IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google promet de protéger les utilisateurs du fingerprinting et de sécuriser les cookies dans Chrome
Avec l'utilisation de l'attribut Same-site

Le , par Stéphane le calme

102PARTAGES

12  0 
Google prévoit de prendre en charge deux nouvelles fonctionnalités de protection de la vie privée et de la sécurité dans Chrome: l’utilisation des cookies avec Same-Site et la protection anti-fingerprinting.

Ces deux fonctionnalités ont été annoncées lors de l’édition 2019 de sa conférence annuelle I/O dédiée aux développeurs. Notons tout de même qu’aucune échéance n'a été fixée pour le moment.

Sécurisation des cookies avec l’attribut Same-site

Le changement le plus important que Google envisage de déployer concerne la manière dont il traite les fichiers cookies. Ces nouveaux contrôles seront basés sur un nouveau standard IETF sur lequel les développeurs de Chrome et Mozilla travaillent depuis plus de trois ans. Cette nouvelle spécification IETF décrit un nouvel attribut qui peut être défini dans les en-têtes HTTP. Appelé "SameSite", l'attribut doit être défini par le propriétaire du site et doit décrire les situations dans lesquelles les cookies d'un site peuvent être chargés.

Fonctionnement

En fait, SameSite permet de mitiger les risques liés aux attaques de type CSRF (Cross-Site Request Forgery) et XSSI (Cross-Site Script Inclusion). Le principe de base de SameSite est similaire à celui des flags HttpOnly et Secure : il permet de contrôler le comportement des cookies, en définissant quand ces derniers peuvent être envoyés et quand ils ne le doivent pas.

Same-Site propose 2 politiques différentes, qui seront définies par les valeurs suivantes (sensibles à la casse) : Strict (par défaut) et Lax.

En mode Strict, le cookie concerné par cette instruction ne sera envoyé que si la requête provient du même site web.

La variante Lax ajoute une exception pour l’envoi du cookie dans le cas où la requête ne provient pas du site d’origine : ce dernier sera aussi communiqué pour les requêtes dites “safe” (essentiellement celles de type GET) dans le cadre d’une navigation de premier niveau (impliquant un changement d’URL dans la barre d’adresse du navigateur).

En effet, le mode Strict empêcherait l’envoi d’un cookie de session dans le cas d’un accès au site via un lien externe (depuis un e-mail, un moteur de recherche, etc.), un utilisateur suivant un tel lien ne pourrait donc pas être connecté à son compte à son arrivée sur le site.

Par exemple, si nous utilisions l’instruction SameSite en mode Strict sur developpez.com, en cliquant ce lien, vous ne seriez pas détecté comme connecté, même si vous l’êtes déjà dans un autre onglet de votre navigateur.

Ce type de comportement pouvant induire de la confusion chez les utilisateurs finaux, vous pouvez utiliser le mode Lax pour l’éviter.


En termes simples, cela crée une ligne de démarcation entre les cookies, qui deviendront des cookies du même site ou des sites similaires.

Google espère que les propriétaires de sites Web mettront à jour leurs sites et convertiront les anciens cookies qu'ils utilisaient pour des opérations sensibles, telles que les opérations de connexion et la gestion des paramètres par site, en cookies du même site.

Tous les anciens cookies qui n'ont pas d'en-tête SameSite utiliseront automatiquement un attribut "aucun" et Chrome les considérera comme des cookies intersites ou des cookies de pistage.

Comment Google en est arrivé là ?

« En 2008, nous avons lancé Chrome dans le but de créer un Web rapide, simple, sécurisé et stable pour tous, partout dans le monde. Dix ans plus tard, l'expérience utilisateur est toujours au cœur de toutes nos activités.

« Nous avons reçu des commentaires cohérents de nos utilisateurs sur l’importance de la transparence, du choix et du contrôle en matière de confidentialité des données sur le Web. C’est pourquoi, aujourd’hui, à la Google I / O, nous avons annoncé notre intention de mettre à jour le mode de traitement des cookies par Chrome.

Cookies et vie privée

« Les cookies jouent aujourd'hui un rôle important dans la navigation sur le Web. Ils sont utilisés pour vous garder connecté au courrier électronique, enregistrer les adresses de livraison sur un site de vente au détail et mémoriser vos préférences sur les sites Web que vous avez visités. Et ils peuvent également être utilisés pour suivre votre activité de navigation sur le Web afin de diffuser un contenu et des annonces personnalisés.

« Malheureusement, pour les navigateurs, tous ces types de cookies ont la même apparence, ce qui rend difficile la description de l'utilisation de chaque cookie et limite l'utilité des contrôles de cookies. Par exemple, lorsque vous supprimez tous vos cookies, vous êtes déconnecté de tous les sites et vos préférences en ligne sont réinitialisées. De ce fait, les solutions émoussées qui bloquent tous les cookies peuvent dégrader considérablement l'expérience Web simple que vous connaissez aujourd'hui, tandis que les approches basées sur l'heuristique (où le navigateur devine l'objectif d'un cookie) rendent le Web imprévisible pour les développeurs.

Amélioration des contrôles des cookies dans Chrome

« Nous avons annoncé à la Google I / O que nous mettrions à jour Chrome pour offrir aux utilisateurs plus de transparence sur la manière dont les sites utilisent les cookies, ainsi que des contrôles plus simples pour les cookies entre sites. Nous allons proposer une préversion de ces nouvelles fonctionnalités plus tard cette année.

« Nous apportons actuellement plusieurs modifications à Google Chrome pour activer ces fonctionnalités. Nous commençons par modifier le fonctionnement des cookies afin que les développeurs doivent spécifier explicitement quels cookies sont autorisés à fonctionner sur plusieurs sites Web. Ils peuvent également être utilisés pour suivre les utilisateurs. Le mécanisme que nous utilisons repose sur l'attribut de cookie SameSite du Web et vous pouvez trouver les détails techniques sur web.dev.

« Dans les mois à venir, Chrome obligera les développeurs à utiliser ce mécanisme pour accéder à leurs cookies sur plusieurs sites. Cette modification permettra aux utilisateurs d'effacer tous ces cookies sans affecter les cookies d'un seul domaine, en préservant les connexions et les paramètres de l'utilisateur. Cela permettra également aux navigateurs de fournir des informations claires sur les sites qui installent ces cookies, afin que les utilisateurs puissent choisir en connaissance de cause l'utilisation de leurs données.

« Cette modification présente également un avantage significatif pour les utilisateurs en matière de sécurité, en protégeant les cookies des attaques par injection intersite et de divulgation des données telles que Spectre et CSRF. Nous avons également annoncé notre plan visant à limiter à terme les cookies intersites aux connexions HTTPS, offrant ainsi des protections de confidentialité supplémentaires importantes à nos utilisateurs.

« Les développeurs peuvent commencer à tester leurs sites et voir comment ces modifications affecteront le comportement dans la dernière version de développeur pour Chrome ».

Rappelons que Firefox prend en charge les cookies Same-Site depuis avril 2018 avec la publication de Firefox 60. Chrome prend en charge les cookies Same-Site depuis 2016, mais le navigateur commencera à exiger l'attribut à partir de cette année.


Protection contre le fingerprinting

Les ingénieurs de Google ont également annoncé une deuxième grande nouvelle fonctionnalité dans le but de protéger la confidentialité sur Chrome lors de la conférence.

La société envisage d’ajouter un support à Chrome pour bloquer certains types de techniques de fingerprinting, utilisées de manière abusive par les annonceurs en ligne.

Google n'a pas détaillé les types de techniques de fingerprinting d’utilisateurs qu'il prévoyait de bloquer. Il est à noter qu'il en existe beaucoup, qui vont de l'analyse des polices système installées localement à l'utilisation abusive de l'élément canvas HTML5, en passant par la mesure de la taille de l'écran du périphérique d'un utilisateur jusqu'à la lecture des extensions installées localement.

Les navigateurs Tor ont été le premier navigateur majeur à bloquer les scripts / techniques de fingerprinting afin d'empêcher la désanonymisation de ses utilisateurs. Progressivement, ces fonctionnalités sont transmises au navigateur Firefox.

Google a déclaré que Chrome bénéficierait également d'une fonction anti-fingerprinting : .

« Pour modifier la manière dont le navigateur traite les cookies, nous devons prendre en compte l'écosystème Web plus large. Des approches contondantes du blocage des cookies ont été essayées et, en réponse, nous avons constaté que certains efforts de suivi des utilisateurs passaient en mode souterrain, en utilisant des méthodes plus difficiles à détecter qui renversent les contrôles des cookies. Ces méthodes, appelées “fingerprinting”, reposent sur diverses techniques pour examiner ce qui rend le navigateur d’un utilisateur donné unique.

« Le fingerprinting n'étant ni transparentes ni sous le contrôle de l'utilisateur, il en résulte un suivi qui ne respecte pas le choix de l'utilisateur. C'est pourquoi Chrome prévoit de limiter de manière plus agressive le fingerprinting sur le Web. Pour ce faire, nous allons notamment réduire le fingerprinting passif des navigateurs, de manière à pouvoir détecter et intervenir au fur et à mesure des efforts déployés ».


Mais pourquoi ?

Certains utilisateurs peuvent se demander pourquoi Google - une entreprise qui tire l'essentiel de ses bénéfices de la publicité en ligne et du suivi des utilisateurs - propose désormais ces fonctionnalités de confidentialité, qui devraient avoir un impact important sur ses activités.

La réponse est simple. Avec des extensions de bloqueurs de publicité utilisant une approche « de la terre brûlée » pour bloquer les scripts de suivi intrusifs, Google tente de contrôler le déclin éventuel des bénéfices de la publicité en ligne.

Ces derniers mois, la société est allée jusqu'à inclure un bloqueur de publicités de base dans Chrome et a même tenté de les neutraliser via une mise à jour très controversée de son écosystème d'extensions.

La meilleure chance de Google est à présent de réduire les dommages potentiels des bloqueurs de publicité en se plaçant au contrôle des fonctionnalités de blocage de la confidentialité et de la publicité auxquelles les utilisateurs ont accès par défaut - afin de contrôler l’ensemble de l’écosystème avant que les utilisateurs ne soient trop habitué à l’état actuel des choses.

Extension du navigateur de transparence des annonces

Enfin, Google souhaite « donner aux utilisateurs plus de visibilité sur les données utilisées pour personnaliser les annonces et les entreprises impliquées dans le processus ».

Google prévoit de publier une extension de navigateur open source pour les annonces diffusées sur ses propres propriétés et ses partenaires de publication. L'extension, qui fonctionnera sur différents navigateurs, affichera les noms des entreprises « dont nous savons qu'elles ont été impliquées dans le processus ayant abouti à une annonce ». Cela inclut les intermédiaires entre l'annonceur et l'éditeur et les entreprises avec des suiveurs d'annonce présents dans une annonce. L'extension de navigateur répertorie également les facteurs utilisés pour personnaliser une annonce en fonction de l'utilisateur. L'extension le fera pour chaque annonce diffusée par Google et présentera également un snapshot agrégé pour toutes les annonces que Google a récemment diffusées à un utilisateur.

Une extension de navigateur semble pratique, mais il est peu probable que de nombreux utilisateurs l’installent. Google indique qu'il cherchera d'autres moyens de montrer cette information aux utilisateurs et encouragera même les acteurs du secteur de la publicité à faire de même. La société envisage de créer des API permettant aux autres agences de publicité de divulguer ce même type d'informations aux utilisateurs via l'extension. Enfin, Google souhaite créer des outils permettant aux chercheurs de « visualiser et d’analyser les données agrégées et anonymisées de Google et d’autres fournisseurs qui choisissent d’utiliser ces nouvelles API ».

À l'instar des modifications apportées à Chrome, l'extension du navigateur et les API vont commencer à être déployés « dans les prochains mois ».

Source : Google

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Drowan
Membre éprouvé https://www.developpez.com
Le 10/05/2019 à 9:28
Citation Envoyé par Stéphane le calme Voir le message
Fonctionnement
(...)
Par exemple, si nous utilisions l’instruction SameSite en mode Strict sur developpez.com, en cliquant ce lien, vous ne seriez pas détecté comme connecté, même si vous l’êtes déjà dans un autre onglet de votre navigateur.
Quel lien ? (Je me doute que c'est pour rediriger de .com vers .net, mais il manque le lien en question)
0  0