2 pièce(s) jointe(s)
Google va masquer les URL dans Chrome 86 pour lutter contre les attaques par hameçonnage
Google va masquer les URL dans Chrome 86 pour lutter contre les attaques par hameçonnage,
l'éditeur prévoit un test à grande échelle pour jauger l'utilité de ce mécanisme
Début 2014, Google semblait vouloir apporter une modification au comportement de son Omnibox, la barre d’adresse qui peut être utilisée à la fois pour effectuer des recherches sur le web (le moteur de recherche par défaut étant paramétrable) ou entrer une URL. En effet, dans la version de Chrome Canary build 36, il était possible d'activer une option permettant de masquer l'URL complète d'un site consulté. Lorsque l'internaute va naviguer au sein des différentes rubriques d'un site, seul le nom de celui-ci va s'afficher dans la barre d'adresse. Par exemple, au lieu de «https://www.developpez.com/actu/3060...communication/ » apparaîtra simplement « developpez.com ». Dans cette mouture, pour accéder à la totalité de l'URL, il suffisait de cliquer le bouton « Origin Chip » sur le nom de domaine. Pour avoir accès à cette option, il était nécessaire d’activer le flag « Enable origin chip in the Omnibox » depuis chrome://flags.
L’un des objectifs derrière cette manœuvre était de fournir un rempart face aux attaques phishing, une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. L’une des clés du succès de ses attaques réside dans le fait de persuader sa victime qu’elle s’adresse à un site de confiance pour lui soutirer en douce ses renseignements personnels (numéro de carte de crédit, date de naissance, pseudo/MDP …). Avec des URL à rallonge, le navigateur peut tromper l'internaute et ainsi faciliter les tentatives de phishing de sites malveillants
Mais plusieurs personnes n’ont pas manqué de faire entendre leur voix sur le sujet. Les avis étaient plutôt partagés, même au sein de l’équipe Chrome. Par exemple, Paul Irish a déclaré « J’imagine que cela aidera à défendre contre le hameçonnage » avant de rajouter « mon opinion personnelle est que c’est un très mauvais changement qui représente l’antithèse des objectifs de Chrome. »
Jake Archibald, un développeur Chrome, a soutenu la fonctionnalité : « trouvez quelqu’un qui ne travaille pas dans un domaine technologique, montrez-lui le site de sa banque, et demandez-lui ce que lui apprend l’URL. Mon expérience m’enseigne que la plupart des utilisateurs ne savent pas quelles parties de l’URL sont les signaux de sécurité. » Par la suite il a affirmé que « les navigateurs ont arrêté d’afficher les pseudonymes/MDP dans les URL parce que ça facilitait le hameçonnage. C’est une progression naturelle .»
Pourtant, quelques années plus tard, l’entreprise revient de plus belle avec son projet. De nouveaux indicateurs de fonctionnalité sont apparus dans les canaux Dev et Canary de Chrome (V85), qui modifient l'apparence et le comportement des adresses Web dans la barre d'adresse. L'indicateur principal est appelé « Omnibox UI Hide Steady-State URL Path, Query, and Ref » qui masque tout dans l'adresse Web actuelle, à l'exception du nom de domaine.
Le mécanisme semble sur le point d'être finalisé puisque l'éditeur veut soumettre les utilisateurs de Chrome à un test à grande échelle dans la prochaine version de son navigateur pour découvrir comment les internautes réagissent en voyant simplement le nom de domaine d'un site sans l'URL complète des pages de ce site. Le test sera réalisé sur Chrome 86.
Dans un billet de blog, l'équipe de sécurité de Chrome a expliqué que :
« Sur le Web d’aujourd’hui, les URL restent le principal moyen dont se servent les internautes pour déterminer l’identité et l’authenticité d’un site, mais nous savons que les URL souffrent de problèmes d’utilisation. Par exemple : les attaquants peuvent manipuler les URL de multiples façons pour induire les utilisateurs en erreur sur l'identité d'un site Web, ce qui conduit à un hameçonnage effréné, à l'ingénierie sociale et aux escroqueries. Dans une étude, plus de 60 % des utilisateurs ont été trompés lorsqu'un nom de marque trompeur est apparu dans le chemin d'une URL.
« Différents navigateurs abordent ce défi de plusieurs manières, notamment en affichant uniquement le domaine par défaut ou en mettant en évidence visuellement le domaine enregistrable (la partie ‘la plus significative’ du nom de domaine). Dans Chrome 86, nous allons également expérimenter la façon dont les URL sont affichées dans la barre d'adresse sur les plateformes desktop. Notre objectif est de comprendre, grâce à une utilisation réelle, si l'affichage des URL de cette manière aide les utilisateurs à se rendre compte qu'ils visitent un site Web malveillant et les protège des attaques de phishing et d'ingénierie sociale. »
Pièce jointe 577226
Un test dans Chrome 86 montre le nom de domaine par défaut et l'URL complète au survol
Si vous vous trouvez dans le groupe expérimental et que vous souhaitez afficher l'URL complète d'un site donné, vous avez deux options. Vous pouvez d'abord survoler l'URL et elle se développera complètement. En second lieu, vous pouvez faire un clic droit sur l'URL et choisir « Toujours afficher les URL complètes » dans le menu contextuel ; l'activation de ce paramètre affichera l'URL complète de tous les futurs sites que vous visitez. (Notamment: les appareils enregistrés comme appartenant à des entreprises ne seront pas inclus dans ce test Chrome 86.)
Source : Google
Et vous ?
:fleche: Que pensez-vous de cette approche ?
2 pièce(s) jointe(s)
Chrome 86 bêta apporte deux fonctionnalités pour améliorer l'expérience utilisateur et dev sur le focus
Chrome 86 bêta apporte deux fonctionnalités pour améliorer l'expérience utilisateur et développeur sur le focus,
ainsi que les métabalises d'économie de batterie
Pseudo-classe CSS : focus visible et mise en évidence rapide :
Pour les utilisateurs qui se servent d'un clavier ou d'une technologie d'assistance similaire pour naviguer sur le Web, l'indicateur de mise au point est une valeur visuelle cruciale. Pour améliorer l'expérience utilisateur et développeur sur le focus, Chrome 86 introduit deux fonctionnalités.
La première est un sélecteur CSS, :focus-visible, qui permet à un développeur d'accepter la même heuristique que le navigateur utilise lorsqu'il décide d'afficher un indicateur de focus par défaut.
La seconde est un paramètre utilisateur appelé Mise en évidence rapide. Lorsqu'il est activé, ce paramètre fait apparaître un indicateur de mise au point supplémentaire sur l'élément actif. Surtout, cet indicateur sera visible même si la page a désactivé les styles de focus avec CSS et fait en sorte que tout stype :focus et :focus-visible soit toujours affiché.
API WebHID
Origin Trial est une approche de Google pour permettre une expérimentation en toute sécurité de fonctionnalités pour la plateforme Web. Elle permet aux développeurs d'essayer de nouvelles API et de donner à la communauté des standards Web leur avis sur la convivialité, la praticabilité et l'efficacité avant qu'une décision finale soit prise sur la conception de l'API, sa normalisation ou son activation par défaut. Les personnes intéressées par l'expérimentation de cette API doivent s’inscrire via un formulaire mis à disposition par Google.
Si la possibilité d'effectuer des tests sur l'API WebHID sur Origin Trial avait été annoncée pour Chrome 85, cette chronologie a changé.
Il existe une longue queue de périphériques d'interface humaine (HID - human interface devices) qui sont trop récents, trop anciens ou trop rares pour être accessibles par les pilotes de périphériques des systèmes. L'API WebHID résout ce problème en fournissant un moyen d'implémenter une logique spécifique à l'appareil dans JavaScript.
Un HID est celui qui prend des entrées ou fournit des sorties aux humains. Des exemples d'appareils incluent les claviers, les dispositifs de pointage (souris, écrans tactiles, etc.) et les manettes de jeu.
L'incapacité d'accéder à des appareils HID inhabituels est particulièrement douloureuse en ce qui concerne la prise en charge de la manette de jeu. Les entrées et sorties de la manette de jeu ne sont pas bien standardisées et les navigateurs Web nécessitent souvent une logique personnalisée pour des appareils spécifiques. Ceci n'est pas viable et se traduit par une prise en charge médiocre de la longue traîne des appareils plus anciens et peu courants.
L'équipe Google Chrome travaille sur un billet pour montrer aux développeurs comment utiliser la nouvelle API. En attendant, vous pouvez consulter les démos de quelques ingénieurs. Les tests de cette fonctionnalité pourraient avoir lieu dans Chrome 87 en janvier 2021.
Nouveautés sur Origin Trial
Cross-Screen Window Placement
Ajoute de nouvelles API d'informations d'écran et apporte des améliorations incrémentielles aux API de placement de fenêtres existantes, permettant aux applications Web d'offrir des expériences multiécrans convaincantes.
La propriété window.screen existante offre une vue limitée de l'espace disponible sur l'écran, tandis que les fonctions de placement de fenêtre sont généralement limitées à l'écran actuel. Cette fonctionnalité déverrouille les capacités multiécrans modernes pour les applications Web.
Métabalise d'économie de batterie
Ajoute une méta balise permettant à un site de recommander des mesures à appliquer par l'agent utilisateur afin d'économiser la batterie et d'optimiser l'utilisation du processeur. Les sites Web connus pour leurs coûts élevés de processeur ou de batterie peuvent souhaiter demander à l'UA d'optimiser le processeur ou la batterie, même si l'utilisateur ne l'a pas demandé. La plupart des systèmes d'exploitation modernes ont également des fonctionnalités d'économie de batterie qui s'activent lorsque la batterie est faible ou que l'utilisateur souhaite économiser la batterie. Idéalement, les sites Web doivent pouvoir respecter ces paramètres. Les sites peuvent souhaiter indiquer à l'agent utilisateur quelles stratégies fonctionnent le mieux pour le site dans ces situations.
Confirmation de paiement sécurisé
La confirmation de paiement sécurisée augmente l'expérience d'authentification de paiement sur le Web à l'aide de l'API d'authentification Web. La fonctionnalité ajoute un nouveau type d'informations d'identification PaymentCredential à l'API de gestion des informations d'identification, qui permet à une partie de confiance telle qu'une banque de créer un PublicKeyCredential qui peut être interrogé par n'importe quelle origine de commerçant dans le cadre d'un paiement en ligne via l'API de demande de paiement en utilisant le mode de paiement proposé avec confirmation de paiement sécurisé.
Cette fonctionnalité permet une expérience d'authentification forte, cohérente et à faible friction à l'aide d'authentificateurs de plateforme. Une authentification forte auprès de la banque de l'utilisateur devient une exigence pour les paiements en ligne dans de nombreuses régions, y compris l'Union européenne. La nouvelle fonctionnalité offre une meilleure expérience utilisateur et une sécurité plus forte que les solutions existantes.
Fonctionnalités Origin Trials désormais disponibles en version stable
Les fonctionnalités suivantes, précédemment disponibles dans Origine Trials de Chrome, sont désormais activées par défaut.
Système de fichiers natif
La nouvelle API Native File System permet aux développeurs de créer des applications Web puissantes qui interagissent avec des fichiers sur l'appareil local de l'utilisateur, tels que des EDI, des éditeurs de photos et de vidéos, des éditeurs de texte, etc. Une fois qu'un utilisateur a accordé l'accès, cette API permet aux applications Web de lire ou d'enregistrer les modifications directement dans les fichiers et dossiers sur l'appareil de l'utilisateur. Il fait tout cela en invoquant les propres boîtes de dialogue d'ouverture et d'enregistrement de la plateforme. L'image ci-dessous montre une page Web appelée à l'aide de la boîte de dialogue ouverte sur Mac.
Source : Google
