

vv222 a écrit :

Ça dépend franchement des coins du Web où on se balade


Certes, mais ceux qui sont propres sont de plus en plus rares. Et quand je fais des recherches je ne sais jamais à l'avance sur la gueule que va avoir le site que je visite, s'il va être rempli de pub ou non etc...
À force on apprend et il est clair que j'évite certains forums ou sites pour ces raisons.


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#14 02-06-2015 11:22:50

Anonyme-8
Invité

Re : Sécurité des navigateurs Web "alternatifs"

Quand bien même DF est un site considéré comme clean, on n'est pas à l'abri d'une mauvaise surprise.
Comme le dit sogal, quand tu vas sur un site tu ne connais pas nécessairement le contenu.

Pour le paiement en ligne, c'est vraiment de la m***e. En plus, il se foute de nous avec une pseudo sécurité (j'ai trouvé un article sur le sujet assez croustillant, si je le retrouve je fait passer).

#15 02-06-2015 13:21:14

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

sogal a écrit :

... en tant que rédacteurs de wiki, je trouve que nous avons une forme de "responsabilité" et que c'est correct d'avertir l'utilisateur potentiel du logiciel que celui n'est pas forcément aussi bien maintenu que d'autres.

Oui, pourquoi pas.  smile

Anonyme-8 a écrit :

Pour désactiver javascript par défaut, c'est une connerie. Je l'ai compris au moment de faire un paiement en ligne, une catastrophe.

D'où l'intérêt de NoScript, d'utilisation assez souple.  cool


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#16 02-06-2015 13:30:13

Anonyme-8
Invité

Re : Sécurité des navigateurs Web "alternatifs"

Anonyme-8 a écrit :

Pour désactiver javascript par défaut, c'est une connerie. Je l'ai compris au moment de faire un paiement en ligne, une catastrophe.

D'où l'intérêt de NoScript, d'utilisation assez souple.  cool


Ben, justement, c'était avec NoScript. J'ai jamais réussi à le configurer convenablement.
Je suis passer à ABP et je définit ma liste noire.

#17 02-06-2015 13:34:08

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

Avec Iceweasel, je ne saurais trop recommander RequestPolicy configuré pour utiliser une liste blanche.
Grâce à lui je me suis débarrassé sans regrets d’Adblock Plus et de NoScript.

https://packages.debian.org/jessie/xul- … uestpolicy

Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#18 02-06-2015 13:35:47

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

vv222 a écrit :

Avec Iceweasel, je ne saurais trop recommander RequestPolicy configuré pour utiliser une liste blanche.
Grâce à lui je me suis débarrassé sans regrets d’Adblock Plus et de NoScript.


Tu parviens à obtenir le même comportement simplement avec RequestPolicy ? blocage des pubs ET de l'ensemble de éléments basés sur JS ?


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

#19 02-06-2015 13:36:21

Anonyme-8
Invité

Re : Sécurité des navigateurs Web "alternatifs"

vv222 a écrit :

Avec Iceweasel, je ne saurais trop recommander RequestPolicy configuré pour utiliser une liste blanche.
Grâce à lui je me suis débarrassé sans regrets d’Adblock Plus et de NoScript.

https://packages.debian.org/jessie/xul- … uestpolicy


je me remettrai dessus pour voir ce qu'on peut en tirer.

#20 02-06-2015 13:38:22

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

sogal a écrit :

vv222 a écrit :

Avec Iceweasel, je ne saurais trop recommander RequestPolicy configuré pour utiliser une liste blanche.
Grâce à lui je me suis débarrassé sans regrets d’Adblock Plus et de NoScript.


Tu parviens à obtenir le même comportement simplement avec RequestPolicy ? blocage des pubs ET de l'ensemble de éléments basés sur JS ?


Blocage de tout contenu qui n’est pas hébergé sur le domaine que je visite, ce qui revient plus ou moins au même.
Quand je visite un site, je fais confiance à son contenu (JS compris), mais pas forcément à celui de ses "partenaires".


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#21 02-06-2015 14:03:53

sogal
Black Metal Modo
Lieu : Nord Isère
Distrib. : openSUSE Leap 42.3
Noyau : Linux 4.4.76
(G)UI : GNOME
Inscription : 09-05-2013
Site Web

Re : Sécurité des navigateurs Web "alternatifs"

Anonyme-8 a écrit :

je me remettrai dessus pour voir ce qu'on peut en tirer.


Pareil, merci vv222 pour cette piste, on verra si ça convient à ce que je recherche.


1485418338.png Hello IT ! Have you tried turning it off and on again ?

Hors ligne

Pied de page des forums