Chrome Canary fait disparaitre l'URL

Mickaël Bazoge |

Google tourne autour de la possibilité de simplifier encore l'affichage des URL dans la barre de recherche omnibox de Chrome. Actuellement, le navigateur web affiche l'intégralité du lien, comme d'ailleurs Safari ou Firefox. Une version Canary (destinée aux développeurs et à ceux qui aiment essuyer les plâtres) de Chrome est apparue le 30 avril, apportant avec elle une fonction effaçant l'URL en question, ne laissant plus que le nom de domaine (macg.co, par exemple).

Cliquer pour agrandir

Cliquer sur l'omnibox ne fait pas réapparaitre l'intégralité du lien, mais permet de lancer une recherche sur Google, ou de rentrer une autre URL. Pour retrouver le lien « disparu », il faut cliquer sur la boîte encadrant le nom de domaine. Le fait de masquer la totalité de l'URL peut s'expliquer : d'une, elle peut poser des problèmes de sécurité; et de deux, l'intérêt de présenter un lien complet peut se discuter. Depuis iOS 7, Safari mobile n'affiche d'ailleurs plus que le seul nom de domaine. Ce mouvement de simplification du web ne date d'ailleurs pas d'hier : depuis quelques années, il n'est ainsi plus nécessaire de rentrer les schémas d'URL http://www. dans la plupart des navigateurs.

Google a cependant retiré cette fonction avec la version suivante de Chrome Canary. L'affaire fait débat au sein même de l'équipe de développement; Paul Irish de Chrome a publiquement fait part de son opposition : « Mon opinion personnelle est que c'est un très mauvais changement, et que c'est contraire aux objectifs de Chrome ». Mais encore une fois, les déclinaisons Canary du navigateur sont justement là pour tester de nouvelles fonctions susceptibles d'être abandonnées.

avatar Orus | 

Oulala la mauvaise idée. Toujours vouloir simplifier, pour s'aligner sur les gens les plus bêtes n'est pas une solution. Cela fera une perte de contrôle de plus, les criminels du net seront ravis.

avatar USB09 | 

@Orus

Bien sur, l'ideale serait un panneau vert en ligne de code façon ''Matrix''.

avatar Floklein | 

De l'Internet pour les teubés...

avatar KrummenHacker | 

Cacher l'URL complète à l'utilisateur, c'est ça qui me paraît un problème de sécurité.

Justement pour des raisons de sécurité, il est impératif de savoir sur quelle page on est. Les petits malins on tendance à utiliser de faux noms de domaines très proches de l'original pour tromper leurs proies. Il est beaucoup plus facile de repérer une URL frauduleuse si on la voit en entier.

Mais bon, ce qui est encore pire, c'est cette tendance des navigateurs de ne plus montrer l'URL d'un lien avant de cliquer dessus, du moins par défaut.

avatar Moonwalker | 

Je partage ce sentiment et ne vois pas non plus ce que supprimer l'URL apporte en matière de sécurité. L'explication semble tomber comme un cheveux sur la soupe. Quand on est à court d'argument, reste la sécurité.

avatar DVP | 

Je ne suis pas d'accord.
La mamie du Cantal verra elle l'arnaque dans cette URL:
http://www.caisse-epargne.fr.banking-fishing-services.com/youAccount/giveMeMoney.php?scam=yes&origin=cote_d_ivoire

Pas sur, alors que le simple affichage de "caisse-epargne.fr.banking-fishing-services.com" permet toute de suite de voir le nom du site.

Les URL compliquée permettent de perdre l'utilisateur qui dans tout ce fatras de caracteres n'arrive pas à faire la difference entre le domaine et le chemin au premier coup d'oeuil.

Apres, il faut esperer que ca soit bien securisé, pas comme avec IE ou a une epoque il etait possible de cacher une partie de l'URL en rajoutant un caractere ascii non affichable, et pour le coup d'afficher une autre URL que celle sur laquelle on est vraiment.

avatar Philactere | 

@DVP
Je dirais même plus, la mamie du Cantal (ou le jeune cadre parisien aussi, il n'est pas forcément plus au fait d'une url) lira dans sa barre d'adresse "banking-fishing-services.com" sans même voir ce qu précède si le navigateur ne s'en tient qu'au seul domaine.

Quant aux caractères ASCII tronquant l'url, pas de problème puisque le principe n'est d'afficher QUE le domaine. Après si il y a d'autres failles ce sera une faille permettant à un domaine de se faire passer pour un autre, ou un piratage des DNS. Mais danc ces cas que l'url soit réduite au seul domaine ou pas n'y changera rien.

Perso j'aime bien lire une adresse en entier, mais les systèmes mettant en évidence LE SEUL DOMAINE sont un plus pour alerter les utilisateurs non aguerris. On peut aussi imaginer une url écrite en entier en gris dans une police légèrement plus petite que le domaine qui lui est écrit en gras et d'une couleur bien visible. Comme ça on a tout, une adresse complète et un domaine qui saute aux yeux.

avatar jackhal | 

J'ai une version plus récente de Canary et l'URL s'affiche comme avant.
Auraient-ils déjà fait marche arrière ?

avatar Mickaël Bazoge | 
Oui, visiblement c'était juste un essai.
avatar pecos | 

Déjà que supprimer le champ de recherche séparé était une connerie, mais là on touche le fond.
En même temps de la part de google, ça m'étonne pas.

Continuez comme ça : on y est presque, au téléviseur monochaine.

avatar Anonyme (non vérifié) | 

@pecos :
Je ne trouve pas que le champ unifié d'adresse et de recherche soit idiot. Ça simplifie au contraire. Et ça n'enlève pas l'url pour autant.

avatar pecos | 

En effet, c'est un gros progrès.

Dans safari 5, pour avoir les recherches récentes, je clique juste sur le petit triangle à gauche de la liste.

Dans safari 6 :
- je place le pointeur dans la barre d'adresse
- je sélectionne l'adresse en cours
- j'efface cette adresse avec la touche "backspace delete"
- je tape "espace".
Et la liste apparait.

C'est vrai que c'est tellement plus simple et rapide...
Je suis vraiment trop nul de préférer l'ancien système...

avatar XiliX | 

@pecos :
Parce que c'est normal un espace dans une URL ?

C'est donc très logique que si tu tapes sur espace dans une URL qu'une liste soit proposée...

avatar karayuschij | 

C'est « une » espace en fait ;)
http://fr.wikipedia.org/wiki/Espace_(typographie)

Mais bon il n'y a pas de quoi URLer non plus…

avatar bugman | 

L'espace est encodé '%20' dans une url.

avatar rs459 | 

cmd + L fait la choses très bien, il sélectionne le champs , une fois le champs sélectionné, il suffit de taper pour l'effacer, ensuite taper une URL ou lancer une recherche, beaucoup plus simple et rapide.

Si tu sélectionnes l'adresse en cours et que tu l'effaces en faisant ton backspace, c'est ton droit mais c'est complétement inutile.

avatar 6ix | 

Sauf que 2 étapes sont inutiles, puisque l'adresse est sélectionnée automatiquement en cliquant dans le champ, et qu'il ne sert à rien d'effacer du texte sélectionné avant de taper autre chose.

Tu peux donc résumer ta liste de la sorte:
- je place le pointeur dans la barre d'adresse
- je tape "espace"

avatar Zouba | 

Si ça énerve les informaticiens, ici comme chez Google, c'est que c'est sans doute une bonne idée :-)

avatar cham | 

@Zouba :
Très bonne !
Sinon, moi aussi, autant j'aime la barre unifiée, autant j'aimerai toujours voir l'URL complète.

avatar Trollolol | 

Quand tu finiras sur un site de phishing de ta banque en ayant tété rediriger depuis le vrai via une xss on verra qui ça va énerver de ne pas avoir vu que l'url complète montrait la redirection.

Ou avec un exploit dans chrome, ça t'afficheras amazon.com alors que t'es sur dugland.tk.

avatar Philactere | 

L'URL complet est une bonne chose mais ce qui est vraiment important est de voir clairement le nom de domaine.tld (ex. macg.co ) pour éviter le phishing. La plupart des navigateurs actuels mettent le domaine.tld en évidence et c'est ça qui doit être contrôlé pour être sure de ne pas être victime de phishing.
Maintenant l'adresse complète moi je préfère, mais pourquoi pas une _option_ pour limiter l'affichage au seule domaine.tld. Ou alors un affichage complet au survol de la souris.

Par contre sur un lien hypertext l'adresse complète devrait toujours être affichée par le navigateur lors du survol par la souris, avec la mise en évidence du domaine en plus serait parfait.

avatar bugman | 

@ Philactere : +1

avatar rs459 | 

Mouais mauvaise UX, une url contient souvent des informations comme des dates, des années, des catégories, sans parler que le phishing ca se fait avec une fausse URL, mais aussi avec une URL provenant du vrai site mais piratée.

En tout cas ils sont vite revenus en arrière car mettant à jour mon canary tous les jours, j'ai même pas vu la fonctionnalité, et vu que je travaille en ce moment sur un API restfull , j'aurais eu du mal à le rater, étant donner que j'ai absolument besoin de voir et de tester les différentes URL.

avatar AirForceTwo | 

"sans parler que le phishing ca se fait avec une fausse URL, mais aussi avec une URL provenant du vrai site mais piratée."

Dans ce cas, c'est impossible de le deviner avec l'URL. Ca ne change donc rien de masquer l'URL.

avatar bugman | 

@ AirForceTwo : +1

avatar rs459 | 

TU ne verras pas la différence. Entre mabanque.org et mabanque.org/zgfrgthtrdhg/arfftggh/ moi la différence je la vois...

avatar bugman | 

@ rs459 : Le ".org" deja ! ;)

avatar rs459 | 

l'adresse est fictive, je ne pensais pas avoir à le préciser, mais si tu en as besoin :

"l'adresse mabanque.org est fictive, elle est uniquement utilisée à titre d'exemple"

avatar bugman | 

@ rs459 : Et bien exemple foireux alors. ;) (passe pas chez moi)

avatar Malcolmm | 

Normalement ta banque a enregistré son nom de domaine donc mabanque.org est suffisant peu importe ce qui vient après le /. Tu ne peux pas à titre perso enregistrer le domaine mabanque.org/labellearnaque alors que le domaine mabanque.org est pris, du moins je l'espère sinon tout est ouvert à tout le monde.

avatar bugman | 

@ Malcolmm : Si localement c'est bon (hosts) et serveurs DNS ok, effectivement. +1

avatar rs459 | 

Non effectivement tu ne pourrais pas enregistrer quelque chose à droite du domaine de niveau 1. En revanche si tu compromets le serveur et que tu y caches un sous répertoire (ou chemin) qui imite la page de login par exemple, en ne voyant pas l'URL, tu taperas bêtement ton mot de passe, sur le bon site oui, mais sur une page malicieuse. Vous remarquerez d'ailleurs que la plupart des pisching fonctionnent ainsi, ils compromettent un serveur, le laisse fonctionner normalement et cache très loin dans la hiérarchie leur backdoor

avatar Rigat0n | 

@rs459 :
Et dans le cas de figure que tu décris, avoir l'URL complète aide à voir le problème, pour un utilisateur "lambda" ?
Le gars qui se fait chier à pirater un site pour y mettre un répertoire avec une fausse page de login va pas écrire "mabanque.org/pirate/faussepagelogin/pourlesblaireaux".

A part si tu connais le site par coeur je vois comment tu vas détecter ce genre de truc avec l'url. Autant l'enlever, effectivement c'est plus simple et ça permet de mettre en valeur le nom de domaine et d'éviter "googgle" etc...

avatar Schwarzer Stern | 

Ce n'est pas opéra qui fait ça déjà ?

avatar iRobot 5S | 

Déjà que rien que l'abandon De rien l'affichage de l'http ou https est un problème de sécurité. L'utilisateur a le droit de savoir s'il est sur une page sécurise ou non.

avatar thej8 | 

En faite sur chrome le http est enlevé mais dès que tu est sur une page sécurisé alors la le https s'affiche, en vert pour bien le voir et avec un cadena à coté. donc ton reproche est infondé ;).

avatar iRobot 5S | 

@thej8 :
Certains sites n'affichent pas le https par défaut alors qu'il existe.

avatar aleios | 

Je suis developeur et je suis pour en tant que developeur et en tant qu'utilisateur.
1 l'url complète est toujours accessible en cliquant sur le bouton
2 n'afficher que le nom de domaine est au contraire un excellent moyen de lutter contre le phishing. Par exemple : goglle.com se remarque plus facilement que goglle.com/1124xe.htm?febeh=fhg
3 tout ce qui va dans le sens d'un simplification du net ne peut etre que benefique pour tous.

avatar nayals | 

@aleios : 100% d'accord.

Je suis, sans être développeur, bidouilleur assez avancé, et je suis totalement pour.
L'URL est rarement utile quand elle est affichée. Et on peut toujours y accéder en cliquant. Ça encombre l'esprit, les choses inutiles.

avatar oomu | 

hmmm. non.

avatar pecos | 

Curieux quand même le nombre d'utilisateurs qui confondent simplifier et appauvrir.

Ça doit être la bouffe.

avatar Dylan | 

Safari sur IOS le fait déjà...

avatar Strix | 

@Dylan :
T'as déjà vu la différence de "place" entre un smartphone et un écran d'ordi ?

avatar Le docteur | 

Moi qui me disait qu'avoir les lignes complètes permettait de comprendre la conception des sites et trouvais ça éducatif.
Deux jours plus tard je lis ça.

avatar Strix | 

@Le docteur :
Et tu as bien raison (de vouloir voir les URL complètes pour voir comment fonctionne la "machine")

avatar Monsieur Daz (non vérifié) | 

Je ne comprends sincèrement pas où est le problème à partir du moment où l'url complète s'affiche toujours en un clic =/
(Je ne dis pas qu'il n'y a pas de problème et que ceux qui râlent ont tort, je cherche juste à comprendre ce qui dérange autant)

avatar zerozerosix | 

Prenons http://apple.compte.com/moncompte/changerdemotdepasse.html">http://apple.compte.com/moncompte/changerdemotdepasse.html
Imaginons que ce soit dans un email "très officiel" d'Apple me demandant de me rendre sur ce lien pour changer mon mot de passe qu'un horrible sauvageon aura réussi à pirater.

Navigateur standard :
http://apple.compte.com/moncompte/changerdemotdepasse.html">http://apple.compte.com/moncompte/changerdemotdepasse.html
Ca passe très bien, url complète, je me fais pas arnaquer, hein il y a apple dans l'url complète... si utile... Avec ce style d'url je pense que 80% du grand public se fait avoir.

Façon simplifiée essayée avec canary :
compte.com
... Tiens où est apple ? Il y aurait pas comme une arnaque ?

Bref l'info utile n'est pas toujours où on l'imagine.

avatar bugman | 

@ zerozerosix :
Faudrait peut être juste apprendre aux gens à lire une URL et à faire des whois.
Faudrait par la même occasion à mieux connaitre les entreprises et savoir que celles-ci ne demande pas quelques type d'informations (comme le code d'une CB pour une banque par exemple).

Je pense que c'est l'unique chance d'éviter efficacement le fishing... faire connaitre aux 'poissons' les techniques de pêches et non essayer uniquement de le faire soit même en mâchant son travail (style petite icon verte dans un navigateur). Le malhonnête est malin, il s'adapte et apprend, sa prochaine victime devrait en faire autant (et pourquoi pas le piéger : récupérer son identité pour alerter les forces de l'ordre par exemple).

avatar Philactere | 

@bugman
Il est illusoire de vouloir apprendre à tout un chacun de faire des whois. En plus, plutôt que de passer par une commande whois dans un terminal (seul moyen sûr) ça risque d'être fait via des sites web ou utilitaires douteux qui détourneront les résultats...

Par contre oui, l'éducation est la chose à répéter toujours encore et encore :

JAMAIS une banque ne demande des informations par mail.
JAMAIS une banque ne demande via un mail de se connecter à un site web pour vérifier ou réinitialiser un mot de passe.
Même chose pour TOUS les sites SERIEUX si on en a pas fait expressément la demande SOIS-MÊME dans les minutes précédentes (mot de passe oublié sur le site machinChose).
Dans TOUS LES CAS pour se connecter a sa banque le moyen le plus sûr est de TAPER DIRECTEMENT l'adresse de sa banque dans son navigateur. mabanque.com c'est en général pas difficile de s'en souvenir et ensuite les liens pour le login sont facilement accessibles.
Ne JAMAIS suivre un lien depuis un mail ou un site web pour se connecter à sa banque.
Et pour finir, vérifier dans la barre d'adresse avant de saisir son mot de passe qu'on est bien sur mabanque.com et non pas sur banking-fishing-services.com, c'est là qu'une indication lisible dans le navigateur pour avoir le domaine immédiatement identifiable est intéressant.

avatar AirForceTwo | 

On met ce qu'on veut dans un whois. Je peux sans problème créer le domaine appleee.com et mettre Tim Cook - Apple inc. comme propriétaire.

C'est balot ;-)

Pages

CONNEXION UTILISATEUR