Les navigateurs bloquent par défaut de nombreux types de contenus mixtes (les subresources non sécurisées http:// sur les pages https://, comme les scripts et les iframes, mais d’autres comme les images, le son et les vidéos sont toujours autorisés à se charger, ce qui peut constituer une menace pour la vie privée et la sécurité des utilisateurs. Un attaquant pourrait, par exemple, injecter un cookie de suivi dans un chargement de ressources mixtes. Le chargement d’un contenu mixte peut également entraîner une confusion au sein du navigateur Web, lorsque la page est présentée comme n’étant ni sécurisée ni non sécurisée, mais quelque part entre les deux.
Fort de ce constat, l’éditeur de Chrome a récemment annoncé que son navigateur va commencer progressivement à s’assurer que les pages https:// ne peuvent charger que des subresources https:// sécurisées. Pour ce faire, Chrome va bloquer par défaut les contenus mixtes. Ce changement, affirme la filiale d’Alphabet, devrait « ;améliorer la confidentialité et la sécurité des utilisateurs sur le Web ;», et permettre aux utilisateurs de bénéficier d’une expérience utilisateur plus transparente du point de vue sécurité sur le navigateur.
À partir de la version 79 de Chrome attendue au courant du mois prochain, le navigateur de Google va progressivement effectuer le blocage par défaut de tous les contenus mixtes et les ressources mixtes seront mises à jour automatiquement sur https:// pour limiter l’impact de cette transition, de sorte que les sites continueront à fonctionner si leurs subresources sont déjà disponibles sur https://. Par ailleurs, avec l’arrivée de Chrome 80, les ressources audio et vidéo mixtes seront automatiquement mises à niveau vers https:// et Chrome va simplement procéder à leur blocage par défaut si elles ne sont pas chargées via https://. Les images mixtes seront toutefois toujours autorisées à se charger, mais Chrome devrait afficher une alerte de sécurité « ;Not Secure ;» dans l’omnibox. Sur Chrome 81, les images mixtes seront automatiquement mises à niveau vers https://, et Chrome les bloquera par défaut si elles ne sont pas chargées sur https://.
Les utilisateurs pourront néanmoins désactiver le blocage des contenus mixtes sur certains sites Web par le biais d’un paramètre spécifique qui sera introduit dans cette version de Chrome. Ce paramètre spécifique pourra être appliqué aux scripts mixtes, aux iframes et aux autres types de contenu que le navigateur de Google bloque actuellement par défaut. Les utilisateurs pourront le désactiver / l’activer en cliquant sur l’icône de verrouillage qui permet d’afficher les informations d’un site puis en cliquant sur Paramètres du site. Ceci viendra remplacer l’icône en forme de bouclier qui s’affichait sur le côté droit de l’omnibox pour débloquer le contenu mixte dans les versions précédentes de Chrome pour bureau.
Signalons enfin que les développeurs peuvent toujours utiliser les directives CSP (Content Security Policy) upgrade-insecure-requests et block-all-mixed-content qui bloquent la totalité des contenus mixtes pour éviter « ;Not Secure ;» dans l’omnibox. Google les recommande toutefois de migrer leur contenu mixte vers https:// dans les plus brefs délais pour éviter les avertissements et d'éventuels désagréments. La firme de Mountain View a indiqué que « ;les utilisateurs de Chrome passent désormais plus de 90 % de leur temps de navigation en HTTPS sur toutes les plateformes majeures ;». C’est pourquoi elle tient à s’assurer que « ;les configurations HTTPS sont sécurisées et à jour sur le Web ;».
Source : Chromium
Et vous ?
Que pensez-vous de ce changement ?
Voir aussi
Google annonce qu'il rendra le support FTP dans Chrome obsolète et procédera à sa suppression définitive à partir de Chrome 82 qui sera disponible en 2020
Chrome 78 est désormais disponible en bêta et apporte l'accès au système de fichiers natif, l'API SMS Receiver et bien d'autres
Google va exécuter l'expérience DNS-over-HTTPS (DoH) dans Google Chrome, à partir de la version 78 du navigateur dont le lancement est prévu pour fin octobre prochain
Google annonce que Chrome va bloquer par défaut les « subresources » non sécurisées HTTP sur les pages HTTPS
Cette mesure sera implémentée à partir de la version 79 et parachevée avec la version 81
Google annonce que Chrome va bloquer par défaut les « subresources » non sécurisées HTTP sur les pages HTTPS
Cette mesure sera implémentée à partir de la version 79 et parachevée avec la version 81
Le , par Christian Olivier
Une erreur dans cette actualité ? Signalez-nous-la !