Après le bilan santé du navigateur Firefox publié dans nos colonnes la semaine dernière, il était nécessaire de revenir sur le sujet pour à la fois corriger certaines erreurs commises de notre part, et ajouter quelques arguments importants. L'erreur -nos lecteurs nous pardonneront cette bourde monumentale- est d'avoir accusé Firefox d'être incompatible avec les Active Server Pages ... il s'agissait plutôt de délicatesse avec les composants ActiveX, l'abus de décalage horaire ayant provoqué cette énorme faute d'attention. A l'attention de ceux pour qui cette explication paraîtrait trop grossière ou abracadabrante, nous avouons en fait avoir été attaqué par une horde d'inspecteurs du fisc moldo-valaques, ce qui a provoqué quelques perturbations dans nos services.

Un lecteur passionné nous fait remarquer que la recherche de bugs sous Firefox était grandement facilitée par ... Internet Explorer. Réflexion qui, doit-on le rappeler, avait été également émise par Paul de Greyhat au fil d'une interview signalée dans le précédent article. « Il suffit,dit en substance notre lecteur-chasseur-cueilleur de bugs, de plus ou moins adapter les PoC déjà publiés pour Internet Explorer et constater s'ils ont un effet ou non sous Mozilla ». Le « coup du 0A0D », les « drag and drop » destruc-tueurs, des « overflow de la ligne d'adresse », tout çà fait partie de la routine de contrôle d'un bon chercheur es sécurité. Or, depuis la naissance d'I.E., il s'en est découvert un certain nombre, de problèmes. Et il s'en est enrichi une des plus belles bibliothèques du genre. Aux découvreurs d'extirper la meilleure méthode : bonne pioche, c'est la gloire d'un instant, mauvaise pioche, on repart rassuré et l'on passe à la vulnérabilité potentielle suivante.

Cette méthode est peut-être empirique mais toujours efficace, que ce soit pour tester du « soft » ou pour évaluer du « hard ». Les habitués des compatibles PC Première époque se souviennent des invariables méthodes d'évaluation d'alors : un coup de Flight Simulator 1.0, un chargement de Word 1.1, un calcul sous Lotus 1.2.3., un dump mémoire en C800 :6, et l'on déclarait une machine « conforme » ou « buggy » selon les normes du moment. Il en va encore de même dans le monde logiciel, avec, cependant, un peu plus de rigorisme et de sérieux.

«Firefox still feels the love, despite flaws» titre Security News, comme pour atténuer les propos tenus la semaine passée. Et de citer un témoin qui, à l'instar du Cardinal Fang des Monthy, affirme sa dévotion quasi fanatique envers Sa Sainteté Mozilla. Et l'on oppose, peut-être un peu trop aisément, Firefox le « rapidement corrigé », à Internet Explorer qui repose sur un monumental tas de bug reports non encore élucidés. Qu'est-ce qui est le meilleur (pour l'usager) : un correctif à la mode quick and dirty , ou une rustine « lente et délibérée » ?

A cette question, Chris Hofmann, Director of engineering de la Fondation Mozilla, insiste sur l'omniprésent credo de la sécurité qui préside à tout développement de code au sein de l'équipe... histoire d'éviter, à l'instar des développeurs Microsoft, de remettre à plat quelque chose qui avait été mal conçu à l'origine. Un code ouvert, une communauté d'usagers et de concepteurs vigilants, une absence totale d'interpénétration avec les couches basses du système d'exploitation, telle est la recette du succès.

On n'est peut-être pas les plus rapides, mais nos correctifs sont testés et ne risquent pas de générer des incompatibilités ultérieures, affirme le « progman » du Microsoft Security Response Center. Et d'asséner un coup de pied de l'âne avec cette remarque « nos clients veulent des mises à jour, et pas à chaque fois une nouvelle version du produit », faisant allusion à l'absence de notion de « rustine » chez Mozilla qui contraint les usagers à récupérer un programme entier à chaque modification.

Certes, mais une rustine mal ficelée et immédiate est parfois préférable à un bon correctif qui arrive en retard... des propos que les usagers estiment mieux perçus par Mozilla que par Microsoft, l'un préférant discuter ouvertement des problèmes posés avec les gens se sentant concernés, l'autre préférant travailler en autarcie. Et d'estimer que télécharger une « version pleine et entière » n'est pas un problème.

Pour tous ceux qui possèdent un lien haut débit, cela va sans dire... c'est sans compter le risque d'accroissement d'un parc de Firefox « laissé en l'état » par l'immense communauté non pas du « logiciel libre », mais par celle tout aussi importante des « utilisateurs de modems et autres victimes de la fracture numérique ». Une armée des ombres des non mis à jour qui constitue mois après mois un vivier grandissant d'infections potentielles. La sécurité des uns passe parfois aussi par la sécurisation des autres, n'en déplaise à cette vision consumériste du « tout le monde n'a qu'à se payer ADSL ». Ca se prononce comment, ADSL, en bambara, en savoyard ou en chilien des hauts plateaux ? Avouons tout de même que la remarque d'un des interviewés est humainement compréhensible : en téléchargeant une « nouvelle version » à chaque fois, on garde la senteur et le toucher du « neuf lavé avec assouplissant », tandis que le patchwork d'un Internet Explorer qui contient plus de trous bouchés que de code originel éveille quelques doutes quant à sa solidité. C'est qu'ils connaissent pas Dubout, de l'autre coté de l'Atlantique ! Indépendamment de toute considération technique objective, cette réaction épidermique pèse son poids de réflexion pour tout bon Dir Com qui se respecte.

Et Toulouse de conclure que l'important, ce n'était pas ce comparatif mesquin sur la solidité respective des navigateurs, mais le sérieux avec lequel les différentes équipes de développement traitaient le problème. Match nul et pensées profondes, la suite au prochain gros bug.

. Web-profils.com, la place de marché du conseil et de l'ingénierie