Discussion :

[Patrick Ruiz]

Google pince à nouveau les responsables Web :
L’accès aux ressources via FTP sera marqué comme non sécurisé sous Chrome 63

Google a récemment annoncé son intention de marquer les connexions HTTP comme non sécurisées dès la sortie de la version 62 du navigateur Chrome. La mesure s’inscrit dans le plan de promotion du protocole HTTPS qui a débuté en janvier dernier, lequel est désormais étendu au marquage des connexions FTP puisque Mike West de l’équipe de développement Chromium déclare : « nous n’avions pas inclus FTP dans notre plan initial. »

« Malheureusement, du point de vue sécurité, FTP fait moins bien que HTTP », a-t-il ajouté. Cet état de choses, couplé au fait que les dispositifs de métrique de la firme de Mountain View renvoient des taux d’utilisation du FTP pratiquement nuls, justifient que l’accès aux ressources via FTP soit marqué comme non sécurisé. Les développeurs Web sont invités à effectuer une migration du protocole d’accès aux ressources de FTP vers HTTPS.

Les tractations sur le futur du protocole FTP sont en cours chez Google depuis 2014 si l’on en croit les développements sur ce qui semble être la feuille de route de l’abandon du protocole FTP. L’une des solutions envisagées serait de laisser tomber le support natif dudit protocole pour le confier à une application Chrome (ou à une extension du navigateur) basée sur les API de téléchargement et de sockets.

Mais il ne s’agit pour le moment que de pistes de réflexion qui viennent s’ajouter à un chantier sur lequel l’équipe de développement Chromium semble engagée, à savoir : acquérir une meilleure maîtrise des chiffres liés aux téléchargements des archives accessibles via le protocole FTP, ce qui d’après les déclarations de Mike West, permettra de prendre une décision éclairée en ce qui concerne le futur du protocole FTP sous le navigateur Chrome.

On peut cependant être sûr d’une chose, ce n’est pas le protocole FTPS qui remplacera FTP sous Chrome. Mike West l’a martelé : tous les efforts sont mis en œuvre du côté de Google pour un tout HTTPS dans le cas où cela s’avère nécessaire. La réduction des vecteurs d’attaque n’en sera que plus grande.

Source : Google group Chromium

Et vous ?

Qu’en pensez-vous ?

Mettez-vous des ressources à disposition des visiteurs des sites Web que vous développez via le protocole FTP ?

Quels sont les problèmes que la migration de FTP vers HTTPS pourrait vous poser ?

Voir aussi :

Google donne des précisions sur le déploiement HTTPS sur ses produits et services et fait une liste des pays qui s'en servent le plus
Selon Troy Hunt, le protocole HTTPS a atteint son point critique et deviendra bientôt la norme du web plutôt que l'exception sur la toile

[Invité]

Qu’en pensez-vous ?

Que google cherche à prendre possession du net et veut clairement imposer sa loi.

Tout ce qui ne vient pas du google store est obligatoirement dangereux, tout ce que google ne contrôle pas est obligatoirement dangereux.

Google instaure une forme de peur pour que les utilisateurs de leurs services aient un sentiment de crainte partout et se repose entièrement sur lui.
Si google n'approuve pas, c'est forcément dangereux. Il faut tuer google.

[Invité]

En matière de sécurité informatique, il est un peu hâtif de passer de "non sécurisé" à "sécurisé" en ajoutant simplement une couche de TLS. Ce n'est pas parce que le navigateur présente un joli cadenas vert, que l'utilisateur est à l'abris de tout danger.

[MikeRowSoft]

FTP... C'est utile à quel moment ?

- Piraterie ?
- Upload de DEV ?
- Disque dur personnel en réseau via Internet ? (hors Cloud)

Il reste plus qu'a passer à FTPS ou SFTP...

C'est un peu étrange que d'un navigateur à l'autre la dénomination de site non sécurisé soit proclamé ou pas.
Il me semble pourtant qu'il y a de multiples listes pour cela...
J'espère pour eu que aucun signe de poursuite pour diffamation ne sera envisagé.
Manque plus qu'il ait raison après que le plaignant ait subit une violente attaque...

[youtpout978]

Tout ce qui ne vient pas du google store est obligatoirement dangereux, tout ce que google ne contrôle pas est obligatoirement dangereux.

Surtout qu'il y a beaucoup de chose dangereuse sur son store Android quand ce n'est pas le système en lui même.

[nicopulse]

Google ferait mieux de balayer devant sa porte, voir dans sa cuisine... La fragmentation d'Android pose un vaste problème de sécurité, quand ce n'est pas la grosse couche de Google Apps, uniquement conçu pour s'approprier TOUTES vos données personnelles, même celles que vous ignorez produire, que ce soit sur mobile ou sur le web...

[csperandio]

Tout est histoire de définition. Si on qualifie de "Not Secure" toute transmission non cryptée alors pourquoi ne pas l'indiquer ? Et il est vrai qu'une communication en clair pour être sujette à la lecture non autorisée et à la falsification.
Le problème est plutôt de qualifier une connexion de "Secure" sous prétexte qu'elle soit cryptée.