Discussion :

[Patrick Ruiz]

Développement web : les admins pourront bientôt restreindre l’accès au code source d’une page web via un navigateur basé sur Chromium
Car « la fonctionnalité permet à des étudiants de tricher »

Les administrateurs pourront bientôt restreindre l'accès au code source de pages web spécifiques via un navigateur basé sur Chromium. La mesure vise à apporter réponse aux plaintes des fournisseurs de contenus éducatifs qui s’appuient sur les navigateurs. Un ingénieur de Microsoft est à l’origine du correctif qui divise la communauté du développement web. Restreindre l’accès à une fonctionnalité dont la valeur éducative n’est plus à démontrer dans la sphère du développement web est-il la seule solution ?

Les futurs navigateurs basés sur Chromium pourraient permettre aux administrateurs d’empêcher les utilisateurs de consulter le code source des pages web pour des URL spécifiques. C'est une fonctionnalité implémentée dans Chromium depuis plusieurs années, mais qui en raison d’un bogue ne jouait pas son rôle. Le correctif proposé par un ingénieur de Microsoft vient y apporter réponse et permet aux administrateurs de restreindre l’accès au code source d’une page web si nécessaire.

La proposition de correction fait suite au dépôt d’un rapport de bogue d’un partenaire éducatif de Google décrivant une défaillance fonctionnelle de la liste de blocage des URL de Chromium : « Les écoles utilisant Google Forms comme plateforme de test, les élèves peuvent utiliser ce moyen pour fouiller dans le code source de la page et déterminer les bonnes réponses. » La perspective de perdre la possibilité de visualiser le code source des pages web anime désormais les débats dans la sphère du développement web.

En effet, un contre argument à l’implémentation de la mesure est que le refus aux étudiants de visualiser le code source des pages web ferme une voie dédiée de longue date à l’apprentissage de l’écriture des applications web. Le bémol est que bon nombre des meilleurs informaticiens en sont rendus à leur stade actuel de maîtrise parce qu'ils ont été curieux de savoir comment les choses fonctionnaient, ont fait des expériences, ont enfreint les règles et ont appris de ces expériences. La possibilité de consulter le code source d’une page web permet une répétition de ce processus. La mesure à l’étude chez Google est de nature à priver les acteurs de la sphère du développement web d’un tel outil.

En d’autres termes, ce sont les étudiants et élèves dotés d’appareils à l’exemple des Chromebooks qui devraient faire les frais de l’adoption de ce correctif via le service administration informatique de leur école. Rappel : Google se penche sur le cas en réponse à des plaintes de fournisseurs de contenus éducatifs qui n’ont pas pris le temps de procéder à la mise sur pied d’évaluations qui n’exposent pas les réponses au sein du code source d’une page web donnée. Donc, à défaut de mettre en péril une fonctionnalité centrale à l’univers du développement web, une autre solution consiste à travailler à l’amélioration du code source des pages ou applications web à problème.

Et vous ?

Restreindre l’accès au code source d’une page web donnée est-il la meilleure solution au problème mis sur la table par les fournisseurs de contenus éducatifs ? Quelle solution auriez-vous proposé en tant que développeur web ?

Voir aussi :

La rubrique Développement web

[Invité]

Ça me semble être une (très) mauvaise excuse pour supprimer petit à petit une fonctionnalité historique des navigateurs web. On peut très bien faire des formulaires d'examen où les réponses n'apparaissent pas dans le code source.

[Doksuri]

tout a fait... je suis du meme avis .. c'est une excuse bidon pour supprimer cette fonctionnalite...

en tant que prof, tu expliques que copier/coller du code ca ne fait pas apprendre... et en tant qu'eleve, t'es un minimum intelligent pour t'en rendre compte...

j'ai jamais essaye, mais ne peut-on pas faire une recherche sur un morceau de code source, et retrouver le site d'origine ?

[Uther]

Ça me semble être une (très) mauvaise excuse pour supprimer petit à petit une fonctionnalité historique des navigateurs web. On peut très bien faire des formulaires d'examen où les réponses n'apparaissent pas dans le code source.

L'article présente le problème de manière pas vraiment claire. Ca serait en effet idiot de supprimer une fonctionnalité du navigateur à cause un site mal conçu, et heureusement ce n'est pas le cas.

Il s'agit juste de permettre aux administrateurs qui le souhaitent de bloquer, uniquement sur leur parc informatique, les url the type "view-source:mon.site.com/*", comme ils peuvent déjà bloquer les url de type "http::/4chan.org/*" par exemple. Il ne s'agit pas de supprimer la fonctionnalité d'affichage du code source du navigateur, ce qui amputerait la majorité des utilisateurs d'une fonctionnalité utile, pour le besoin d'une petite minorité.

[Karadoc]

C'est moi, où au début on parle d'un ingénieur de Microsoft, puis à la fin d'un ingénieur de Google ? ^^

Après, si les plateformes pédagogiques utilisent Google Forms => C'est mal
Si Google Forms gère le contrôle et la validation de façon locale => C'est mal (disons que ça se justifie pour certaines choses, mais probablement pas là)

[Jsaintyv]

C'est un troll pour faire du clique ou une blague.

Il faut garder ce genre d'article pour le Vendredi ou le 1er avril :-p C'est un peu comme dire pour éviter les excès vitesses en ville, on bride toutes les voitures à 50.

Il est clair que le problème vient du système d'évaluation qui ne devrait pas exposer la réponse juste.

[franofcholet]

Si les réponses sont dévoilées coté client et que la vérification ne se fait pas coté serveur, la faute revient au concepteur de l'application et non au navigateur.

Même en supposant que ça soit bloqué dans le navigateur Chrome, il y aura toujours la possibilité de tricher tant que les réponses sont contenues dans le client (script python...)

[coolspot]

Voila pourquoi je fais bien de boycotter tout les navigateurs chromium-based et que je tourne sous firefox. Oui firefox a des defauts certe mais il reste libre et open source piloter par une "association". Ya des truc de merde sous forefox comme le machin pocket mais au moins on aura jamais ce genre de fonctionnalité de bridage a la noix ou on veut te forcer a utiliser le navigateur d'une manière que tu ne souhaite pas.

En plus ce genre de restriction reste contre productive puisque comme il existe deja un ungoogle-chrome, j'imagine qu'il va y avoir des version de chrome auquel ce patch de restriction ne sera pas implementer et donc on va se retrouver avec encore moult fork.

[user056478426]

Développement web : télécharger une page web via cURL pourrait bientôt être impossible, car « la fonctionnalité permet à des étudiants de tricher »

[totitu42]

De toute évidence une décision injustifiée qui ne correspond pas à la philosophie d'un projet aussi grand que Chromium...

Si ce cas d'utilisation est si important que ça :
Ce cas d'utilisation aurait pu être géré facilement par l'installation d'un module complémentaire en charge de bloquer l'affichage de la console... tout simplement.
Sinon en autre solution y ont qu'à faire une version de dev avec l'outil disponible tout le temps et une version grand publique sans les outils de dev...

Mais pire encore ! Si la console est bloquée pour pas que "les étudiants trichent" aux examens, c'est que le problème n'est pas le navigateur, mais bien le site sur lequel l'examen est effectué !!! En effet en sécurité informatique les réponses aux questions ne doivent être connus que par le backend, embarquer ça dans le frontal c'est une mauvaise pratique et dans ce cas c'est ni la faute des étudiants, ni la faute de Chromium, c'est la faute de l'entreprise ou de l'école en charge du développement
/ exploitation du site qui sert à passer l'examens !!

Il y avait tellement de meilleur façon de justifier une telle décision, la console est très utile pour les développeur (et même indispensable pour débugger convenablement) là vraiment je ne cautionne pas !

De toute évidence, Chromium y prennent les devs pour des nouilles, y se feront boycotter ou "hacker" par un module complémentaire s'il font ça et personnellement je serais sans pitié.
Ca sent la décision politique qui vise plutôt à rendre difficile l'analyse du code source des sites de GAFA par exemple…

[tanaka59]

Bonjour,

Développement web : consulter le code source d’une page web au travers d’un navigateur basé sur Chromium pourrait bientôt être impossible car « la fonctionnalité permet à des étudiants de tricher ».

Restreindre l’accès au code source d’une page web donnée est-il la meilleure solution au problème mis sur la table par les fournisseurs de contenus éducatifs ?

En toute franchise Google se tire une balle dans le pied ...

Je vais un parallèle avec la France et les filières S / ES . Jusqu'en 2015 pour passer des épreuves du bac math, physique, chimie, SI , économie ... les calculatrices graphiques étaient autorisées. Les lycéens en profitaient pour mettre les formules à tout va ... Je ne m'en cache pas non plus, quand j'ai passé le bac , les profs nous ont clairement invité à faire de la sorte.

Or je vois un problème de fond à pratiquer :

1) bachotage
2) apprentissage inutile de formule sans contexte ...

C'est comme donner du mortier, des briques et une truelle et dire à la personne "montes un mur" ...

En informatique on ne peut pas "recracher du code par coeur" . C'est débile , qui plus est cela ne favorise pas la recherche et / ou optimisation de code ...

Lors d'un examen et / ou composition , je ne trouve rien de choquant à laisser les étudiants chercher du code par eux même ... Justement charge à eux de travailler leur logique et réflexion.

Un code informatique , ne s'apprend pas "par coeur" comme une langue.

Quelle solution auriez-vous proposé en tant que développeur web ?

Laisser comme c'est aujourd'hui .

Puis ce n'est pas nouveau comme problème ... On peut déjà de nos jours, mettre des verrous sur une page web en restreignant l'accès au code source.

[alavoler]

Ouf les chercheurs en sécurité n'ont pas pensé à brider l'enregistrement des pages web : on est sauvé pour les 10 prochaines années au moins

[DarkCenobyte]

Là on tient des champions quand même...

Les technologies ont évolué mais... Ils veulent continuer de faire des choses improbables...

La réponse dans le code source... C'est un mauvais design ridicule...

Honnêtement j'aurais facilement 3-4 solutions alternatives avec différents niveaux d'implémentation qui règlerait le soucis sans en arriver à bloquer le code source...

Dans l'ordre qui me paraît du simple au hard :
- Utiliser un serveur avec la validation côté back (bon, je sais que des infras vont tomber dans des écoles où le wifi se vautre pour un rien et où le débit local se ferait battre par un hamster...)
- hashé toute les combinaisons de réponses, avoir un tableau de hash donnant un score... (bon c'est faillible, mais moins ridicule qu'un "data-valide=true").
- chiffrer une table de validité des réponses avec une passphrase connu par un prof, et fournir la passphrase après coup, une petite implémentation aes-like en JS pour si peu de donnée c'est jouable non?
- loader le questionnaire et vérifier la validité des réponses depuis du WASM. Faite donc un peu de rust au lieu de malmener le HTML et le JS... (bon y aura dans les écoles orienté dev/it/... toujours un p'tit malin pour automatiser une décompilation du WASM... Mais j'imagine qu'y a moyen d'obfusqué ça au point que ça soit foutrement pénible et évolutif...)
- explorer les DRM ? (ça se fait bien pour des media web, y a ptet moyen d'y intégrer autre chose pour transmettre des infos... Mais je connais trop peu le domaine)

Et pour rajouter au sujet... Il sera impossible de ne pas forké chromium pour disable ce fix. Il sera difficile de contrer le fait qu'un browser pourra faire semblant d'être compatible avec ça, ... On parle de HTML/JS des scripts interprété... A moins de faire du WASM comme j'ai évoqué, ça sera toujours exploitable d'une façon ou d'une autre...

[henaff]

Donc même Google ne sais pas qu'il suffit de mieux faire la page ? De faire la vérification dans le back ? Mdr merci les débiles pour encourager Google à faire changer les devs de navigateurs

[fkylol]

"ouvrir le capot" contre "la certification"

[Meaxis]

Avant de se plaindre, ces fameux "partenaires d'éducation" devraient comprendre le concept de sécurité informatique : JAMAIS il ne faudrait effectuer la vérification des réponses côté client...

[eomer212]

serieusement. ne devrait on pas plutot clouer a une grange les pauvres debiles qui mettent les reponses dans un formulaire JavaScript?
ca tourne au kafkascript la.
et en prime une enieme.bonne action a mettre au credit d'agrosoft.
mais non. je deconne.
leur seul objectif reste toujours de tout récupérer. le trafic avec le navigateur. les fichiers. les mails, vos fichiers, tout.histoire d'être enfin les maitres de la pub et botter le cul a google,..
et accessoirement aussi alimenter la NSA. faut ce qu'il faut.
et ca passe bien sur par l'ignorance des masses...

[Thelvaen Mandel]

Il faut faire la part des choses entre une politique de domaine, applicables aux ordinateurs d'un parc informatique géré de façon centralisée (entreprise, ...) et les ordinateurs de M. tout le monde.

Alors oui, une application qui expose des chose qu'elle ne devrait pas côté client, est une mauvaise application, et oui, ce type de sécurité se contourne facilement via un curl/wget/utilisation d'un autre navigateur, mais dans un contexte ou ces solutions ne sont pas permises : ordinateur pro ou edu, où l'installation/utilisation de wget/curl/autres navigateur est impossible, sur un réseau d'école ou d'entreprise, ...

Pour autant, je ne vois pas de raisons d'interdire à un administrateur d'interdire à un utilisateur de son parc certaines fonctions, si vous pouvez faire ce que vous voulez sur vos postes informatiques pro, vous avez bien de la chance, c'est loin d'être le cas de tout le monde.

[Shinsen]

Vous faites exprès de pas comprendre?
Ils vont pas supprimer cette fonction, mais ajouter une option qui permet aux Administrateurs de bloquer la vue du code source sur les sites/domaines bloqués, via GPO via une future update des ADMX chromium ou manuellement.

[petitours]

On est déjà en avril ?
C'est presque aussi stupide que de retirer l'ampoule du voyant d'alarme rouge qui s'allume sur le tableau de bord quand il y a un problème.