Chrome 69 éclispse www des URLs et suscite grogne et soupçons

 

Avec le lancement cette semaine de Chrome 69, Google a promu de nouvelles fonctionnalités, ainsi qu’une nouvelle interface. Les utilisateurs ont à présent quelques mois pour se préparer à la suppression de la mention « Sécurisé » de Chrome sur les sites HTTPS et à l’ajout de la notification « Non sécurisé » en rouge sur les sites HTTP dans Chrome 70.

Mais pour une raison quelconque, Google a décidé, à partir de Chrome 69, le navigateur le plus populaire au monde, de ne plus afficher dans la barre d’adresse les www. ou m. des sites web, un simple « sous-domaine » selon le géant. Par conséquent, www.zdnet.com apparait désormais sous le nom zdnet.com.

WWW. : un simple sous-domaine

Pour l’instant, les utilisateurs peuvent forcer Chrome à afficher l’adresse complète en désactivant l’indicateur «Omnibox UI Hide Steady-State URL Scheme et Trivial Subdomains» à l’adresse chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains.

Le protocole HTTPS est le schéma d’URL, alors que Chrome considère désormais www comme un « sous-domaine trivial » dont la barre d’adresse peut se passer.

Vous pouvez toujours révéler l’URL complète dans Chrome 69 en double-cliquant sur l’adresse dans la barre d’adresse, et si vous copiez l’adresse simplifiée et que vous la collez ailleurs, l’adresse complète apparaîtra.

Le traitement par Chrome 69 de www dans la barre d’adresse est similaire à celui d’Apple, mais le changement dans Chrome a suscité de plus grandes inquiétudes quant aux motivations de Google.

Après tout, il avait fallu beaucoup de temps pour avertir les utilisateurs des nouvelles façons dont il communiquerait sur le HTTP et le HTTPS dans la barre d’adresse, mais Google est resté silencieux sur la suppression d’un indicateur tout aussi important que les utilisateurs s’attendent à voir.

Dans un rapport de bug repéré par The Register, les critiques ont signalé plusieurs cas où deux sites différents se ressemblent désormais, exposant potentiellement les utilisateurs à des attaques de phishing.

Plan machiavélique au profit d’AMP ?

Par exemple, m.tumblr.com, qui n’est pas le site de Tumblr, est affiché comme tumblr.com. Le site http://www.pool.ntp.org peut lui aussi sembler avoir son homonyme. En outre, dans le cas d’un domaine comme «www.www.2ld.tld», le www est masqué deux fois.

La question a déclenché un vif débat sur Hacker News, où certains affirment que le changement fait partie du plan à long terme de Google pour cacher son sous-domaine AMP et le rendre indiscernable du domaine réel.

« Et puis tout à coup, le monde entier passe par AMP » ironise un internaute dans les commentaires.

A l’occasion de la sortie de Chrome 69, Google a déclaré à Wired que les URL ne transmettaient pas l’identité d’un site. L’éditeur réfléchit donc à une solution qui offre plus de confort et de sécurité.

Ce changement au sein de Chrome, qui semblera anecdotique à nombre d’internautes, pourrait donner l’impression que Google s’efforce de tuer l’URL et d’affirmer sa domination sur le Web.

Scott Helme, expert en sécurité, estime que le changement est bon, du moins du point de vue du phishing, car la plupart des utilisateurs comprendront mieux un cadenas qu’un https://, tandis que la suppression du www signifie moins d’informations à interpréter.

Go to Source


bouton-devis