IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google Chrome n'affichera plus les indicateurs de sites Web sécurisés
Alors que l'entreprise continue ses efforts pour obtenir un Web 100 % HTTPS

Le , par Bill Fassinou

144PARTAGES

13  0 
Google continue d'apporter des modifications à la barre d'adresse de Chrome. La société teste une nouvelle fonctionnalité dans Chrome 93 Beta qui n'affichera plus les indicateurs de sites Web sécurisés. Google estime que cela devrait encourager les développeurs à n'utiliser que HTTPS sur leurs sites. Étant le navigateur le plus utilisé dans le monde avec plus de 60 % de parts de marché, cette mise pourrait aider à avoir uniquement des connexions HTTPS à l'avenir. Ce changement intervient aussi quelques mois après que Google a annoncé que la barre d'adresse de Chrome va commencer à utilise le "https://" par défaut.

Cela fait plusieurs années déjà que Google déploie des efforts concertés pour inciter les sites Web à utiliser uniquement le protocole HTTPS afin d'offrir une expérience de navigation plus sûre. Pour inciter les développeurs Web à n'utiliser que le protocole HTTPS sur leurs sites, le géant de la recherche en ligne a introduit ce protocole comme facteur de classement dans les SERP (Search Engine Result Page). Cela signifie que les développeurs qui n'hébergent pas un site sécurisé ont subi une baisse potentiellement mineure de leur classement dans les résultats de recherche de Google. Cette mesure semble avoir porté ses fruits.



En effet, selon la section "HTTPS encryption on the Web" (Chiffrement HTTPS sur le Web) du rapport de transparence de Google, plus de 90 % de toutes les connexions dans Chrome utilisent actuellement une connexion HTTPS. Pour continuer sur cette lancée, Google a annoncé que Chrome n'indiquera plus si un site que vous visitez est sécurisé, mais seulement si vous visitez un site non sécurisé. En fait, actuellement, lorsque vous visitez un site sécurisé, Google Chrome affiche une petite icône verrouillée indiquant que votre communication avec le site est chiffrée, comme indiqué ci-dessous.

La plupart des communications entre sites Web étant désormais sécurisées, Google teste actuellement une nouvelle fonctionnalité qui supprime l'icône de verrouillage pour les sites sécurisés. Cette fonctionnalité est expérimentale dans Chrome 93 Beta et Chrome 94 Canary, mais vous pouvez la tester en activant l'indicateur "Omnibox Updated connection security indicators". Lorsque cette fonction est activée, Chrome n'affiche les indicateurs de sécurité que lorsque le site n'est pas sécurisé. Google a toutefois prévu une option pour permettre aux entreprises de le réactiver l'indicateur de sécurité HTTPS.

Google a ajouté une stratégie d'entreprise pour Chrome 93 appelée "LockIconInAddressBarEnabled" qui peut être utilisée pour réactiver l'icône de verrouillage dans la barre d'adresse. Pour rappel, le HTTPS est un mécanisme qui permet à votre navigateur ou à votre application de se connecter de manière sécurisée à un site Web. C'est l'une des mesures mises en place pour sécuriser votre navigation, ce qui est important, par exemple, lorsque vous vous connectez au site Web de votre banque ou lorsque vous saisissez des informations de carte de paiement dans une boutique en ligne.



Pour ceux qui souhaitent tester la désactivation de la fonctionnalité des indicateurs de sécurité de Chrome, vous pouvez l'activer dans Chrome 93 Beta ou Chrome 94 Canary en suivant ces instructions.

  • saisissez chrome://flags dans la barre d'adresse et appuyez sur la touche Entrée ;
  • recherchez "indicateurs de sécurité" (security indicators) ;
  • lorsque l'indicateur "Omnibox Updated connection security indicators" s'affiche, cliquez sur "Default" et sélectionnez "Enabled" ;
  • relancez ensuite le navigateur lorsque vous y êtes invité.


Google ne vous indiquera plus si un site est sécurisé et n'affichera un indicateur que lorsque vous visiterez un site non sécurisé. Il est important de noter que Google a annoncé ce changement depuis 2018. « Les utilisateurs doivent s'attendre à ce que le Web soit sécurisé par défaut, et ils seront avertis en cas de problème. Étant donné que nous commencerons bientôt à marquer toutes les pages HTTP comme étant “non sécurisées”, nous supprimerons les indicateurs de sécurité positifs de Chrome afin que l'état non marqué par défaut soit sécurisé », a-t-il déclaré à l'époque.



« Chrome va l’implémenter au fil du temps, en commençant par supprimer le libellé "Secure" et le schéma HTTPS en septembre 2018 (Chrome 69) », a ajouté Emily Schechter de Google. Cette approche s'inscrit dans le cadre des efforts de l'entreprise pour tenter de remodeler la barre d'adresse de Chrome. En mars dernier, Google a annoncé que la barre d'adresse de Chrome utilisera désormais "https://" par défaut. Selon l'entreprise, cela devrait permettre d'améliorer la confidentialité et la vitesse de chargement des sites Web prenant en charge ce protocole.

Puis dans un billet de blogue le mois dernier, Google a indiqué qu'un mode HTTPS-First sera ajouté à Chrome pour empêcher les attaquants d'intercepter ou d'écouter le trafic Web des utilisateurs. « Lorsqu'un navigateur se connecte à des sites Web via HTTPS, les espions et les attaquants sur le réseau ne peuvent pas intercepter ou modifier les données partagées via cette connexion (y compris les informations personnelles ou la page elle-même). Ce niveau de confidentialité et de sécurité est vital pour l'écosystème Web, c'est pourquoi Chrome continue d'investir pour rendre le HTTPS plus largement pris en charge », avait-il expliqué.

À partir de Chrome 94, le navigateur proposera le mode HTTPS-First, qui tentera de mettre à niveau tous les chargements de page vers HTTPS et affichera un avertissement sur une page entière avant de charger les sites qui ne le prennent pas en charge. Comme pour encourager les internautes, Google explique que « les utilisateurs qui activent ce mode ont l'assurance que Chrome les connecte aux sites via HTTPS dans la mesure du possible et qu'ils verront un avertissement avant de se connecter aux sites via HTTP.

« Sur la base des commentaires de l'écosystème, nous tenterons à l'avenir de faire du mode HTTPS-First le mode par défaut pour tous les utilisateurs. Mozilla a également partagé son intention de faire du mode HTTPS uniquement l'avenir de la navigation Web dans Firefox », a annoncé l'entreprise. Google fait partie des entités qui ont beaucoup encouragé l'industrie à passer au HTTPS. Nous pouvons citer plusieurs de ses initiatives :

  • en août 2014, l’algorithme de recherche de Google a commencé à utiliser HTTPS comme un critère de classement pour donner un peu plus de poids aux sites utilisant le protocole sécurisé dans ses résultats de recherche. Fin 2015, Google a annoncé que son moteur de recherche a commencé à indexer les pages HTTPS par défaut ;
  • en 2017, sous Chrome 62, Google a commencé à marquer les connexions en HTTP comme étant « non sécurisées ». En août de la même année, les développeurs Web dont les sites étaient toujours en HTTP ont été prévenus par courriel émanant de Google. L'éditeur a tout de même précisé que cela se ferait dans deux situations additionnelles : lorsque les utilisateurs entrent des données sur une page en HTTP (une attention particulière sur les sites où les utilisateurs rentrent des informations sensibles comme des mots de passe ou des numéros de crédit depuis la version 56 du navigateur) et lorsqu’ils visitent des pages HTTP via le mode de « navigation privée ».


Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du choix de Google de n'afficher un avertissement que si le site Web n'est pas sécurisé ?
Pensez-vous que l'approche de Google conduira tous les développeurs à adopter les connexions HTPPS ?

Voir aussi

Chrome 94 va ajouter le mode HTTPS-First et Google prévoit de remplacer l'icône de cadenas affichée lorsqu'un site se charge via HTTPS, l'éditeur estime qu'il prête à confusion

Google annonce que la barre d'adresse de Chrome utilisera désormais "https://" par défaut pour améliorer la confidentialité et la vitesse de chargement des sites Web prenant en charge ce protocole

Chrome ne va plus afficher le label « Sécurisé » pour les connexions HTTPS à compter de septembre 2018

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de electroremy
Membre éprouvé https://www.developpez.com
Le 16/08/2021 à 0:57
Il ne faut pas oublier que le HTTPS ne sert à rien pour les sites ne gérant pas de données sensibles ou de compte utilisateur

Par exemple, les nombreux sites avec "seulement" du texte et des images, comme les pages personnelles ou les blogs "à l'ancienne" sans commentaires, mais qui peuvent être de vraies mines d'information.

Il ne faudrait pas que ces sites soient pénalisés ou qu'il soit impossible d'y accéder
1  0 
Avatar de Dji_Pih
Nouveau membre du Club https://www.developpez.com
Le 31/08/2021 à 0:13
Y a deja cette solution pour forcer Chrome a considerer un site "http://" non securise comme "sûr' : en l'ajoutant dans une "white liste" par la base de registre
---
HKLM\Software\Policies\Google\Chrome\InsecureContentAllowedForUrls\1 = http://monintranet/
HKLM\Software\Policies\Google\Chrome\InsecureContentAllowedForUrls\2 = http://10.8.0.1:10080/
---
Mon entreprise edite un logiciel en mode SaaS dand le Cloud accessible par VPN : on configure Edge ou Chrome en ajoutant la cle de registre InsecureContentAllowedForUrls : plus d'avertissemet de site non securise, ni icone, ni texte
(Ce logiciel traite des donnees "hautement" sensibles)
---
Ref : https://chromeenterprise.google/poli...AllowedForUrls
---
Il en va de meme si vous voulez autoriser les ports 8080, 10080, ... qui sont desormais bloques
---
HKLM\Software\Policies\Google\Chrome\ExplicitlyAllowedNetworkPorts\1 = 10080
1  0 
Avatar de electroremy
Membre éprouvé https://www.developpez.com
Le 01/09/2021 à 10:16
Citation Envoyé par Dji_Pih Voir le message
Y a deja cette solution pour forcer Chrome a considerer un site "http://" non securise comme "sûr' : en l'ajoutant dans une "white liste" par la base de registre
Oui c'est possible

Le problème c'est que c'est à chaque internaute de faire la manipulation, qui n'est d'ailleurs pas possible avec un compte limité...

Il serait tellement plus simple que les navigateurs ne signalent pas les sites en HTTP qui ne contiennent pas de formulaires (donc qui ne traitent pas de données personnelles)
0  0