Google a publié mardi Chrome 80, la dernière version de son navigateur Web phare pour les utilisateurs de Windows, Mac, Linux, Android et iOS. La précédente version, Chrome 79, avait été publiée en décembre avec de nombreuses fonctionnalités, comme la prise en charge intégrée de l'outil Password Checkup, ainsi des corrections de bogues. Cette dernière mise à jour, annoncée en fin d’année dernière, corrige également plusieurs problèmes de sécurité et apporte de nouvelles fonctionnalités telles que la mise à jour automatique du contenu mixte en HTTPS, la modification des cookies SameSite, une interface utilisateur plus silencieuse pour les notifications et davantage de fonctionnalités pour les développeurs.Chrome 80 renforce donc la sécurité du navigateur le plus populaire et commence à réprimer les cookies intersites. À l’endroit des développeurs, qui doivent se tenir informés de tout ce qui est disponible dans le navigateur, Google a annoncé plusieurs fonctionnalités telles que la compression des flux, une amélioration du CSS, le décodage des supports chiffrés et bien d’autres fonctionnalités.
Voici quelques changements que Google a publiés avec Chrome 80 :
Mise à jour automatique des contenus mixtes
Le HTTPS est une version plus sécurisée du protocole HTTP utilisé sur Internet pour connecter les utilisateurs aux sites Web. Les connexions sécurisées sont largement considérées comme une mesure nécessaire pour réduire le risque que les utilisateurs soient vulnérables à l'injection de contenu (qui peut entraîner des écoutes, des attaques de type "man-in-the-middle" et d'autres modifications de données).
Google continue à inciter les développeurs à abandonner le HTTP afin de faire passer le Web au HTTPS. Il a présenté en octobre son plan concernant la façon dont Chrome étiquette les sites HTTP et HTTPS. En décembre dernier, Chrome 79 a introduit un paramètre permettant de débloquer les scripts mixtes, les iframes et autres types de contenu que le navigateur bloque par défaut, que les utilisateurs peuvent activer à partir de l’icône de verrouillage sur les pages HTTPS.
Selon l’annonce de mardi, lorsque le contenu sécurisé n'est pas disponible, Chrome 80 met automatiquement à niveau les ressources audio et vidéo mixtes des sites HTTPS en réécrivant les URL en HTTPS sans revenir au HTTP. Et si elles ne se chargent pas sur HTTPS, Chrome les bloque par défaut, à l’exception des images mixtes qui sont toujours autorisées à se charger, mais Chrome marquera la page comme "non sécurisée" dans l'omnibox.
Dans Chrome 81, qui sera lancé à partir du mois d'avril, Google dit que les images mixtes seront automatiquement mises à niveau en HTTPS. Si elles ne se chargent pas en HTTPS, Chrome les bloquera par défaut. L'objectif ultime de Google étant de garantir que les pages HTTPS dans son navigateur Chrome, utilisé par plus d'un milliard d'utilisateurs, ne puissent charger que des sous-ressources HTTPS sécurisées.
Modification des cookies SameSite
L'attribut SameSite a été introduit en mai 2016 avec Chrome 51 pour permettre aux sites de déclarer si les cookies doivent être limités au contexte d’un même site, espérant que cela atténuerait les contrefaçons de requêtes intersites.
Chrome 80 vient avec un nouveau système de classification des cookies sécurisé par défaut, qui traitera les cookies qui n'ont pas de valeur SameSite déclarée comme des cookies SameSite=Lax – seuls les cookies ayant la valeur SameSite=None ; Secure seront disponibles dans des contextes tiers, et encore faut-il qu’ils qu'ils soient accessibles à partir de connexions sécurisées (Secure). Dorénavant, Chrome 80 supprimera les comportements rétrocompatibles dans les cas suivants :
Premièrement, l'attribut SameSite dont la valeur par défaut est "None" sera désactivé. En effet, SameSite est désormais défini par défaut sur Lax, ce qui signifie que vos cookies ne sont accessibles qu'à d'autres sites à partir de navigations de haut niveau. Tel que mis en œuvre à l'origine dans Chrome, l'attribut SameSite a pour valeur par défaut "None", ce qui correspond essentiellement au statu quo du Web. Deuxièmement, la valeur "None" n'est plus autorisée dans les contextes peu sûrs, Chrome exige à partir de la version 80 que lorsque l'attribut SameSite est défini sur "None", l'attribut Secure doit également être présent. L'attribut Secure exige que le cookie attaché ne puisse être transmis que par un protocole sécurisé tel que HTTPS.
Google commencera la mise en œuvre du nouveau système de classification des...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.