Google a amorcé le déploiement de la version générale de Chrome 70 sur les plateformes Windows, Mac et Linux. Cette version s’accompagne de nouveautés, d’améliorations et bien entendu de corrections de bogues.Authentification web dans Google Chrome
L’équipe de développement de Chrome a mis à jour l’API Web Authentification pour inclure un troisième type d’identifiant, PublicKeyCredential, pour compléter les deux autres déjà supportés, PasswordCredential et FederatedCredential.
Le type PublicKeyCredential « permet aux applications Web de créer et d'utiliser des informations d'identification solides, certifiées par cryptographie et étendues aux applications pour authentifier fortement les utilisateurs ;», explique Google. La nouveauté ici est que l’API va prendre en charge désormais le lecteur d'empreintes digitales Android et le capteur macOS TouchID, ce qui signifie que les sites Web implémentant l'API d'authentification Web pourront lire le justificatif PublicKeyCredential transmis par l'un de ces capteurs biométriques pour connecter l'utilisateur. Cette protection est souvent considérée comme étant plus forte que les mauvais mots de passe, mais elle peut être vulnérable à plusieurs attaques.
Google n’est pas le seul à travailler sur technologie qui est basée sur WebAuthn, une nouvelle API et une norme Web permettant d’intégrer les dispositifs de sécurité à l’authentification de site Web.
Connexion automatique
Dans Chrome 69, Google a tenté de « simplifier » la gestion des connexions à un site de Google en vous connectant également à Chrome avec le même compte. Si vous vous déconnectiez, que ce soit sur Chrome ou sur un site Google, vous êtes déconnecté des deux.
À propos de la connexion automatique à Chrome, Google a d'abord voulu donner des précisions. Dans un billet de blog, Zach Koch, directeur des produits Chrome assure que la connexion automatique à Chrome quand vous vous connectez à Gmail « ne signifie pas que la synchronisation Chrome est activée ». Ainsi, « les utilisateurs qui souhaitent que des données telles que leur historique de navigation, leurs mots de passe et leurs bookmarks soient disponibles sur d'autres appareils doivent prendre des mesures supplémentaires, telles que l'activation de la synchronisation. »
Il explique donc que ce changement a été effectué juste pour rappeler aux utilisateurs quel compte Google est connecté. Ce qui est important pour mieux aider les utilisateurs qui partagent un seul périphérique (par exemple, un ordinateur familial). « Nous pensons que ces modifications empêchent les utilisateurs d'effectuer des recherches ou naviguer par inadvertance sur des sites Web pouvant être enregistrés sur le compte synchronisé d'un autre utilisateur », dit-il.
Chrome 70 apporte donc trois modifications:
- Une option (voir ci-dessous) qui permet aux utilisateurs de désactiver la liaison de la connexion Web avec la connexion via un navigateur. Si vous désactivez cette fonctionnalité, la connexion à un site Google ne vous connectera pas à Chrome.
- Une mise à jour de l’interface utilisateur (voir ci-dessous) pour préciser si l'utilisateur connecté à Chrome a synchronisé des données telles que des mots de passe, numéros de cartes de crédit, adresses et historique de navigation avec un compte Google.
- Au lieu de conserver les cookies d'authentification de Google pour vous permettre de rester connectés après leur suppression, comme le fait Chrome 69, le navigateur supprime à nouveau tous les cookies.
Malheureusement, Google semble ne pas avoir bien cerné le problème. Les trois modifications constituent certes une amélioration, mais la première ne résout pas le problème principal : la connexion automatique est toujours activée par défaut. Les utilisateurs de Chrome ne devraient pas avoir à désactiver la connexion automatique s'ils utilisent des sites Google, mais plutôt à l'activer s'ils le souhaitent.
Support des Progressive Web App
Google a ajouté une multitude de nouvelles fonctionnalités dans Chrome 70. Le navigateur prend désormais en charge les applications Web progressives (PWA) sous Windows. Ces applications peuvent être lancées à partir du menu Démarrer et s’exécuter comme toutes les autres applications installées (sans barre d’adresse ni onglets). Google avait pris la décision d'arrêter le support des applications Chrome sur Windows, MacOS et Linux cette année. Les extensions et les thèmes de Chrome ne seront pas affectés, tandis que les applications Chrome continueront de s'exécuter dans Chrome OS. L'entreprise a décidé de se focaliser sur le PWA à la place.
Pour les développeurs, vous pouvez parcourir les critères PWA standard qui seront vérifiés par Chrome.
Support du codec AV1
Pour concurrencer le format vidéo HEVC (la norme de compression vidéo qui était annoncée comme le successeur du H.264/MPEG-4 AVC) et pour répondre à la problématique de l’interopérabilité, en 2015, des entreprises comme Google, Netflix, Amazon, Microsoft ou plus tard Apple, se sont mises ensemble au sein de l’association Alliance for Open Media (en abrégé AOMedia, un organisme à but non lucratif qui s'emploie à définir et développer la prochaine génération de formats média ouverts, sans redevances et optimisés pour une publication sur Internet) afin de développer un format vidéo ouvert et libre de droit : AOMedia Video (en abrégé AV1), pour des usages liés à Internet tels que le streaming ou WebRTC.
« Le codec vidéo AOMedia, AV1, la première norme de compression vidéo de l'Alliance, s'efforce d'offrir une efficacité de compression améliorée par rapport aux normes actuelles de compression vidéo HEVC/H.265 et VP9, en plus de fournir à l'industrie un format vidéo open source, libre et interopérable. Nous sommes fiers de travailler de concert avec nos pairs et partenaires de l'industrie pour offrir plus efficacement une meilleure qualité de vidéo à plus de clients », indiquait en juillet 2017 Tian Lim, qui était alors le directeur de la technologie chez Hulu.
Le 28 mars 2018, AOMedia a annoncé la publication officielle de AV1, son codec vidéo ouvert et libre de droit.
D'après des tests commandités par AOMedia, le taux de compression moyen d'AV1 par rapport au codec concurrent H.265/HEVC ou aux codecs de la génération précédente (H.264 et VP9) est 30% supérieur.
Chrome 70 ajoute un décodeur AV1 (aucune fonctionnalité de codage n’est incluse) avec MP4 comme conteneur pris en charge (ISO-BMFF). Vous pouvez l’essayer vous-même en vous inscrivant sur la page TestTube de YouTube.
Correctifs de sécurité et améliorations
Comme promis, Google s'attaque aux extensions. Chrome 70 permet aux utilisateurs de limiter l'accès des hôtes aux extensions à une liste de sites personnalisée ou de configurer les extensions de manière à exiger un clic pour accéder à la page en cours.
Les autorisations d'hôte, qui permettent aux extensions de lire et de modifier automatiquement des données sur des sites Web, permettent divers cas d'utilisation puissants et créatifs, mais Google indique qu'elles ont également conduit à un large éventail d'utilisations malveillantes et non intentionnelles. Dans les versions ultérieures de Google Chrome, Google prévoit d’améliorer encore la manière dont son navigateur gère l’expérience utilisateur en matière de permissions d’hôte. Si votre extension demande des autorisations d’hôte, consultez le guide de transition et apportez les modifications nécessaires au cours des deux prochaines semaines.
Google poursuit sa croisade contre le HTTP avec Chrome 70
HTTPS est une version plus sécurisée du protocole HTTP utilisé sur Internet pour connecter les utilisateurs aux sites Web. Les connexions sécurisées sont généralement considérées comme une mesure nécessaire pour réduire le risque que les utilisateurs soient vulnérables à l'injection de contenu (ce qui peut entraîner des écoutes clandestines, des attaques de type "man-in-the-middle" et d'autres modifications de données). Les données sont protégées contre les tiers et les utilisateurs peuvent avoir davantage confiance en leur capacité de communiquer avec le site Web approprié.
Google fait évoluer le Web vers HTTPS depuis des années, mais il a accéléré ses efforts l’année dernière en modifiant l’interface utilisateur de Chrome. Chrome 56, publié en janvier 2017, a commencé à marquer les pages HTTP collectant les mots de passe ou les cartes de crédit comme étant « non sécurisés ». Chrome 62, publié en octobre 2017, a commencé à marquer les sites HTTP avec les données saisies et tous les sites HTTP visualisés en mode de navigation privée comme étant « non sécurisés ». Chrome 68, publié en juillet, marque tous les sites HTTP comme comme étant « non sécurisés » directement dans la barre d'adresse, et Chrome 69, publié en septembre, a supprimé le libellé « sécurisé » des sites HTTPS.
Désormais, avec la sortie de Chrome 70, les sites HTTP affichent un avertissement rouge « Non sécurisé » lorsque les utilisateurs saisissent des données :
Côté développeurs
Chrome 70 implémente l’API Shape Detection (détection de forme) capable de détecter automatiquement un visage, un code barre ou encore lire du texte dans les images « sans utiliser de bibliothèque destructrice ». L'API est composée de trois API : une API Face Detection, une API Barcode Detection et une API Text Detection. Avec une image bitmap ou un blob, l'API de détection de visage renvoie l'emplacement des visages et des yeux, des nez et des bouches dans ces visages (vous pouvez limiter le nombre de visages renvoyés et donner la priorité à la vitesse par rapport à la performance). L'API de détection de code à barres décode les codes à barres et les codes QR en chaînes (du simple jeu de chiffres au texte multiligne). L'API de détection de texte lit le texte Latin-1 (conformément à la norme ISO8859-1) dans les images.
Source : Google
Voir aussi :
Google va facturer des frais de licence pour préinstaller YouTube, Docs et GMail sans Chrome et Search app dans les pays de l'UE pour se conformer Les versions 70 à 73 de Google Chrome ne prendront pas les certificats HTTPS Symantec en charge : des milliers de sites mis à mal Firefox 64 va marquer le début du support du centre de notifications et d'actions de Windows 10, et va emboîter le pas à Google Chrome Google lance en bêta-test son service de streaming de jeux vidéo via Chrome, Project Stream va inaugurer le jeu Assassin's Creed Odyssey d'Ubisoft Extensions Chrome : Google annonce des changements à venir qui visent à améliorer la sécurité, ainsi que l'expérience utilisateur 
