Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Chrome 45 : 29 failles de sécurité en moins, des fonctionnalités en plus

Flash et NPAPI au placard, ou presque
Logiciel 2 min
Chrome 45 : 29 failles de sécurité en moins, des fonctionnalités en plus

Chrome vient de passer en version 45 sur Android, Linux, OS X et Windows. En plus des traditionnels correctifs de sécurité, cette mouture comporte plusieurs changements importants, notamment sur Flash, NPAPI et le support de Subresource Integrity.

Comme prévu, Chrome 45 est disponible depuis hier soir. Cette mouture arrive un peu plus d'un mois après la bêta, qui faisait la part belle aux développeurs. La mouture stable qui vient d'être mise en ligne reprend les mêmes fonctionnalités, dont le support d'ECMAScript 2015 (ECMAScript 6) dont nous avons récemment parlé.

Des fonctionnalités liées à la sécurité et le cas des contenus Flash secondaires

Ce n'est évidemment pas la seule nouveauté puisque Chrome 45 prend également en charge Subresource Integrity qui permet à un navigateur, via un hash de contrôle, « de vérifier qu'une ressource a été livrée sans manipulation inattendue » explique Google. Le but étant d'éviter de télécharger un fichier qui aurait été corrompu. Un exemple est donné sur cette page. Si le dernier paragraphe est rose, c'est que le navigateur a chargé un CSS malgré le hash invalide. Si au contraire il n'est pas coloré, c'est que le navigateur a refusé le CSS.

Chrome 45 Subresource Integrity

Comme prévu, Chrome 45 coupe définitivement les ponts avec NPAPI (Netscape Plugin Application Programming Interface), un ancien standard qui été désactivé par défaut depuis Chrome 42. Désormais, il n'est plus possible de le réactiver, même en passant par les paramètres avancés.

C'est également avec cette mouture que les contenus Flash secondaires devraient être bloqués (les publicités par exemple), mais d'après nos constatations ce n'est pas encore le cas. Selon nos confrères de VentureBeat, cette fonctionnalité est en fait déployée progressivement chez les utilisateurs. N'hésitez pas à nous faire part de vos retours via les commentaires.

Plus de 40 000 dollars de récompenses et 29 failles bouchées

Comme à chaque changement majeur de version, Google en profite pour donner des récompenses à ceux qui lui ont identifié et remonté des failles de sécurité. Chrome 45 comporte pas moins de 29 correctifs, pour un total de plus 40 000 dollars distribués.

Dans le même temps, Chrome pour Android passe également en version 45. Le billet de blog ne donne que très peu d'informations sur les changements et il faut plonger dans le Git du navigateur pour en savoir davantage. Pour rappel, nous avions déjà détaillé les nouveautés par ici. Là encore, la mise à jour est progressivement déployée sur le Play Store.

45 commentaires
Avatar de marba Abonné
Avatar de marbamarba- 02/09/15 à 08:37:36

Si ils pouvaient virer les blobs propriétaires du projet chromium ça serait pas mal aussi, pour notre sécurité…

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 02/09/15 à 08:38:14

La vérif du hash dans le navigateur est tout à fait intéressant pour nous autres modestes développeurs :)

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 02/09/15 à 08:50:50

la récup de PepperFlash est bien cachée. et on est obligé de passer par là pour chromium qui n'a pas flash intégré.
pour info, le lien direct.

source :https://get.adobe.com/flashplayer/otherversions/

Avatar de Naneday INpactien
Avatar de NanedayNaneday- 02/09/15 à 09:08:10

Enfin, et vivement WebAssembly, d'ailleurs ca sera pas la même histoire finalement ?

Avatar de v1nce INpactien
Avatar de v1ncev1nce- 02/09/15 à 09:12:06

C'est à partir de quelle version que plus aucun site https ne fonctionne ?
Parce que là je suis en 47 (chromium) et au moins 50% des sites en https plantent pour cause de
 
La clé publique éphémère Diffie-Hellman associée au serveur est peu sûre.ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY 
 Et ça le fait aussi avec firefox (31.8)
 Enfin NXI fonctionne, c'est le principal.
 Mais pas de google, ni de duckduckgo c'est pénible. Etre obligé de se rabattre sur bing (en http, parce que en https lui aussi plante) c'est dur.

Avatar de Soltek INpactien
Avatar de SoltekSoltek- 02/09/15 à 09:21:43

Bon bah je vais passer pas mal de nos secrétaires sur Firefox alors (module Java obligatoire pour les marchés de dématérialisation et vérification des certificats bancaires pour les virements :roll:).

Avatar de sticoum INpactien
Avatar de sticoumsticoum- 02/09/15 à 09:27:19

C'est moi où tu te pleins des bug de la version dev, alors qu'il existe une version stable et beta ?

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 02/09/15 à 09:34:42

et Qwant?
de toute façon pour chromium, il vaut mieux se rabattre sur les builds de début juin à cause de la non prise en charge des formats proprio sur HTML5...

Avatar de gaetan.cambier INpactien
Avatar de gaetan.cambiergaetan.cambier- 02/09/15 à 09:37:18

le hash risque de poser problème lorsqu'on utilise des service comme cloudflare qui reduise la taille des fichiers

Avatar de picatrix INpactien
Avatar de picatrixpicatrix- 02/09/15 à 09:37:38

houlala ! firefox est en retard ! ils n'en sont qu'à la version 40

Il n'est plus possible de commenter cette actualité.
Page 1 / 5