Chrome déploie une technologie de deep-linking dans la dernière version de son navigateur,
Malgré les problèmes de confidentialité
Google a publié plus tôt ce mois Chrome 80, la dernière version de son navigateur Web populaire pour les utilisateurs de Windows, Mac, Linux, Android et iOS, avec beaucoup de changements. Mais l’un des changements pourrait donner à des utilisateurs une raison d’envisager de basculer vers un autre navigateur. En effet, Google aurait livré Chrome 80 avec une fonctionnalité de navigateur appelée ScrollToTextFragment qui permet d'établir des liens profonds vers des documents Web, malgré des problèmes de confidentialité non résolus relatifs à la spécification et en dépit du manque de soutien de la part d'autres fabricants de navigateurs.
Dans un post publié mardi dernier sur Twitter, Peter Snyder, chercheur en matière de vie privée chez le fabricant de navigateurs Brave Software, a fait connaitre cette information. Ce qui signifie que cette fonctionnalité est active sur des millions d’appareils qui sont déjà passés à Chrome 80, malgré les problèmes de vie privée qui ont été soulevés. Snyder a écrit dans son tweet : « Imposer des fuites de sécurité et de confidentialité aux sites existants (dont beaucoup ne seront jamais mis à jour) devrait VRAIMENT être un "ne pas casser le Web", ne jamais franchir la ligne rouge. C'est ce que fait cette spécification ».
La fonctionnalité ScrollToTextFragment peut être très utile notamment si vous utilisez un moteur de recherche pour partager des liens très spécifiques et offrir aux utilisateurs une navigation plus précise vers des parties de pages web. Le problème est qu'elle peut également être exploitée à mauvais escient. Le débat sur cette fonctionnalité date de l’année dernière et a repris en octobre lorsque l'équipe travaillant sur la bibliothèque logicielle Blink de Chrome a déclaré son intention de mettre en œuvre la spécification, qui a fait son chemin en mode expérimental l’an dernier.
ScrollToTextFragment est apparu en décembre, mais n'était pas actif par défaut. Il est apparu à la suite de quatre révisions de code connues sous le nom de LGTM, ou Looks Good To Me. Trois de ses quatre approbateurs travaillent pour Google, a rapporté Forbes. Et le déploiement de cette fonctionnalité illustre le fait que le processus de normalisation du Web basé sur le consensus ne fait pas beaucoup pour empêche qu’une telle technologie soit déployée dans un navigateur populaire.
Comment la fonctionnalité pourrait être intrusive pour la vie privée, et comment Google en est-il arrivé là ?
Comme déjà mentionné plus haut, ScrollToTextFragment permet d’offrir une navigation plus précise vers les endroits spécifiques dans des pages Web. Le HTML possède déjà un élément d'ancrage qui, lorsqu'il est ajouté à un lien, conduit le visiteur du site web à la page Web correspondante et au texte spécifique marqué par l'ancre. Seulement qu’une ancre doit être créée par l'auteur de la page web. Par contre, ScrollToTextFragment ne nécessite pas de déclaration préalable. Il peut être créé par toute personne fournissant ou entrant un lien, comme un moteur de recherche et toute personne partageant un lien.
Selon Google, qui a rapporté la nouvelle, la version simple de la fonctionnalité est qu'elle permet à Google d'indexer des sites Web et de partager des liens jusqu'à un seul mot de texte et sa position sur la page. Pour ce faire, il crée ses propres ancres au texte en utilisant le format : #:~:texte=[préfixe-,]texteDébut[,texteFin][,-suffixe]) et ne nécessite pas l'autorisation de l'auteur de la page web pour ce faire. Voici un exemple inoffensif donné par Google sur sa plateforme Chrome Status :
"[https://en.wikipedia.org/wiki/Cat#:~:text=Sur les îles, les oiseaux peuvent représenter jusqu'à 60 % du régime alimentaire d'un chat], qui charge la page pour chat, met en évidence le texte spécifié et y fait défiler directement ». « Le hachage de l'URL repose sur le fait que les auteurs annotent leur page et devinent correctement tous les points qui pourraient être intéressants pour un utilisateur. Cette fonctionnalité permettra au créateur de liens de spécifier quelle partie de la page est intéressante, sans se fier aux annotations de l'auteur », lit-on.
Snyder avait déjà fait part de ses inquiétudes à ce sujet en décembre dernier dans un article de GitHub, notant que ce système semble permettre certaines attaques contre la vie privée en exposant de nouveaux types d'informations à de nouveaux types d'observateurs. Il a écrit ceci en décembre : « Imaginez une situation où je pourrais voir le trafic DNS (par exemple le réseau de l'entreprise), et où j'enverrais un lien vers le portail de santé de l'entreprise, avec #:~:text=cancer. Sur certaines mises en page, je pourrais être en mesure de dire si l'employé a un cancer en recherchant les ressources demandées en bas de page ».
La position douteuse des autres fabricants de navigateurs sur la mise en œuvre de la spécification
La fonctionnalité ScrollToTextFragment peut être idéale pour Google, car cela permet à la technologie d'évoluer. Mais ses innovations unilatérales ont tendance à devenir des obligations pour les concurrents, surtout si les développeurs web les adoptent, étant donné que Chrome domine le marché des navigateurs. Dans un courrier adressé à un magazine, Synder a écrit :
« Je pense que Google a beaucoup plus de pouvoir sur les normes Web que n'importe quelle autre partie, entre autres parce qu'il sait que d'autres navigateurs devront mettre en œuvre des fonctionnalités non standard de Google, ou arrondir les protections de la vie privée vers le bas pour répondre à la mise en œuvre de Google par souci de compatibilité Web ». « Certains navigateurs sont suffisamment grands pour qu'ils puissent parfois dire non à des moments importants (Apple en particulier, d'autres moins souvent), mais Google met largement en place le web vers lequel tous les autres doivent se pencher ou s'éloigner », a-t-il ajouté.
Mozilla s'est montré tout aussi douteux quant aux spécifications actuelles. David Baron, ingénieur principal chez Mozilla, fabricant de Firefox, a également mis en garde contre le développement de ScrollToTextFragment : « Mon opinion de haut niveau est que c'est une caractéristique vraiment précieuse, mais il se peut aussi que toutes les solutions possibles comportent des problèmes majeurs. Je pense donc que la question à laquelle nous devrions réfléchir est de savoir comment les problèmes de la solution choisie ici se comparent aux problèmes des autres options et comment ils se comparent à la valeur de l'élément ».
Bokan a également dit dans un post sur Github mardi dernier que la société travaillera sur une option opt-in, tout en admettant qu'il existe certains risques, mais que les gens peuvent différer sur leur gravité. Toutefois, la question est de savoir combien d’utilisateurs sauront même que ScrollToTextFragment existe ? Les ingénieurs de Google n'ont pas, eux-mêmes, ignoré les inquiétudes concernant les risques de sécurité et de confidentialité, qu’ils ont évoqués dans un document.
Google est critiqué pour son déploiement controversé de ScrollToTextFragment dans Chrome 80, mais la société a maintenant franchi deux étapes importantes pour améliorer sa transparence vis-à-vis des utilisateurs. Tout d’abord, la société modifie ses conditions d'utilisation de Chrome pour une "meilleure lisibilité" et une "meilleure communication" avec un langage plus clair et des notifications lorsque des changements sont effectués indiquant où et pourquoi, d’après un article de 9to5google publié vendredi. Ensuite, le site de nouvelles concernant Chrome et Chromebooks ChromeStory a repéré un nouveau commit de code dans Chrome qui donnera aux utilisateurs plus de choix sur la façon dont leurs mots de passe sont stockés.
Google publie un avertissement de sécurité concernant le navigateur Edge de Microsoft, alors qu’il est sous pression pour des problèmes de confidentialité liés à son navigateur
Alors que Google est sous pression pour son utilisation controversée de ScrollToTextFragment dans Chrome 80, la société fait peur aux utilisateurs de Microsoft Edge basés Chromium avec un avertissement de sécurité. Le site Windows Latest a rapporté jeudi que, selon Google, bien que techniquement compatible, l'installation des extensions Chrome sur Edge entraîne des vulnérabilités de sécurité. Selon le site Web, Google a une fois de plus abusé des user-agent pour afficher un avertissement de sécurité lorsque la boutique en ligne de Chrome est accessible depuis Edge. Il semble que Google ait discrètement mis en place un reniflement user-agent sur la boutique en ligne qui cible spécifiquement le nouveau navigateur de Microsoft, d’après le site.
Après que Microsoft ait abandonné sa propre plateforme de navigation web pour Chromium, la compatibilité d'Edge s'est améliorée de façon mesurable après le changement, mais les services de Google continuent de cibler Edge avec des avertissements effrayants. Selon le Windows Latest, il n’y avait aucun rapport publié sur des compromissions de sécurité liées à l'utilisation d'Edge avec les extensions Chrome, y compris de la part de Microsoft lui-même, et l'avertissement de Google n'affecte pas réellement la capacité d'Edge à utiliser et à exécuter les extensions Chrome en toute sécurité.
Reste donc à voir s'il existe un risque réel ou s'il s'agit d'une tactique de peur de la part de Google, qui cherche à protéger sa position sur le marché contre le nouveau navigateur ambitieux de Microsoft. Reste également à savoir si les gens renonceraient à Chrome à cause d’une fonctionnalité qui affecte leur vie privée.
Source : Tweet, Github, Windows Latest, 9to5google
Et vous ?
Qu’en pensez-vous ?
Pensez-vous que les utilisateurs renonceraient à Chrome à cause d’une fonctionnalité qui affecte leur vie privée ?
Avez-vous remarqué un problème de sécurité dans Microsoft Edge ?
Lire aussi
Chrome pourrait vous permettre de partager un lien vers un mot ou une phrase spécifique sur une page Web, la fonctionnalité est en mode expérimental
Google prévoit de déprécier et bloquer la chaîne User-Agent sur Chrome pour la remplacer par une alternative, qui fournira moins d'informations aux serveurs
Chrome 80 est disponible avec un contenu mixte mis à jour automatiquement en HTTPS, des modifications de cookies, une API de sélection de contacts, et bien d'autres changements
Chrome 79 est disponible avec le gel des onglets, le blocage par défaut des « subresources » non sécurisées HTTP sur les pages HTTPS, et d'autres fonctionnalités
Partager