3 pièce(s) jointe(s)
Chrome 76 débarque avec Flash bloqué par défaut, un mode incognito non détecté par les sites web
Chrome 76 : Google va empêcher les sites Web d'actualité de détecter le mode incognito
pour protéger la navigation privée dans son navigateur
Si vous êtes utilisateur averti de Google Chrome, vous avez peut-être déjà remarqué que certains sites Web que vous visitez, souvent informatifs, vous empêchent d’accéder au contenu désiré lorsque vous êtes en mode navigation privée. Ces sites Web, a expliqué Google, exploitent une faille de l’API FileSystem pour détecter si vous visitez leurs plateformes en mode navigation privée ou non. Pour mettre fin à cela, Google a annoncé cette semaine qu’à partir de la version 76 de Google Chrome, il renforcera la sécurité de la navigation privée de son navigateur. Les sites Web ne pourront donc plus détecter le type de votre navigation.
La navigation privée est présente dans tous les navigateurs modernes. Ce mode aide les utilisateurs à éviter les cookies indésirables et les suivis dynamiques, mais il est également utile pour lire des articles sur les sites Web de journaux, car certains d'entre eux limitent le nombre d'articles gratuits par jour aux utilisateurs ou bloquent simplement l'accès s'ils sont ouverts en mode de navigation privée. Pour continuer à garantir à ses utilisateurs une bonne expérience de navigation privée, Google a annoncé cette semaine que Chrome 76 supprimera une échappatoire que les sites Web utilisent pour détecter le moment où les utilisateurs utilisent le mode incognito du navigateur.
Comment fonctionne le mode incognito de Google Chrome ?
« Le mode incognito de Chrome repose sur le principe que vous devez avoir le choix de naviguer sur le Web en privé. À la fin du mois de juillet, Chrome remédiera à une faille permettant aux sites de détecter les internautes en mode de navigation privée. Nous souhaitons que vous puissiez accéder au Web en privé, avec l’assurance que votre choix de le faire est également privé. Ces principes sont conformes aux normes Web émergentes pour les modes de navigation privée. Cela affectera certains éditeurs qui ont utilisé cette échappatoire pour dissuader le contournement des compteurs de paiement. Nous voudrions donc expliquer le contexte et le contexte du changement », a écrit Google dans un billet de blog en date de ce jeudi.
Comment certains sites Web parviennent-ils à contourner le mode incognito de Google Chrome ?
Les faits ont révélé qu’au cours de ces deux dernières années, certains sites Web ont exploité une vulnérabilité de l’API FileSystem pour empêcher les internautes de lire des articles lorsque ces derniers utilisent le mode de navigation privée d'un navigateur, afin de maintenir inviolés leurs paywalls. Par exemple, le Boston Globe a commencé à le faire en 2017, en obligeant les utilisateurs à se connecter à des comptes d'abonnés payants pour pouvoir lire en mode privé. Le New York Times, le Los Angeles Times et d'autres journaux imposent des restrictions identiques. Cependant, avec la sortie de Chrome 76 (actuellement en bêta) prévue pour le 30 juillet, le comportement de l'API FileSystem sera modifié pour remédier à cette méthode de détection du mode incognito.
Selon les explications fournies par Google dans son billet avant Chrome 74, un grand nombre de sites Web utilisaient un bogue pour détecter si un utilisateur visitait le site Web en mode navigation privée. Les sites Web devaient simplement essayer d'utiliser l’API FileSystem qui sert à stocker des fichiers temporaires ou permanents. Cette API était désactivée dans le mode incognito, mais était présente dans le mode non incognito. Cela créait donc une différence d’état qui est exploitée pour détecter si un utilisateur naviguait sur un site Web utilisant le mode incognito et les empêcher de visualiser le contenu du site.
Google a déjà essayé de résoudre le problème dans Chrome 74 en vain
Selon Vikas Mishra, doctorant travaillant sur la sécurité Web et la confidentialité, Google a essayé de résoudre le problème, mais a échoué. D’après ses explications, Google a tenté une approche pour essayer de supprimer la vulnérabilité. L’entreprise a lancé une nouvelle option (accessible par le tag : #enable-filesystem-in-incognito) dans Chrome 74 qui bloque cette détection. Leur solution consiste à créer un système de fichiers virtuel en utilisant la RAM en mode de navigation privée. La protection fonctionne bien contre la première méthode de détection utilisée par les fournisseurs de contenu. Elle a donc été intégrée à Chrome 74. Mais très vite, les sites Web ont su trouver une autre alternative pour détecter la navigation en mode incognito. La protection introduite par Google n'a pas été suffisante et donc il est toujours possible de détecter le mode incognito, rendant ainsi la protection actuelle inefficace.
Selon Vikas Mishra, à partir de Chrome 74, les sites Web ont commencé à utiliser une vulnérabilité de l’API Quota Management. Vikas Mishra dit avoir découvert un effet secondaire qui permettait de détecter le mode incognito même avec cette protection activée. Cette API gère le quota attribué TEMPORARY et PERSISTENT, les ressources de stockage disponibles pour les applications et les sites Web du navigateur. Il existe deux types de stockage disponibles pour les sites et les applications Web : TEMPORARY et PERSISTENT. Le stockage TEMPORARY, comme son nom l'indique, est temporaire et il peut être utilisé sans demander de quota et est partagé par tous les sites Web exécutés sur le navigateur.
Il a remarqué que les principales différences dans les quotas de stockage TEMPORARY entre le mode incognito et le mode non-incognito sont les suivantes : dans le cas du mode incognito, il existe une limite stricte de 120MB, ce qui n'est pas le cas pour la fenêtre non incognito. Et il est clair, dit-il, que pour que le quota de stockage temporaire soit inférieur à 120 Mo en cas de mode non incognito, le stockage de l'appareil doit être inférieur à 2,4 Go. Cependant, pour des raisons pratiques, il est prudent de supposer que la majorité des périphériques actuellement utilisés disposent de plus de 2,4 Go de stockage. En utilisant ces informations, il devient facile de savoir si oui ou non l’utilisateur est en mode incognito.
Google apporte une solution plus complète à partir de Chrome 76
Suivant le raisonnement de Vikas Mishra, cela signifie que si le quota de stockage temporaire est inférieur ou égal à 120 Mo, on peut être sûr de dire que c'est une fenêtre de navigation privée. Google a donc annoncé que cela ne sera plus d’actualité après la sortie de Chrome 76. Cela dit, Google a prévenu que ceci affectera les paywalls des éditeurs. L’entreprise a expliqué que la modification affectera les sites qui utilisent l’API FileSystem pour intercepter les sessions en mode incognito et demandent aux utilisateurs de se connecter ou de passer en mode de navigation normal, en supposant que ces personnes tentent de contourner les paywalls mesurés.
« Avec la sortie de Chrome 76 prévue pour le 30 juillet prochain, le comportement de l'API FileSystem sera modifié pour remédier à cette méthode de détection du mode incognito. De même, Chrome travaillera pour remédier à tout autre moyen actuel ou futur de détection du mode incognito », a annoncé Google. Contrairement aux murs de paiement ou aux murs d’enregistrement, qui obligent les utilisateurs à se connecter pour visualiser tout contenu, les compteurs offrent un certain nombre d’articles gratuits avant de se connecter. Ce modèle est intrinsèquement poreux, car il repose sur la capacité du site à suivre le nombre d’articles consultés par une personne, généralement à l'aide de cookies.
Les sites d'actualités ne pourront plus détecter le mode Incognito à partir de Chrome 76
Les modes de navigation privée sont l'une des nombreuses tactiques utilisées par les utilisateurs pour gérer leurs cookies et ainsi réinitialiser le nombre de compteurs. Google a indiqué que les sites d'actualité comme The New York Times par exemple qui souhaitent empêcher le contournement des compteurs peuvent réduire le nombre d'articles gratuits qu'une personne peut consulter avant de se connecter, mais ne pourront plus se baser sur le mode Incognito. Google leur propose aussi des options comme l’obligation d'une inscription gratuite pour afficher tout contenu ou le renforcement de leur système de paiement. L'entreprise a dit être d’accord avec l'objectif de réduire le contournement des compteurs, mais conseille aux éditeurs de ne pas nuire aux principes de la navigation privée.
« Nous conseillons aux éditeurs de surveiller les effets de la modification de l'API FileSystem avant de prendre des mesures réactives, car tout impact sur le comportement des utilisateurs peut être différent de celui attendu et tout changement de stratégie de compteur affectera tous les utilisateurs, et pas uniquement ceux utilisant le mode incognito », a expliqué Google dans son billet.
Sources : Google, Vikas Mishra
Et vous ?
:fleche: Qu'en pensez-vous ?
Voir aussi
:fleche: Chrome, Safari et d'autres navigateurs ne vont plus permettre de désactiver l'audit de lien qui permet de suivre les clics sur les liens de sites
:fleche: Le bloqueur de publicité par défaut de Google Chrome va être déployé partout dans le monde, à partir du 9 juillet
:fleche: Chrome 73 débarque avec la prise en charge des touches multimédias de votre clavier et le support des PWA pour macOS
:fleche: Le navigateur Google Chrome va bientôt intégrer le mode sombre sous Windows 10 à la demande des utilisateurs
2 pièce(s) jointe(s)
Le mode Google Chrome Incognito peut toujours être détecté par deux méthodes
Chrome 76 débarque avec Flash bloqué par défaut, un mode incognito non détecté par les sites web
et des améliorations pour les PWA et le support du mode sombre
Le plug-in Flash qui a permis d’ajouter de l’interactivité sur les sites web est depuis des années progressivement délaissé au profit de HTML5. Comme reproches, les entreprises mettent en avant le fait qu’il consomme beaucoup d’énergie, ralentit l’exécution des pages web, est instable, mais surtout cumule des failles de sécurité à foison. Depuis 2010, Apple a donc décidé de ne plus prendre en charge ce plug-in sur ses ordinateurs, tablettes et téléphones. Comme Apple, d’autres entreprises ont suivi le pas.
En 2015, Google a commencé à limiter l’usage du plug-in Flash sur son navigateur Chrome. D’abord, cela s’est traduit par l’exécution de moins de contenus Flash dans les pages web afin de limiter les ressources énergétiques consommées par l’affichage des animations Flash. Dans la même année, la firme de Mountain View a encore poussé la limitation en mettant en pause les vidéos qui ne sont pas au centre des pages web et qui sont jouées automatiquement. En 2016, Google a remplacé tous les éléments exécutés naguère par flash avec HTML5. Il faut souligner qu’il n’y a pas que Google qui s’est résolu à abandonner Flash. Aussi bien Mozilla que Microsoft ont également entrepris la même démarche depuis des années.
Face à toutes décisions de se débarrasser de Flash, Adobe, l’éditeur de Flash s’est lui-même résigné à soutenir son plug-in et a annoncé en 2017 qu’il mettra fin au support de Flash à partir de la fin de l’année 2020.
Flash bloqué par défaut
La messe est donc dite. Toutes les initiatives des éditeurs d’applications ne feront que précipiter Flash dans la tombe. Depuis hier, Chrome 76 est de sortie. Dans cette nouvelle version du navigateur de Google, plusieurs améliorations ont été ajoutées. Parmi ces mises à jour, l’on note encore une fois des limitations de Flash dans le navigateur. Avec Chrome 76, Flash est désormais bloqué par défaut. Cela signifie que si un utilisateur avait autorisé l’activation de Flash dans la version précédente qu’il utilisait, cette autorisation est ignorée dans Flash 76.
Toutefois, il est possible aux utilisateurs d’activer Flash dans les paramètres du navigateur (chrome://settings/content/flash). À noter que si vous voulez toujours activer Flash dans Chrome 76, il va falloir le faire pour chaque site après chaque redémarrage du navigateur.
Un mode incognito non détecté par les sites web
Au-delà de ce changement concernant Flash, Chrome 76 résout également un problème concernant la détection du mode incognito. Le mode incognito ou mode privé sur Chrome permet, une fois activé, de naviguer de manière privée sur la toile. Cela signifie que l’historique de navigation, les cookies, les données de sites et les informations saisies dans les formulaires ne seront pas enregistrés par Chrome. En principe, les sites web ne devaient pas pouvoir détecter qu’un utilisateur a activé ce mode qui lui permet de ne pas être suivi sur le web. Mais l’API FileSystem permet depuis des années aux sites de détecter ce mode. Cette nouvelle version de Chrome vient donc corriger ce bogue.
Amélioration du côté des Progressive Web Applications
Dans Chrome 76, une amélioration a également été apportée du côté de la gestion des applications web progressives (abrégées PWA en anglais). Nous rappelons qu’une application web progressive est une application constituée de pages web, mais qui peut apparaître sur le poste client comme une application native ou une application mobile. Dans Chrome 76, lorsqu’un site répond aux critères d’installation d’une PWA, Chrome affiche un bouton d’installation dans la barre d’adresses indiquant à l’utilisateur que l’application PWA peut être installée sur le système de l’ordinateur portable ou de bureau.
Sur un appareil mobile, Google Chrome affiche une mini-barre d’informations la première fois qu’un utilisateur visite un site qui répond aux critères d’installabilité de la PWA. Il suffira à l’utilisateur de cliquer sur le bouton d’installation pour installer l’application sur la page Home du mobile. Si le développeur souhaite toutefois ne pas faire afficher cette mini-barre, Chrome 76 ajoute des fonctions pour le faire. Pour cela, il faudra appeler la méthode preventDefault() sur l’évènement beforeinstallprompt().
Prise en charge automatique du mode sombre
Avec Chrome 76, le mode sombre ou thème sombre est désormais pris en charge. Si vous installez par exemple Chrome 76 sur un ordinateur Mac et que le mode sombre est défini par défaut, il est maintenant possible aux développeurs de sites d’utiliser les fonctionnalités de Chrome 76 pour afficher leurs sites en fonction du mode utilisé sur le système de l’utilisateur. Pour ce faire, il va falloir utiliser la requête ci-dessous :
Code:
1
2
3
4
5
6
| @media (prefers-color-scheme: dark) {
body {
background-color: black;
color: white;
}
} |
En dehors de ces changements, nous avons plusieurs autres améliorations pour lire les Blob, prendre en charge des images avec l’API presse-papiers asynchrone, accroître l’analyse de JSON et plus encore.
Source : Chromium, Google, Twitter
Et vous ?
:fleche: Que pensez-vous de cette nouvelle mouture de Chrome ? Répond-elle à vos attentes ?
:fleche: Quels commentaires faites-vous du blocage de Flash dans Chrome 76 ? Google devrait-il supprimer définitivement ce plug-in ? Ou devrait-il reporter le plus loin possible l'abandon de Flash ?
:fleche: Quels sont les changements que vous avez aimés ou détestés dans cette version de Chrome 76 ?
Voir aussi
:fleche: Mozilla désactivera le plugin Flash par défaut dans Firefox 69 conformément à sa feuille de route, la suppression totale du support prévue pour 2020
:fleche: Le moteur de jeu Unity met fin au support de Flash, coup dur pour Adobe ?
:fleche: Adobe publie une mise à jour de Flash Player pour corriger deux vulnérabilités critiques y compris celle exploitée par des hackers nord-coréens
:fleche: Google continue ses efforts pour se débarrasser de Flash avec la conversion automatique des annonces publicitaires en HTML5
:fleche: Adobe contourne le bannissement du Flash par Apple en proposant aux annonceurs de convertir leurs contenus en HTML 5
4 pièce(s) jointe(s)
Le mode Google Chrome Incognito peut toujours être détecté par deux méthodes
Le mode Google Chrome Incognito peut toujours être détecté par deux méthodes,
qui sont nées de la solution de Google pour empêcher cette détection
Avec la sortie de Chrome 76, Google a corrigé une faille qui permettait aux sites Web de détecter si un visiteur utilisait le mode navigation privée. Le mois dernier Google a annoncé qu'il modifiait l'API du système de fichiers de Chrome, que les sites utilisent pour stocker des fichiers temporaires ou permanents. Auparavant, si l'API n'était pas disponible, un site Web pouvait supposer que le navigateur était en mode de navigation privée.
Certains sites Web utilisaient la détection en mode navigation privée pour empêcher les utilisateurs de contourner les paywalls ou pour offrir aux utilisateurs de navigation privée une expérience de navigation différente.
Malheureusement, la solution de Google a conduit à deux autres méthodes qui peuvent toujours être utilisées pour détecter lorsqu'un visiteur est en navigation privée.
Tandis que Google souhaitait que les utilisateurs puissent naviguer sur le Web en privé et que leurs choix de modes de navigation soient également privés, ils ont comblé une faille en rendant l'API disponible dans les deux modes de navigation. Dans le cadre de cette correction, au lieu d'utiliser un stockage sur disque pour l'API FileSystem, ils utilisent un système de fichiers de mémoire transitoire en mode de navigation privée qui est effacé à la fermeture d'une session.
L'utilisation d'un système de fichiers en mémoire, cependant, crée deux nouvelles failles qui pourraient être utilisées pour détecter le mode de navigation privée, décrites ci-dessous.
Détection du mode navigation privée via des quotas de système de fichiers
Lorsque Google a fait en sorte que le mode Incognito utilise un système de fichiers temporaire utilisant la mémoire vive de l'ordinateur, une nouvelle méthode de détection a été ouverte, basée sur la quantité de mémoire réservée au système de fichiers interne utilisé par le navigateur.
Vikas Mishra, spécialiste de la sécurité, a constaté que lorsque Chrome allouait de la mémoire au système de fichiers de mémoire temporaire utilisé par le mode de navigation privée, son quota maximum était de 120 Mo.
« Sur la base des observations ci-dessus, les principales différences entre les quotas de stockage TEMPORAIRE entre les modes incognito et non incognito sont les suivantes: en cas de mode incognito, il existe une limite stricte de 120 Mo alors que ce n'est pas le cas pour la fenêtre non incognito. Et à partir du tableau ci-dessus il est clair que pour que le quota de stockage temporaire soit inférieur à 120 Mo en cas de mode non incognito, le stockage de périphérique doit être inférieur à 2,4 Go. Cependant, pour des raisons pratiques, il est prudent de supposer que la majorité des périphériques actuellement utilisés doivent avoir plus de 2,4 Go de stockage ».
Fort de cette connaissance, Mishra a mis au point un script qui interroge le quota attribué au système de fichiers du navigateur et, si la taille est inférieure ou égale à 120 Mo, il déduit que le navigateur est en mode incognito.
Détection du mode incognito via les timings d'accès
Lorsqu'il s'agit de lire et d'écrire des données, les systèmes de fichiers de mémoire sont toujours plus rapides que les systèmes de fichiers. Chrome ayant basculé vers un système de fichiers à mémoire en mode navigation privée, il est désormais possible de détecter la navigation privée en mesurant la vitesse d'écriture sur le système de fichiers.
Le chercheur Jesse Li a découvert cette nouvelle méthode de détection qui mesure une série d'écritures dans le système de fichiers du navigateur. Sur la base de la vitesse de ces écritures, un site Web pourrait théoriquement déterminer si le navigateur utilise le mode de navigation privée.
Contrairement à la recherche de Mishra, Li n'a pas mis au point une PoC complète de cette méthode, mais plutôt un script qui mesure la vitesse d'écriture et les affiche. C'est à quelqu'un d'autre de proposer les mesures appropriées pour déterminer le mode incognito avec cette méthode.
De plus, l'approche de Li nécessite de nombreuses écritures pour déterminer la vitesse du système de fichiers, ce qui entraînerait un processus de détection assez long.
Si vous souhaitez mesurer le système de fichiers écrit en mode incognito et en mode de navigation normale, Li a créé un script avec lequel vous pouvez jouer pour afficher les différences de vitesse d'écriture.
Li note que sa technique est plus lente et moins fiable que les techniques existantes. Cependant, il est également plus difficile de la rendre caduque en raison de la décision technique de stocker les données en mémoire plutôt que sur le disque. Il pense que le seul moyen de bloquer cette technique est que le mode Incognito et le mode normal utilisent le même stockage.
Des sites utilisent déjà ces nouvelles méthodes de détection
Malheureusement, les sites ont déjà commencé à utiliser la méthode de détection de quota de système de fichiers de Mishra pour déterminer si un visiteur est en mode de navigation privée. Comme le note le développeur de Microsoft Edge, Eric Lawrence, le New York Times est en train de tester cette méthode pour détecter à quel moment un visiteur passe en mode privé.
Cela se fait par un script qui montre clairement les recherches de Mishra utilisées.
Les développeurs de Chromium travaillent sur un correctif pour les bogues de quota et de minutage, décrits comme les deux surfaces associées pour la détection en mode Incognito à l'aide de l'API Filesystem.
Sources : Eric Lawrence, Chromium, Vikas Mishra, Jesse Li
Et vous ?
:fleche: Qu'en pensez-vous ?
:fleche: Vous êtes-vous déjà servi du mode Incognito pour contourner un paywall ?
:fleche: Êtes-vous déjà allé sur un site qui propose une expérience différente sur le mode Incognito ?
:fleche: Que pensez-vous dans l'absolu de la détection d'un tel mode ?
:fleche: En général pourquoi utilisez-vous ce mode ?
