Il y a deux ans, Nitesh Dhanjani dévoilait une faille de sécurité dans Safari qui avait poussé momentanément Microsoft à déconseiller l'utilisation du logiciel d'Apple sous Windows. La firme de Cupertino estimait que le dysfonctionnement mis en exergue par le chercheur en sécurité n'était pas véritablement une faille, mais la pression de Microsoft l'avait obligé à revoir sa copie (lire : Microsoft déconseille l’utilisation de Safari sous Windows). Mais sous Mac OS X, Apple n'a rien changé.
L'objet du désaccord entre Apple et Nitesh Dhanjani ? Le fait que Safari ne demande aucune autorisation avant de commencer le téléchargement d'un fichier. Le chercheur expliquait qu'un utilisateur malintentionné peut par ce biais provoquer très facilement un «Carpet Bomb», c'est-à-dire remplir le bureau de fichiers non désirés, qui pourraient s’exécuter à l’insu de l’internaute.
Techniquement, ce comportement est certainement facile à modifier, mais Apple a également le souci de la simplicité de l'utilisation, et n'aime guère les solutions trop envahissantes. Un spot de la série Get a Mac se moquait du système de sécurité intégré à Windows Vista.
En attendant, cette "faille" à défaut d'entre dangereuse comme le montre dans cette vidéo Nitesh Dhanjani peut facilement mettre le souk. Mais couplée à une autre faille, elle pourrait qui sait être beaucoup plus néfaste. Alors que faire ?
De son côté, l'expert Charlie Miller estime que le bogue en question n'est pas dangereux, car il n'existe pas de faille permettant d'exécuter automatiquement les fichiers téléchargés. La solution proposée par Apple n'est certainement pas parfaite, mais c'est la moins pire selon lui. Il déteste devoir donner son aval à chaque téléchargement.
L'objet du désaccord entre Apple et Nitesh Dhanjani ? Le fait que Safari ne demande aucune autorisation avant de commencer le téléchargement d'un fichier. Le chercheur expliquait qu'un utilisateur malintentionné peut par ce biais provoquer très facilement un «Carpet Bomb», c'est-à-dire remplir le bureau de fichiers non désirés, qui pourraient s’exécuter à l’insu de l’internaute.
Sous Windows, Safari vous demande l'autorisation avant de télécharger un fichier
Techniquement, ce comportement est certainement facile à modifier, mais Apple a également le souci de la simplicité de l'utilisation, et n'aime guère les solutions trop envahissantes. Un spot de la série Get a Mac se moquait du système de sécurité intégré à Windows Vista.
En attendant, cette "faille" à défaut d'entre dangereuse comme le montre dans cette vidéo Nitesh Dhanjani peut facilement mettre le souk. Mais couplée à une autre faille, elle pourrait qui sait être beaucoup plus néfaste. Alors que faire ?
De son côté, l'expert Charlie Miller estime que le bogue en question n'est pas dangereux, car il n'existe pas de faille permettant d'exécuter automatiquement les fichiers téléchargés. La solution proposée par Apple n'est certainement pas parfaite, mais c'est la moins pire selon lui. Il déteste devoir donner son aval à chaque téléchargement.
