Discussion :

[Stéphane le calme]

Google Chrome pourrait éventuellement masquer les URL,
une fonctionnalité actuellement en test dans Chrome Canary build 36

Avec son navigateur Chrome, Google a apporté l’Omnibox : une seule barre en haut de l’écran que vous pouvez utiliser à la fois pour effectuer des recherches sur le web (le moteur de recherche par défaut étant paramétrable) ou entrer une URL. Seulement, à en croire la dernière mouture de Canary, la version test de Chrome, Google semble vouloir modifier son comportement.

Dans la version de Chrome Canary build 36, il est possible d'activer une option permettant de masquer l'URL complète d'un site consulté. Lorsque l'internaute va naviguer au sein des différentes rubriques d'un site, seul le nom de celui-ci va s'afficher dans la barre d'adresse. Par exemple, au lieu de « http://www.developpez.com/actu/70882...eurs-recettes/ » apparaîtra simplement « developpez.com ». Pour accéder à la totalité de l'URL, il suffira de cliquer le bouton « Origin Chip » sur le nom de domaine. Pour avoir accès à cette option, il faudra activer le flag « Enable origin chip in the Omnibox » depuis chrome://flags.

L’un des objectifs derrière cette manœuvre serait de fournir un rempart face aux attaques phishing, une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. L’une des clés du succès de ses attaques réside dans le fait de persuader sa victime qu’elle s’adresse à un site de confiance pour lui soutirer en douce ses renseignements personnels (numéro de carte de crédit, date de naissance, pseudo/MDP …). Avec des URL à rallonge, le navigateur peut tromper l'internaute et ainsi faciliter les tentatives de phishing de sites malveillants. Si cette fonction est implémentée, la future version de Chrome, en affichant le seul nom de domaine du site consulté, diminuerait ainsi les risques de faux-sites pirates.

Cette fonctionnalité est déjà au cœur des débats ; certains estiment qu’il s’agit là d’une régression. Parmi ce groupe de personnes figurent ceux qui utilisent la barre d’adresse par exemple pour aller d’une page à l’autre (pour passer de la page 4 à la page 5 par exemple). « J’imagine que cela aidera à défendre contre le hameçonnage » a déclaré Paul Irish, développeur Chrome avant de rajouter « mon opinion personnelle est que c’est un très mauvais changement qui représente l’antithèse des objectifs de Chrome. ».

Le développeur Chrome Jake Archibald soutient pour sa part la fonctionnalité « trouvez quelqu’un qui ne travaille pas dans un domaine technologique, montrez lui le site de sa banque, et demandez-lui ce que lui apprend l’URL. Mon expérience m’enseigne que la plupart des utilisateurs ne savent pas quelles parties de l’URL sont les signaux de sécurité. ». Par la suite il a affirmé que « les navigateurs ont arrêté d’afficher les pseudonymes/MDP dans les URL parce que ça facilitait le hameçonnage. C’est une progression naturelle .».

Rappelons qu'il s'agit là d'une fonctionnalité expérimentale ; rien ne garantit que Google la déploiera.

Source : Jake Archibald, Tweet Paul Irish,

Et vous ?

Que pensez-vous de cette fonctionnalité ? Progrès ou régression ?

[vanquish]

IE affiche déjà la partie la plus significative de l'URL en noir, alors que le reste est en gris.
Ca va un peu dans le même sens.

Il faut voir la réalisation. Si en cliquant sur un bouton j'ai accès et peux modifier l'URL complète (c'est parfois utile), ça me va.
Car pour l'utilisateur lambda, je partage le point du vue sur la complexité des URL : combien d’utilisateurs ne font pas la différence entre la zone d'URL et le champ de recherche de la page Google qui leur sert de homepage

[Gugelhupf]

Pour les utilisateurs lambdas ce ne sera pas forcément très embêtant (pour ceux qui veulent faire des copier/coller d'URL dans les forums ça pourrait embêter un peu au début).

Avec Firefox, le nom du site + extension apparait en noir apparait en noir, et le reste en gris claire. Avec Chrome même chose, sauf le www en plus. Mais c'est déjà bien contre les tentatives de phishing...

Le navigateur a peut-être été pensé pour les applications d'entreprise (un peu comme la version entreprise d'IE sans l'URL).

PS: Le moteur de recherche par défaut du champ sera Google n'est-ce pas ?

[gb_68]

Pour les utilisateurs lambdas ce ne sera pas forcément très embêtant (pour ceux qui veulent faire des copier/coller d'URL dans les forums ça pourrait embêter un peu au début).
Avec Firefox, le nom du site + extension apparait en noir apparait en noir, et le reste en gris claire. Avec Chrome même chose, sauf le www en plus. Mais c'est déjà bien contre les tentatives de phishing...

Mais cela peut déjà permettre de tromper l'utilisateur, même si je trouve l'approche de Chrome un peu radicale.

Simplifier pour l'utilisateur ok ; mais lui masquer encore plus comment fonctionne une URL bof ... et non quand j'en donne une, on ne la colle pas sur Google pour me cliquer ensuite sur les liens sponsorisés .

La mise en évidence de la partie importante me semble suffisante :


Je crois que IE était l'un des premiers à implémenter ça (en tout cas avant Firefox ; pour une fois que c'est dans ce sens rendons leur hommage ).

[air-dex]

C'est moi ou bien ça sent l'explication fumeuse (quoique pas dénuée de sens non plus) pour cacher volontairement quelque chose de faussement compliqué ?

[sizvix]

Éloigner encore un peu plus les utilisateur des URLs pour les rapprocher du moteur de recherche bien sûr

[Sodium]

Infantiliser les utilisateurs ne me semble jamais être une bonne chose.
C'est parce qu'ils ne comprennent pas l'informatique qu'ils se font avoir par des tentatives de fraude souvent grossières.
Moins ils comprendront ce qu'il se passe derrière leur machine, plus il y aura de risques de tomber dans les pièges d'Internet.

[Zefling]

Je crois que IE était l'un des premiers à implémenter ça (en tout cas avant Firefox ; pour une fois que c'est dans ce sens rendons leur hommage ).

En natif, je crois. En extension, ça fait super longtemps que c'est possible dans Firefox.
D’ailleurs je ne savais même pas que c'était devenu natif sous Firefox, j'ai toujours ajouter des extensions qui font ça.

[mrqs2crbs]

Le développeur Chrome Jake Archibald soutient pour sa part la fonctionnalité « trouvez quelqu’un qui ne travaille pas dans un domaine technologique, montrez lui le site de sa banque, et demandez-lui ce que lui apprend l’URL. Mon expérience m’enseigne que la plupart des utilisateurs ne savent pas quelles parties de l’URL sont les signaux de sécurité. ». Par la suite il a affirmé que « les navigateurs ont arrêté d’afficher les pseudonymes/MDP dans les URL parce que ça facilitait le hameçonnage. C’est une progression naturelle .».

je crois surtout qu'il faut apprendre aux utilisateurs à lire correctement.

parce que, juste dire : "ça va vous protéger, vous n'aurez besoin de rien connaître", ça sonne surtout comme une grosse embrouille.

[Mr_Exal]

La quenelle ! La quenelle !

[Traroth2]

Donc il faudrait nécessairement passer par Google (le moteur) pour arriver sur son site (sans garantie, un moteur de recherche n'étant pas aussi déterministe à l'usage que la saisie d'une URL)...

[Arsene Newman]

Origin Chip : la fonction pour masquer les URL dans Chrome pour limiter le phishing
pourrait favoriser des attaques, selon des experts en sécurité

À peine quelques jours après l’annonce de la sortie de la controversée fonctionnalité « Origin Chip » sous la mouture de test Chrome Canary (sous la build36), PhishMe, entreprise spécialisée dans les programmes de tests d’attaques de phishing ,vient de découvrir une faille dans « Origin Chip » après quelques tests.

En effet, conduits par Aaron Higbee et Shyaam Sundhar, les tests en question ont révélé certaines faiblesses dans la fonctionnalité, cette dernière n’affichant plus le nom de domaine dans certains cas, comme lorsque la longueur de l’URL (nom de domaine+ sous domaine) dépasse les 98 caractères.

Autre cas de figure où la fonctionnalité expérimentale plante, lorsqu’il y a redimensionnement de la fenêtre du navigateur, action qui a pour conséquence la diminution du nombre de caractères qui peuvent être affichés dans « Origin Chip », ainsi même si l’URL ne dépasse pas les 50 caractères, un redimensionnement peut faire planter la fonctionnalité, laissant l’utilisateur dans le brouillard total.

Pour rappel, « Origin Chip » est une fonctionnalité expérimentale qui a pour but d’aider les utilisateurs à identifier l’URL consultée et de lutter contre les redirections vers des faux sites, en affichant l’URL dans une section appropriée.

Ce comportement hasardeux fait dire les deux testeurs que « même les utilisateurs les plus avertis en matière de sécurité et qui auront été entraînés pour reconnaître les URL frauduleuses seront en danger ».

De ce fait, l’une des solutions qu’ils préconisent serait d’appliquer un effet visuel sur l’URL et plus spécifiquement sur le domaine principal plutôt que d’afficher ça séparément, car « étendre simplement la longueur de l’URL n’est pas une solution, les attaquants y répondront en adaptant la longueur de leur URL de manière à rester cacher »

Source : Phisme.com

Et vous ?

Qu’en pensez-vous ?

[Omote]

J'en pense que c'est une beta et doit être considéré en conséquence... Même si je ne suis pas particulièrement pour car les gens ne regardent pas les URL (quand bien même celles ci seraient plus courtes). Si au lieu de "http://www.developpez.net/" on était routé sur "http://www.developpez.ru/" je parie que Mr et Mme tout le monde ne se rendraient compte de rien.

[Zefling]

J'en pense que c'est une beta et doit être considéré en conséquence... Même si je ne suis pas particulièrement pour car les gens ne regardent pas les URL (quand bien même celles ci seraient plus courtes). Si au lieu de "http://www.developpez.net/" on était routé sur "http://www.developpez.ru/" je parie que Mr et Mme tout le monde ne se rendraient compte de rien.

Tu mets même http://www.develloppez.net/ et je pense que presque personne s’apercevra de la faute.

[Shuty]

Éloigner encore un peu plus les utilisateur des URLs pour les rapprocher du moteur de recherche bien sûr

Très bonne réflexion, c'est vrai que je n'y avait pas passé. Mais c'est certain que sur un aspect financier, le faite de retirer / marquer la barre d'adresse rendra l'utilisation du moteur Google plus importante. Bien pensé... !