[MàJ] Chrome 25 bêta : la fin de l'installation silencieuse d'une extension

[MàJ] Chrome 25 bêta : la fin de l’installation silencieuse d’une extension

Il aura fallu attendre la 25e version

Avatar de l'auteur
Sébastien Gavois

Publié dans

Logiciel

15/01/2013 2 minutes
43

[MàJ] Chrome 25 bêta : la fin de l'installation silencieuse d'une extension

Depuis longtemps maintenant, il est possible d'installer « silencieusement » une extension sur Chrome, via la base de registre dans le cas de Windows par exemple. Suite à des abus, Google annonce que ce ne sera plus le cas, et la version 25 de son navigateur intègrera deux fonctionnalités permettant de s'en prémunir.

google chrome extensions silencieuses

 

D'après Google, une majorité d'utilisateurs installent leurs extensions Chrome directement depuis le Web Store, mais ce n'est pas toujours le cas. En effet, certaines peuvent venir s'ajouter automatiquement à votre navigateur lorsque vous installez une application, on parle alors d'une mise en place « silencieuse » puisque vous n'avez pas donné explicitement votre accord. Deux méthodes officielles existent : via la base de registre pour Windows, ou bien via un Json.

 

Via son blog dédié à Chromium, Google précise que, suite à de nombreux abus, ce ne sera plus le cas. En effet, les extensions déployées via cette technique seront désormais désactivées par défaut, mais vous aurez évidemment la possibilité de l'activer ou bien de la supprimer. Le choix revient donc à l'utilisateur, ce qui est plutôt appréciable.

 

De plus, ce changement est rétroactif et les extensions précédemment mises en place via l'une de ces méthodes seront automatiquement désactivées. Chrome vous proposera néanmoins de les réactiver manuellement si besoin.

 

google chrome extensions silencieuses

 

Google précise enfin que ces fonctionnalités seront déployées sur Chrome 25, sans que l'on sache s'il s'agit de la version stable ou d'une bêta.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Fermer

Commentaires (43)


Anonyme
Le 24/12/2012 à 13h 40

Tant mieux !


sioowan
Le 24/12/2012 à 13h 40

C’est pas plus mal.


zaknaster
Le 24/12/2012 à 13h 40

<img data-src=" />


Elektro121 Abonné
Le 24/12/2012 à 13h 43

Ah bah enfin ! Plus de “Click-to-Call” de Skype. <img data-src=" />


JCLB Abonné
Le 24/12/2012 à 13h 56

Si ça pouvait être pareil pour tous, rien que pour la babylon toolbar <img data-src=" />


Jim PROFIT
Le 24/12/2012 à 14h 21

<img data-src=" />

Chrome devient de plus en plus chiant!



Je veux un mode expert/développeur!

Laissez moi tranquille je fais ce que je veux <img data-src=" />


127.0.0.1
Le 24/12/2012 à 14h 32







Jim PROFIT a écrit :



<img data-src=" />

Chrome devient de plus en plus chiant!



Je veux un mode expert/développeur!

Laissez moi tranquille je fais ce que je veux <img data-src=" />







En quoi un mode “expert/développeur” devrait autoriser que les plugins s’installent sournoisement silencieusement ?



Dyblast
Le 24/12/2012 à 14h 47

Déjà qu’on ne peux plus installer un plugin depuis un site web sans passer par le store …


Blood_Man
Le 24/12/2012 à 16h 20







JCLB a écrit :



Si ça pouvait être pareil pour tous, rien que pour la babylon toolbar <img data-src=" />





La baylon toolbar ? le truc que tout le monde a, mais personne ne veut ?



Antwan
Le 24/12/2012 à 16h 55

Firefox le fait depuis un certain temps. <img data-src=" />


jmanici
Le 25/12/2012 à 00h 14



Firefox le fait depuis un certain temps





IE9 aussi demande a l’utilisateur s’il souhaite activer les plugins nouvellement installés ou les garder désactivés.



c’est marrant que google ait pu croire que Chrome serait épargné par les éditeurs de crapwares aussi longtemps sans réagir.



même sur osx on voit de plus de plugins publicitaires installés dans les navigateurs par des logiciels “gratuits”.


Baron.lost
Le 25/12/2012 à 08h 13

il ne reste plus que chrome lui même ne s’installe plus silencieusement et la boucle sera boucle <img data-src=" />


MickeyFreeStyler
Le 25/12/2012 à 11h 02







Baron.lost a écrit :



il ne reste plus que chrome lui même ne s’installe plus silencieusement et la boucle sera boucle <img data-src=" />





J’attend çà avec impatience, un Chrome qui ne s’installe pas dans le profil utilisateur. Quelle daube ce Chrome rien que pour cela, obligé de le virer régulièrement sur les postes que je gère.



SebGF Abonné
Le 25/12/2012 à 11h 02







jmanici a écrit :



c’est marrant que google ait pu croire que Chrome serait épargné par les éditeurs de crapwares aussi longtemps sans réagir.







Ils devaient se dire qu’avec le mode de distribution de Chrome qui est proche du malware (aka “je m’installe en même temps qu’un autre logiciel avec une option à décocher qui ne sera pas vue par “clicliclic finish”), ajouter des add-ons de la même façon n’aurait pas choqué l’utilisateur. <img data-src=" />



Anonyme
Le 25/12/2012 à 11h 13







SebGF a écrit :



Ils devaient se dire qu’avec le mode de distribution de Chrome qui est proche du malware (aka “je m’installe en même temps qu’un autre logiciel avec une option à décocher qui ne sera pas vue par “clicliclic finish”), ajouter des add-ons de la même façon n’aurait pas choqué l’utilisateur. <img data-src=" />







C’est pas ça qui booste les PDM tu sais, cherche une autre excuse



jmanici
Le 25/12/2012 à 14h 34



C’est pas ça qui booste les PDM tu sais, cherche une autre excuse





si ça ne booste pas les PDM, alors tu peux nous expliquer pourquoi Google jetterait de l’argent par les fenêtres en payant $1 les développeurs tiers a chaque install réussie (+ mise en navigateur par defaut) de ce spyware?


Martinlaueffer
Le 25/12/2012 à 22h 26







jmanici a écrit :



en payant $1 les développeurs tiers a chaque install réussie (+ mise en navigateur par defaut) de ce spyware?







Ta source ?



Anonyme
Le 25/12/2012 à 23h 26







jmanici a écrit :



si ça ne booste pas les PDM, alors tu peux nous expliquer pourquoi Google jetterait de l’argent par les fenêtres en payant $1 les développeurs tiers a chaque install réussie (+ mise en navigateur par defaut) de ce spyware?







Pour inciter à développer pour le browser, vu que ça peut pas être payant.

Navigateur par défaut, toujours cet argument moisi, le michu continuera de cliquer sur l’icone IE hein (et d’accepter de remettre IE par défaut lors qu’il le demandera)



Blood_Man
Le 26/12/2012 à 09h 15







ff9098 a écrit :



Navigateur par défaut, toujours cet argument moisi, le michu continuera de cliquer sur l’icone IE hein (et d’accepter de remettre IE par défaut lors qu’il le demandera)





Effectivement, c’est le cas pour tout ceux qui ne s’y connaissent pas trop et pour qui j’ai installé Chrome. Ils démarrent toujours l’ancien navigateur qu’ils utilisaient…




zaknaster
Le 26/12/2012 à 09h 43







ff9098 a écrit :



Pour inciter à développer pour le browser, vu que ça peut pas être payant.

Navigateur par défaut, toujours cet argument moisi, le michu continuera de cliquer sur l’icone IE hein (et d’accepter de remettre IE par défaut lors qu’il le demandera)





+1, ça me fait toujours rire cette excuse pour justifier la réussite de Chrome, ça doit jouer forcément quelque part mais depuis la fin 2008 Chrome augmente tranquillement ses PDM dans un marché “impossible” à prendre (du moins c’est ce qu’on pensait), ils ont quand même conçu un super navigateur qui a bien relancé le marché, il y a du mérite.



Anonyme
Le 26/12/2012 à 12h 23







zaknaster a écrit :



+1, ça me fait toujours rire cette excuse pour justifier la réussite de Chrome, ça doit jouer forcément quelque part mais depuis la fin 2008 Chrome augmente tranquillement ses PDM dans un marché “impossible” à prendre (du moins c’est ce qu’on pensait), ils ont quand même conçu un super navigateur qui a bien relancé le marché, il y a du mérite.







Oui, j’étais pas fan au début mais maintenant <img data-src=" />



zaknaster
Le 26/12/2012 à 12h 25







ff9098 a écrit :



Oui, j’étais pas fan au début mais maintenant <img data-src=" />





Pareil, j’ai du attendre dans les alentours de la version 10 pour switcher <img data-src=" />



bzc Abonné
Le 15/01/2013 à 10h 05







MickeyFreeStyler a écrit :



J’attend çà avec impatience, un Chrome qui ne s’installe pas dans le profil utilisateur.







http://support.google.com/chrome/bin/answer.py?hl=fr&answer=126299



Deuxième lien de la liste.



neves
Le 15/01/2013 à 10h 07

Comment ça marche cette nouvelle fonctionnalité ? Qu’est ce qui empêche le malware qui a ajouté l’extension dans la base de registre d’aller dire à Chrome “c’est bon cette extension je l’ai validé à la main” ?


ErGo_404
Le 15/01/2013 à 10h 27







NeVeS a écrit :



Comment ça marche cette nouvelle fonctionnalité ? Qu’est ce qui empêche le malware qui a ajouté l’extension dans la base de registre d’aller dire à Chrome “c’est bon cette extension je l’ai validé à la main” ?





Bah ton malware va devoir taper dans les préférences de Chrome. Autrement dit soit il sera bloqué par les systèmes car il n’aura pas les droits, soit ça sera au moins facilement détectable. Sans compter que si tes prefs sont synchronisées, il y a moyen de protéger encore plus.



atem18
Le 15/01/2013 à 10h 31







Dyblast a écrit :



Déjà qu’on ne peux plus installer un plugin depuis un site web sans passer par le store …







C’est possible. Tu n’as juste pas cherché… <img data-src=" />



neves
Le 15/01/2013 à 10h 32







ErGo_404 a écrit :



Bah ton malware va devoir taper dans les préférences de Chrome. Autrement dit soit il sera bloqué par les systèmes car il n’aura pas les droits, soit ça sera au moins facilement détectable. Sans compter que si tes prefs sont synchronisées, il y a moyen de protéger encore plus.







Justement, je ne comprend pas la protection, si c’est juste ça. Si le malware peut écrire dans la base de registre, il peut aussi écrire dans le profile de l’utilisateur. Donc dans les préférences de Chrome. Les droits il les a, puisqu’il tourne avec les droits de l’utilisateur (sinon il ne pourrait même pas ajouter sa clé de registre et le problème ne se poserait pas).



C’est vraiment uniquement ça ?



fitfat
Le 15/01/2013 à 11h 04







NeVeS a écrit :



Justement, je ne comprend pas la protection, si c’est juste ça. Si le malware peut écrire dans la base de registre, il peut aussi écrire dans le profile de l’utilisateur. Donc dans les préférences de Chrome. Les droits il les a, puisqu’il tourne avec les droits de l’utilisateur (sinon il ne pourrait même pas ajouter sa clé de registre et le problème ne se poserait pas).



C’est vraiment uniquement ça ?





C’est pas pasqu’il a le droit d’écrire dans la BDR qu’il peut écrire n’importe où dans le profil utilisateur. Et depuis Vista, à moins de désactiver l’UAC, le programme ne tourne pas avec les mêmes droits que l’utilisateur.



neves
Le 15/01/2013 à 11h 46







fitfat a écrit :



C’est pas pasqu’il a le droit d’écrire dans la BDR qu’il peut écrire n’importe où dans le profil utilisateur. Et depuis Vista, à moins de désactiver l’UAC, le programme ne tourne pas avec les mêmes droits que l’utilisateur.







Si Chrome a le droit d’écrire dans le profile pour y écrire ses préferences, l’utilisateur a le droit d’écrire dans le profile. Si l’utilisateur lance le malware, le malware a le droit d’écrire dans le profile. Je ne vois pas ce qu’il y a de compliqué à comprendre ici.

L’UAC n’entre pas en jeu ici, l’UAC n’intervient que pour les taches administratives, pas pour écrire dans le profile de l’utilisateur (et heureusement sinon il s’activerait toutes les secondes.). Ici on parle d’actions qui se déroulent intégralement sans droit administratif (écrire dans le profile de l’utilisateur, écrire dans la base de registre de l’utilisateur).



Shilz
Le 15/01/2013 à 11h 56







Blood_Man a écrit :



La baylon toolbar ? le truc que tout le monde a, mais personne ne veut ?





comment vous faites ?? faut vraiment etre noob <img data-src=" />



fitfat
Le 15/01/2013 à 12h 00







NeVeS a écrit :



Si Chrome a le droit d’écrire dans le profile pour y écrire ses préferences, l’utilisateur a le droit d’écrire dans le profile. Si l’utilisateur lance le malware, le malware a le droit d’écrire dans le profile. Je ne vois pas ce qu’il y a de compliqué à comprendre ici.





C’est toi qui ne comprend pas qu’un programme ne peut pas sortir de son espace définie. Chrome à le droit d’écrire dans son propre espace à l’intérieur de l’espace utilisateur. Mais il ne peut pas écrire dans l’espace de Firefox qui se situe dans le même espace utilisateur.





L’UAC n’entre pas en jeu ici, l’UAC n’intervient que pour les taches administratives, pas pour écrire dans le profile de l’utilisateur (et heureusement sinon il s’activerait toutes les secondes.).



Ce n’est pas pasque tu ne voit pas l’UAC que l’UAC n’agit pas. Ce que tu appelle l’activation de l’UAC, c’est simplement une requête du programme pour élever ses droits. Si un programme sort de son espace sans faire de requête d’élévation, l’UAC le bloque sans embêter l’utilisateur.





Ici on parle d’actions qui se déroulent intégralement sans droit administratif (écrire dans le profile de l’utilisateur, écrire dans la base de registre de l’utilisateur).



Et il faut les droit de l’utilisateur pour accéder librement à l’intégralité du profile utilisateur. Hors les programmes n’ont pas les droits utilisateurs, donc ils ne peuvent pas accéder à l’intégralité du profile utilisateur.



neves
Le 15/01/2013 à 12h 09







fitfat a écrit :



C’est toi qui ne comprend pas qu’un programme ne peut pas sortir de son espace définie. Chrome à le droit d’écrire dans son propre espace à l’intérieur de l’espace utilisateur. Mais il ne peut pas écrire dans l’espace de Firefox qui se situe dans le même espace utilisateur.







Mais on ne parle pas de Chrome ni d’espace utilisateur ! On parle d’un malware qui installerait une extension Chrome malicieuse. Ce à quoi Chrome répond qu’on ne peut plus silencieusement installer une extension maintenant, il vaut une validation manuelle. Rien à voir avec ce que tu expliques.



fitfat
Le 15/01/2013 à 12h 39







NeVeS a écrit :



Mais on ne parle pas de Chrome ni d’espace utilisateur ! On parle d’un malware qui installerait une extension Chrome malicieuse. Ce à quoi Chrome répond qu’on ne peut plus silencieusement installer une extension maintenant, il vaut une validation manuelle. Rien à voir avec ce que tu expliques





Ok, je reprend :







fitfat a écrit :



C’est toi qui ne comprend pas qu’un programme ne peut pas sortir de son espace définie. Chrome Le malware à le droit d’écrire dans son propre espace à l’intérieur de l’espace utilisateur. Mais il ne peut pas écrire dans l’espace de Firefox Chrome qui se situe dans le même espace utilisateur.




neves
Le 15/01/2013 à 12h 55







fitfat a écrit :



Ok, je reprend :







Je crois que je vais lâcher l’affaire, mais bon je tente une dernière fois :



Prenons un utilisateur. Il n’est pas administrateur sur sa machine. Il exécute le malware avec ses droits d’utilisateur simple, comme il le ferait pour lancer la calculatrice de Windows. Le malware peut donc écrire dans le base de registre de l’utilisateur. Comme n’importe quel programme qu’il utiliserait pour stocker ses préférences, par exemple.

Maintenant, le malware décide d’aller modifier les préférences de Chrome dans ses fichiers de configuration. Ces préférences sont stockés dans le profile utilisateur, pour que Chrome puisse y accéder avec les droits de l’utilisateur qui l’exécute.



Chrome ou malware, les deux programmes sont lancés par le même utilisateur, et toutes les actions du malware se cantonnent à modifier des informations de l’utilisateur, ce qui ne nécessite aucun droit administratif.



Rien n’empêche le programme B d’aller modifier les fichiers du programme A puisque ces fichiers appartiennent sur le système de fichiers au même utilisateur. On ne peut pas dire “ces fichiers sont à l’utilisateur X mais ils ne peuvent être accessibles que par l’application A”.



fitfat
Le 15/01/2013 à 13h 16







NeVeS a écrit :



Prenons un utilisateur. Il n’est pas administrateur sur sa machine. Il exécute le malware avec ses droits d’utilisateur simple, comme il le ferait pour lancer la calculatrice de Windows.





Justement, la calculatrice ne s’exécute pas avec les droits de l’utilisateur. De même que le malware ne s’exécute pas avec les droits utilisateurs.





Le malware peut donc écrire dans le base de registre de l’utilisateur. Comme n’importe quel programme qu’il utiliserait pour stocker ses préférences, par exemple.



Oui, mais seulement dans les zones dont il est propriétaire.





Maintenant, le malware décide d’aller modifier les préférences de Chrome dans ses fichiers de configuration. Ces préférences sont stockés dans le profile utilisateur, pour que Chrome puisse y accéder avec les droits de l’utilisateur qui l’exécute.



Mais également dans une zone dont Chrome est propriétaire. Le malware ne peux donc pas y accéder (à moins que Chrome ou un compte accrédité le lui ait donné). Accessoirement, Chrome n’a toujours pas les droits de l’utilisateur.





Chrome ou malware, les deux programmes sont lancés par le même utilisateur, et toutes les actions du malware se cantonnent à modifier des informations de l’utilisateur, ce qui ne nécessite aucun droit administratif.



Sauf qu’il n’a pas le droit. Tous comme Chrome n’a pas le droit de modifier les données d’un logiciel tiers (à moins qu’il y ait été autorisé par le-dit logiciel ou l’utilisateur/administrateur).

Et, effectivement, les droits administratif n’ont rien à voir là-dedans.





Rien n’empêche le programme B d’aller modifier les fichiers du programme A puisque ces fichiers appartiennent sur le système de fichiers au même utilisateur. On ne peut pas dire “ces fichiers sont à l’utilisateur X mais ils ne peuvent être accessibles que par l’application A”.



C’est justement le rôle de l’UAC de contrôler ce qu’il se passe à l’intérieur du compte utilisateur.



neves
Le 15/01/2013 à 13h 38

Hein ? Mais c’est complètement faux ce que tu racontes ? Ça n’existe pas cette notion de compartimentage d’application sous Windows.









fitfat a écrit :



Justement, la calculatrice ne s’exécute pas avec les droits de l’utilisateur. De même que le malware ne s’exécute pas avec les droits utilisateurs.







La calculatrice s’exécuterait avec quels droits alors ? Les droits sont peut être limités par l’UAC mais ça ne change pas qu’il s’agit toujours du même utilisateur. Les fichiers sur le système de fichiers lui appartiennent toujours. Sinon notepad demanderait à l’utilisateur de s’identifier à chaque fichier qu’il essaye de lire, par exemple.







fitfat a écrit :



Sauf qu’il n’a pas le droit. Tous comme Chrome n’a pas le droit de modifier les données d’un logiciel tiers (à moins qu’il y ait été autorisé par le-dit logiciel ou l’utilisateur/administrateur).







Mais bien sûr que si. Un logiciel lancé par un utilisateur à tous les droits pour modifier n’importe quel fichier appartenant à cet utilisateur (modulo les fichiers lockés par les applications lancées, admettons).

Ouvre notepad avec un fichier dans le dossier Google de %LOCALAPPDATA% tu le verras tout de suite.



Dyblast
Le 15/01/2013 à 13h 42







atem18 a écrit :



C’est possible. Tu n’as juste pas cherché… <img data-src=" />







Va expliquer à l’utilisateur de ton site que pour que ton service fonctionne bien il doit aller glisser dans sa page “extension” le fichier qu’il va télécharger …



bzc Abonné
Le 15/01/2013 à 13h 52

Que de contre vérités…









fitfat a écrit :



Justement, la calculatrice ne s’exécute pas avec les droits de l’utilisateur. De même que le malware ne s’exécute pas avec les droits utilisateurs.





Bien sûr que si, ils s’exécutent évidemment avec les droits de l’utilisateur. C’est logique et pas très compliqué à vérifier : gestionnaire des taches, colonne username. Les applications n’ont évidemment pas leurs propres comptes.





Oui, mais seulement dans les zones dont il est propriétaire.



Mais également dans une zone dont Chrome est propriétaire. Le malware ne peux donc pas y accéder (à moins que Chrome ou un compte accrédité le lui ait donné). Accessoirement, Chrome n’a toujours pas les droits de l’utilisateur.



Sauf qu’il n’a pas le droit. Tous comme Chrome n’a pas le droit de modifier les données d’un logiciel tiers (à moins qu’il y ait été autorisé par le-dit logiciel ou l’utilisateur/administrateur).

Et, effectivement, les droits administratif n’ont rien à voir là-dedans.



C’est drôle mais beaucoup de choses fausses.

Déjà Chrome est une application et n’a pas de compte, il n’est propriétaire d’aucun fichier ou dossier.

De plus la propriété des dossiers n’a rien à voir là dedans. Il faut juste avoir les droits d’écritures dans le dossier, pas besoin d’en être propriétaire. Il se trouve que l’utilisateur est propriétaire de son profil mais peu importe.

Un petit test, tu fais un nouveau fichier test.cmd (qui représente le malware) avec dedans :

echo test &gt; %userprofile%/AppData/Local/Google/Chrome/test.txt

Tu double clic le cmd, le fichier test.txt sera effectivement créé dans le dossier des paramètres de Chrome sans demande d’élévation via l’UAC.





C’est justement le rôle de l’UAC de contrôler ce qu’il se passe à l’intérieur du compte utilisateur.



Non, le rôle de l’UAC c’est de bloquer les élévations de privilèges non autorisés.



atem18
Le 15/01/2013 à 14h 26







Dyblast a écrit :



Va expliquer à l’utilisateur de ton site que pour que ton service fonctionne bien il doit aller glisser dans sa page “extension” le fichier qu’il va télécharger …







Sauf qu’il va te répondre que ce n’est pas son problème. C’est à toi, créateur du service, de lui mâcher le travail.



Blood_Man
Le 15/01/2013 à 15h 15







Shilz a écrit :



comment vous faites ?? faut vraiment etre noob <img data-src=" />





Sachant que 90% des utilisateurs sont des noobs, alors oui on est tous les 2 d’accord.



Anonyme
Le 15/01/2013 à 16h 15







Dyblast a écrit :



Va expliquer à l’utilisateur de ton site que pour que ton service fonctionne bien il doit aller glisser dans sa page “extension” le fichier qu’il va télécharger …







C’est pas la mort.



Dyblast
Le 15/01/2013 à 18h 01







atem18 a écrit :



Sauf qu’il va te répondre que ce n’est pas son problème. C’est à toi, créateur du service, de lui mâcher le travail.





Et concrètement je lui mâche comment le travail si je ne veux pas passer par le store?



atem18
Le 15/01/2013 à 22h 43







Dyblast a écrit :



Et concrètement je lui mâche comment le travail si je ne veux pas passer par le store?







Ben… Tu cibles un autre navigateur. C’est pas pour rien que tous le monde crache sur le store de Windows 8, hein…