Discussion :

[Coriolan]

Chrome : les connexions HTTP seront marquées comme non sécurisées
Afin d'inciter les sites à migrer vers le HTTPS

L’équipe de sécurité de Google Chrome veut en finir avec les connexions non chiffrées en HTTP. À partir de janvier 2017, les sites exploitant les connexions en HTTP pour transmettre des mots de passe et des données bancaires seront marqués comme non sûrs. Le message d’alerte va s'afficher dans la barre des tâches pour informer l’utilisateur du danger qu’il encourt s’il continue à utiliser le site. En effet, un hacker peut techniquement intercepter la connexion et récupérer les données non chiffrées.

Dans un billet de blog, l’équipe de sécurité a indiqué qu’une large portion du web est passée au HTTPS et son usage continue d’augmenter. « Récemment, nous avons atteint un chiffre clé avec la moitié des pages chargées sur Chrome transitant par le HTTPS. En plus, depuis qu’on a publié notre rapport HTTPS en février, 12 nouveaux sites du top 100 sont passés du HTTP au HTTPS par défaut. »

Plus tard, Chrome envisage de généraliser cette alerte de sécurité sur tous les sites passant par le HTTP, quel que soit le type de données transmises. Le navigateur va informer l’utilisateur du risque qu’il peut encourir avec un petit triangle rouge à côté de l’URL qui sera visible dès le premier coup. L’équipe prévoit également d’alerter les utilisateurs en mode de navigation privée.

Ces changements sont destinés à mettre plus de pression sur les administrateurs des sites pour passer au HTTPS qui garantit la confidentialité et l'intégrité des données envoyées par l'utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur. « N’attendez pas pour passer au HTTPS. Le HTTPS est devenu plus que jamais facile à implémenter et moins cher. Il fournit la meilleure performance que le web peut offrir et de nouvelles possibilités trop sensibles pour le HTTP. », a écrit Emily Schechter de l’équipe de sécurité de Chrome.

Google lui-même a donné l’exemple avec trois quarts des requêtes de ses produits utilisant le HTTPS. D’autres géants comme Apple veulent aussi renforcer l’usage du HTTPS, ainsi les développeurs devront sécuriser les connexions des applications iOS avant la fin de 2016. Facebook a également généralisé le HTTPS pour servir ses Instant Articles, ajoutant une couche de sécurité pour les lecteurs, même s’ils ne visitent pas un site externe pour consulter le contenu. La généralisation du HTTPS ne peut qu’être bénéfique pour la sécurité de millions d’internautes.

Source : Blog Google

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Une étude montre qu'un internaute sur deux clique sur des liens envoyés par un expéditeur inconnu, même en étant conscient du danger de cette pratique

[Metrogeek]

C'est une très bonne chose, surtout qu'aujourd'hui avec Letsencrypt il n'y a plus aucune excuse. Pour ceux qui n'ont jamais géré de SSL et qui ne veulent pas passer par Letsencrypt, il faut faire attention à Chrome dans sa version mobile, qui peut afficher une alerte : ERR_CERT_AUTHORITY_INVALID.

[skerdreux]

je confirme pour l'utilisation de let's encrypt qui est vraiment très simple à utiliser.
Pour ma part avec joomla et siteground en quelques clics de souris tout est mis en place.

[TiranusKBX]

Mettre du HTTPS partout quand ça ne le requiert pas n'est pas très écologique vus la surconsommation de 30% par requête.
Par exemple les sites vitrines ou encore les documentations en ligne non pas du-tout besoin de HTTPS.
À l'inverse tout site requérant une saisie client doit être sécurisé, ce qui fait que 70% de mes sites sont sur HTTPS, de ce fait dvp à du retard limite criminel

[Songbird]

Mettre du HTTPS partout quand ça ne le requiert pas n'est pas très écologique vus la surconsommation de 30% par requête.
Par exemple les sites vitrines ou encore les documentations en ligne non pas du-tout besoin de HTTPS.

Eh oui, même Google n'est pas encore capable de ne pas tout voir en blanc ou en noir.

À l'inverse tout site requérant une saisie client doit être sécurisé, ce qui fait que 70% de mes sites sont sur HTTPS, de ce fait dvp à du retard limite criminel

Bof, dvp ne récupère pas d'infos comme des données bancaires par exemple, mais ça serait pas mal quand même.

[Bigb]

Pour un site de consultation uniquement (ou blog par exemple), je ne vois pas l'intérêt de passer par HTTPS. Mais là encore Google peut dicter sa loi.

[Songbird]

Pour un site de consultation uniquement (ou blog par exemple), je ne vois pas l'intérêt de passer par HTTPS. Mais là encore Google peut dicter sa loi.

Je ne me prétends pas plus malin que les autres, mais Google peut toujours la dicter, sa loi. Si mes web apps n'ont pas besoin de ce protocole, elles ne passeront pas par ce dernier. Tant pis pour le SEO.

[Saverok]

Pour un site de consultation uniquement (ou blog par exemple), je ne vois pas l'intérêt de passer par HTTPS. Mais là encore Google peut dicter sa loi.

Même sur un site de blog, tu peux avoir un système de login pour poster des commentaires.
Dans ce cas là, l'utilisation de HTTPS a du sens.