Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Google va masquer les URL dans Chrome 86 pour lutter contre les attaques par hameçonnage
    Google va masquer les URL dans Chrome 86 pour lutter contre les attaques par hameçonnage,
    l'éditeur prévoit un test à grande échelle pour jauger l'utilité de ce mécanisme

    Début 2014, Google semblait vouloir apporter une modification au comportement de son Omnibox, la barre d’adresse qui peut être utilisée à la fois pour effectuer des recherches sur le web (le moteur de recherche par défaut étant paramétrable) ou entrer une URL. En effet, dans la version de Chrome Canary build 36, il était possible d'activer une option permettant de masquer l'URL complète d'un site consulté. Lorsque l'internaute va naviguer au sein des différentes rubriques d'un site, seul le nom de celui-ci va s'afficher dans la barre d'adresse. Par exemple, au lieu de «https://www.developpez.com/actu/3060...communication/ » apparaîtra simplement « developpez.com ». Dans cette mouture, pour accéder à la totalité de l'URL, il suffisait de cliquer le bouton « Origin Chip » sur le nom de domaine. Pour avoir accès à cette option, il était nécessaire d’activer le flag « Enable origin chip in the Omnibox » depuis chrome://flags.

    L’un des objectifs derrière cette manœuvre était de fournir un rempart face aux attaques phishing, une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. L’une des clés du succès de ses attaques réside dans le fait de persuader sa victime qu’elle s’adresse à un site de confiance pour lui soutirer en douce ses renseignements personnels (numéro de carte de crédit, date de naissance, pseudo/MDP …). Avec des URL à rallonge, le navigateur peut tromper l'internaute et ainsi faciliter les tentatives de phishing de sites malveillants

    Mais plusieurs personnes n’ont pas manqué de faire entendre leur voix sur le sujet. Les avis étaient plutôt partagés, même au sein de l’équipe Chrome. Par exemple, Paul Irish a déclaré « J’imagine que cela aidera à défendre contre le hameçonnage » avant de rajouter « mon opinion personnelle est que c’est un très mauvais changement qui représente l’antithèse des objectifs de Chrome. »

    Jake Archibald, un développeur Chrome, a soutenu la fonctionnalité : « trouvez quelqu’un qui ne travaille pas dans un domaine technologique, montrez-lui le site de sa banque, et demandez-lui ce que lui apprend l’URL. Mon expérience m’enseigne que la plupart des utilisateurs ne savent pas quelles parties de l’URL sont les signaux de sécurité. » Par la suite il a affirmé que « les navigateurs ont arrêté d’afficher les pseudonymes/MDP dans les URL parce que ça facilitait le hameçonnage. C’est une progression naturelle .»

    Pourtant, quelques années plus tard, l’entreprise revient de plus belle avec son projet. De nouveaux indicateurs de fonctionnalité sont apparus dans les canaux Dev et Canary de Chrome (V85), qui modifient l'apparence et le comportement des adresses Web dans la barre d'adresse. L'indicateur principal est appelé « Omnibox UI Hide Steady-State URL Path, Query, and Ref » qui masque tout dans l'adresse Web actuelle, à l'exception du nom de domaine.

    Le mécanisme semble sur le point d'être finalisé puisque l'éditeur veut soumettre les utilisateurs de Chrome à un test à grande échelle dans la prochaine version de son navigateur pour découvrir comment les internautes réagissent en voyant simplement le nom de domaine d'un site sans l'URL complète des pages de ce site. Le test sera réalisé sur Chrome 86.

    Dans un billet de blog, l'équipe de sécurité de Chrome a expliqué que :

    « Sur le Web d’aujourd’hui, les URL restent le principal moyen dont se servent les internautes pour déterminer l’identité et l’authenticité d’un site, mais nous savons que les URL souffrent de problèmes d’utilisation. Par exemple : les attaquants peuvent manipuler les URL de multiples façons pour induire les utilisateurs en erreur sur l'identité d'un site Web, ce qui conduit à un hameçonnage effréné, à l'ingénierie sociale et aux escroqueries. Dans une étude, plus de 60 % des utilisateurs ont été trompés lorsqu'un nom de marque trompeur est apparu dans le chemin d'une URL.

    « Différents navigateurs abordent ce défi de plusieurs manières, notamment en affichant uniquement le domaine par défaut ou en mettant en évidence visuellement le domaine enregistrable (la partie ‘la plus significative’ du nom de domaine). Dans Chrome 86, nous allons également expérimenter la façon dont les URL sont affichées dans la barre d'adresse sur les plateformes desktop. Notre objectif est de comprendre, grâce à une utilisation réelle, si l'affichage des URL de cette manière aide les utilisateurs à se rendre compte qu'ils visitent un site Web malveillant et les protège des attaques de phishing et d'ingénierie sociale. »


    Un test dans Chrome 86 montre le nom de domaine par défaut et l'URL complète au survol

    Si vous vous trouvez dans le groupe expérimental et que vous souhaitez afficher l'URL complète d'un site donné, vous avez deux options. Vous pouvez d'abord survoler l'URL et elle se développera complètement. En second lieu, vous pouvez faire un clic droit sur l'URL et choisir « Toujours afficher les URL complètes » dans le menu contextuel ; l'activation de ce paramètre affichera l'URL complète de tous les futurs sites que vous visitez. (Notamment: les appareils enregistrés comme appartenant à des entreprises ne seront pas inclus dans ce test Chrome 86.)


    Source : Google

    Et vous ?

    Que pensez-vous de cette approche ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre à l'essai
    Safari le fait déjà et ça ne gène personne

  3. #3
    Membre expert
    "Dans une étude, plus de 60 % des utilisateurs ont été trompés lorsqu'un nom de marque trompeur est apparu dans le chemin d'une URL"
    J'aimerai bien avoir le détail de cette "étude" parce que je vois pas trop comment on peut se tromper (hors homoglyphe dans le DN, et ce masquage n'y changera rien).

    Perso je ne trouve pas cette fonctionnalité utile (voire gênante dans mon cas) mais si on peut la désactiver, alors grand bien leur fasse.
    Plus je connais de langages, plus j'aime le C.

  4. #4
    Membre averti
    Citation Envoyé par xav-stargate Voir le message
    Safari le fait déjà et ça ne gène personne
    Ce n'est pas comme ça que je l'aurais présenté.

    J'aurais plutôt dit : Apple a imposé ce changement et on a que notre gueule à fermer. D'autant plus que vu le prix qu'on paye, un tel changement est forcément que pour notre bien. Et si ça peut contribuer à nourrir la propagande d'Apple champion de la sécurité, alors toutes les ficelles sont bonnes.

  5. #5
    Membre actif
    @jopopmk, les gens ne sont pas de grands connaisseurs du fonctionnement d'internet.

    La plupart des gens non-connaisseurs ne savent pas lire une url et comprendre de quoi elle est constituée : nom de domaine, top-level-domain, sous-domaine, arguments, extensions,...
    Donc si y a écrit "facebook" ou "credit mutuel" dans l'url ils ne savent pas avec certitude si c'est le bon site, ils supposent et ont des chances de se faire avoir.

    Firefox colore le nom de domaine en foncé pour montrer son importance par rapport au reste de l'url.
    La proposition des Chrome est bien aussi. Et puisqu'on peut désactiver, je trouve ça tout benef.

  6. #6
    Membre expert
    Bonsoir

    Que pensez-vous de cette approche ?
    "L'idée de raccourcir est pas mal" ... mais il y a un "mais" ...

    Citation Envoyé par bk417
    La plupart des gens non-connaisseurs ne savent pas lire une url et comprendre de quoi elle est constituée : nom de domaine, top-level-domain, sous-domaine, arguments, extensions,...
    Donc si y a écrit "facebook" ou "credit mutuel" dans l'url ils ne savent pas avec certitude si c'est le bon site, ils supposent et ont des chances de se faire avoir.

    Firefox colore le nom de domaine en foncé pour montrer son importance par rapport au reste de l'url.
    La proposition des Chrome est bien aussi. Et puisqu'on peut désactiver, je trouve ça tout benef.
    On sais quasiment tout comment fonctionne un numéro de "téléphone" ou une "adresse postale" ...

    > un numéro de téléphone c'est un "code pays" +32 +33 +352 ... , un indicatif régional ou opérateur ou selon le type de ligne (mobile ou fixe) et un numéro d'abonné (02 et 7 chiffres pour Bruxelles, 01 et 8 chiffres pour l'IDF ... )
    > une adresse postale c'est un "pays", un indicatif régional (code département, code région, début d'un code postal ...) , un indicatif de ville (zip , CP ... ) , une ville ou un arrondissement, une rue/un lieu identifiable géographiquement, un numéro de bâtiment

    30 ans après , lire une adresse internet devrait même s'enseigner ... Internet est utilisé par près de 2 terriens sur 3 . Lire une url (du moins le début) , devrait être un B A BA ... comme l'adressage IP ...

    Pas forcement avoir une approche technique , mais avoir une approche pédagogique, éduquer, informer, sensibilier ... Les gens seraient moins naif et cliqueraient aussi moins de manière "mouton".

    Bien peut savent par exemple que leclerc ou Renault ont une forme de pays "virtuel" au même titre que le ".be" ".fr" ".lu" ... avec ".leclerc" ou ".renault"

  7. #7
    Chroniqueur Actualités

    Chrome 86 bêta apporte deux fonctionnalités pour améliorer l'expérience utilisateur et dev sur le focus
    Chrome 86 bêta apporte deux fonctionnalités pour améliorer l'expérience utilisateur et développeur sur le focus,
    ainsi que les métabalises d'économie de batterie

    Pseudo-classe CSS : focus visible et mise en évidence rapide :

    Pour les utilisateurs qui se servent d'un clavier ou d'une technologie d'assistance similaire pour naviguer sur le Web, l'indicateur de mise au point est une valeur visuelle cruciale. Pour améliorer l'expérience utilisateur et développeur sur le focus, Chrome 86 introduit deux fonctionnalités.

    La première est un sélecteur CSS, :focus-visible, qui permet à un développeur d'accepter la même heuristique que le navigateur utilise lorsqu'il décide d'afficher un indicateur de focus par défaut.

    La seconde est un paramètre utilisateur appelé Mise en évidence rapide. Lorsqu'il est activé, ce paramètre fait apparaître un indicateur de mise au point supplémentaire sur l'élément actif. Surtout, cet indicateur sera visible même si la page a désactivé les styles de focus avec CSS et fait en sorte que tout stype :focus et :focus-visible soit toujours affiché.


    API WebHID

    Origin Trial est une approche de Google pour permettre une expérimentation en toute sécurité de fonctionnalités pour la plateforme Web. Elle permet aux développeurs d'essayer de nouvelles API et de donner à la communauté des standards Web leur avis sur la convivialité, la praticabilité et l'efficacité avant qu'une décision finale soit prise sur la conception de l'API, sa normalisation ou son activation par défaut. Les personnes intéressées par l'expérimentation de cette API doivent s’inscrire via un formulaire mis à disposition par Google.

    Si la possibilité d'effectuer des tests sur l'API WebHID sur Origin Trial avait été annoncée pour Chrome 85, cette chronologie a changé.

    Il existe une longue queue de périphériques d'interface humaine (HID - human interface devices) qui sont trop récents, trop anciens ou trop rares pour être accessibles par les pilotes de périphériques des systèmes. L'API WebHID résout ce problème en fournissant un moyen d'implémenter une logique spécifique à l'appareil dans JavaScript.

    Un HID est celui qui prend des entrées ou fournit des sorties aux humains. Des exemples d'appareils incluent les claviers, les dispositifs de pointage (souris, écrans tactiles, etc.) et les manettes de jeu.

    L'incapacité d'accéder à des appareils HID inhabituels est particulièrement douloureuse en ce qui concerne la prise en charge de la manette de jeu. Les entrées et sorties de la manette de jeu ne sont pas bien standardisées et les navigateurs Web nécessitent souvent une logique personnalisée pour des appareils spécifiques. Ceci n'est pas viable et se traduit par une prise en charge médiocre de la longue traîne des appareils plus anciens et peu courants.

    L'équipe Google Chrome travaille sur un billet pour montrer aux développeurs comment utiliser la nouvelle API. En attendant, vous pouvez consulter les démos de quelques ingénieurs. Les tests de cette fonctionnalité pourraient avoir lieu dans Chrome 87 en janvier 2021.

    Nouveautés sur Origin Trial

    Cross-Screen Window Placement

    Ajoute de nouvelles API d'informations d'écran et apporte des améliorations incrémentielles aux API de placement de fenêtres existantes, permettant aux applications Web d'offrir des expériences multiécrans convaincantes.

    La propriété window.screen existante offre une vue limitée de l'espace disponible sur l'écran, tandis que les fonctions de placement de fenêtre sont généralement limitées à l'écran actuel. Cette fonctionnalité déverrouille les capacités multiécrans modernes pour les applications Web.

    Métabalise d'économie de batterie

    Ajoute une méta balise permettant à un site de recommander des mesures à appliquer par l'agent utilisateur afin d'économiser la batterie et d'optimiser l'utilisation du processeur. Les sites Web connus pour leurs coûts élevés de processeur ou de batterie peuvent souhaiter demander à l'UA d'optimiser le processeur ou la batterie, même si l'utilisateur ne l'a pas demandé. La plupart des systèmes d'exploitation modernes ont également des fonctionnalités d'économie de batterie qui s'activent lorsque la batterie est faible ou que l'utilisateur souhaite économiser la batterie. Idéalement, les sites Web doivent pouvoir respecter ces paramètres. Les sites peuvent souhaiter indiquer à l'agent utilisateur quelles stratégies fonctionnent le mieux pour le site dans ces situations.

    Confirmation de paiement sécurisé

    La confirmation de paiement sécurisée augmente l'expérience d'authentification de paiement sur le Web à l'aide de l'API d'authentification Web. La fonctionnalité ajoute un nouveau type d'informations d'identification PaymentCredential à l'API de gestion des informations d'identification, qui permet à une partie de confiance telle qu'une banque de créer un PublicKeyCredential qui peut être interrogé par n'importe quelle origine de commerçant dans le cadre d'un paiement en ligne via l'API de demande de paiement en utilisant le mode de paiement proposé avec confirmation de paiement sécurisé.

    Cette fonctionnalité permet une expérience d'authentification forte, cohérente et à faible friction à l'aide d'authentificateurs de plateforme. Une authentification forte auprès de la banque de l'utilisateur devient une exigence pour les paiements en ligne dans de nombreuses régions, y compris l'Union européenne. La nouvelle fonctionnalité offre une meilleure expérience utilisateur et une sécurité plus forte que les solutions existantes.

    Fonctionnalités Origin Trials désormais disponibles en version stable

    Les fonctionnalités suivantes, précédemment disponibles dans Origine Trials de Chrome, sont désormais activées par défaut.

    Système de fichiers natif

    La nouvelle API Native File System permet aux développeurs de créer des applications Web puissantes qui interagissent avec des fichiers sur l'appareil local de l'utilisateur, tels que des EDI, des éditeurs de photos et de vidéos, des éditeurs de texte, etc. Une fois qu'un utilisateur a accordé l'accès, cette API permet aux applications Web de lire ou d'enregistrer les modifications directement dans les fichiers et dossiers sur l'appareil de l'utilisateur. Il fait tout cela en invoquant les propres boîtes de dialogue d'ouverture et d'enregistrement de la plateforme. L'image ci-dessous montre une page Web appelée à l'aide de la boîte de dialogue ouverte sur Mac.


    Source : Google
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  8. #8
    Membre actif
    C'est standardisé tout ce bazar ou ils sont en train de donner le coup de grâce au web ?

###raw>template_hook.ano_emploi###