IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google Chrome met fin à son projet visant à masquer les URL de la barre d'adresse.
Il s'avère que le fait de masquer les informations d'URL n'aide pas à améliorer sensiblement la sécurité

Le , par Stéphane le calme

57PARTAGES

11  0 
Chrome met fin à sa guerre contre les URL de la barre d'adresse, du moins pour le moment. Il y a environ un an, Chrome a commencé à expérimenter la suppression de l'URL affichée dans la barre d'adresse au seul nom de domaine, donc au lieu de quelque chose comme « https://www.developpez.com/actu/3060...communication/ », la barre d'adresse n'afficherait que « developpez.com » et vous n'auriez aucune idée de l'endroit où vous vous trouvez dans le répertoire du site.

Début 2014, Google semblait vouloir apporter une modification au comportement de son Omnibox, la barre d’adresse qui peut être utilisée à la fois pour effectuer des recherches sur le web (le moteur de recherche par défaut étant paramétrable) ou entrer une URL. Dans la version de Chrome Canary build 36, il était possible d'activer une option permettant de masquer l'URL complète d'un site consulté. Lorsque l'internaute naviguait au sein des différentes rubriques d'un site, seul le nom de celui-ci s'affichait dans la barre d'adresse. Dans cette mouture, pour accéder à la totalité de l'URL, il suffisait de cliquer le bouton « Origin Chip » sur le nom de domaine. Pour avoir accès à cette option, il était nécessaire d’activer le flag « Enable origin chip in the Omnibox » depuis chrome://flags.

L’un des objectifs derrière cette manœuvre était de fournir un rempart face aux attaques phishing, une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. L’une des clés du succès de ses attaques réside dans le fait de persuader sa victime qu’elle s’adresse à un site de confiance pour lui soutirer en douce ses renseignements personnels (numéro de carte de crédit, date de naissance, pseudo/MDP …). Avec des URL à rallonge, le navigateur peut tromper l'internaute et ainsi faciliter les tentatives de phishing de sites malveillants.

Mais plusieurs personnes n’ont pas manqué de faire entendre leur voix sur le sujet. Les avis étaient plutôt partagés, même au sein de l’équipe Chrome. Par exemple, Paul Irish a déclaré « J’imagine que cela aidera à défendre contre le hameçonnage » avant de rajouter « mon opinion personnelle est que c’est un très mauvais changement qui représente l’antithèse des objectifs de Chrome. »

Jake Archibald, un développeur Chrome, a soutenu la fonctionnalité : « trouvez quelqu’un qui ne travaille pas dans un domaine technologique, montrez-lui le site de sa banque, et demandez-lui ce que lui apprend l’URL. Mon expérience m’enseigne que la plupart des utilisateurs ne savent pas quelles parties de l’URL sont les signaux de sécurité. » Par la suite il a affirmé que « les navigateurs ont arrêté d’afficher les pseudonymes/MDP dans les URL parce que ça facilitait le hameçonnage. C’est une progression naturelle .»

La communauté developpez.com s’est également exprimée sur le sujet. Sodium par exemple a estimé que ce n’était pas la bonne approche : « Infantiliser les utilisateurs ne me semble jamais être une bonne chose. C'est parce qu'ils ne comprennent pas l'informatique qu'ils se font avoir par des tentatives de fraude souvent grossières. Moins ils comprendront ce qu'il se passe derrière leur machine, plus il y aura de risques de tomber dans les pièges d'Internet ». Même son de cloche pour mrqs2crbs qui a noté : « je crois surtout qu'il faut apprendre aux utilisateurs à lire correctement. Parce que, juste dire : "ça va vous protéger, vous n'aurez besoin de rien connaître", ça sonne surtout comme une grosse embrouille ».

Pour sizvix, cela pouvait cacher une stratégie de Google : « Éloigner encore un peu plus les utilisateurs des URL pour les rapprocher du moteur de recherche bien sûr »

Vanquish note : « IE affiche déjà la partie la plus significative de l'URL en noir, alors que le reste est en gris. Ça va un peu dans le même sens. Il faut voir la réalisation. Si en cliquant sur un bouton j'ai accès et peux modifier l'URL complète (c'est parfois utile), ça me va. Car pour l'utilisateur lambda, je partage le point de vue sur la complexité des URL : combien d’utilisateurs ne font pas la différence entre la zone d'URL et le champ de recherche de la page Google qui leur sert de homepage ».

Bon gré mal gré, Google a mis son projet au placard, notamment après le tollé que cela a provoqué en plus de la découverte de faiblesses dans la fonctionnalité « Origin Chip » par PhishMe, entreprise spécialisée dans les programmes de tests d’attaques de phishing, après seulement quelques tests.

Pourtant, quelques années plus tard, en 2020, l’entreprise est revenue de plus belle avec son projet. Quelques indicateurs de fonctionnalité sont apparus dans les canaux Dev et Canary de Chrome (V85), qui modifient l'apparence et le comportement des adresses Web dans la barre d'adresse. L'indicateur principal est appelé « Omnibox UI Hide Steady-State URL Path, Query, and Ref » qui masque tout dans l'adresse Web actuelle, à l'exception du nom de domaine.


La marche arrière (temporaire ?) de Google

Dans un billet sur le traceur de bogues Chromium, l'éditeur de Chrome a annoncé qu'il renonçait à cette idée. En juin 2020, au début de l'expérience, l'ingénieur de Google Emily Stark a expliqué que la société expérimentait un affichage d'URL simplifié « pour comprendre si cela aidait les utilisateurs à identifier les sites Web malveillants avec plus de précision ». C'est un an plus tard que Stark a indiqué que « l'expérience de domaine simplifiée » sera supprimée de la base de code, en expliquant que « cette expérience n'a pas apporté les métriques de sécurité pertinentes, nous n'allons donc pas la lancer. »


Le navigateur Safari d'Apple masque également les URL de ce type.

L'équipe Chrome n'a pas peur de faire exploser les normes Web existantes et a déclaré publiquement qu'elle voulait supprimer l'URL. Elle n'a tout simplement pas encore trouvé comment. Il ne serait donc pas surprenant de voir Google revenir à la charge.

Aujourd'hui, Chrome ne masque que le "https://" au début de l'URL, mais vous pouvez le désactiver sur les ordinateurs de bureau en cliquant avec le bouton droit sur la barre d'adresse et en cochant « toujours afficher les URL complètes ».

Source : Chromium

Et vous ?

Êtes-vous pour ou contre le fait de masquer les URL de la barre d'adresse ?
Êtes-vous surpris par les conclusions de Google ? Dans quelle mesure ?

Voir aussi :

Google indique que son navigateur Chrome est désormais 23 % plus rapide, grâce à des améliorations apportées au moteur JavaScript dans Chrome 91
Une vulnérabilité permet le suivi d'utilisateurs sur les navigateurs Chrome, Firefox, Safari et Tor, les utilisateurs sur VPN ou en mode incognito ne sont pas épargnés, selon FingerprintJS
Payeriez-vous 30 $ par mois pour un navigateur Web plus rapide et moins gourmand en batterie ? Mighty, un navigateur Chrome basé dans le cloud, consommerait 10 fois moins de mémoire que ce dernier
La version stable de Google Chrome 90 est publiée avec HTTPS comme protocole par défaut, elle améliorerait la sécurité ainsi que la vitesse de chargement des sites Web, selon Google

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 14/06/2021 à 14:59
Citation Envoyé par Stéphane le calme Voir le message

Êtes-vous pour ou contre le fait de masquer les URL de la barre d'adresse ?
Contre, bien entendu. Ça n'apporte rien à part de la confusion.

Tiens d'ailleurs ça me fait penser à une attaque de phishing qui marchait début 2000 en utilisant un bug d'une vieille version de IE, qui n'affichait pas les URL complètes s'il y avait certains caractères. Du coup avec l'idée de Google, on se retrouverait dans la même situation mais intentionnellement! C'est plutôt cocasse.

Citation Envoyé par Stéphane le calme Voir le message

Êtes-vous surpris par les conclusions de Google ? Dans quelle mesure ?
Plutôt, oui. Un an pour faire marche arrière sur une idée aussi stupide et pour arriver à une conclusion aussi évidente quand on est un géant du web, c'est trop.
8  1 
Avatar de Levure
Membre du Club https://www.developpez.com
Le 15/06/2021 à 10:41
L'équipe Chrome n'a pas peur de faire exploser les normes Web existantes
C'est là tout le danger de Chrome et de Google.
On commence déjà à voir des outils utilisables exclusivement sur Chrome (officiellement), alors qu'ils fonctionnent tout aussi bien sous Firefox si on change le user-agent.
1  0 
Avatar de Chouteau
Membre régulier https://www.developpez.com
Le 15/06/2021 à 13:32
Ne pouvant plus copier/coller les urls pour transmettre à quelqu'un ceci oblige à passer par le moteur de recherche g$$gle (je pense leur intention ultime est de réinventer le minitel)
1  0 
Avatar de 23JFK
Membre expert https://www.developpez.com
Le 14/06/2021 à 17:44
Une idée de marketteux à la con qui aura quand même mis quatre ans à être dégagée.

Citation Envoyé par audeoudh Voir le message
...
Si madame Michu ne veut pas voir l'url, elle peut la supprimer. A la limite un popup de demande lors de la première utilisation suffirait.
0  0 
Avatar de Escapetiger
Expert éminent sénior https://www.developpez.com
Le 15/06/2021 à 14:07
[Hors-sujet]
Citation Envoyé par audeoudh Voir le message
Je parle pas des informaticiens qui peuvent comprendre profondément cette information et qui s'amuseront à forger des URLs — ce que je fais moi-même assez souvent. Mais je parle bien de la plupart des utilisateurs, comme ma mère, la secrétaire, l'adolescent du quartier, madame Michou ou quelque autre utilisateur non-informaticien.
Madame Michu, le Michou le plus célèbre est un directeur de cabaret français...
[/Hors-sujet]
0  0 
Avatar de audeoudh
Candidat au Club https://www.developpez.com
Le 14/06/2021 à 15:47
Êtes-vous pour ou contre le fait de masquer les URL de la barre d'adresse ?
Contre, bien entendu. Ça n'apporte rien à part de la confusion.
Je ne comprends pas quelle information apporte à un utilisateur standard les parties chemin et paramètres de l'URL (après le nom du site).

Je parle pas des informaticiens qui peuvent comprendre profondément cette information et qui s'amuseront à forger des URLs — ce que je fais moi-même assez souvent. Mais je parle bien de la plupart des utilisateurs, comme ma mère, la secrétaire, l'adolescent du quartier, madame Michu ou quelque autre utilisateur non-informaticien.

Pour ces utilisateurs non-informaticiens, quel est l'intérêt de leur montrer cette information ?
1  2