*** TP : Revue de sécurité d'une application Web Firefox OS ***

Les slides du cours sont disponibles ici

1. Installation

  1. Installer Firefox Nightly pour avoir la dernière version de l'App Manager. Aller sur http://nightly.mozilla.org/ et télécharger la version pour Linux 64-bits.
  2. Dézipper le package, et lancer Firefox avec la commande: $ firefox/firefox-bin
  3. Au démarrage du navigateur, créer un nouvel profil: par exemple "tp-nightly".
  4. Lancer l'App Manager: soit en allant dans l'onget Web Developer Tools, soit en tapant about:app-manager dans la barre d'adresse du navigateur.
  5. Dans la barre en bas, cliquer sur "Start Simulator" puis "Add". Suivre les instructions et installer l'add-on pour Firefox 1.3.
  6. Télécharger l'application "dvfa" et dézipper le package : https://github.com/arroway/dvfa.
  7. Dans l'onglet "Apps" (en haut à gauche de l'App Manager), cliquer sur "Add Packaged App".
  8. Lancer l'application dans le simulateur.

2. Test de l'application - ne PAS regarder le code source (mais vous avez droit au debugger)

  1. Des remarques sur le comportement de l'application ?

3. Audit de sécurité

  1. Soumettre l'application au Marketplace Validator: https://marketplace.firefox.com/developers/validator. Expliquer les résultats.
    2. . Avant cela, se placer dans le répertoire de l'app et rezipper la package avec la commande: zip -r dvfa.zip *. ATTENTION : ne PAS reprendre l'archive téléchargée depuis GitHub.
  2. Comment aborder une revue de code axé sécurité : grandes étapes, points auxquels faire attention ?
  3. En s'appuyant sur les Firefox OS Developer Security Guidelines, et en prenant example sur le type de modèle de Security Review de Firefox OS (quelques exemples ici et ) faire l'audit de sécurité de l'application et en rédiger le rapport.