, pour une augmentation du déploiement des sites HTTPS.
Vous avez probablement déjà été une fois informés par votre navigateur du niveau de sécurité d'un site web que vous visitez, du moins, le navigateur vous le dit quand le contenu du site est sécurisé. Mais qu'en est-il lorsque vous naviguez sur un site non sécurisé? Rien.
L'équipe des développeurs de Chrome a longuement réfléchi sur la question et a décidé de porter son projet à la connaissance de la communauté web. Leur objectif est que les navigateurs nous informent aussi quand nous sommes dans un domaine non sécurisé et quel est le niveau de risque encouru.
« Nous, l'équipe de sécurité Chrome, proposons que les agents utilisateurs (UA) changent progressivement leur expérience utilisateur (UX) pour afficher les sources non sécurisées comme étant effectivement non sécurisées. Nous avons l'intention d'élaborer et de commencer à déployer un plan de transition pour Chrome en 2015 ».
Ils partent du constat que le protocole HTTP ne garantit aucune sécurité de données alors que le désir de tout internaute est d'avoir des communications sécurisées sur internet.
« Nous savons que les gens ne perçoivent généralement pas l'absence d'un signe d'avertissement. Pourtant, la seule situation dans laquelle les navigateurs Web sont garantis de ne pas avertir les utilisateurs est précisément quand il y a aucune sécurité: lorsque la source est transportée via HTTP. » Vont-ils ajouter:
« Nous voulons tous que la communication de données sur le web soit sécurisée (privée, authentifiée, non altérée). Lorsqu'il n'y a pas de sécurité des données, l'UA devrait l'afficher explicitement, afin que les utilisateurs puissent prendre des décisions éclairées sur la façon d'interagir avec une source. »
C'est une chose d'informer les utilisateurs du niveau de sécurité sur un site, mais c'en est une autre, de trouver un critère objectif pour définir les différents niveaux de sécurité.
L’équipe suggère que les navigateurs définissent et informent les utilisateurs de trois niveaux de sécurité:
-Sécurisé (HTTPS valides, d'autres sources de type localhost par exemple);
-Suspect (HTTPS valables, mais avec des ressources passives mixtes, HTTPS valides avec des erreurs mineures TLS);
-Non sécurisé (HTTPS cassé, HTTP).
Les développeurs de Chrome pensent que cette opération va conduire progressivement à une augmentation de sites sécurisés pendant que les sites non sécurisés tendront à disparaître. Par ailleurs, ils ont diffusé leur projet sur plusieurs listes influentes pour recueillir des commentaires de la communauté du web, des développeurs et des utilisateurs. Ils ont, par la même occasion, lancé un appel aux fournisseurs d’UA à intégrer la notification des trafics non sécurisés.
Source : chromium.org
Et vous ?
Que pensez-vous du plan pour marquer les sites non sécurisés ?
Les développeurs de Chrome élaborent un plan pour marquer les trafics non sécurisés
Pour une augmentation du déploiement des sites HTTPS
Les développeurs de Chrome élaborent un plan pour marquer les trafics non sécurisés
Pour une augmentation du déploiement des sites HTTPS
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !