La Fibre

Télécom => Logiciels et systèmes d'exploitation => Firefox Navigateurs web => Discussion démarrée par: Marco POLO le 05 mai 2017 à 05:23:53

Titre: HTTPS: Chrome resserre la vis
Posté par: Marco POLO le 05 mai 2017 à 05:23:53
L’équipe de développement de Chrome a annoncé ses intentions à l’égard de HTTPS: à compter de Chrome 62, les pages récoltant les données personnelles des utilisateurs sans offrir de chiffrement HTTPS seront indiquées comme non sécurisées par le navigateur.

Avec sa version 56, Chrome (http://www.zdnet.fr/actualites/chrome-56-google-distribue-des-cartons-rouges-sur-la-securite-39847786.htm) avait déjà commencé l’offensive sur le front du HTTPS. Cette version du navigateur publiée en janvier 2017 introduisait en effet des avertissements à l’intention de l’utilisateur quand celui-ci s’apprêtait à rentrer ses mots de passe ou coordonnées bancaires sur une page ne disposant pas du chiffrement HTTPS.

Le problème de ces pages non sécurisées, c’est que les données saisies par l’utilisateur transitent en clair entre l’ordinateur de l’utilisateur et le serveur de la société. Il est donc possible pour un cybercriminel de dérober ces données lors de l’envoi.

(http://www.zdnet.fr/i/edit/ne/2017/05/HTTPS%20Chrome%2062.png)

Mais l’équipe de Chrome n’entend pas s’arrêter là et annonce vouloir étendre ces avertissements aux formulaires récoltant les données personnelles des utilisateurs (https://security.googleblog.com/2017/04/next-steps-toward-more-connection.html). "Les mots de passe et les données de carte de crédit ne sont pas les seules données qui devraient rester privées. Tout type de donnée qu’un utilisateur peut communiquer à un site web devrait rester privé. À partir de la version 62, Chrome affichera donc l’avertissement "Non sécurisé" quand un utilisateur entre ses données sur un site HTTP" explique sur le blog de l’entreprise Emily Schechter, de l’équipe Chrome Sécurité.

Outre cette évolution, Chrome affichera également cet avertissement aux utilisateurs sommés de remplir un formulaire alors qu’ils visitent un site en mode incognito. Chrome explique en effet vouloir contrecarrer l’impression que le mode incognito est synonyme de total anonymat. "La visite de page uniquement proposée en HTTP est entièrement visible pour les autres utilisateurs du réseau, c’est pourquoi dans sa version 62, Chrome invitera ses utilisateurs à la prudence dès lors qu’ils visitent une page HTTP en mode incognito."

Les auteurs du post en profitent pour rappeler que la mise en place d’un chiffrement HTTPS sur les sites a été grandement simplifiée aujourd’hui et redirigent les intéressés vers le un guide mis au point par Google pour accompagner les administrateurs.

On pourra également rappeler que Mozilla applique plus ou moins la même politique sur son navigateur Firefox: depuis sa version 52, Firefox signale également les pages qui demandent des informations sensibles type mot de passe sans offrir à l’utilisateur la protection du chiffrement HTTPS.

Source: ZDNet.fr (http://www.zdnet.fr/actualites/https-chrome-resserre-la-vis-39851914.htm) par Louis Adam Mardi 02 Mai 2017.   ;)
Titre: HTTPS: Chrome resserre la vis
Posté par: corrector le 05 mai 2017 à 08:57:18
Il y a aussi ceux qui ont pris de l'avance pour le passage en HTTPS intégral...