IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Google Chrome Discussion :

Chrome 84 va bloquer les téléchargements « non sécurisés » lancés depuis les pages en HTTPS


Sujet :

Google Chrome

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 932
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 932
    Points : 206 971
    Points
    206 971
    Par défaut Chrome 84 va bloquer les téléchargements « non sécurisés » lancés depuis les pages en HTTPS
    Google Chrome va bloquer les téléchargements « non sécurisés » lancés depuis les pages en HTTPS dès Chrome 84,
    dont la sortie est prévue pour août 2020

    Google a révélé son intention d'avertir initialement les utilisateurs de Chrome des téléchargements « non sécurisés » et de les bloquer définitivement. C'est Joe DeBlasio, de l'équipe de sécurité de Chrome, qui s'est chargé de l'annonce :

    « Aujourd'hui, nous annonçons que Chrome s'assurera progressivement que les pages sécurisées (HTTPS) téléchargent uniquement des fichiers sécurisés. Dans une série d'étapes décrites ci-dessous, nous allons commencer à bloquer les "téléchargements de contenu mixte" (les téléchargements non HTTPS ont commencé sur des pages sécurisées). Cette décision fait suite à un plan que nous avons annoncé l'année dernière pour commencer à bloquer toutes les sous-ressources non sécurisées sur les pages sécurisées ».

    Et d'expliquer que les fichiers téléchargés de façon non sécurisée constituent un risque pour la sécurité et la confidentialité des utilisateurs. Par exemple, des programmes téléchargés de façon non sécurisée peuvent être échangés contre des logiciels malveillants par des attaquants, et il peut même être possible de lire les relevés bancaires des utilisateurs qui les ont téléchargés de façon non sécurisée. Pour faire face à ces risques, Google prévoit de supprimer la prise en charge des téléchargements non sécurisés dans Chrome : « Dans un premier temps, nous nous concentrons sur les téléchargements non sécurisés démarrés sur des pages sécurisées. Ces cas sont particulièrement préoccupants, car Chrome ne donne actuellement aucune indication à l'utilisateur que leur vie privée et leur sécurité sont menacées ».

    Ainsi, à partir de Chrome 82 (qui sera publié en avril 2020), Chrome va commencer progressivement à avertir et à bloquer par la suite ces téléchargements de contenu mixte. Les types de fichiers qui présentent le plus de risques pour les utilisateurs (par exemple, les exécutables) seront affectés en premier, les versions ultérieures de Chrome couvrant davantage de types de fichiers. Ce déploiement progressif est conçu pour atténuer rapidement les pires risques, donner aux développeurs la possibilité de mettre à jour les sites et minimiser le nombre d'avertissements que les utilisateurs de Chrome doivent voir.

    Google prévoit de déployer des restrictions sur les téléchargements de contenus mixtes sur les plateformes desktop (Windows, macOS, Chrome OS et Linux) en premier. Sa feuille de route pour les plateformes desktop est la suivante :
    • Dans Chrome 81 (qui sortira en mars 2020) et les versions ultérieures:
      • Chrome affichera un message d'avertissement sur tous les téléchargements de contenu mixte.
    • Dans Chrome 82 (qui sortira en avril 2020):
      • Chrome va avertir dans des situations de téléchargements de contenu mixte d'exécutables (par exemple .exe).
    • Dans Chrome 83 (qui sortira en juin 2020):
      • Chrome va bloquer les exécutables à contenu mixte ;
      • Chrome va lancer un avertissement en cas de tentative de téléchargement d'archives de contenu mixte (.zip) et d'images de disque (.iso).
    • Dans Chrome 84 (qui sortira en août 2020):
      • Chrome va bloquer les exécutables, les archives et les images de disque à contenu mixte ;
      • Chrome va mettre en garde contre tous les autres téléchargements de contenu mixte, à l'exception des formats d'image, audio, vidéo et texte.
    • Dans Chrome 85 (qui sortira en septembre 2020):
      • Chrome va avertir en cas de tentative de téléchargements de contenu mixte d'images, d'audio, de vidéo et de texte ;
      • Chrome va bloquer tous les autres téléchargements de contenu mixte.
    • Dans Chrome 86 (sorti en octobre 2020) et au-delà, Chrome va bloquer tous les téléchargements de contenu mixte.

    Nom : chrome.png
Affichages : 3009
Taille : 46,7 Ko

    Chrome va retarder le déploiement pour les utilisateurs d'Android et iOS d'une version, ce qui implique que les avertissements seront déclenchés dans Chrome 83. Selon l'ingénieur, les plateformes mobiles ont une meilleure protection native contre les fichiers malveillants, et ce délai donnera aux développeurs une longueur d'avance vers la mise à jour de leurs sites avant d'avoir un impact sur les utilisateurs mobiles.

    Les développeurs peuvent empêcher les utilisateurs de voir un avertissement de téléchargement en s'assurant que les téléchargements utilisent uniquement HTTPS. Dans la version actuelle de Chrome Canary, ou dans Chrome 81 une fois publiée, les développeurs peuvent activer un avertissement sur tous les téléchargements de contenu mixte à des fins de tests en activant l'indicateur Traiter les téléchargements risqués sur des connexions non sécurisées comme du contenu mixte actif à cette adresse.

    Les clients Entreprises et Éducation peuvent désactiver le blocage site par site via la stratégie InsecureContentAllowedForUrls existante en ajoutant un modèle correspondant à la page demandant le téléchargement.

    Nom : exemple.png
Affichages : 1979
Taille : 9,2 Ko
    Exemple d'un avertissement potentiel

    Et DeBlasio de conclure en disant : « À l'avenir, nous prévoyons de restreindre davantage les téléchargements non sécurisés dans Chrome. Nous encourageons les développeurs à migrer entièrement vers HTTPS pour éviter de futures restrictions et protéger pleinement leurs utilisateurs ».

    Source : Google

    Et vous ?

    Que pensez-vous de cette décision de Google ?

  2. #2
    Membre expérimenté
    Homme Profil pro
    bricoleur par les mots
    Inscrit en
    Avril 2015
    Messages
    726
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 79
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : bricoleur par les mots
    Secteur : Distribution

    Informations forums :
    Inscription : Avril 2015
    Messages : 726
    Points : 1 631
    Points
    1 631
    Par défaut
    et bientôt ils vont m'interdire de fumer et boire de l'alcool

  3. #3
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    Juillet 2013
    Messages
    584
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Juillet 2013
    Messages : 584
    Points : 1 615
    Points
    1 615
    Par défaut
    Bonne idée.
    Ça risque de causer pas mal d'effets de bord au début, mais les admins des sites finiront par fixer les liens et ça sera réglé.
    C'est vrai que les attaques MITM ne sont pas légions, mais elles peuvent faire mal

  4. #4
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Citation Envoyé par SkyZoThreaD Voir le message
    Bonne idée.
    Ça risque de causer pas mal d'effets de bord au début, mais les admins des sites finiront par fixer les liens et ça sera réglé.
    C'est vrai que les attaques MITM ne sont pas légions, mais elles peuvent faire mal
    +1. C'est le meilleurs moyen malheureusement pour forcer les directions informatique à passer les sites en HTTPS à jour, virer les mix content, etc. Je m'en sers au quotidien comme argument: "Soit vous corrigez, soit dans 2 mois vos clients verront une alerte de sécurité en allant sur votre site". En générale, dès qu'il est question d'image ça calme.

Discussions similaires

  1. Réponses: 3
    Dernier message: 08/07/2019, 12h09
  2. Réponses: 0
    Dernier message: 13/03/2019, 15h14
  3. Réponses: 1
    Dernier message: 24/03/2015, 16h06
  4. Réponses: 6
    Dernier message: 18/12/2014, 10h10
  5. [WS 2003] Bloquer les sites en "https"..
    Par kubuntu_user dans le forum Windows Serveur
    Réponses: 2
    Dernier message: 29/07/2009, 09h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo