Rappelons rapidement les faits. Il y a deux semaines environ, le cabinet d’étude Rapid7 expliquait que l’ancienne WebView présente au sein des versions d’Android 4.3 et des versions précédentes était truffée de failles critiques. La WebView est un composant d’Android qui permet aux développeurs d’application d’afficher des pages web sans avoir à développer eux-mêmes un programme pour les afficher. Rapid7 avait alors contacté Google pour le prévenir de ces failles mais s’était vu répondre qu’il n’était pas question pour les développeurs d’Android de la mettre à jour. La nouvelle avait alors provoqué un petit scandale.
Google a enfin pris le temps de répondre à cette affaire de WebView. Plus exactement, c’est le développeur Adrian Ludwig, l’un des responsables de la sécurité d’Android, qui a expliqué pourquoi Google ne comptait pas mettre à jour l’ancienne version de la WebView sur son compte Google+. Adrian Ludwig explique tout d’abord qu’il existe un moyen très simple de corriger cette faille de WebView : passer son smartphone sous Android KitKat ou Lollipop. Après tout, la nouvelle WebView est basée sur Chromium depuis KitKat et rien (ou presque) n’empêche les constructeurs de faire une mise à jour de leurs appareils. Un argument qui n’est peut-être pas tout à fait de bonne foi mais qui se tient d’un point de vue purement pratique.
Concernant la mise à jour de l’ancienne WebView, Adrian Ludwig explique qu’il est actuellement très compliqué de la mettre à jour. L’ancienne version de WebView représente aujourd’hui plus de 5 millions de lignes de code, explique-t-il, et des centaines de développeurs ajoutent continuellement des milliers de nouveaux commits chaque mois. Effectuer des mises à jour de sécurité sur cette WebView est donc non seulement très compliqué et engendrerait plus de problèmes qu’elle n’en corrigerait. De plus, ajoute-t-il, comme de plus en plus d’appareils sont à mis à jour sous KitKat, le nombre d’utilisateurs concernés par les failles de sécurité de cette vieille WebView décroît de jour en jour.
Enfin, Adrian Ludwig propose quelques conseils quand il n’est pas possible de se passer de l’ancienne WebView. Il propose ainsi d’utiliser des navigateurs web sûrs à la place de WebView pour afficher une page web (Chrome ou Firefox par exemple) et propose aux développeurs de n’utiliser la WebView que sur des pages web de confiance, comme des pages chiffrées (en HTTPS). Dans le pire des cas, les développeurs peuvent eux-mêmes développer leur propre outil pour des appareils Android installés sous les version 4.3 ou précédentes afin d’afficher une page web sans craindre les failles. En d’autres termes, « débrouillez-vous »
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
PC est l’abréviation de Personal Computer. Un ordinateur de poche à écran tactile est un ordinateur personnel. Si l'on peu mettre "gratuitement" à jour des PC avec des processeurs x86, c'est parce qu'on sait comment ils marchent. Cela permet de de faire le développement quand le constructeur ne le fait pas plus, ou le continuer dans le cas des projets libres (comme le noyau Linux). Malheureusement, à ma connaissance (je me base notamment sur Replicant), aucun constructeur ne libère tous les pilotes de ces ordinateurs de poche tactiles ou les spécifications nécessaires à leurs créations sans reverse-engineering. De plus, ce n'est pas parce que la pratique de l’absence de mises à jour et de moyen(s) pour que d'autres continuent sont courants que c'est acceptable.
Sauf que l'on ne parle pas de PC... Et qu'a part un PC, il n'y a pas beaucoup de domaines ou l'on a des mises à jour gratuites pendant 4 ans ! A comparer avec un GPS, un système embarqué dans une voiture, ou une TV connectée.... Il n'y a vraiment que des cas bien particuliers ou l'on peut profiter d'une mise à jour gratuite aussi longtemps...
C'est peut être un dinosaure, mais il peut encore largement être mis à jour. Un PC familial a plus de 10 ans, ce qui ne l'empêche d'encore tourner correctement sur un OS récent et mis à jour.
Google a corrigé la faille dans des versions supérieures et a officiellement arrêté le support de Android 4.3 et moins. Comme tu fais le remarquer Google donne des leçons sur des failles connues signalés depuis 90 jours et sur des logiciels encore officiellement maintenus.
Les constructeurs qui vendent des ordinateurs sous Windows payent pour la licence de l'OS. Pour Android, il n'y a aucune obligation et la majorité des constructeurs ne contribuent pas à l'OS (amélioration du code déjà existants, écriture d'apps libres pouvant être intégrés, libération de pilotes, etc). C'est donc en partie la faute de Google, de nombreux constructeurs et de nombreux utilisateurs qui ne contribuent pas à un bien commun (par exemple en finançant des forks comme Replicant). Il ne faut pas confondre les hackers et les crackers (= ceux qui cassent). https://www.gnu.org/philosophy/rms-hack.html
Tu demandes la facture après explications avec le gentil donateur.
Google aurait néanmoins pu inciter à libérer les pilotes. Au moins, d'autres développeurs que ceux des constructeurs auraient pu continuer le travail. Mais Google a choisi de développer des interfaces standardisées pour contourner le copyleft fort du noyau Linux et de ne mettre aucune clause sur la libération des pilotes dans ces conditions pour les Google Play Services (pour une fois ça n'aurait pas été à leur bénéfice contrôle et de collecte de données).
Oui enfin ton "Galaxy Nexus" est quand même passé d'android 4.0 à 4.3 depuis 2011.... Aujourd'hui on est en 2015 !! D'accord c'est "dommage" mais il doit être tout aussi obsolète qu'ancien... n'oublies pas qu'on parle de High-tech... 4 ans c'est un dinosaure !
Bref, juste une chose à dire : https://developer.android.com/guide/webapps/migrating.html
Enfin après c'est pas la faute de google si les constructeurs ne mettent pas à jour leurs mobiles..
et quand c'est un cadeau je dis quoi ?
C'est marrant qu'ils disent ça alors que le galaxy nexus est toujours sous 4.3...
non même si ils la font elle ne sera jamais appliquée Samsung & cie ne mettront jamais à jour leurs anciens appareils, sinon ça ferait longtemps que c'est appareils seraient sous Kitkat
tu n'as qu'à mieux choisir ton téléphone à l'achat
en effet à aucun moment il ne le suggére ............. Frandroid c est chié dessus ou c est volontaire histoire de faire du volume
et prends une bonne corde au passage
Mouarf. Il aurait mieux fait de rien dire plutôt que venir expliquer qu'il y a trop de lignes de codes dans WebView pour qu'il soit corrigé. Qu'il parle franchement et dise simplement qu'ils en ont marre de leurs fabricants à la con qui ne font jamais les majs. Quand Samsung ou d'autres aura pris un gros bug sur un terminal vieux que de quelques mois, il se mettra peut-être à suivre. N'empêche, ça fait quand même pas très sérieux quand on venait de donner des leçons de patchs quelques jours auparavant à MS et Apple.
Dire désolé, la correction en 4.3 n'ai pas dans leur plan car trop couteux, en gros dire la vérité et pas accuser les autres !!
Si les gens restent sous une ancienne version de iOS, oui. Mais sur les terminaux Apple, il y a toujours cette possibilité d'upgrader (même sur des appareils de 3 ou 4 ans d'âge), possibilité qui est nettement moindre sur les terminaux Android.
Ce n'est pas exactement du pareil au même, puisque sur un iPhone de 2011 on peut migrer sur iOS 8, alors que nombre de terminaux Android de 2011 ou plus récents ont été "abandonnés" sur des versions antérieurs à KitKat.
Le seul mouton ici c'est toi, à gueuler parce-que monsieur se croit important et qu'il lui faut un fautif, mais qu'il est bien trop suceur pour taper sur sa marque fétiche alors il blâme Google. Avant de chialer parce-que tu as un téléphone de pauvre pas à jour, relis bien son message, sisi, tu verras à quel point tu passes pour une sale merde qui ne comprend rien : "votre constructeur refuse de faire des majs", tu piges pas mou du bulbe ? Ça sert à quoi de faire et diffuser une mise à jour aux constructeurs si ils ne la déploieront pas ? Donc merci d'être passé pour un con, maintenant tu peux retourner sniffer des rails de poudre de merde séché dans les couches culotte de ton morback.
frandroid fait dans le click polémique...
Ouinouin piske c'est comme ça je vais passer sur Windows Phone ! Et c'est bien fait pour Google. Sauf que: - Windows Phone et ses MaJ, c'est pas encore ça, même avec ses propres Lumia. - la faille est corrigée par Google dans les version > 4.3, donc elle bien disponible, les constructeur n'ont plus qu'a=à faire leur taff. - Faire des corrections sur du vieux code est encore plus risqué que de ne rien faire (mais bon, faut être dev pour comprendre).
Ah oui ça doit être ça ;-)
Il a un sens , le troll que tu es , ne l'a juste pas compris ....Pourtant c'est pas bien compliqué
Une mise à jour majeure d'un OS n'a jamais été en soi un correctif; il ne faut pas tout mélanger. C'est un peu comme si pour pallier à une faille de Windows Vista, on incitait les gens à installer Windows 8.1 sur leur ordi. MS supporte actuellement aussi Vista, Seven, 8 et 8.1, il faut le rappeler. Je suis bien conscient que la problématique ne concerne pas seulement Google, elle concerne aussi les constructeurs qui ont vision très élastique du support de leur produit. Mais globalement, pour les utilisateurs ça ne change rien. On peut tortiller du cul tant qu'on veut, ceux qui veulent un appareil suffisamment soutenus sur le terme, en matière de sécurité, ont tout intérêt à se détourner des terminaux Android (hors Nexus, certes, mais les Nexus ne constituent qu'une infime minorité des terminaux Android).
C'est pas le sujet. Ça parle de la mauvaise foi de Ludwig, pas de patch
Ton commentaire n'a pas de sens. On sait que c'est la faute des constructeurs, tu nous apprends rien, et ce n'est pas le sujet.
Et c'est lui qui offre
Non non le correctif est là et il s'appelle Kitkat qui nécessite moins de ressources que jelly bean. C'est bien la faute des constructeurs.
Si c'était le cas, alors on pourrait s'en prendre aux constructeurs, et dédouaner Google. Il me semble tout de même probable que certains constructeurs l'appliqueraient, mais là ce n'est pas le cas et Google reste à la base du problème. Pour l'essentiel, Google et les constructeurs pourraient toujours se renvoyer la balle, c'est finalement l'ensemble des terminaux Android qui pâtit aux yeux du grand public d'une mauvaise réputation au niveau sécurité.
T'as lu au moins mon commentaire ou t'as juste ouvert ta bouche pour déblatérer des conneries ?
Non, car outre le fait qu'appliquer des patchs de sécu à une branch de webkit divergente depuis 2 ans serait compliqué (en plus d'être sur une techno sur laquelle ils ne bossent quasi plus), rien ne garantit que les OEM fassent une OTA pour mettre à jour le binaire. Et comme le fait remarquer Dodutils, Google est parfaitement conscient de la fragmentation et leur prise de conscience fait que justement, depuis kitkat ils permettent aux OEM de directement pousser ces mises à jour. Mais comme encore une fois ils les connaissent bien, surtout leur fainéantise, ils ont pris la responsabilité, depuis lollipop, de s'en charger eux-même via google play.
sois réaliste deux minutes, tu chiales parce que Google veut pas patcher le bug mais même s'il le faisait , les constructeurs ne l'appliqueraient pas .........
Faux, WebView est aussi utilisé par certains navigateurs donc la recommandation est de ne pas/plus utiliser le navigateur par défaut fournit avec le smartphone non KitKat/Lollipop (et même en général) mais de passer par une navigateur suivi et mis à jour régulièrement (Chrome ou autre).
Merci, enfin quelqu'un de lucide et de compétent. Les gens se plaingnent d'une faille alors que celle-ci a été justement corrigée. La faille n'existe donc plus et donc je ne comprend absolument pas où serait le scandale et pourquoi Google devrait se justifier de quoique ce soit. Si ceux qui utilisent les anciennes versions des logiciels ne sont pas foutus de faire les mises à jour, ce sont eux les responsables. Tient, t'en qu'à faire je vais aller me plaindre à Microsoft parce que Windows Xp contient pleins de failles et aussi me plaindre auprès d'Apple parce qu'il n'a pas corriger les problèmes d'iOS 8.0
Tu parles d'OS desktop, là. MS n'est pas forcément de plus rapides pour apporter des correctifs, mais le support est bel et bien là sur des années. Quant à OS X, Java ne fait pas partie de l'OS. A partir du moment où l'on installe Java, il faut s'en prendre à Oracle s'il y a des soucis.
En y réfléchissant j'ai eu un gros doute sur cette phrase indiquant d'Adrien dit qu'il suffit de passer à KitKat ou Lollipop. Cette remarque me semble tellement ahurissante de la part d'un ancien de Google parfaitement au courant du problème de fragmentation des versions et du lent (voir inexistant) chemin des mises à jour partant de Google pour arriver au final sur le smartphone du consommateur. J'ai donc lu la source citée de ce billet à savoir Engadget puis la source d'Engadget qui est le billet d'Adrian sur sa page Google+. Et au final (sauf si j'ai mal lu) ni Engadget ni Adrian ne disent que "il suffit de mettre à jour sous KitKat ou Lollipop" !!! C'est donc Gaël l'auteur de ce billet sur FrAndroid qui a créé cette phrase polémique. Adrian indique par contre qu'il vaut mieux utiliser un navigateur qui soit mis régulièrement à jour (Chrome par exemple) et de ne pas utiliser le navigateur fournit en standard dans le smartphone qui aura tendance à rester figé faute de mise à jour de l'appareil par le constructeur. Pareil pour les développeur à qui il recommande de ne plus utiliser le framework WebView pour afficher du WEB dans leurs applications ou dans le pire des cas ne l'utiliser que pour afficher une source de confiance HTTPS. Donc prenez vos oeuf pourris et vos tomates et lâchez-vous sur Gaël ;-)
Incitation à la mort, ok je te signale.
ou un nouvel android ou une rom custom.
ouais "salauds de pauvres", si tu n'a pas les moyens de changer ton téléphone c'est de ta faute, si Google sociétée multimilliardaire ne veut pas corriger une faille de sécurité c'est de ta faute. le mieux étant de ne plus acheter leur androbouse,histoire de faire comprendre a Google que ces pratiques ne sont pas acceptable. tant qu'il y aura des moutons comme toi,ces pratiques continueront,mais bon ça tu t'en fous comme de ta première couche culotte, allez retourne cirée les pompes de gogole,guguss<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
lis les commentaires précédents sur l'intérêt de dev la correction. Il faut que ton constructeur fasse la maj aussi. Autant qu'il dev la maj sous Kitkat.
ou pas regarde la dernière faille de microsoft annoncer depuis plus de 6 mois par google ils ont chouiner car elle a été révélé ... et Apple avec Java , qui pour le coup concernait l ensemble de leur Os ... rappel moi leur reponse ?? bon donc arrête de dire nawak et renseigne toi
perso j'ai un samsung galaxy nexus et impossible avec de passer a kitkat alors on me dira, oui y'a les roms mais c'est deja plus complexe et moins userfriendly
Non, il n'y a pas 0 faille, mais au moins Apple et MS assure un support beaucoup plus long, ça fait une énorme différence lorsque l'on pense que les consommateurs sollicitent de plus en plus ces terminaux pour des opérations sensibles.
C'est sûr que l'on va conseiller aux Michu (qui constituent l'immense majorité de la clientèle de terminaux Android) d'installer un rom custom, d'autant qu'en plus rooter son terminal abaisse le niveau de sécurité. Non mais franchement, soyons sérieux et réalistes 5 min.
Sauf que c'est pas madame Michu qui pourra basculer en custom.
Il ne reste plus que 2 solutions : iOS ou Windows Phone.
ce troll de debilos lol y a 0 faille chez Microsoft et Apple ...c ets bien connu
Sauf que là où ils sont de mauvaise fois, c'est qu'ils n'obligent pas les constructeurs à faire les mises à jours quand ils donnent leur système. Leurs closes devraient être un peu plus restrictive, avec un délais d'obligation de mettre à jour un peu plus important (3 ans au lieux de 2) et surtout un délais maximal entre le moment où la nouvelle mise à jour est présenté et le moment où les constructeurs la proposent (6 mois par exemple). Les constructeurs sont forcément contre, car ça leurs demande d'avoir des équipe de développement bien plus importante, mais aussi ça leurs laisse moins de possibilité pour personnaliser leurs appareils pour mieux se démarquer des autres. Mais si Google ne veut plus avoir cette image d'Android qui n'est pas sécurisé et qui n'ait pas mis à jour, il faut qu'il force la main aux constructeurs, quitte à être boudé par certain (notamment Samsung avec Tizen)
Lorsque l'on pense qu'il s'agit de terminaux mobiles qui sont de plus en plus utilisés pour des opérations sensibles (tels que transactions financières et autres), le comportement de Google (ainsi que des marques hôtes) est totalement irresponsable. C'est un boulevard offert à Apple et à Microsoft.
ce n'est pas non plus comme s' il n'y avait pas des rom custom stables sous Kitkat...<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Bon pour tous les guss qui chialent pour cette phrase" Vous n'avez qu'à passer sous kitkat ou Lollipop" et qui sont sous jelly bean ou en dessous , vous vous rendez compte de votre connerie ? Si vous êtes pas sous kitkat c'est que votre constructeur refuse de faire des majs donc il ne fera pas la maj qui intégrerait la correction du bug.............. Et pour pas mal de constructeurs , ils chient sur les majs de sécurité lorsqu'ils ne mettent plus à jour la version de l'OS
tu veux qu il fasse quoi ? si il corrige 4.3 tu crois que ton constructeur va faire la mise à jour peut etre ? ça réflexion est peut être mal tourné mais il n a pas tort
Pas forcément, certes, mais très probablement que oui.
"Il propose ainsi d’utiliser des navigateurs web sûrs à la place de WebView pour afficher une page web (Chrome ou Firefox par exemple)" Utilisez Chrome et puis voilà, inutile de pleurer ou crier au scandale de toute façon.
Sa remarque sur l'utilisation de webview s’adresse aux développeurs d'applications et pas aux utilisateurs lambda. Tout comme pour le passage sous Kitkat ou Lollipop, c'est de la responsabilité d'Asus dans ton cas. Meme si Google corrigeait la webview 4.3 ca ne mettrait pas a jour ton Asus automatiquement. Il faudrait qu'Asus fasse aussi l'effort de générer une nouvelle version. Dans ce cas autant qu'Asus fasse l'effort de passer sous 4.4 ou 5.0. L'argument sous entendu est donc que si votre constructeur ne met pas deja a jour votre appareil en 4.4 ou 5.0 alors même si Google corrigeait ce bug vous ne recevriez pas la correction. Donc les efforts de Google ne serviraient a rien. Vu la complexité de cette correction ça ne vaut pas le coup. C'est donc Asus (et tout les autres constructeurs) qu'il faut pointer du doigt , pas Google.
Google : "Tiens v'la mon OS, débrouilles-toi avec, je ne suis pas responsable des bugs s'il y en a" tel est son crédo. C'est comme le Lolliflop qui est inachevé. C'est leur système, c'est pas aux constructeurs de corriger leurs bugs, et puis Google n'a qu'à leur imposer la mise à jour des terminaux. Après faut voir les clauses d'utilisation d'Android, mais pour moi c'est Google et seulement lui le responsable. Google mérite que des hackers utilisent cette faille qu'il ne veut pas corriger, ça le contraindrait à réagir et le responsabiliserait un peu plus. Google est encore un amateur à côté d'Apple et de Microsoft, ça c'est clair.
Oui mais même si Google corrigeait le problème su JB, ce n'est pas pour ça que Samsung ferait forcément une mise à jour du Note 1 incluant la correction.
Et c'est bien là le problème ! on te vend un téléphone qui coûte un bras et qui est considéré comme un produit jetable.
C'est un gros "faux cul" ce Ludwig !!! Vous n'avez qu'à mettre à jour vos appareil !! comme si on avait le choix.
Je suis plutôt d'accord avec Google. Ça ne servirait pas à grand chose qu'ils corrigent la WebView de la 4.3 car de toute façon ça ne garantirait aucunement que les constructeurs mettraient à jour leur 4.3 pour les appareils qui n'ont pas encore migré en 4.4 ou 5.0.
"Adrian Ludwig explique tout d’abord qu’il existe un moyen très simple de corriger cette faille de WebView : passer son smartphone sous Android KitKat ou Lollipop. " Cher Monsieur Ludwig va dire ça à mon Galaxy Note 1 qui n'aura jamais de Lollipop ni même KitKat officiels !!!
"Vous n'avez qu'à passer sous Kitkat ou Lollipop" Vous n'avez qu'a jetter votre matériel! Ma tablette Asus n'a pas un an, pas m.a.j. je la jette et en rachète une autre en supposant que j'ai le budget :-( C'est un mépris des utilisateurs. Utiliser un navigateur sur.. Combien de personnes lambda savent que leur appli préférée utilise webviwe??? Ou même qu'il existe d'autre navigateur.
Je suis assez d'accord avec le "Vous n'avez qu'à passer sous Kitkat ou Lollipop"
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix