Un ingénieur de Google veut remplacer les cookies par des jetons HTTP générés et contrôlés par le navigateur

Un ingénieur de Google veut remplacer les cookies par des jetons HTTP générés et contrôlés par le navigateur
pour une meilleure sécurité en ligne

Mike West, membre éminent de l’équipe en charge de la sécurité de Chrome, vient d’énoncer une idée qui semble intéresser plus d'un. En effet, il propose d'abandonner progressivement les codes qui permettent aux sites web de suivre un utilisateur en introduisant un identifiant de session HTTP (jeton) contrôlé par le navigateur et non le par le serveur. Ce jeton sera uniquement disponible pour la couche réseau et généré par le navigateur sur 256 bits. Ce type de cookies ne serait pas disponible pour JavaScript, ce qui pourrait avoir des avantages significatifs en termes de sécurité, notamment en rendant plus difficile l'utilisation de jetons volés pour accéder à un site web en prétendant être quelqu'un d'autre.

« Il ne s’agit pas d’une proposition déjà entièrement pensée et solidement étayée par le sceau d’approbation Google. C'est une collection d'idées pour la discussion, rien de plus, rien de moins », a-t-il précisé. Il soutient que son approche créerait un environnement où le suivi des utilisateurs intégrerait sécurité et confidentialité. Il déplore également la faible et parfois inexistante conformité aux normes pouvant permettre aux cookies actuels d’améliorer leur sécurité.

Pièce jointe 405487

Alors, bien que l’idée semble intéressante, il faut quand même faire remarquer que les grandes entreprises qui se servent des cookies pour se garantir un accès illimité aux données des utilisateurs ne vont certainement pas accueillir cette proposition les bras ouverts. Il y aurait donc la possibilité de créer plusieurs jetons distincts les uns des autres, de manière à étendre ce dont ces cookies 2.0 seraient capables. Cependant, le revers de la médaille, c’est qu’il finisse par y avoir tellement de jetons qu’on en vienne à faire l’expérience d’un nouveau genre de problème avec nos navigateurs.

La question qui se pose avec cette proposition est de savoir ce qu’il adviendra des milliards de cookies existants dans le cas de figure où tout le monde s’accorde à reconnaître le bien-fondé de la mise en application de cette proposition. A cela, Mike West répond que les internautes pourraient passer lentement et progressivement des cookies auxquels ils sont habitués aux jetons sécurisés. Il ajoute qu’il pourrait même être possible d’exécuter les deux types de cookies en parallèle pendant que les développeurs web migreraient vers les jetons. Et pour clore le processus, la possibilité pourrait être donnée aux développeurs de désactiver complètement et définitivement les cookies actuels de leurs sites pour n’exécuter que les jetons sécurisés.

Mike West a reconnu que même en interne chez Google, son idée avait soulevé de grandes questions dont celle du fonctionnement de ses jetons avec les sous-domaines.
« Google s'appuie fortement sur http://accounts.google.com pour maintenir la connexion entre ses sous-domaines. L’équipe n’est donc pas très convaincue pour des raisons compréhensibles, mais cela est faisable même si ça va demander beaucoup de travail », a-t-il ajouté.

Il a ensuite demandé des avis sur sa proposition afin de se faire une idée de l’accueil qui pourrait être fait à cette mesure si elle était mise en œuvre. Et le moins qu’on puisse dire, c’est que l’idée a reçu un accueil positif. Certains internautes avaient même quelques ajouts à faire pour offrir un contrôle plus poussé à l’utilisateur. Mike West a donc pu constater l’intérêt suscité par sa proposition.

Sources : Compte GitHub de Mike West, Compte Twitter de Mike West

Et vous ?

:fleche: Que pensez-vous de cette proposition de West ?
:fleche: Que proposeriez-vous pour son amélioration ?
:fleche: Son idée pourrait-elle être mise en application selon vous ? Pourquoi ?

Voir aussi

:fleche: Quels sont vos navigateurs web préférés en 2017 ? Pourquoi ?

:fleche: Mozilla lance le projet Firefox Reality, un navigateur Web pour les casques de réalité virtuelle et réalité augmentée autonomes

:fleche: Le créateur du navigateur web Vivaldi appelle Google à revenir à sa devise « Don't be evil » après des expériences qu'il aurait vécues avec la firme

Intéressant comme idée, à voir comment ça peut être mi en oeuvre, c'est colossal comme projet mine de rien. Ça demande beaucoup de parties prenantes.

Juste pour la précision: on peut au moment ou l'on créé un cookie indiquer qu'il n'est pas accessible via javascript, l'attribut "http only" (en php)
http://php.net/manual/fr/function.se...kie-params.php

Citation:

---

session.cookie_httponly booléen
Marque le cookie pour qu'il ne soit accessible que via le protocole HTTP. Cela signifie que le cookie ne sera pas accessible par les langage de script, comme Javascript. Cette configuration permet de limiter les attaques comme les attaques XSS (bien qu'elle n'est pas supporté par tous les navigateurs).

---

De plus, dans la plupart des sites web, pour une session, on enregistre que l'identifiant de session, les informations "sensibles" sont elle stockées sur le "coté serveur"

Citation:

---

Envoyé par imikado

Juste pour la précision: on peut au moment ou l'on créé un cookie indiquer qu'il n'est pas accessible via javascript, l'attribut "http only" (en php)
http://php.net/manual/fr/function.se...kie-params.php



De plus, dans la plupart des sites web, pour une session, on enregistre que l'identifiant de session, les informations "sensibles" sont elle stockées sur le "coté serveur"

---

Oui, j'ai aussi du mal à comprendre en quoi ça diffère sensiblement d'un jeton de session enregistré dans un cookie :weird:

Les cookies s'installant sur nos machines (qui sont notre propriété privée) que cela nous plaise ou non. Aucuns softs, fichiers, etc ne doit avoir la possibilité de s'installer sur nos machines de la sorte.

Depuis l'application des nouvelles lois de l'EU, on nous informe que des cookies vont êtres utilisés et on nous demande de les accepter sans nous offrir une option de refus de ces cookies. Seul un très faible pourcentage de sites web proposent de les refuser ce qui est franchement immoral.

Vivement la fin des cookies.

Pour information, vous pouvez toujours parametrer la gestion des cookies dans votre navigateur:

• tout refuser
• n'accepter que ceux du domaine visité
• tout accepter

note: on peut faire des listes blanches/noires pour info (tout bloquer sauf et inversement ;)

Citation:

---

Envoyé par phil995511

Les cookies s'installant sur nos machines (qui sont notre propriété privée) que cela nous plaise ou non. Aucuns softs, fichiers, etc ne doit avoir la possibilité de s'installer sur nos machines de la sorte.

Depuis l'application des nouvelles lois de l'EU, on nous informe que des cookies vont êtres utilisés et on nous demande de les accepter sans nous offrir une option de refus de ces cookies. Seul un très faible pourcentage de sites web proposent de les refuser ce qui est franchement immoral.

Vivement la fin des cookies.

---

Pour être rigoureux, un cookie ne s'installe pas vraiment de lui-même, ce n'est pas du code exécutable, mais simplement une clé-valeur dont le navigateur prend l'initiative de le mémoriser ou non, pendant un certain temps (ce qui est configurable, comme indiqué ci-avant).

La fin des cookies ? Bien sûr qu'ils sont souvent abusés, mais pas moins indispensables pour autant dans nombre de cas légitimes : cookies de session, langue sélectionnée, etc.

Pour reprendre les paroles de certains :

Mes machines m'appartiennent et personne d'autre que moi n'a le droit d'y écrire des fichiers, ce quel qu'en soit le contenu. Le traçage de nos habitudes de navigation n'est absolument pas désirable... Pourtant des sociétés comme FB utilisent des cookies permettant le suivi de navigation via les sites web de leurs "partenaires" qui acceptent le login FB comme moyen de s'y authentifier, même chose pour google, etc.

Tout le monde sait qu'on peut refuser tous les cookies, n'accepter que ceux du domaine visité, tout accepter, cela ne change rien au problème. Refuser tous les cookies rend la navigation impossible sur certains sites web car ils ont étés développée pour être dépendants de l'usage des cookies..

D'autres moyens existent pour authentifier une personne, etc, même si il est vraisemblablement confortable pour certains développeurs de les utiliser.

Le cookie est l'équivalent d'un fichier texte de petite taille, stocké sur le terminal de l'internaute. Existant depuis les années 1990, ils permettent aux développeurs de sites web de conserver des données utilisateur afin de faciliter la navigation et de permettre certaines fonctionnalités. Les cookies ont toujours été plus ou moins controversés car contenant des informations personnelles résiduelles pouvant potentiellement être exploitées par des tiers. https://fr.wikipedia.org/wiki/Cookie_(informatique)

Citation:

---

Envoyé par phil995511

Les cookies s'installant sur nos machines (qui sont notre propriété privée) que cela nous plaise ou non. Aucuns softs, fichiers, etc ne doit avoir la possibilité de s'installer sur nos machines de la sorte.

Depuis l'application des nouvelles lois de l'EU, on nous informe que des cookies vont êtres utilisés et on nous demande de les accepter sans nous offrir une option de refus de ces cookies. Seul un très faible pourcentage de sites web proposent de les refuser ce qui est franchement immoral.

Vivement la fin des cookies.

---

Sans cookie sur ton navigateur, tu t'arracherais les cheveux. Ta navigation deviendrait un véritable enfer.

• Sur la plupart des sites, tu serais systématiquement déconnecté malgré tes tentatives de connexions. Le serveur lit au moins un cookie pour savoir si tu dois être connecté/déconnecté. Sans cookie, c'est la déconnexion.
• Tu aurais beau remplir ton panier sur C-Discount, celui-ci serait toujours vide. Le panier est stocké dans un cookie.
• Tes choix sur un site, langue, style, etc., auraient les plus grandes chances de ne pas être conservés, puisque stockés sur cookie.
• Etc, etc, etc...

Les cookies ne sont pas cette chose horrible que beaucoup d'internautes considèrent comme justes bons à pister leur navigation. C'est même une invention géniale !
Après, bien sûr, il y a ceux qui abusent des cookies pour pister les internautes (Google en tête de liste). C'est là qu'il faut penser blocage de cookies, pour les plateformes reconnues comme payées à faire du tracking.

Sinon, sur la plupart des sites, les cookies sont indispensables et rendent de grands services ! (c'était le but à leur invention)

Après, il est de la responsabilité des webmasters de les "marquer" HTTPonly et Secure.
C'est le cas sur mon site, mais très peux de webmasters se sentent concernés par le problème de la sécurisation des cookies qu'ils installent sur les machines de leurs visiteurs/membres. :calim2: