Discussion :

[Patrick Ruiz]

Google Chrome : la version 63 avertira les utilisateurs contre les interceptions de connexions TLS
Ou attaques man-in-the-middle

Google Chrome 63 intègrera une nouvelle fonctionnalité orientée sécurité. Elle permettra de détecter et informer les utilisateurs qu’un logiciel tiers est en train de mener une attaque man-in-the-middle sur leur système.

Pour rappel, une attaque man-in-the-middle met en scène un intrus qui intercepte la communication entre deux hôtes réseau, sans que ces derniers ne puissent se douter que le canal de communication a été compromis. Dans ce cas précis, il s’agit de détecter qu’un intrus tente de se positionner entre deux hôtes communiquant via une connexion TLS chiffrée et générer un signalement.

La nouvelle fonctionnalité sera disponible sous la forme d’un écran d’avertissement. Ce dernier apparaitra lorsque le navigateur détectera un nombre important d’erreurs de connexions TLS sur une courte durée, signe qu’un tiers est en train d’essayer d’intercepter le trafic.

L’avertissement sera, semble-t-il, généré pour les malwares et les applications légitimes comme les antivirus et pare-feux, dans le cas où une réécriture malicieuse de la connexion TLS est détectée. Il est également à signaler que la chaîne de caractère badSSL Antivirus (cf. image ci-dessous) sera remplacée par le nom de l’application suspectée.

Cette fonctionnalité a été développée par Sasha Perigo, une étudiante de l’université de Standford, en stage chez Google. D’après le calendrier de déploiement du navigateur, il faudra attendre le 5 décembre pour la sortie de la version 63 du navigateur. Mais, pas besoin d’attendre jusque là pour tester la nouvelle fonctionnalité. Il est possible de la tester via la préversion développeur de la version 63 dénommée Google Canary.

La fonctionnalité n’est pas immédiatement disponible sous cette version, ce qui fait qu’il faudra procéder en trois étapes :

• trouver l’icône du navigateur Google Canary et cliquer droit sur cette dernière ;
• dans le menu contextuel, sélectionner Propriétés ;
• dans le champ cible, ajouter –enable–features = MITMSoftwareInterstitial puis enregistrer les changements.

Source : itnews

Et vous ?

Qu’en pensez-vous ?
Cette fonctionnalité vous semble-t-elle utile ?

Voir aussi :

Google Chrome : sous la version Canary il sera possible de mettre un site Web en sourdine de façon permanente
Chrome va vous alerter si une extension modifie vos paramètres de proxy ou change votre page d'accueil

[Stéphane le calme]

Chrome 63 Beta intègre l'importation dynamique de modules
et l'API Device Memory pour mieux gérer les périphériques

Google Chrome 63 se trouve désormais dans le canal bêta et peut être installé sur les systèmes d'exploitation Chrome OS, Linux, Android, Mac et Windows. Il promet de grands changements pour les développeurs, y compris des importations de modules dynamiques, une nouvelle API de mémoire de périphérique, des modifications de l'interface utilisateur des autorisations, ainsi que des générateurs asynchrones et des itérateurs.

Importations dynamiques de modules

Actuellement, l'importation de modules JavaScript est complètement statique et les développeurs ne peuvent pas importer des modules en fonction des conditions d'exécution, comme lorsqu’un utilisateur est connecté. La syntaxe import(specifier) permet désormais aux développeurs de charger dynamiquement du code dans des modules et des scripts pendant le runtime. Cela peut être utilisé pour charger un script seulement quand c'est nécessaire, ce qui améliore les performances de l'application.

L'exemple de code ci-dessous montre comment utiliser la fonction import(specifier) pour importer du JavaScript après un événement.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
button.addEventListener('click', event => {
    import('./dialogBox.js')
    .then(dialogBox => {
        dialogBox.open();
    })
    .catch(error => {
        /* Error handling */
    });
});

Les itérateurs asynchrones et les générateurs

Écrire du code qui effectue n'importe quelle sorte d'itération avec des fonctions asynchrones est susceptible de comporter peu d’élégance. Les nouvelles fonctions du générateur asynchrone utilisant le protocole d'itération asynchrone sont désormais disponibles pour aider les développeurs à rationaliser la consommation ou l'implémentation de sources de données en continu. Les itérateurs asynchrones peuvent être utilisés dans les boucles for et aussi pour créer des itérateurs asynchrones personnalisés à travers des usines d'itérateur asynchrones.

L'exemple de code ci-dessous montre comment utiliser des itérateurs asynchrones pour écrire du code de nettoyage pour des extractions en continu, en utilisant la fonction streamAsyncIterator.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
async function* getChunkSizes(url) {
  const response = await fetch(url);

  for await (const chunk of streamAsyncIterator(response.body)) {
    yield chunk.length;
  }
}

API Device Memory

Google reconnaît qu’il est difficile pour les développeurs de créer une expérience utilisateur pouvant fonctionner sur tous les périphériques, en raison des capacités variables des périphériques. Aussi, la nouvelle API JavaScript Device Memory aide les développeurs à relever ce défi en utilisant la mémoire vive totale sur la machine d'un utilisateur pour fournir des informations sur les contraintes des périphériques. Cette analyse permet aux développeurs d'adapter le contenu à l'exécution en fonction des limitations matérielles. Par exemple, les développeurs peuvent proposer une application «allégée» aux utilisateurs des appareils bas de gamme, ce qui se traduit par de meilleures expériences et moins de frustrations. L'API Device Memory peut également être utilisée pour ajouter du contexte aux métriques, telles que la durée d'exécution d'une tâche en JavaScript, à travers l'objectif de la mémoire de l'appareil.

Modification de l'interface utilisateur des autorisations

Lorsque les sites Web requièrent des autorisations spéciales d'un utilisateur, ils déclenchent une demande d'autorisation. Actuellement, ces demandes d'autorisation apparaissent dans Chrome pour Android en tant que bannières qui peuvent être ignorées en bas de l'écran. Les développeurs les affichent souvent sans vérifier si l'utilisateur dispose du contexte approprié pour accorder l'autorisation. Google estime que cela entraîne une expérience utilisateur distrayante et les utilisateurs ignorent ou suppriment temporairement ces invites d'autorisation plus de 90 % du temps.

« Dans Chrome 59, nous avons commencé à résoudre ce problème en bloquant temporairement une autorisation si l'utilisateur rejette la demande trois fois. Dans une prochaine étape, dans cette version, Chrome pour Android présente désormais les demandes d'autorisation en tant que boîtes de dialogue modales. Cette modification réduit le nombre total d'invites d'autorisation de 50 %. Cela rend également les utilisateurs cinq fois plus susceptibles d'accepter ou de refuser des demandes, plutôt que de les ignorer temporairement ou de les ignorer à plusieurs reprises. Pour garantir que les utilisateurs comprennent la demande d'autorisation, les développeurs doivent présenter les demandes d'autorisation aux utilisateurs en temps voulu, car nous avons constaté que les utilisateurs étaient 2,5 fois plus susceptibles d'accorder des autorisations à un site demandant des autorisations avec contexte. »

Chrome 63 Beta est également livré avec un tas d'améliorations pour le moteur de navigateur Web Blink développé dans le cadre du projet Chromium, améliorant entre autres la gestion de Blink du CSS, du DOM, du réseau, des capteurs, du stockage, de JavaScript, de MediaStream, de HTML et des polices. Autant de changements internes qui sont importants pour la fiabilité globale de Chrome.

En dehors de cela, Chrome 63 prend en charge la fonction « display: minimal-ui », ce qui permet aux développeurs d'afficher une interface utilisateur ressemblant aux onglets personnalisés Chrome pour les utilisateurs.

Selon le calendrier de Google, cette version sera disponible en décembre.

Source : Google

Voir aussi :

Chrome : dès janvier 2018, la lecture automatique ne sera autorisée que si l'audio est coupée ou si l'utilisateur manifeste son intérêt

[Michael Guilloux]

Chrome 63 est disponible en version stable
avec de nouvelles fonctionnalités développeur et la version 6.3 du moteur JavaScript V8

Google vient de sortir la version stable de Chrome 63 pour Windows, Mac et Linux. Les principales nouveautés de cette version sont dédiées aux développeurs. Il s'agit notamment des importations de modules dynamiques, des itérateurs et générateurs asynchrones et de l'API Device Memory, entre autres, déjà présentées lors de la sortie de la version bêta.

L'ajout d'importations de modules dynamiques permet par exemple aux développeurs de charger dynamiquement du code dans des modules et des scripts lors de l'exécution. Notons en effet que jusqu'à maintenant, l'importation de modules JavaScript est complètement statique, et les développeurs ne peuvent pas importer de modules en fonction des conditions d'exécution.

En ce qui concerne l'API Device Memory, elle aide les développeurs à créer une expérience utilisateur pouvant fonctionner sur tous les appareils. Il est en effet difficile de créer une telle expérience en raison des capacités différentes des appareils. La nouvelle API JavaScript Device Memory aide les développeurs à relever ce défi en utilisant la quantité de RAM sur la machine d'un utilisateur pour fournir des informations sur les limitations matérielles. Ainsi, les développeurs pourront par exemple proposer une version légère de leurs applications aux utilisateurs d'appareils bas de gamme, ce qui se traduit par de meilleures expériences et moins de frustrations.

Chrome 63 inclut également une mise à jour du moteur JavaScript V8, la version 6.3. Cela signifie que les développeurs doivent s'attendre à des améliorations de performance, une consommation de mémoire légèrement plus faible et de nouvelles fonctionnalités ECMAScript.

Il y a encore bien d'autres fonctionnalités de développeur dans cette version, y compris de nouvelles fonctionnalités apportées à DevTools. Il s'agit entre autres de la prise en charge du débogage à distance multiclients, Workspaces 2.0, quatre nouvelles entrées dans le panneau Audits, la simulation de notifications push avec des données personnalisées (custom data) et le déclenchement d'événements de synchronisation en arrière-plan avec des tags personnalisés. Chrome 63 implémente également 37 correctifs de sécurité.

Sources : Annonce de la sortie de Chrome 63, Nouveautés DevTools dans Chrome 63

Et vous ?

Que pensez-vous de ces nouveautés ?
Utilisez-vous Chrome ? Qu'attendez-vous de ce navigateur par rapport aux concurrents ?