Bonjour à tous,
 
Voila, je vous explique mon problème. Dans le cadre de mon travail, je dois faire la validation du navigateur Mozilla Firefox sur notre master (OS XP+ logiciels). Le problème que je rencontre est au niveau du paramétrage de celui-ci. Nous ne pouvons nous permettre de laisser ce navigateur être personnalisable par l'utilisateur pour des raisons de sécurité. A présent, j'ai réussi à bloquer les MAJ du navigateur, des modules ainsi que des extensions. Ces otpions sont bloquées sans problème.  
Mon soucis actuellement est que n'importe quel utilisateur peut faire une installation d'un module ou d'une extension sur le navigateur. J'ai fais de multiples recherches sur internet mais Google n'est pas mon ami    
Quelqu'un connait-il une méthode pour bloquer ces installations? J'ai regardé dans le about:config de firefox sans résultats.
 
Merci de votre aide.

N'est il pas possible de restreindre l'installation/l'ouverture de fichiers .xpi ?

Hmm je ne voudrais pas te paraître pessimiste, mais, quand bien même tu arriverais à restreindre l'installation de modules complémentaires pour un utilisateur du domaine (spécifiquement ou en bloquant l'intégration ds xpi), celui-ci s'empressera de dégainer sa version perso / portable de FF sur laquelle il a un contrôle total et roule ma poule
 
(je connais un admin qui a fait face à une situation similaire il y a 3 ans : il voulait restreindre au maximum l'étendue des actions des utilisateurs, et il n'a pas fallu attendre longtemps...... tous les users se balladaient avec une tonne d'applis portable impossible à contrôler et sur lesquelles les règles de domaine n'ont pas prise    ..... il a jeté l'éponge 1 mois plus tard).
 

Avis aux réponses bidons du genre : c'est peine perdu.. faut installer adblock ou d'autres betises de ce niveau la. Faudrait arrêter !!!!
 Pour bloquer les installations de  modules complémentaires dans mozilla firefox; il faut placer, dans le fichier mozilla.cfg, l'option lockPref("xpinstall.enabled", false);
Ca fonctionne très bien !
Les super fort de la solution à deux balle : retournez jouer à la wiii !

euh ok, c'est ce qui a déjà été dit et pas besoin de prendre ce ton ... et ça n'empeche pas l'utilisation des versions portables avec extensions...

de plus, le fichier user.js se trouvant dans le répertoire du profil loggué, l'utilisateur y a accès. Du coup, il peut changer le contenu du fichier
 
Et comme dit plsuieurs fois, y'a toujours la solution de la version portable contre laquelle, on ne peut rien faire.
 
Il est rigoureusement impossible à un admin de contrôler parfaitement ce que fait un utilisateur de son PC au bureau. Un utilisateur peut averti, peut-être, mais un utilisateur avancé, certainement pas. Et vous pouvez compter sur ce genre de personne pour répandre la solution qu'il aura trouvée auprès de ses collègues histoire de se faire mousser
 
Un peu HS : cette problématique est similaire à ce que tente de faire certains industries pour se protéger du piratage avec les DRM. Tous ces systèmes, qui coûtent chers, finissent par être cassés et sont généralement contre-productifs.
 
La meilleure solution si un admin veut faire en sorte que son travail soit gérable, c'est d'expliquer aux utilisateurs pourquoi installer une appli sans passer par lui est gênant. Et s'il se montre très réactif (du genre, tu veux telle appli, en passant par moi, je te garantis que tu l'aura sous 1h max) et offre une bonne qualité de service, les utilisateurs seront moins tentés de le contourner... De plus, il serait bon d'analyser les applis/plugins installés sauvagement et de les intégrés de base dans la conf du PC

Question idiote de vrai néophyte* : dans quelle mesure une version portable FF comportant des modules "suspects" peut-elle mettre en danger un réseau ?  Les postes clients ne sont-ils pas assez "bridés" ? Risque de virus ?

Du pipeau ça, on peut contrer les versions portables et le PC d'un utilisateur avancé. C'est pas simple ni facile mais ça reste possible.

Ben à moins de couper internet, de pas mettre de lecteur CD/DVD et bloquer les ports USB, je vois pas comment tu peux faire
 
Une version portable, c'est une simple copie de fichier. J'ai vu sur Korben.info qu'il existait des softs pour bloquer le lancement d'exe basés sur le nom de l'exe ou de son empreinte CRC. Mais on peut recompiler la version portable avec des options différentes, voire rajouter des bouts de code qui ne font rien qui fait que la taille de l'exe résultant sera différente et aura un CRC différent.
 
Pour internet, tu veux bloquer le download d'exe? Pas de pb, y'a des sites qui permettent, en leur fournissant le lien de l'exe de te le renommer sous une autre extension ou de te l'encapsuler dans un autre format. Tu veux bloquer ces sites? Pas de pb, y'a des proxys web pour contourner... (et y'a aussi le mail, le FTP ou le SSH pour se connecter à des machines où tu peux y avoir déposé préalablement les fichiers convoités...). Y'a toujours une faille qq part, aujourd'hui, c'est très difficile de rendre hermétique un PC sans trop entraver son utilisation.
 
Mais je serais intéressé par la façon dont tu t'y prendrais pour verrouiller un poste utilisateur tout en permettant une utilisation "raisonnable" de celui-ci.
 
D'un point de vue stratégie, il a été démontré que l'attaquant a toujours l'avantage sur la défense. C'est vrai pour les échecs, pour les virus (biologiques ou informatiques), pour la sécurisation d'un poste utilisateur...
 
Ex : le réseau TOR, la Chine a trouvé un moyen de détecter les noeuds Tor et de les blacklister si en envoyant une requête en "langage Tor" et que la machine répond dans ce langage (malin les gars!). Ben y'a déjà une parade de sortie pour contrer ce moyen de détection.

Bah déjà tu interdis l'utilisation des clés usb cdrom.
Ensuite sur tous les espaces en accès avec écriture tu mets un deny sur l'exécution

Tu parles sous Linux. Sous Windows, ça va être plus dur. Et quand tu travailles dans des SSII, tu vas avoir du mal à mettre ce genre de règle en place puisque tu pourras pas lancer les binaires que tu compiles

Non je parle sous windows, via NTFS.
Sinon sur windows 7 tu as applocker, tu définis toutes les applis ok et le reste est bloqué (ou l'inverse mais dans notre cas ici je parle).
Sous XP tu as les restrictions logicielles qui font pareil en moins précis/moins intuitif.
 
Pour les SSII (de dev hein parce que ya pas que ça hein), bah du moment que ton métier c'est "créer des exe" je vois pas comment tu peux bloquer, que ce soit sur windows ou linux. Dans ce cas ce que je ferais c'est pas donner accès au net aux machine de dev qui plus est devraient etre sur des environnements ... de dev isolé

Tu affirmes pas mal de choses sans connaître le sujet quand même