COMPTOIR
register

Composé par ————— —— 23670 vues

Steam utilise un vieux Chromium plein de trous comme navigateur

Comme on a pu le découvrir en fin d'année, Steam n'est pas la plateforme la plus sécurisée. Menacée de hack avant Noël, le 25 décembre aura été une rude journée et même si Valve niait toute intrusion, elle a dû communiquer à ce sujet et avouer en avoir pris une belle.

 

Vous pensiez que ça leur avait servi de leçon et que Lord GabeN allait mettre les bouchées doubles pour améliorer les choses ? Que nenni non point, et c'est un utilisateur qui le prouve, tout d'abord en signalant que Steam utilise une version dépassée du navigateur Chromium, la 47 alors que la plus récente est la 50, et qu'en plus ce dernier désactive le mode bac à sable du navigateur (Sandbox) qui permet de dissocier les processus actifs pour plus de sécurité.

 

Alors que la plus grosse plateforme de vente et téléchargement de jeux vidéo dématérialisés est une cible de choix pour les hackers, on s'étonne de voir que leur politique de sécurité est toujours au ras des pâquerettes, jusqu'à se demander s'ils s'en préoccupent réellement. Après tout, Steam a tellement de fans et d'utilisateurs (merci les soldes toute l'année et le -80%) qui lui excusent ses travers qu'ils n'ont peut-être pas à s'en soucier. Mais après tout, quand la quantité prime sur la qualité, on n'a plus vraiment à s'étonner ! (source : ghacks)

 

steam

Un poil avant ?

Un répéteur Wi-Fi pas comme les autres chez Asus

Un peu plus tard ...

Le M6S Plus vient prendre la suite du M6S chez Plextor

Valve n'est pas vraiment à la page au sujet de la sécurité de sa plateforme Steam et on le sait. On en a encore une preuve aujourd'hui avec l'utilisation de Chromium 47 comme navigateur alors que la version stable la plus récente est la 50. De plus, les sandbox sont désactivées de base par Steam, ce qui offre un excellent terrain de jeu pour qui aime exploiter les failles d'un navigateur.

temps de concentration afin de cerner l'ensemble des subtilités de ce billet 1 minute

Sur le comptoir, au ~même sujet

 
 
 
 
 
 
 
 
 
 
 
 



Suivez-nous sur G.Actualités
Les 53 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Guillaume H., le Vendredi 12 Février 2016 à 09h04  
par Tnerolf le Vendredi 12 Février 2016 à 07h45
je suis d'accord
A part steam il y a quoi d'autre... Origin et... c'est tout non??
Good Old Games qui essaie de se faire un nom (merci CDPR et The Witcher), Origin (avec DRM), Uplay (avec DRM), Green Man Gaming (qui a une offre sans DRM), Desura (même s'il n'est pas très fourni), Indie Game Stand (si on aime les jeux indés), Humble Bundle (pour leur offre sans DRM hors Steam).
Il y a du choix en fait !
par Tnerolf, le Vendredi 12 Février 2016 à 07h45  
par Guillaume H. le Jeudi 11 Février 2016 à 13h51
S'il y a bien une chose qui n'a pas changé dans le monde du jeu vidéo, c'est que plus ils vendent, plus ils sont contents (et c'est partout pareil). Dommage que Steam soit plus portée sur la quantité de vente que sur la qualité des services. Il n'y a qu'à voir leurs dernières innovation Steam Controler et Link qui sont partis de propositions novatrices pour au final réinventer la roue en plus cher. Il y a de bonnes choses chez Valve, Steam a beaucoup fait pour le joueur, mais la situation de monopole ne lui réussit pas.
je suis d'accord
A part steam il y a quoi d'autre... Origin et... c'est tout non??
par Gry20r, le Jeudi 11 Février 2016 à 17h09  
par Baba the Dw@rf le Mercredi 10 Février 2016 à 15h04
Ca donnera peut être bien un coup de pousse aux performances mais je ne pense pas que cela améliore la sécurité. Du moins pas dans un budget raisonnable.
... Autre exemple, la plupart des outils Google qu'on utilise maintenant ont été bâtit sur la même politique à l'origine (les employés avait droit de passer 20% de leur temps à faire ce qu'ils voulaient et c'est l'origine des trucs comme mails, calendar, group etc et sans doute beaucoup de projet abandonné par la même occasion).
Oui c'est sur qu'une vraie app ce serait mieux, mais le C++ c'est pour windows ! Pour OSX alors tu auras une autre version en Objective-C, sur Linux encore une autre.
Tu te retrouvera avec des navigateurs plus ou moins lents suivant les OS, avec des failles/bugs présents sur certains mais pas sur d'autres, entre tout ca tu as les API de chaque OS, tu vas pas coder "le navigateur interne" de la meme maniere avec win 7 ou win 10, en 32 ou 64bits. Donc autant rester sur du HTML. Aux OS de se conformer a cette "norme".
par Guillaume H., le Jeudi 11 Février 2016 à 13h51  
par Tnerolf le Jeudi 11 Février 2016 à 12h44
J'ai en horreur la dernière phrase. Encore un chuinneur qui soutiens que le jeux vidéo c'était tellement mieux avant. Que les jeunes peuvent pas comprendre. le rengaine de l'aigreur recuite en gros...
Après c'est sur que steam est pas parfait mais de là à y aller de la sorte.... mouaismouaismouais
S'il y a bien une chose qui n'a pas changé dans le monde du jeu vidéo, c'est que plus ils vendent, plus ils sont contents (et c'est partout pareil). Dommage que Steam soit plus portée sur la quantité de vente que sur la qualité des services. Il n'y a qu'à voir leurs dernières innovation Steam Controler et Link qui sont partis de propositions novatrices pour au final réinventer la roue en plus cher. Il y a de bonnes choses chez Valve, Steam a beaucoup fait pour le joueur, mais la situation de monopole ne lui réussit pas.
par Tnerolf, le Jeudi 11 Février 2016 à 12h44  
par Guillaume H. le Mercredi 10 Février 2016 à 08h50
J'avoue avoir la plume acerbe par moments, mais il n'y a quand même pas de quoi pousser les hauts cris !
J'ai en horreur la dernière phrase. Encore un chuinneur qui soutiens que le jeux vidéo c'était tellement mieux avant. Que les jeunes peuvent pas comprendre. le rengaine de l'aigreur recuite en gros...
Après c'est sur que steam est pas parfait mais de là à y aller de la sorte.... mouaismouaismouais
par kriss, le Jeudi 11 Février 2016 à 00h16  
Os bêta + grosse réduc sur certain, on dirait un genre ancien comme le "tout doit disparaitre" ou "liquidation totale" maintenant Steam c'est pas qu'un navigateur!
C'est la fin Steam signal la fatigue et a faim de cash $€
par Un ragoteur qui draille du Languedoc-Roussillon, le Mercredi 10 Février 2016 à 16h35  
En même temps quand tu as utilisé une fois le navigateur internet de Steam tu regrettes presque IE :/
par Cristallix, le Mercredi 10 Février 2016 à 15h40  
par Baba the Dw@rf le Mercredi 10 Février 2016 à 15h04
Ca donnera peut être bien un coup de pousse aux performances mais je ne pense pas que cela améliore la sécurité. Du moins pas dans un budget raisonnable.
Et je vois déjà venir le "ils ont l'argent pour ça". C'est un fait mais il y a tellement de truc auxquels ont peut l'appliquer que s'ils l'appliquaient partout ça ne serait plus viable pour eux.
De plus leur argent il sert à quoi ? A donner une liberté assez nawak à leurs employé en matières de R&D ou de dev. Ca donne énormément de projets abandonnés certes mais ça donne de temps en temps des bons trucs que ce soit en jeu ou en matériel. Autre exemple, la plupart des outils Google qu'on utilise maintenant ont été bâtit sur la même politique à l'origine (les employés avait droit de passer 20% de leur temps à faire ce qu'ils voulaient et c'est l'origine des trucs comme mails, calendar, group etc et sans doute beaucoup de projet abandonné par la même occasion).
La sécurité sera 100% à eu, mais au moins les vulnérabilités ne seront pas connus comme elles le sont actuellement en utilisant Chromium.
L'argument ils ont l'argent pour ça, oui ils l'ont. Après c'est aussi une question de ressource et ouais ils ont d'autres chats à fouetter. N'empêche que c'est leur business ça. Les projets à côté s'pour plus tard
par Baba the Dw@rf, le Mercredi 10 Février 2016 à 15h04  
par Cristallix le Mercredi 10 Février 2016 à 14h17
Leur client doit être développé en C++. Qu'ils fassent tout dans l'appli avec ça plutôt que d'encapsuler un navigateur.
Ca donnera peut être bien un coup de pousse aux performances mais je ne pense pas que cela améliore la sécurité. Du moins pas dans un budget raisonnable.
Et je vois déjà venir le "ils ont l'argent pour ça". C'est un fait mais il y a tellement de truc auxquels ont peut l'appliquer que s'ils l'appliquaient partout ça ne serait plus viable pour eux.
De plus leur argent il sert à quoi ? A donner une liberté assez nawak à leurs employé en matières de R&D ou de dev. Ca donne énormément de projets abandonnés certes mais ça donne de temps en temps des bons trucs que ce soit en jeu ou en matériel. Autre exemple, la plupart des outils Google qu'on utilise maintenant ont été bâtit sur la même politique à l'origine (les employés avait droit de passer 20% de leur temps à faire ce qu'ils voulaient et c'est l'origine des trucs comme mails, calendar, group etc et sans doute beaucoup de projet abandonné par la même occasion).
par Cristallix, le Mercredi 10 Février 2016 à 14h17  
par Nilav le Mercredi 10 Février 2016 à 14h15
Tu entends quoi par natif ?
Leur client doit être développé en C++. Qu'ils fassent tout dans l'appli avec ça plutôt que d'encapsuler un navigateur.
par Nilav, le Mercredi 10 Février 2016 à 14h15  
par Cristallix le Mercredi 10 Février 2016 à 14h06
J'ai jamais dis dit qu'ils devaient développer un navigateur ! Au contraire je veux qu'ils s'en séparent ! Et qu'ils fassent du natif sur leur client !
Tu entends quoi par natif ?
par Cristallix, le Mercredi 10 Février 2016 à 14h06  
par Nilav le Mercredi 10 Février 2016 à 13h59
Développer un navigateur ne se fait pas comme ça non plus, la preuve, tu trouves le leur très sale. Je ne sais pas exactement la charge de travail qu'impliquerai de l'encapsulage, mais je me dis que l'on doit pas être très éloigné de la charge de travail pour monter son propre navigateur. Il y aurait aussi peut-être plus de tests en amont (notamment pour le fonctionnement Mac / Linux / Windows) mais moins de gestion en aval (comme cette faille).

Mais bon, j'évoquais juste une possibilité et je comprends le doute de Baba the Dw@rf niveau conso, ceci dit, on pourrait très bien choisir entre les deux via une option.
J'ai jamais dis dit qu'ils devaient développer un navigateur ! Au contraire je veux qu'ils s'en séparent ! Et qu'ils fassent du natif sur leur client !