Discussion :

[Stéphane le calme]

Chrome 86 : le paramètre "Effacer les cookies et les données du site lorsque vous quittez Chrome" n'est respecté que pour les sites non Google,
Jeff Johnson se demande s'il s'agit d'un bogue ou si le comportement est intentionnel

En début de mois, Google a proposé Chrome 86. Cette version du navigateur est la première à prendre en charge la vérification d’orthographe de Windows. Google semble avoir axé ses mises à jour sur un renforcement des fonctions de sécurité.

Chrome 86 affiche désormais des alertes de sécurité sur les pages HTTPS hébergeant des contenus non sécurisés. Sur Desktop et Android, les utilisateurs verront ainsi une alerte s’afficher lorsqu’ils seront sur le point de soumettre un formulaire n’utilisant pas de connexion HTTPS pour être envoyé. La présence de ces « contenus mixtes » déclenchera également des alertes pour d’autres éléments, comme des liens de téléchargement non sécurisés proposés sur des pages utilisant pourtant le protocole HTTPS.

À ce propos, Google explique : « Les pages HTTPS sécurisées peuvent parfois avoir des fonctionnalités non sécurisées. Plus tôt cette année, Chrome a commencé à sécuriser et bloquer ce qu’on appelle le « contenu mixte », lorsque les pages sécurisées intègrent du contenu non sécurisé. Mais il existe encore d’autres façons pour les pages HTTPS de créer des risques de sécurité pour les utilisateurs, tels que l’offre de téléchargements sur des liens non sécurisés ou l’utilisation de formulaires qui ne soumettent pas de données en toute sécurité. »

Chrome 86 va bloquer ou alerter l’utilisateur dès lors qu’il est sur le point de télécharger un élément non sécurisé depuis une page sécurisée. À terme, les pages en HTTPS seront obligées d’utiliser des liens sécurisés pour proposer des téléchargements, sans quoi Chrome bloquera automatiquement le contenu.

Google a apporté une modification au comportement de son Omnibox, la barre d’adresse qui peut être utilisée à la fois pour effectuer des recherches sur le web (le moteur de recherche par défaut étant paramétrable) ou entrer une URL. Lorsque l'internaute va naviguer au sein des différentes rubriques d'un site, Google envisage de n'afficher que le nom de celui-ci dans la barre d'adresse. Par exemple, au lieu de «https://www.developpez.com/actu/3060...communication/ » apparaîtra simplement « developpez.com ». Bien entendu, il est possible d'ignorer ce comportement en choisissant l'option « Toujours afficher les URL en entier ».

L’un des objectifs derrière cette manœuvre était de fournir un rempart face aux attaques phishing, une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. L’une des clés du succès de ses attaques réside dans le fait de persuader sa victime qu’elle s’adresse à un site de confiance pour lui soutirer en douce ses renseignements personnels (numéro de carte de crédit, date de naissance, pseudo/MDP …). Avec des URL à rallonge, le navigateur peut tromper l'internaute et ainsi faciliter les tentatives de phishing de sites malveillants.

Dans un billet de blog, l'équipe de sécurité de Chrome a expliqué que :

« Sur le Web d’aujourd’hui, les URL restent le principal moyen dont se servent les internautes pour déterminer l’identité et l’authenticité d’un site, mais nous savons que les URL souffrent de problèmes d’utilisation. Par exemple : les attaquants peuvent manipuler les URL de multiples façons pour induire les utilisateurs en erreur sur l'identité d'un site Web, ce qui conduit à un hameçonnage effréné, à l'ingénierie sociale et aux escroqueries. Dans une étude, plus de 60 % des utilisateurs ont été trompés lorsqu'un nom de marque trompeur est apparu dans le chemin d'une URL.

« Différents navigateurs abordent ce défi de plusieurs manières, notamment en affichant uniquement le domaine par défaut ou en mettant en évidence visuellement le domaine enregistrable (la partie ‘la plus significative’ du nom de domaine). Dans Chrome 86, nous allons également expérimenter la façon dont les URL sont affichées dans la barre d'adresse sur les plateformes desktop. Notre objectif est de comprendre, grâce à une utilisation réelle, si l'affichage des URL de cette manière aide les utilisateurs à se rendre compte qu'ils visitent un site Web malveillant et les protège des attaques de phishing et d'ingénierie sociale. »

Sur Android, les utilisateurs pourront désormais profiter de la Navigation sécurisée renforcée que Google a lancée sur desktop en début d’année. Cette fonction offre des options de sécurité avancée à l’utilisateur, notamment concernant la protection contre le phishing, les malwares, les téléchargements et les sites potentiellement malveillants. Pour offrir une protection efficace, Chrome partage en temps réel les données de navigation avec le service Google Safe Browsing, en charge de la détection des menaces en ligne.

Google a également étendu la prise en charge du support DNS chiffré de Chrome, de la version desktop à la version mobile sur Android. Désormais, la navigation web de l’utilisateur transite automatiquement en DNS-over-HTTPS lorsque le fournisseur DNS de l’utilisateur le permet.

Google a aussi fait valoir qu’il allait supprimer prochainement la possibilité pour un site d’utiliser le cache du navigateur pour avoir connaissance des autres sites consultés par l’utilisateur.

Chrome exempte les sites Google du paramètre "Effacer les cookies et les données du site lorsque vous quittez Chrome"

C'est un internaute qui a fait la remarque sur une curieuse « partialité » du navigateur concernant les sites Google. Il explique que « Dans les paramètres "Cookies et données de site" de Google Chrome, accessibles via l'élément de menu Préférences ou directement avec chrome://settings/cookies dans la barre d'adresse, vous pouvez activer le paramètre "Toujours effacer les cookies à la fermeture du navigateur". Cependant, j'ai découvert que Chrome exempte les propres sites de Google, tels que Search et YouTube, de ce paramètre. »

Dans son cas, il a ajouté Twitter à la liste des sites pouvant toujours utiliser des cookies. Lorsqu'il est allé sur le site d'Apple, qui utilise certains cookies et le stockage local, il a obtenu ceci :

« Mes paramètres permettent uniquement à Twitter de conserver les données du site, et vous pouvez voir que toutes les données Apple ont été supprimées après la fermeture et le redémarrage. »

Cette fois-ci, il est allé sur YouTube, qui utilise certains cookies et plusieurs autres types de stockage.

« Après avoir quitté Chrome et relancé le navigateur, les cookies sont supprimés, mais le stockage de la base de données, le stockage local et les Service Workers sont toujours là! (Saviez-vous qu'il existe tant de types de stockage Web différents ?) »

« Chrome respecte le paramètre "Effacer les cookies et les données du site lorsque vous quittez Chrome" pour apple.com mais pas entièrement pour youtube.com. Afin d'empêcher YouTube d'enregistrer des données, vous devez les ajouter à "Sites qui ne peuvent jamais utiliser de cookies". (Notez que l'ajout de YouTube à "Toujours effacer les cookies lorsque les fenêtres sont fermées" n'est pas suffisant.) »

« Je me rends cette fois-ci sur Google Search, qui génère certains cookies et le stockage local. »

« Après la fermeture et le redémarrage, les cookies sont supprimés, mais le stockage local est toujours là! »

« Encore une fois, pour éviter que cela ne se produise, vous devez ajouter google.com aux "Sites qui ne peuvent jamais utiliser de cookies".

« Il ne s'agit peut-être que d'un bogue de Google Chrome, pas d'un comportement intentionnel, mais la question est de savoir pourquoi il n'affecte que les sites Google, pas les sites non Google. J'ai testé avec la dernière version 86.0.4240.75 de Google Chrome pour macOS, mais ce comportement se produisait également dans la version précédente de Chrome. Je ne sais pas quand ça a commencé.

« (Certaines personnes vont lire cet article et dire "Utilise Safari au lieu de Chrome!". Mais il est important de noter que Safari n'a même pas la fonction d'effacer les données du site en cas de fermeture, donc Safari est en fait pire. À cet égard, Safari a des années de retard. Firefox et tous les navigateurs basés sur Chromium effacent déjà les données de sites avec la fonction de fermeture.) »

Source : billet de Jeff Johnson

Et vous ?

Qu'en pensez-vous ? Comportement intentionnel ou bogue ?
Si vous êtes sur Chrome, ce comportement est-il reproductible chez vous ? Sur quelle plateforme ?
Si vous utilisez un autre navigateur, disposez-vous de la fonction vous permettant d'effacer les cookies et données lorsque vous quittez le navigateur ?

Voir aussi :

Google commence l'implémentation de HTTP/3, la dernière version de HTTP, et IETF QUIC, un nouveau protocole de transport en réseau, dans Chrome pour plus performances
Google met un terme à ses extensions payantes sur le Chrome Web Store, quelques mois après avoir décidé d'une suspension de ces extensions
Chrome 86 bêta apporte deux fonctionnalités pour améliorer l'expérience utilisateur et développeur sur le focus, ainsi que les méta-balises d'économie de batterie

[Karadoc]

"Qu'en pensez-vous ? Comportement intentionnel ou bogue ?"
Ahahahahahahahahaha
On parle de Google, quand-même. Ce qui est le plus surprenant, au final, c'est que les services Google ne soient pas masqués de base de cette liste ; il y a comme un semblant de déontologie dans le foutage de gueule général.

[emilie77]

Utiliser Chrome... Pas un bon choix.
Chez moi seulement Firefox et je n'ai aucun probleme avec n'importe quel site web

[transgohan]

Je ne serai pas surpris qu'ils stockent des ressources en local dans ces conteneurs afin que leurs sites soient toujours super rapide au chargement.
Ou après on peut aller plus loin et penser traçage des utilisateurs en effet.

[Aiekick]

pourquoi safari au lieu de chrome ?? firefox vs chrome mais pas safari

[weed]

Je ne crois pas au bug égalament mais plus pour tracer et également optimiser la rapidité de ses propres outils (et ainsi une bonne image par rapport aux concurrents).

Je reste persuadé que pour corriger le "bug " qu'ils ne vont pas les supprimer mais juste les cacher. Cela va être plus compliqué la prochaine fois de déceler

[avion-f16]

Personnellement cela ne me surprend pas, j'avais déjà remarqué une exception pour les sites Google lorsqu'on efface les cookies comme on peut le voir sur la capture ci-jointe.
Je suppose que l'effacement des cookies à la fermeture du navigateur fait appel à la même "fonction" et donc le résultat est le même.

Qu'en pensez-vous ? Comportement intentionnel ou bogue ?

Je pense qu'au vue de cette capture d'écran, c'est intentionnel et le but n'est pas de s'en cacher.
D'ailleurs, ce genre de choses est facilement vérifiable, je ne vois pas ce que Google y gagnerait à le cacher ou le nier.
Je ne serais pas surpris qu'une fois de plus, cette "découverte" se trouve encore dans les conditions d'utilisation de Google.
Je dis "une fois de plus" car souvent, les gens sont surpris d'apprendre ou découvrir des choses sur leur vie privée alors que c'est écrit dans les conditions de Google, Facebook, Instagram, etc.

Si vous êtes sur Chrome, ce comportement est-il reproductible chez vous ? Sur quelle plateforme ?

Je n'ai pas encore eu le temps de tester, mais je pense que le "problème" n'en est pas un, que c'est intentionnel, et donc, reproductible.
Je testerai à l'occasion avec « Ungoogled Chromium », par curiosité

Si vous utilisez un autre navigateur, disposez-vous de la fonction vous permettant d'effacer les cookies et données lorsque vous quittez le navigateur ?

Oui, cette fonctionnalité est présente sur la plupart des navigateurs récents qui veulent offrir une protection de la vie privée.