Selon une récente modification du code par l’entreprise, Google Chrome se prépare à fournir un paramètre permettant de restreindre les téléchargements HTTP non sécurisés.
Pour encourager l’adoption des connexions HTTPS, Google a mis à jour Chrome avec des fonctions de sécurité supplémentaires au cours des dernières années. Maintenant que de nombreux sites Web traitent nos informations personnelles, le chiffrement HTTPS est la norme plutôt que l’exception, alors qu’auparavant il n’était exigé que pour les sites sensibles en matière de confidentialité, notamment les banques.
Dans les paramètres de sécurité de Chrome, la société a récemment intégré un bouton indiquant « Toujours utiliser une connexion sécurisée ». Si vous l’activez, Chrome essaiera de « mettre à niveau » les sites Web vers la version HTTPS si vous vous rendez accidentellement sur la version non sécurisée. S’il n’existe pas de version sécurisée, un message s’affiche à l’écran pour vous demander si vous souhaitez toujours continuer.
Plus important encore, tout ancien site HTTP est désormais marqué comme « non sécurisé » dans la barre d’adresse. Chrome empêche également les sites Web sécurisés d’utiliser des formulaires Web ou des téléchargements qui ne sont pas sécurisés par défaut. « Contenu mixte » est le terme utilisé pour désigner ce mélange de sections protégées et non sécurisées.
Suite à une nouvelle mise à jour du code, Google entend améliorer la protection des utilisateurs de Chrome contre les téléchargements HTTP potentiellement non sécurisés. Cette mesure va au-delà des précautions déjà en place pour le téléchargement de contenus mixtes, car elle bloque les téléchargements provenant de n’importe quelle connexion, même ceux qui sont connectés à des sites Web qui ne sont pas sûrs.
Add support for insecure download blocking
This CL adds the implementation for insecure download blocking. When the previously-added flag is enabled, it will show a warning for all downloads that were not securely delivered. This warning must be explicitly ignored before the download will complete.
- Insecure downloads can be insecure because of:
- The initiating page being insecure,
- The final file URL being insecure, or
- Any redirect along the way being insecure.
Par exemple, si vous visitez un lien de téléchargement HTTPS et que vous êtes redirigé vers un serveur HTTP non sécurisé, Google Chrome met fin au téléchargement, le jugeant non sécurisé. De même, Chrome bloque le téléchargement à partir de sites Web exclusivement HTTP.
Disponibilité
En ce qui concerne la disponibilité de cette fonctionnalité, elle est encore en cours de développement. Elle ne pourra donc probablement pas être testée à grande échelle avant Chrome 111, dont la sortie est prévue en mars 2023. Un lancement complet aurait très probablement lieu plus tard dans l’année.
Selon les modifications du code, il est mentionné que :
Cette mise en œuvre est conçue pour laisser le comportement de blocage de téléchargement mixte prendre le pas sur le blocage de téléchargement non sécurisé en général. Cela signifie que tout téléchargement mixte est toujours bloqué silencieusement.