1 pièce(s) jointe(s)
Un ingénieur de Google veut remplacer les cookies par des jetons HTTP générés et contrôlés par le navigateur
Un ingénieur de Google veut remplacer les cookies par des jetons HTTP générés et contrôlés par le navigateur
pour une meilleure sécurité en ligne
Mike West, membre éminent de l’équipe en charge de la sécurité de Chrome, vient d’énoncer une idée qui semble intéresser plus d'un. En effet, il propose d'abandonner progressivement les codes qui permettent aux sites web de suivre un utilisateur en introduisant un identifiant de session HTTP (jeton) contrôlé par le navigateur et non le par le serveur. Ce jeton sera uniquement disponible pour la couche réseau et généré par le navigateur sur 256 bits. Ce type de cookies ne serait pas disponible pour JavaScript, ce qui pourrait avoir des avantages significatifs en termes de sécurité, notamment en rendant plus difficile l'utilisation de jetons volés pour accéder à un site web en prétendant être quelqu'un d'autre.
« Il ne s’agit pas d’une proposition déjà entièrement pensée et solidement étayée par le sceau d’approbation Google. C'est une collection d'idées pour la discussion, rien de plus, rien de moins », a-t-il précisé. Il soutient que son approche créerait un environnement où le suivi des utilisateurs intégrerait sécurité et confidentialité. Il déplore également la faible et parfois inexistante conformité aux normes pouvant permettre aux cookies actuels d’améliorer leur sécurité.
Alors, bien que l’idée semble intéressante, il faut quand même faire remarquer que les grandes entreprises qui se servent des cookies pour se garantir un accès illimité aux données des utilisateurs ne vont certainement pas accueillir cette proposition les bras ouverts. Il y aurait donc la possibilité de créer plusieurs jetons distincts les uns des autres, de manière à étendre ce dont ces cookies 2.0 seraient capables. Cependant, le revers de la médaille, c’est qu’il finisse par y avoir tellement de jetons qu’on en vienne à faire l’expérience d’un nouveau genre de problème avec nos navigateurs.
La question qui se pose avec cette proposition est de savoir ce qu’il adviendra des milliards de cookies existants dans le cas de figure où tout le monde s’accorde à reconnaître le bien-fondé de la mise en application de cette proposition. A cela, Mike West répond que les internautes pourraient passer lentement et progressivement des cookies auxquels ils sont habitués aux jetons sécurisés. Il ajoute qu’il pourrait même être possible d’exécuter les deux types de cookies en parallèle pendant que les développeurs web migreraient vers les jetons. Et pour clore le processus, la possibilité pourrait être donnée aux développeurs de désactiver complètement et définitivement les cookies actuels de leurs sites pour n’exécuter que les jetons sécurisés.
Mike West a reconnu que même en interne chez Google, son idée avait soulevé de grandes questions dont celle du fonctionnement de ses jetons avec les sous-domaines.
« Google s'appuie fortement sur http://accounts.google.com pour maintenir la connexion entre ses sous-domaines. L’équipe n’est donc pas très convaincue pour des raisons compréhensibles, mais cela est faisable même si ça va demander beaucoup de travail », a-t-il ajouté.
Il a ensuite demandé des avis sur sa proposition afin de se faire une idée de l’accueil qui pourrait être fait à cette mesure si elle était mise en œuvre. Et le moins qu’on puisse dire, c’est que l’idée a reçu un accueil positif. Certains internautes avaient même quelques ajouts à faire pour offrir un contrôle plus poussé à l’utilisateur. Mike West a donc pu constater l’intérêt suscité par sa proposition.
Sources : Compte GitHub de Mike West, Compte Twitter de Mike West
Et vous ?
:fleche: Que pensez-vous de cette proposition de West ?
:fleche: Que proposeriez-vous pour son amélioration ?
:fleche: Son idée pourrait-elle être mise en application selon vous ? Pourquoi ?
Voir aussi
:fleche: Quels sont vos navigateurs web préférés en 2017 ? Pourquoi ?
:fleche: Mozilla lance le projet Firefox Reality, un navigateur Web pour les casques de réalité virtuelle et réalité augmentée autonomes
:fleche: Le créateur du navigateur web Vivaldi appelle Google à revenir à sa devise « Don't be evil » après des expériences qu'il aurait vécues avec la firme
Les cookies ont encore de beaux jours devant eux
Citation:
Envoyé par
phil995511
Les cookies s'installant sur nos machines (qui sont notre propriété privée) que cela nous plaise ou non. Aucuns softs, fichiers, etc ne doit avoir la possibilité de s'installer sur nos machines de la sorte.
Depuis l'application des nouvelles lois de l'EU, on nous informe que des cookies vont êtres utilisés et on nous demande de les accepter sans nous offrir une option de refus de ces cookies. Seul un très faible pourcentage de sites web proposent de les refuser ce qui est franchement immoral.
Vivement la fin des cookies.
Sans cookie sur ton navigateur, tu t'arracherais les cheveux. Ta navigation deviendrait un véritable enfer.
- Sur la plupart des sites, tu serais systématiquement déconnecté malgré tes tentatives de connexions. Le serveur lit au moins un cookie pour savoir si tu dois être connecté/déconnecté. Sans cookie, c'est la déconnexion.
- Tu aurais beau remplir ton panier sur C-Discount, celui-ci serait toujours vide. Le panier est stocké dans un cookie.
- Tes choix sur un site, langue, style, etc., auraient les plus grandes chances de ne pas être conservés, puisque stockés sur cookie.
- Etc, etc, etc...
Les cookies ne sont pas cette chose horrible que beaucoup d'internautes considèrent comme justes bons à pister leur navigation. C'est même une invention géniale !
Après, bien sûr, il y a ceux qui abusent des cookies pour pister les internautes (Google en tête de liste). C'est là qu'il faut penser blocage de cookies, pour les plateformes reconnues comme payées à faire du tracking.
Sinon, sur la plupart des sites, les cookies sont indispensables et rendent de grands services ! (c'était le but à leur invention)
Après, il est de la responsabilité des webmasters de les "marquer" HTTPonly et Secure.
C'est le cas sur mon site, mais très peux de webmasters se sentent concernés par le problème de la sécurisation des cookies qu'ils installent sur les machines de leurs visiteurs/membres. :calim2: