HTTPS : Chrome préviendra quand un site n'est pas sécurisé

Mickaël Bazoge |

Chrome, dans sa version 68, va prévenir noir sur blanc qu'un site n'est pas sécurisé. Actuellement, le navigateur de Google — dans sa version 64 — n'affiche rien dans sa barre d'adresse quand on navigue sur un site non sécurisé, c'est à dire en HTTP. À partir de Chrome 68, prévu pour le mois de juillet, une page web dont la connexion ne serait pas sécurisée en HTTPS activera l'affichage d'un petit mot d'alerte juste à côté de son URL.

Est-ce à dire que le site web qui présentera cette alerte est forcément dangereux ? Non, enfin, pas tous… C'est en revanche problématique en présence d'un formulaire demandant des informations confidentielles. Safari 11.1, actuellement livré avec les bêtas de macOS 10.13.4 et iOS 11.3, contient des alertes très claires :

Chrome 68 va pousser le bouchon un peu plus loin avec une alerte concernant la page web dans son ensemble, au-delà d'un formulaire. Selon le dernier pointage du moteur de recherche, 68% du trafic de Chrome sous Android et Windows est protégé en HTTPS, 78% sous macOS et Chrome OS. 81 des 100 sites les plus visités sont eux aussi accessibles en HTTPS par défaut (lire aussi : La moitié du web est désormais sécurisée).

Google propose aux développeurs web un outil open-source, Lighthouse, qui contient une fonction de diagnostic pour déterminer les portions d'un site web chargées en HTTP et quelles sont celles qui peuvent être mises à jour facilement en HTTPS.

avatar Happy74 | 

Quand on vois à quel point il est facile aujourd’hui de passer un site sous HTTPS, il n’y a plus d’excuses 🙂🔒

avatar AirForceTwo | 

C'est surtout gratuit. Par contre, ce n'est pas nécessairement plus facile qu'avant, à moins que tu ne considère comme difficile l'installation d'un certificat SSL.

avatar Julien Lavergne | 

@AirForceTwo

L’installation d’un certificat ssl par un non initié reste sans solution. Il faut pour celui-ci qui possède un site web de passer par un initié. Enfin cela reste simple pour celui qui s’y connaît.

avatar flagos | 

Sans solution, n'exagerons rien. Let's encrypt est quand meme une vraie solution en mode ultra simple: tu specifies ton nom de domaine, et voila.

Un exemple du support dans apache: https://letsencrypt.org/2017/10/17/acme-support-in-apache-httpd.html

avatar C1rc3@0rc | 

@flagos
«Sans solution, n'exagerons rien. Let's encrypt est quand meme une vraie solution en mode ultra simple: tu specifies ton nom de domaine, et voila.
Un exemple du support dans apache: https://letsencrypt.org/2017/10/17/acme-support-in-apache-httpd.html
»

Oui, non mais la il est question des gens qui font des sites Web avec Wordpress ou les applications de RealMac, ou encore avec Word (si, si)
Deja tu utilises le terme « apache» qui pour beaucoup de rédacteurs, au minimum est inconnu, au mieux c’est un truc obscure relevant de la magie noire et dont le provider assure qu’on aura jamais a s’occuper moyennant l’abonnement qu’on lui paye…

Donc pour qui la procedure de création de site c’est: « je choisi mon template, je tape un mot de passe éditeur, je tape mon contenu» https c’est la 13eme page du 13eme chapitre du 13ieme volume de la Bible de l’Enfer (ou du Grand Albert pour les plus littéraires)

«Chrome, dans sa version 68, va prévenir noir sur blanc qu'un site n'est pas sécurisé. Actuellement, le navigateur de Google — dans sa version 64 — n'affiche rien dans sa barre d'adresse quand on navigue sur un site non sécurisé, c'est à dire en HTTP. »

Sion, y a https everywhere, une extension qui force le https. Si le site n’en dispose pas, on le sait tres vite.
C’est édité par l’Electronic Frontier Foundation (pensez a leur faire un petit don, c’est des bons petits gars -et filles - qui se décarcassent pour nous permettre de profiter de l’informatique sans être juste des moutons a tondre), depuis un sacré bout de temps…
https://www.eff.org/https-everywhere

avatar tchit | 

@Julien Lavergne

Tout hébergeur qui se respecte offre le certificat intégré.

avatar Julien Lavergne | 

@tchit

C’est bien ! Fier de toi !

avatar tchit | 

@Julien Lavergne

? Je ne suis pas hébergeur...

avatar yannick74 | 

@AirForceTwo

Je veux dire également que de plus en plus d’hébergeurs permettent la mise en place de certificat SSL en quelques clics. Pour en avoir testé, ça fonctionne bien ! 😊

avatar hautelfe | 

Cela vérifie surtout les certificats.

avatar Avenger | 

Tiens, j'en profite pour ressortir un vieil article de MacG

https://www.macg.co/2013/03/iron-un-chrome-sans-les-mouchards-de-google-...

J'ai découvert ce navigateur récemment et je l'ai rapidement adopté! J'ai pu mal d'extensions installées et, avec Google Chrome, certains sites ne fonctionnaient plus correctement. Avec Orion, c'est nickel. Tout fonctionne parfaitement bien, avec exactement les mêmes extensions. :-)

avatar deltiox | 

On va chiffrer des pages avec par exemple une jolie carte d’une région où des photos et paysages touristiques

Quel intérêt ?

Si l’on chiffre l’accès à des données sensibles ou un formulaire oui mais sinon, je trouve cela limite debile

Bref, c’est la mode actuelle, https partout

avatar mat 1696 | 

@deltiox

Je trouve effectivement que le mode de fonctionnement dd Safari est meilleur:

Les sites non sécurisés ne sont indiqués comme tels seulement en cas d'infos sensible à remplir (formulaire, connexion,...)

avatar xDave | 

Les sites où il n'y a pas au moins un formulaire de contact sont plutôt rares.
C'est quoi une données sensibles? Un mot tapé dans un moteur de recherche ça compte ou bien 😉?

avatar jackhal | 

"Quel intérêt ?"

L'un des intérêts, c'est de bloquer en partie la possibilité des injections (pubs, malwares comme par exemple du minage de bitcoin à l'insu de l'utilisateur et du site visité...) :
https://www.macworld.com/article/2976534/privacy/stop-ad-injections-with...

avatar C1rc3@0rc | 

@ jackhal
+1

Et d'eviter le phishing, les attaques MiM, le defacing par kevin le scriptkiddy du coin,... Sachant qu'une grosse majorité des sites Web tournent sur Wordpress, l'etendue des possibilités de hacking est enorme si le site n'est pas un minimu securisé, et le https c'est justement le minimum de la securité...

avatar flagos | 

Le problème, c'est que le seuil de sensibilité a la question "S'agit il de données sensibles ?" va être très différent selon les personnes. Je ne pense qu'il y ait de réponse universel a la question.

Je pense au final que Google a raison dans son approche: switchez sur https, point final. C'est un message clair aux développeurs, qui comme on le sait (et je le sais, j'en suis un), trouveront toujours une excuse bidon pour ne pas faire quelque chose.

Surtout aujourd'hui, avec let's encrypt qui est gere apache et nginx, ya plus vraiment de raisons en fait.

avatar tchit | 

@deltiox

C’est juste les normes qui évoluent (dans le bon sens.)

avatar pierrot99 | 

mode parano
Le mirage du gratuit semble encore avoir fait mouche :-) les principaux sponsors de Let's Encrypt sont OVH, Cisco, Akamaï, Mozilla, l'EFF et.... Chrome. Belle occasion pour Google de récupérer encore plus d'infos sur les sites :-)
/mode parano

CONNEXION UTILISATEUR