IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google estime que les adresses Web traditionnelles ou URL doivent disparaitre
Pour le bien d'Internet

Le , par Christian Olivier

330PARTAGES

14  3 
Le navigateur Google Chrome vient de fêter ses 10 ans d’existence. Dans sa courte vie, il a contribué à l’introduction de changements d’importance variable dans l’univers du développement Web et de la navigation Web : vulgarisation des mises à jour automatiques, Sandboxing, gestion indépendante des onglets, promotion des connexions HTTPS, adoption de la machine virtuelle JavaScript V8 et du moteur de rendu WebKit…

Toutes ces innovations ou améliorations pourraient, cependant, faire pâle figure face à la prochaine initiative de Google pour son navigateur Chrome, une initiative qui pourrait vraisemblablement affecter l'industrie d'Internet dans son ensemble. En effet, les équipes de la firme de Mountain View plancheraient actuellement sur un projet qui à terme pourrait radicalement changer la manière dont Internet est utilisé aujourd’hui. Elles ambitionnent notamment de réinventer les URL afin de rendre ces derniers plus faciles à comprendre, à utiliser et à sécuriser.


Dans une interview accordée au site Wired Adrienne Porter Felt, engineering manager chez Google Chrome, explique à ce propos : « ;Ils [les URL] sont difficiles à lire, il est difficile de savoir dans quelle mesure leurs différentes parties peuvent être considérées comme digne de confiance et, en général, je ne pense pas que les URL sont un bon moyen pour transmettre l’identité du site ;».

« ;Nous voulons atteindre un stade où l’identité du Web est compréhensible par tous — ils savent à qui ils s’adressent lorsqu’ils utilisent un site Web et peuvent raisonner pour savoir s’ils peuvent leur faire confiance. Cela implique, toutefois, d’entreprendre d’importants changements afin de déterminer quand et comment Chrome devrait afficher les URL ;», ajoutera-t-elle par la suite.

Le Web peut-il se passer des « ;adresses conventionnelles ;» pour la navigation sur Internet ;? Et si oui, comment ;? Ce sont donc là quelques-unes des questions que Google se pose dans un effort visant à faire du Web un espace plus sûr, plus fiable et plus facile à utiliser pour tous les internautes.

Le problème de la forme sous laquelle se présentent les URL actuellement serait lié au fait qu’ils sont difficiles à comprendre pour les internautes lambdas et les pirates pourraient facilement utiliser cette situation pour lancer des sites malveillants ou des attaques de phishing, diffuser des Fake News, mais aussi propager des logiciels malveillants.

Le lien entre l’identité Web et les URL serait devenu moins pertinent ces dernières années avec la montée en puissance des raccourcis d’URL. Ces raccourcis masquent les longues adresses Web avec une URL facile à retenir et à partager, mais peuvent également permettre aux pirates de masquer des sites illégitimes. Signalons au passage que Google a déjà tenté de rendre le Web plus sûr en alertant les utilisateurs chaque fois qu’ils visitaient un site non sécurisé, leur indiquant que l’adresse Web qu’ils consultaient n’utilisait pas la norme HTTPS.

Cette situation illustre le poids actuel de Google sur l’industrie d’Internet, la société technologique pouvant se permettre de lancer de pareilles initiales pouvant probablement faire office de standard dans le futur sans avoir besoin de passer par les autorités de régulation compétentes en la matière. Rien ne permet également d’exclure l’hypothèse selon laquelle cette initiative de la filiale d’Alphabet masque en réalité une tentative pour renforcer son monopole sur le marché de la recherche en ligne.

Google n’a pas encore trouvé « ;la solution finale ;» pour son problème avec les URL conventionnelles, l’équipe Chrome étant « ;toujours divisée sur la meilleure solution à proposer ;». Aucune des options envisagées ne devrait être révélée à ce stade. Toutefois, la solution idéale sera plus sécurisée que la configuration actuelle et plus pratique pour les utilisateurs. Elle pourrait être dévoilée cet automne ou au printemps prochain.

Source : Wired

Et vous ?

Qu’en pensez-vous de cette initiative de Google ?
Partagez-vous les conclusions de Google vis-à-vis des URL utilisés actuellement, notamment leur manque de fiabilité et de sécurité ?
À quoi pourrait ressembler la solution finale pour Google Chrome d’après vous ?

Voir aussi

Chine : une start-up se fait financer par le gouvernement pour développer un navigateur purement chinois, mais qui serait un clone déguisé de Chrome
La bêta de Chrome 69 est disponible et s'accompagne du support expérimental du codec vidéo AV1 et de la prise en charge des encoches d'affichage
Chrome 69 va apporter un nouveau design au navigateur le mois prochain et rendre l'utilisation de Flash plus pénible

Chrome ne va plus afficher le label « Sécurisé » pour les connexions HTTPS à compter de septembre 2018

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Neckara
Inactif https://www.developpez.com
Le 05/09/2018 à 11:40
Citation Envoyé par ShigruM Voir le message
Pour ta culture, sache que https garantie une protection uniquement de l'attaque de l'homme du milieu absolument pas du reste !
"Pour ma culture", je bosse dans ce domaine, donc merci.

HTTPS protège le canal de communication et vérifie que le serveur est bien celui qu'il clame être, i.e. si le nom de domaine affiché correspond bien au serveur avec lequel on est en train d'échanger.

Donc c'est bien une sécurité, malgré ce que tu affirmes dans ton message précédent.

Citation Envoyé par ShigruM Voir le message
il est aujourd'hui très simple d'avoir un certificat valide, les autorités qui les donnent ne vérifie absolument pas les sites web.
d’ailleurs maintenant la plupart des hébergeurs web te donne un certificat d'office inclus dans le prix.
Parce qu'il n'est pas pertinent de "vérifier" le site web dans le cadre du protocole HTTPS.
La réputation, le typosquatting, etc. sont gérés par d'autres protocoles.

La "vérification" ne pourra jamais être exhaustive, et ne fera qu'exposer des sites en clairs, car rejetés par cette vérification, donc ne fera qu'au final faire baisser la sécurité globale sur Internet.

Citation Envoyé par ShigruM Voir le message
il est d'une bêtise sans nom de se croire en sécurité juste parce qu’il y'a un cadenas vert
C'est pour cela que Google Chrome est en train de retirer son cadenas pour le remplacer par une alerte en cas de communications HTTP...

Si tu veux aller par là, il est aussi d'une bêtise sans nom de se croire en sécurité, tout court. Ton processeur intel, tu l'as audité ? Ton OS, tu connais l'origine de chacune de ses lignes ? Tu sais exactement tous les programmes qui tournent sur ta machine à chaque instant ? etc.
11  0 
Avatar de pmithrandir
Expert éminent https://www.developpez.com
Le 06/09/2018 à 11:04
En même temps, les URL sont la solution pour accéder directement à un site... hors Google préfererait surement qu'on accede aux sites uniquement par leur intermédiaire.

Combien d'entre nous écrive l'url entière, ou préfère demander à google ?

Je pense qu'ils veulent juste capturer ces utilisateurs en plus dans leur moteur de recherche.
7  0 
Avatar de bmayesky
Membre du Club https://www.developpez.com
Le 31/01/2019 à 23:15
De mémoire, il s'agit pour Google de cacher/transformer une partie de l'URL au navigateur pour "simplifier" la vie de l'internaute. Pour moi, il s'agit pour Google de mettre la main sur la codification des URL afin d'en faire un service à sa main et d'imposer ses solutions au reste du monde. La "simplification" n'amenant pas de sécurité réelle mais un codage de l'URL façon Google que l'internaute ne pourrait plus lire ni modifier sans qu'elle devienne incohérente et/ou l'obligation de passer par les serveurs de Google pour transcoder les adresses en adresses réelles. Ce qui poserait Google en espion de toutes vos connexions Web. Et ce serait aussi une laisse numérique qui ferait dépendre vos bookmarks du bon vouloir de Google, voire vous lier à Google Chrome pour ne pas les perdre.

Mais j'ai un coté parano vis-à-vis des GAFA, surtout lorsqu'il s'agit de protocoles fermés et de justification de "sécurité" qui me semblent très fumeuses. Alors il y a certainement des avis plus tempérés et mieux informés et je vous lirais avec attention.

En tout cas, cela n'a rien à voir avec les efforts faits pour imposer le https qui était présent, normé et accepté par tous les navigateurs bien avant que Google ne s'en mêle.
7  0 
Avatar de ymoreau
Membre émérite https://www.developpez.com
Le 05/09/2018 à 11:07
C'est à ça que servent les certificats. Donc oui ça reste imparfait; mais j'attends de voir ce que propose Google (jusque là du vent donc) pour voir s'ils ont réellement mieux comme solution, et je ne doute pas que ce sera en créant d'autres contraintes ou limitations.
6  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 05/09/2018 à 12:51
Citation Envoyé par JP CASSOU Voir le message
- sécurisé
- supporter le cryptage des messages
Avec PGP, c'est déjà le cas... mais encore faut-il l'utiliser.

En ce, il est anormal qu'au moins les banques ne l'utilisent pas.

Citation Envoyé par JP CASSOU Voir le message
- basé sur des serveurs approuvés par une autorité ( = toute ouverture de serveur de mail nécessiterait une autorisation administrative, y compris pour les particuliers, et bien évidemment payante)
Et si je veux me faire mon petit serveur de mail perso ?
Et si je veux héberger un service moi-même avec des notifications par mails ?

Citation Envoyé par JP CASSOU Voir le message
- basé sur IPv6
? Les protocoles de mails ne se situent absolument pas à la même couche que IP.

Citation Envoyé par ShigruM Voir le message
https n'est en aucun cas une sécurité, je préfère être sur http://mabanque.com que sur https://mabamque.com
Aaaarg, je n'avais pas vu le m.

Il vaut mieux être sur https://mabamque.com, au moins tu as une chance de te rendre compte du problème, et certains protocoles à base de whitelist/blacklist peuvent te faire remonter une alerte. Sur http://mabanque.com, tu es aussi sur un site malicieux, sauf que tu n'as aucun moyen de t'en rendre compte, autrement que de savoir qu'une banque ne proposera jamais du http. Au final, mieux vaut être sur https://mabanque.com.
7  1 
Avatar de Neckara
Inactif https://www.developpez.com
Le 05/09/2018 à 10:53
C'est comme dire "il faudrait résoudre le problème de la faim dans le monde", ou "il faudrait résoudre les problèmes d'évasions fiscales", si derrière, il n'y a pas de solutions ou au minimum des pistes concrètes, c'est juste un discours creux et vide. Il existe déjà quelques solutions techniques, systèmes de réputations, white-list/TOFU, black-list, etc. Cela aurait été bien d'au minimum les évoquer.

Citation Envoyé par ShigruM Voir le message
https n'est en aucun cas une sécurité, je préfère être sur http://mabanque.com que sur https://mabamque.com
Nous avons déjà cette discussion sur un autre sujet, où j'ai déjà montré qu'une telle affirmation relève d'une bêtise sans nom.
Ne nous éparpillons pas.
10  5 
Avatar de fredoche
Membre extrêmement actif https://www.developpez.com
Le 07/09/2018 à 15:35
Citation Envoyé par Neckara Voir le message


Il faut différence l'authentification "syntaxique", de l'authentification "cognitive". HTTPS t'assures que l'identité clamée du serveur avec lequel tu communiques est bien la sienne. En revanche, il ne peut et ne pourra jamais t'assurer que l'identité clamée du serveur est bien celle à laquelle tu penses (e.g. typosquatting). Dans ce cas, ce sont d'autres protocoles qui prennent le relais, ce n'est pas du ressorts de HTTPS.

Quels protocoles ?

tu nous embrouilles avec tes termes, alors développe stp ...
tu connais les certificats EV ? Tu connais le rôle des autorités de certifications et des tiers de confiances dans un système de PKI ?

Certains ici ont prétendu que HTTPS ne protégeait pas des attaques MITM, j'ai émis des hypothèses à ce sujet, mais je n'ai vu personne expliquer comment on fait une MITM avec HTTPS ?
Quelqu'un saurait-il l'expliquer ? ou bien c'est juste de la fanfaronnade ?
5  0 
Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 05/09/2018 à 16:21
qu'on le veille ou non, c'est le sens de l'histoire

je constate que les utilisateurs lamba ne font pas la différence une une barre d'adresse et une zone de recherche (il faut dire que les navigateurs poussent à la confusion), mais je vois souvent des gens taper une URL dans la zone de recherche de la page Google, ce qui n'a pas lieu d'être.

De plus, si je tape BNP et c'est le navigateur qui va jongler entre l'historique des URL, le moteur de recherche et le petit bonheur la chance pour trouver le site de la banque (ou autre)...et seul un utilisateur averti (ou un navigateur un peu intrusif) fera la différence entre https://mabanque.bnpparibas/ et https://www.banque-bnp.fr/ (disponible à l'enregistrement !)
3  0 
Avatar de
https://www.developpez.com
Le 05/09/2018 à 23:29
Vous parlez de http/https, mais il me semble que ce que cet ingénieur remet ce sont les URL (certes http fait parti de l'url), c'est à dire le moyen que nous utilisons via les navigateurs pour localiser les serveurs. Du coup ça remet en cause le système des DNS qui est derrière tout ça, et en admettant que Google possède une autre solution technique pour passer de la demande utilisateur à la localisation du serveur, on donne les clefs de l'annuaire du web à Google ?
3  0 
Avatar de squizer
Membre actif https://www.developpez.com
Le 06/09/2018 à 13:02
Tout le problème réside dans la qualité de la validation des certificats https.

Les site bancaires, pour l'exemple, devrait disposer d'un certificats https validé, ou estampillé comme autorisé, par la Finma.
Résultats des courses un site bancaire aura son petit flag https avec un tag spécifique pour dire "bancaire".
Ca éviterait donc qu'un site https://mabamque.com soit reconnu comme un vrai site bancaire, même si son certificat https est valide est vient de.. au pif.. letsencrypt.

Bien sur cela implique d'avoir une double validation du certificats, une fois sur sa validé auprès de l'autorité de certification initial, une fois auprès de l'autorité tierce de responsabilité (Finma dans notre cas)

C'est en gros de la validation à 4 yeux.
3  0