IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Google Chrome Discussion :

Google Chrome n'affichera plus les indicateurs de sites Web sécurisés


Sujet :

Google Chrome

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    juin 2016
    Messages
    2 135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 2 135
    Points : 46 021
    Points
    46 021
    Par défaut Google Chrome n'affichera plus les indicateurs de sites Web sécurisés
    Google Chrome n'affichera plus les indicateurs de sites Web sécurisés
    alors que l'entreprise continue ses efforts pour obtenir un Web 100 % HTTPS

    Google continue d'apporter des modifications à la barre d'adresse de Chrome. La société teste une nouvelle fonctionnalité dans Chrome 93 Beta qui n'affichera plus les indicateurs de sites Web sécurisés. Google estime que cela devrait encourager les développeurs à n'utiliser que HTTPS sur leurs sites. Étant le navigateur le plus utilisé dans le monde avec plus de 60 % de parts de marché, cette mise pourrait aider à avoir uniquement des connexions HTTPS à l'avenir. Ce changement intervient aussi quelques mois après que Google a annoncé que la barre d'adresse de Chrome va commencer à utilise le "https://" par défaut.

    Cela fait plusieurs années déjà que Google déploie des efforts concertés pour inciter les sites Web à utiliser uniquement le protocole HTTPS afin d'offrir une expérience de navigation plus sûre. Pour inciter les développeurs Web à n'utiliser que le protocole HTTPS sur leurs sites, le géant de la recherche en ligne a introduit ce protocole comme facteur de classement dans les SERP (Search Engine Result Page). Cela signifie que les développeurs qui n'hébergent pas un site sécurisé ont subi une baisse potentiellement mineure de leur classement dans les résultats de recherche de Google. Cette mesure semble avoir porté ses fruits.

    Nom : up1.png
Affichages : 90981
Taille : 40,0 Ko

    En effet, selon la section "HTTPS encryption on the Web" (Chiffrement HTTPS sur le Web) du rapport de transparence de Google, plus de 90 % de toutes les connexions dans Chrome utilisent actuellement une connexion HTTPS. Pour continuer sur cette lancée, Google a annoncé que Chrome n'indiquera plus si un site que vous visitez est sécurisé, mais seulement si vous visitez un site non sécurisé. En fait, actuellement, lorsque vous visitez un site sécurisé, Google Chrome affiche une petite icône verrouillée indiquant que votre communication avec le site est chiffrée, comme indiqué ci-dessous.

    La plupart des communications entre sites Web étant désormais sécurisées, Google teste actuellement une nouvelle fonctionnalité qui supprime l'icône de verrouillage pour les sites sécurisés. Cette fonctionnalité est expérimentale dans Chrome 93 Beta et Chrome 94 Canary, mais vous pouvez la tester en activant l'indicateur "Omnibox Updated connection security indicators". Lorsque cette fonction est activée, Chrome n'affiche les indicateurs de sécurité que lorsque le site n'est pas sécurisé. Google a toutefois prévu une option pour permettre aux entreprises de le réactiver l'indicateur de sécurité HTTPS.

    Google a ajouté une stratégie d'entreprise pour Chrome 93 appelée "LockIconInAddressBarEnabled" qui peut être utilisée pour réactiver l'icône de verrouillage dans la barre d'adresse. Pour rappel, le HTTPS est un mécanisme qui permet à votre navigateur ou à votre application de se connecter de manière sécurisée à un site Web. C'est l'une des mesures mises en place pour sécuriser votre navigation, ce qui est important, par exemple, lorsque vous vous connectez au site Web de votre banque ou lorsque vous saisissez des informations de carte de paiement dans une boutique en ligne.

    Nom : insecure-sites-shown.jpg
Affichages : 10119
Taille : 7,5 Ko

    Pour ceux qui souhaitent tester la désactivation de la fonctionnalité des indicateurs de sécurité de Chrome, vous pouvez l'activer dans Chrome 93 Beta ou Chrome 94 Canary en suivant ces instructions.

    • saisissez chrome://flags dans la barre d'adresse et appuyez sur la touche Entrée ;
    • recherchez "indicateurs de sécurité" (security indicators) ;
    • lorsque l'indicateur "Omnibox Updated connection security indicators" s'affiche, cliquez sur "Default" et sélectionnez "Enabled" ;
    • relancez ensuite le navigateur lorsque vous y êtes invité.


    Google ne vous indiquera plus si un site est sécurisé et n'affichera un indicateur que lorsque vous visiterez un site non sécurisé. Il est important de noter que Google a annoncé ce changement depuis 2018. « Les utilisateurs doivent s'attendre à ce que le Web soit sécurisé par défaut, et ils seront avertis en cas de problème. Étant donné que nous commencerons bientôt à marquer toutes les pages HTTP comme étant “non sécurisées”, nous supprimerons les indicateurs de sécurité positifs de Chrome afin que l'état non marqué par défaut soit sécurisé », a-t-il déclaré à l'époque.

    Nom : enable-flag.jpg
Affichages : 9442
Taille : 87,3 Ko

    « Chrome va l’implémenter au fil du temps, en commençant par supprimer le libellé "Secure" et le schéma HTTPS en septembre 2018 (Chrome 69) », a ajouté Emily Schechter de Google. Cette approche s'inscrit dans le cadre des efforts de l'entreprise pour tenter de remodeler la barre d'adresse de Chrome. En mars dernier, Google a annoncé que la barre d'adresse de Chrome utilisera désormais "https://" par défaut. Selon l'entreprise, cela devrait permettre d'améliorer la confidentialité et la vitesse de chargement des sites Web prenant en charge ce protocole.

    Puis dans un billet de blogue le mois dernier, Google a indiqué qu'un mode HTTPS-First sera ajouté à Chrome pour empêcher les attaquants d'intercepter ou d'écouter le trafic Web des utilisateurs. « Lorsqu'un navigateur se connecte à des sites Web via HTTPS, les espions et les attaquants sur le réseau ne peuvent pas intercepter ou modifier les données partagées via cette connexion (y compris les informations personnelles ou la page elle-même). Ce niveau de confidentialité et de sécurité est vital pour l'écosystème Web, c'est pourquoi Chrome continue d'investir pour rendre le HTTPS plus largement pris en charge », avait-il expliqué.

    À partir de Chrome 94, le navigateur proposera le mode HTTPS-First, qui tentera de mettre à niveau tous les chargements de page vers HTTPS et affichera un avertissement sur une page entière avant de charger les sites qui ne le prennent pas en charge. Comme pour encourager les internautes, Google explique que « les utilisateurs qui activent ce mode ont l'assurance que Chrome les connecte aux sites via HTTPS dans la mesure du possible et qu'ils verront un avertissement avant de se connecter aux sites via HTTP.

    « Sur la base des commentaires de l'écosystème, nous tenterons à l'avenir de faire du mode HTTPS-First le mode par défaut pour tous les utilisateurs. Mozilla a également partagé son intention de faire du mode HTTPS uniquement l'avenir de la navigation Web dans Firefox », a annoncé l'entreprise. Google fait partie des entités qui ont beaucoup encouragé l'industrie à passer au HTTPS. Nous pouvons citer plusieurs de ses initiatives :

    • en août 2014, l’algorithme de recherche de Google a commencé à utiliser HTTPS comme un critère de classement pour donner un peu plus de poids aux sites utilisant le protocole sécurisé dans ses résultats de recherche. Fin 2015, Google a annoncé que son moteur de recherche a commencé à indexer les pages HTTPS par défaut ;
    • en 2017, sous Chrome 62, Google a commencé à marquer les connexions en HTTP comme étant « non sécurisées ». En août de la même année, les développeurs Web dont les sites étaient toujours en HTTP ont été prévenus par courriel émanant de Google. L'éditeur a tout de même précisé que cela se ferait dans deux situations additionnelles : lorsque les utilisateurs entrent des données sur une page en HTTP (une attention particulière sur les sites où les utilisateurs rentrent des informations sensibles comme des mots de passe ou des numéros de crédit depuis la version 56 du navigateur) et lorsqu’ils visitent des pages HTTP via le mode de « navigation privée ».


    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous du choix de Google de n'afficher un avertissement que si le site Web n'est pas sécurisé ?
    Pensez-vous que l'approche de Google conduira tous les développeurs à adopter les connexions HTPPS ?

    Voir aussi

    Chrome 94 va ajouter le mode HTTPS-First et Google prévoit de remplacer l'icône de cadenas affichée lorsqu'un site se charge via HTTPS, l'éditeur estime qu'il prête à confusion

    Google annonce que la barre d'adresse de Chrome utilisera désormais "https://" par défaut pour améliorer la confidentialité et la vitesse de chargement des sites Web prenant en charge ce protocole

    Chrome ne va plus afficher le label « Sécurisé » pour les connexions HTTPS à compter de septembre 2018
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé Avatar de electroremy
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    juin 2007
    Messages
    769
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : juin 2007
    Messages : 769
    Points : 804
    Points
    804
    Par défaut
    Il ne faut pas oublier que le HTTPS ne sert à rien pour les sites ne gérant pas de données sensibles ou de compte utilisateur

    Par exemple, les nombreux sites avec "seulement" du texte et des images, comme les pages personnelles ou les blogs "à l'ancienne" sans commentaires, mais qui peuvent être de vraies mines d'information.

    Il ne faudrait pas que ces sites soient pénalisés ou qu'il soit impossible d'y accéder
    Quand deux personnes échangent un euro, chacun repart avec un euro.
    Quand deux personnes échangent une idée, chacun repart avec deux idées.

  3. #3
    Membre à l'essai
    Homme Profil pro
    Technicien Help Desk
    Inscrit en
    décembre 2012
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Technicien Help Desk
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2012
    Messages : 13
    Points : 24
    Points
    24
    Par défaut InsecureContentAllowedForUrls / ExplicitlyAllowedNetworkPorts
    Y a deja cette solution pour forcer Chrome a considerer un site "http://" non securise comme "sûr' : en l'ajoutant dans une "white liste" par la base de registre
    ---
    HKLM\Software\Policies\Google\Chrome\InsecureContentAllowedForUrls\1 = http://monintranet/
    HKLM\Software\Policies\Google\Chrome\InsecureContentAllowedForUrls\2 = http://10.8.0.1:10080/
    ---
    Mon entreprise edite un logiciel en mode SaaS dand le Cloud accessible par VPN : on configure Edge ou Chrome en ajoutant la cle de registre InsecureContentAllowedForUrls : plus d'avertissemet de site non securise, ni icone, ni texte
    (Ce logiciel traite des donnees "hautement" sensibles)
    ---
    Ref : https://chromeenterprise.google/poli...AllowedForUrls
    ---
    Il en va de meme si vous voulez autoriser les ports 8080, 10080, ... qui sont desormais bloques
    ---
    HKLM\Software\Policies\Google\Chrome\ExplicitlyAllowedNetworkPorts\1 = 10080

  4. #4
    Membre éclairé Avatar de electroremy
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    juin 2007
    Messages
    769
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : juin 2007
    Messages : 769
    Points : 804
    Points
    804
    Par défaut
    Citation Envoyé par Dji_Pih Voir le message
    Y a deja cette solution pour forcer Chrome a considerer un site "http://" non securise comme "sûr' : en l'ajoutant dans une "white liste" par la base de registre
    Oui c'est possible

    Le problème c'est que c'est à chaque internaute de faire la manipulation, qui n'est d'ailleurs pas possible avec un compte limité...

    Il serait tellement plus simple que les navigateurs ne signalent pas les sites en HTTP qui ne contiennent pas de formulaires (donc qui ne traitent pas de données personnelles)
    Quand deux personnes échangent un euro, chacun repart avec un euro.
    Quand deux personnes échangent une idée, chacun repart avec deux idées.

Discussions similaires

  1. Réponses: 3
    Dernier message: 08/07/2019, 13h09
  2. Réponses: 9
    Dernier message: 12/10/2018, 14h56
  3. Réponses: 0
    Dernier message: 17/12/2017, 12h50
  4. Réponses: 5
    Dernier message: 20/09/2017, 23h42
  5. Google Chrome pourrait éventuellement masquer les URL
    Par Stéphane le calme dans le forum Google Chrome
    Réponses: 14
    Dernier message: 14/05/2014, 19h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo