Chrome 45 : 29 failles de sécurité en moins, des fonctionnalités en plus

Chrome 45 : 29 failles de sécurité en moins, des fonctionnalités en plus

Flash et NPAPI au placard, ou presque

Avatar de l'auteur
Sébastien Gavois

Publié dans

Logiciel

02/09/2015 3 minutes
45

Chrome 45 : 29 failles de sécurité en moins, des fonctionnalités en plus

Chrome vient de passer en version 45 sur Android, Linux, OS X et Windows. En plus des traditionnels correctifs de sécurité, cette mouture comporte plusieurs changements importants, notamment sur Flash, NPAPI et le support de Subresource Integrity.

Comme prévu, Chrome 45 est disponible depuis hier soir. Cette mouture arrive un peu plus d'un mois après la bêta, qui faisait la part belle aux développeurs. La mouture stable qui vient d'être mise en ligne reprend les mêmes fonctionnalités, dont le support d'ECMAScript 2015 (ECMAScript 6) dont nous avons récemment parlé.

Des fonctionnalités liées à la sécurité et le cas des contenus Flash secondaires

Ce n'est évidemment pas la seule nouveauté puisque Chrome 45 prend également en charge Subresource Integrity qui permet à un navigateur, via un hash de contrôle, « de vérifier qu'une ressource a été livrée sans manipulation inattendue » explique Google. Le but étant d'éviter de télécharger un fichier qui aurait été corrompu. Un exemple est donné sur cette page. Si le dernier paragraphe est rose, c'est que le navigateur a chargé un CSS malgré le hash invalide. Si au contraire il n'est pas coloré, c'est que le navigateur a refusé le CSS.

Chrome 45 Subresource Integrity

Comme prévu, Chrome 45 coupe définitivement les ponts avec NPAPI (Netscape Plugin Application Programming Interface), un ancien standard qui été désactivé par défaut depuis Chrome 42. Désormais, il n'est plus possible de le réactiver, même en passant par les paramètres avancés.

C'est également avec cette mouture que les contenus Flash secondaires devraient être bloqués (les publicités par exemple), mais d'après nos constatations ce n'est pas encore le cas. Selon nos confrères de VentureBeat, cette fonctionnalité est en fait déployée progressivement chez les utilisateurs. N'hésitez pas à nous faire part de vos retours via les commentaires.

Plus de 40 000 dollars de récompenses et 29 failles bouchées

Comme à chaque changement majeur de version, Google en profite pour donner des récompenses à ceux qui lui ont identifié et remonté des failles de sécurité. Chrome 45 comporte pas moins de 29 correctifs, pour un total de plus 40 000 dollars distribués.

Dans le même temps, Chrome pour Android passe également en version 45. Le billet de blog ne donne que très peu d'informations sur les changements et il faut plonger dans le Git du navigateur pour en savoir davantage. Pour rappel, nous avions déjà détaillé les nouveautés par ici. Là encore, la mise à jour est progressivement déployée sur le Play Store.

45

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des fonctionnalités liées à la sécurité et le cas des contenus Flash secondaires

Plus de 40 000 dollars de récompenses et 29 failles bouchées

Commentaires (45)


Si ils pouvaient virer les blobs propriétaires du projet chromium ça serait pas mal aussi, pour notre sécurité…


La vérif du hash dans le navigateur est tout à fait intéressant pour nous autres modestes développeurs :)


la récup de PepperFlash est bien cachée. et on est obligé de passer par là pour chromium qui n’a pas flash intégré.

pour info, le lien direct.



source :https://get.adobe.com/flashplayer/otherversions/


Enfin, et vivement WebAssembly, d’ailleurs ca sera pas la même histoire finalement ?


C’est à partir de quelle version que plus aucun site https ne fonctionne ?

Parce que là je suis en 47 (chromium) et au moins 50% des sites en https plantent pour cause de

 

La clé publique éphémère Diffie-Hellman associée au serveur est peu sûre.ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY 

 Et ça le fait aussi avec firefox (31.8)

 Enfin NXI fonctionne, c’est le principal.

 Mais pas de google, ni de duckduckgo c’est pénible. Etre obligé de se rabattre sur bing (en http, parce que en https lui aussi plante) c’est dur.


Bon bah je vais passer pas mal de nos secrétaires sur Firefox alors (module Java obligatoire pour les marchés de dématérialisation et vérification des certificats bancaires pour les virements <img data-src=" />).


C’est moi où tu te pleins des bug de la version dev, alors qu’il existe une version stable et beta ?


et Qwant?

de toute façon pour chromium, il vaut mieux se rabattre sur les builds de début juin à cause de la non prise en charge des formats proprio sur HTML5…


le hash risque de poser problème lorsqu’on utilise des service comme cloudflare qui reduise la taille des fichiers


houlala ! firefox est en retard ! ils n’en sont qu’à la version 40


Sinon vous avez une idée de la roadmap exacte pour la version 46?

&nbsp;



&nbsp;J’ai cru comprendre que le consommation de ram allait s’améliorer avec cette future version (et les perfs en général). C’est le cas sur toutes les plateformes? Uniquement sous OSX? Quid de Linux et Windows?


Donc si NPAPI est définitivement supprimé de chrome, cela veut dire que les plugin java dans chrome ne peuvent plus du tout fonctionner ?








picatrix a écrit :



houlala ! firefox est en retard ! ils n’en sont qu’à la version 40





Ne t’inquiète pas ils sont sûrement en train de lire le changelog de Chrome pour savoir ce qu’il faut intégrer à Firefox…



Plus aucun plugins ne fonctionnent.

Pas de Java, pas de Silverlight, pas de Flash tiers (tu utilises celui de google et tu te tais), pas de Unity, pas de plugins sur mesure, rien.&nbsp;



Certains appellent ça une avancée, perso j’ai un peu du mal, ça ressemble plus à une fermeture Appelienne…


le pepperflash de adobe ne fonctionne plus? parce que c’est du PPAPI.


Ce qui me gêne c’est que -by design- l’erreur rencontrée n’est pas contournable, même par un utilisateur avancé (par un switch sur le ligne de commande par exemple)

Il ne s’agit pas d’un bug mais d’une “fonctionnalité” qui arrivera dans les prochaines versions stables de chrome et qui est déjà dans la version stable de FF.



Déjà qu’à la base chromium (chrome sans les espions google) c’est un peu pénible à installer (et très pénible à upgrader) si en plus en installant la dernière version tu te retrouves sans moteur de recherche. Et donc sans possibilité de rechercher la version N-1 pour la réinstaller…

&nbsp;

Cependant il se pourrait que le problème soit lié à notre infra. C’est pourquoi je posais la question avec l’espoir que quelqu’un aurait une explication.

En même temps je ne vois pas pourquoi le proxy fonctionnerait avec certains sites (wikipedia,nextinpact,microsoft) et pas avec d’autres (google,ducduckgo,ibm,qwant,bing)

Donc si ce n’est pas le proxy&nbsp;(sur lequel on peut intervenir) c’est que le problème vient des sites en eux-mêmes. Si on déploie au niveau du parc un navigateur qui ne peut pas accéder à Google ni à Bing ce sera un peu…gênant.&nbsp;

&nbsp;


Chrome n’est pas un outil pro’. IE oui, Firefox oui sous condition.


En effectuant des recherche, il faudrait que ces plugins utilisent PPAPI (Pepper plugin API) pour être un peu plus sécure que ceux qui utilisent npapi. Par exemple flash utilise PPAPI, etc.



et les plugins de google mouais <img data-src=" /> c’est surtout utiliser la techno html5/etc et ne plus avoir de plugins dans les pages web à proprement parler.

Les plugins ne seront que sur le navigateur (type gmail notification, adblock plus etc)


C’est quoi un outil pro ? ^^








v1nce a écrit :



Déjà qu’à la base chromium (chrome sans les espions google)

&nbsp;





https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=786909 &nbsp; &nbsp;<img data-src=" />









yzhokras a écrit :



Pendant ce temps, Microsoft Edge fait un zéro faute.





<img data-src=" />



Bisous et bisous bis.









Keizo a écrit :



En effectuant des recherche, il faudrait que ces plugins utilisent PPAPI (Pepper plugin API) pour être un peu plus sécure que ceux qui utilisent npapi. Par exemple flash utilise PPAPI, etc.



et les plugins de google mouais <img data-src=" /> c’est surtout utiliser la techno html5/etc et ne plus avoir de plugins dans les pages web à proprement parler.

Les plugins ne seront que sur le navigateur (type gmail notification, adblock plus etc)





Du coup je me demande un truc : on ne pourrais pas étendre PPAPI aux autres navigateurs, puisque apparemment c’est plus sécurisé que NPAPI?

&nbsp;

Question : Si Flash continuait sous forme de Webassembly, on râlerait encore dessus ?









Blood_Man a écrit :



C’est quoi un outil pro ? ^^









  • C’est un outil qui est déployé dans les entreprises (notamment informatisées dans le cas d’un logiciel) dans une grande proportion (50% ou plus).

  • C’est un outil qui permet de créer, de développer, et de déployer des solutions à ses clients aussi bien qu’en interne.

  • C’est un outil stable et supporté sur lequel on peut bâtir un business (ce qui implique les deux critères précédents)



    Chrome ne respecte en fait aucun des trois critères. C’est un peu un jouet …



Et sous Linux tu fais quoi&nbsp; de ton outils pro IE ?

IE n’est pas pro car il n’est pas multiplateforme.&nbsp;

Linux est beaucoup utiliser dans le milieu professionnelle pour internet (Où Linux domine le marché avec Android par exemple)


Je ne comprend pas trop le critère des 50% ou plus, ça voudrait dire que pour une catégorie donnée, 1 seul outil pro existe ? (vu que les autre seront à moins de 50%).

Pour le 2ème critère, je n’ai pas très bien compris ce que tu voulais dire, qu’on ne peut pas dev une appli web et dire au client, vous pouvez utiliser chrome ? qu’on ne peut pas en assurer le support ?

&nbsp;J’allais être d’accord avec toi pour le 3ème point (une maj nous a demandé de faire un peu de dev supplémentaire) mais je viens de tomber sur ce lien :&nbsp;https://support.google.com/a/answer/3204698?hl=fr&nbsp;ça a l’air pas mal pour les entreprises.








Keizo a écrit :



En effectuant des recherche, il faudrait que ces plugins utilisent PPAPI (Pepper plugin API) pour être un peu plus sécure que ceux qui utilisent npapi. Par exemple flash utilise PPAPI, etc.





PPAPI c’est une API Google. Personne ne l’a jamais utilisé, sauf collaboration avec Google à ma connaissance, c’est à dire&nbsp;la version PPAPI de Flash que j’appelle “la version Google de Flash”. La version 100% Adobe de Flash est basé sur NPAPI (l’API standard).



Quel expert&nbsp;<img data-src=" />


IE il est pas deployé, il est préinstallé.








yzhokras a écrit :



Des dizaines de failles chaque mois depuis son lancement, c’est ça Chrome.

&nbsp;Pendant ce temps, Microsoft Edge fait un zéro faute.







J’ai souri



IE un outil pro&nbsp;<img data-src=" />

&nbsp;

Bref, ce troll est quand même trop gros.

&nbsp;

Je fais du soft SaaS sur une archi LAMP, du coup ‘jai besoin pour mes client d’un navigateur stable dans le temps et l’espace. Chrome et Firefox font tout à fait l’affaire, même pour de l’usage exigent ou critique. Mais bon se sont que des afficheurs des résultats des interactions entre la demande de l’utilisateur et le résultat sorti par le serveur.



&nbsp;Le navigateur dois être safe pour que l’utilisateur ne soit pas “trop” plombé lors de son usage. FF est ttout à fait bien pour ma part, et c’est ce que je préconise pour mes clients.








van25fr a écrit :



Et sous Linux tu fais quoi  de ton outils pro IE ?

IE n’est pas pro car il n’est pas multiplateforme. 

Linux est beaucoup utiliser dans le milieu professionnelle pour internet (Où Linux domine le marché avec Android par exemple)







Mettre Android et Linux dans le même panier a tendance à me hérisser le poil personnellement <img data-src=" />

Ils ont une racine commune, mais l’usage et la finalité est aux antipodes l’une de l’autre…

Les systèmes mobiles sont de vraies merdes bridées et fermées de partout sur lequel l’utilisateur n’a aucun contrôle à moins de devoir bricoler méchamment… C’est l’exact opposé d’une système basé sur Linux.



Linux reste majoritairement présent en tant que système serveur, domaine dans lequel avoir un navigateur installé sur son OS est aussi utile que l’interface graphique qui servira à le faire tourner.

En tant que poste de travail, c’est encore assez rare et personnellement je n’en ai vu que dans les services info sur quelques postes… Rarement supporté par les DSI.



D’autant plus con car la gestion des versions de packages avec une distrib Linux en poste de travail est aussi simple à gérer qu’un parc Windows pour les mises à jour (je suppose que WSUS existe toujours nan ?). (puisque ça se fait pour les serveurs avec l’entreprise qui créé son propre repo et y pousse les paquets validés)



Le seul problème des navigateurs maintenant en entreprise, c’est que le rythme de mise à jour est un poil trop effréné pour pouvoir faire de la TNR propre. Raison pour laquelle je considère que l’entreprise doit garder la maîtrise de la mise à jour de son parc applicatif.









Soltek a écrit :



Bon bah je vais passer pas mal de nos secrétaires sur Firefox alors (module Java obligatoire pour les marchés de dématérialisation et vérification des certificats bancaires pour les virements <img data-src=" />).

&nbsp;





&nbsp;Quelle plaie ces plateformes. Toujours des em avec java. Ils ne peuvent pas trouver autres choses que le java pour sécuriser cela !



Tu penses que Microsoft à inventer le logiciel sans bug ?


Bon bah super, merci les connexions citrix, les accès bancaires, plus rien ne va fonctionner, même en bidouillant -_-’








v1nce a écrit :



Déjà qu’à la base chromium (chrome sans les espions google) c’est un peu pénible à installer (et très pénible à upgrader)







Cadeau <img data-src=" /> :http://sourceforge.net/projects/crupdater/



connaissais déjà

&nbsp;empoisonné le cadeau.

cela ne fonctionne pas.

cela pointe sur un repository qui ne contient plus que des images pour android (donc ça plante)

j’ai beau lui donner un emplacement alternatif &nbsp;il est incapable de s’en dépatouiller.








van25fr a écrit :



Et sous Linux tu fais quoi  de ton outils pro IE ?

IE n’est pas pro car il n’est pas multiplateforme. 

Linux est beaucoup utiliser dans le milieu professionnelle pour internet (Où Linux domine le marché avec Android par exemple)







J’ai parlé de IE ?

J’ai beau relire je vois pas où …



Mais puisque tu le mets sur la table, IE a permis à des milliers de professionnels de vivre et de se faire des millions grâce à ses fonctions plus avancées (et aussi plus “dangereuses si on fait n’importe quoi avec”), que n’importe quel autre navigateur. Si des entreprises sont bloquées avec IE depuis 20 ans, c’est parce qu’aucun navigateur actuel n’est capable de faire ce qu’il fait aussi facilement et aussi efficacement …



Ensuite tu parles du multiplateforme, oui bon c’est pas avec ça que tu vas changer le monde ou monter un business (regarde les logiciels qui rapportent le plus de fric, ils sont tous mono-plateforme), les clients sont en général mono-plateforme, et dans une entreprise on met pas à disposition sur un poste de travail 3 machines avec son propre OS (Windows, Unix, Linux, MacOS etc ), en général y a qu’un seul OS principal à supporter (au pire tu virtualises le reste). Donc selon la cible ce sera Windows ou Unix/Linux rarement les deux en même temps.



Personnellement mon favori reste FF … ensuite IE est pas si mal surtout si on prend le dernier et qu’on doit intégrer du Sharepoint. Mais Chrome, ça tient un peu du masochisme …









Blood_Man a écrit :



Je ne comprend pas trop le critère des 50% ou plus, ça voudrait dire que pour une catégorie donnée, 1 seul outil pro existe ? (vu que les autre seront à moins de 50%).







Le 50% c’est parce qu’un professionnel va rationaliser son développement pour cibler la plateforme qui rapporte le plus (le plus de clients possibles pour créer du volume et donc de la marge). Donc si tu as un soft qui se retrouve chez plus de 50% des clients t’as déjà fait le gros du travail en ouvrant cette porte vers le marché cible. Mais si tu as une répartition de 30% 30% 30% 10% par exemple, ben là tu appliques un autre critère (les deux suivants).







Blood_Man a écrit :



Pour le 2ème critère, je n’ai pas très bien compris ce que tu voulais dire, qu’on ne peut pas dev une appli web et dire au client, vous pouvez utiliser chrome ? qu’on ne peut pas en assurer le support ?







Non simplement que quand tu cibles une plateforme, un logiciel client, tu ne veux pas en supporter 50, tu veux mutualiser et rationaliser ton support client et tes développements. Il vaut mieux avoir le support d’un éditeur, une formation solide et des experts sur un logiciel/plateforme et être efficace (donc moins cher) que de taper dans tous les coins, se disperser et être expert nulle part (cout maximal).

Donc tu favorises le client qui est le mieux supporté par son éditeur, voire avec lequel tu peux établir un lien privilégié, avec une grosse base de développeurs, des formations spécifiques, et des réponses rapides et garanties en temps etc etc …




Ok, du coup on peut effectivement dire que Chrome est un outil acceptable pour l’usage pro. Apparemment il va dépasser IE en parts de marché en entreprise d’ici à la fin de l’année. Et pour les développeurs, c’est plus facile à dev dessus, en tout cas comparé à de vieilles version IE jusqu’à 9 ou 10 (je ne sais plus sur quelle version sont apparus les nouveaux outils de debug).

&nbsp;Du coup chez nous c’est IE 10 minimum qui est supporté, firefox et chrome, on oublie opera et safari. Pour les versions &lt;ie10, ils doivent rester sur une ancienne version de l’appli, patchée uniquement pour des corrections de bug et non d’ajout de fonctionnalités. Mais même si on ne conseil pas chrome plutot qu’un autre à nos client, c’est avec lui que l’appli est la plus fluide.








catseye a écrit :



(regarde les logiciels qui rapportent le plus de fric, ils sont tous mono-plateforme),







Tu as des exemples de logiciels qui rapportent le plus de fric ? ça m’intéresse comme petit palmarès :)



A ma connaissance, les logiciels qui rapportent beaucoup sont des middleware ou des ERP qui se placent comme épine dorsale de l’activité via des infras centralisées composées de plusieurs serveurs et avec des coûts en licence pouvant atteindre aisément le million.

Et généralement ces produits sont multiplateforme : Windows, Linux, AIX, AS400…



Des solutions purement monoplateforme, perso j’en ai rarement vu.

De mon expérience, c’était soit des progiciels spécifiques qui se basaient sur de l’environnement purement Windows (IIS, MS SQL Server, etc), soit des vieux progiciels à la limite du dev spécifique client.



En effet c’est pas toi qui parle de IE mais l’auteur de cette conversion c’est à dire Hugue1337. Désolé.


Je parle du noyau Linux.

Désolé pour la confusion, je devrais mettre GNU/Linux pour le noyau


Impossible d’éditer mes messages . Désolé.

Pour les navigateur. Il faut qu’il soit libérer de leur OS. Car internet n’appartient pas à un OS.&nbsp; Toutes les applications Web doivent fonctionner sur n’importe quelles plateformes (MacOS, GNU/Linux, Microsoft). je déteste les applications web mono-plateforme hors pro (n’est-ce pas Microsoft avec Silverlight. Grrrr …).