Un ingénieur de Google veut remplacer les cookies par des jetons HTTP générés et contrôlés par le navigateur
Un ingénieur de Google veut remplacer les cookies par des jetons HTTP générés et contrôlés par le navigateur
pour une meilleure sécurité en ligne
Mike West, membre éminent de l’équipe en charge de la sécurité de Chrome, vient d’énoncer une idée qui semble intéresser plus d'un. En effet, il propose d'abandonner progressivement les codes qui permettent aux sites web de suivre un utilisateur en introduisant un identifiant de session HTTP (jeton) contrôlé par le navigateur et non le par le serveur. Ce jeton sera uniquement disponible pour la couche réseau et généré par le navigateur sur 256 bits. Ce type de cookies ne serait pas disponible pour JavaScript, ce qui pourrait avoir des avantages significatifs en termes de sécurité, notamment en rendant plus difficile l'utilisation de jetons volés pour accéder à un site web en prétendant être quelqu'un d'autre.
« Il ne s’agit pas d’une proposition déjà entièrement pensée et solidement étayée par le sceau d’approbation Google. C'est une collection d'idées pour la discussion, rien de plus, rien de moins », a-t-il précisé. Il soutient que son approche créerait un environnement où le suivi des utilisateurs intégrerait sécurité et confidentialité. Il déplore également la faible et parfois inexistante conformité aux normes pouvant permettre aux cookies actuels d’améliorer leur sécurité.
Alors, bien que l’idée semble intéressante, il faut quand même faire remarquer que les grandes entreprises qui se servent des cookies pour se garantir un accès illimité aux données des utilisateurs ne vont certainement pas accueillir cette proposition les bras ouverts. Il y aurait donc la possibilité de créer plusieurs jetons distincts les uns des autres, de manière à étendre ce dont ces cookies 2.0 seraient capables. Cependant, le revers de la médaille, c’est qu’il finisse par y avoir tellement de jetons qu’on en vienne à faire l’expérience d’un nouveau genre de problème avec nos navigateurs.
La question qui se pose avec cette proposition est de savoir ce qu’il adviendra des milliards de cookies existants dans le cas de figure où tout le monde s’accorde à reconnaître le bien-fondé de la mise en application de cette proposition. A cela, Mike West répond que les internautes pourraient passer lentement et progressivement des cookies auxquels ils sont habitués aux jetons sécurisés. Il ajoute qu’il pourrait même être possible d’exécuter les deux types de cookies en parallèle pendant que les développeurs web migreraient vers les jetons. Et pour clore le processus, la possibilité pourrait être donnée aux développeurs de désactiver complètement et définitivement les cookies actuels de leurs sites pour n’exécuter que les jetons sécurisés.
Mike West a reconnu que même en interne chez Google, son idée avait soulevé de grandes questions dont celle du fonctionnement de ses jetons avec les sous-domaines.
« Google s'appuie fortement sur http://accounts.google.com pour maintenir la connexion entre ses sous-domaines. L’équipe n’est donc pas très convaincue pour des raisons compréhensibles, mais cela est faisable même si ça va demander beaucoup de travail », a-t-il ajouté.
Il a ensuite demandé des avis sur sa proposition afin de se faire une idée de l’accueil qui pourrait être fait à cette mesure si elle était mise en œuvre. Et le moins qu’on puisse dire, c’est que l’idée a reçu un accueil positif. Certains internautes avaient même quelques ajouts à faire pour offrir un contrôle plus poussé à l’utilisateur. Mike West a donc pu constater l’intérêt suscité par sa proposition.
Sources : Compte GitHub de Mike West, Compte Twitter de Mike West
Et vous ?
Que pensez-vous de cette proposition de West ?
Voir aussi
Répondre avec citation
Envoyé par imikado
Partager