Peter Torr, de chez Microsoft, a fait part aux lecteurs de son blog d'une expérience intéressante de son essai de Firefox.

Il y explique en gros qu'il est pénible d'entendre parler de Firefox et de sa sécurité quand ni son installateur ni ses extensions ne sont signées numériquement. Le tout donne un environnement dans lequel l'utilisateur ne sait pas vraiment ce qu'il installe en réalité, et il serait très facile d'installer des programmes malicieux étant données les mauvaises habitudes qu'impose Firefox et son univers dès le départ : outrepasser les avertissements de sécurité pour installer le moindre plug-in, quand avertissement il y a bien.

Et de faire forcément la comparaison avec Internet Explorer doté du Service Pack 2 : les contrôles ActiveX non signés ne seront jamais installés par défaut. Le débat est bien entendu houleux, car deux réalités s'affrontent : celle de la technique de chaque navigateur, mais celle des habitudes. Ainsi le blocage par défaut de presque tous les ActiveX par IE est très pénible pour l'utilisateur averti, tandis qu'à l'inverse l'utilisateur débutant pourrait facilement se faire piéger puisque rien dans l'immédiat ne permet de faire la différence entre un plug-in réel et utile et un plug-in malveillant. Les extensions les plus populaires sous Firefox comme "Web Developer" ou encore "FlashGot" ne sont pas plus signées que les autres.

L'avis de MozillaZine est que même si le mécanisme d'installation des extensions est plus difficile à exploiter sous Firefox que sous IE, le navigateur de Microsoft semble être meilleur pour bloquer des installations accidentelles de code vérolé.