Le client Ubuntu de Shadow en bêta, bientôt de nouvelles annonces

La nouvelle bêta du navigateur contient plusieurs changements assez marquants, après plusieurs versions sages qui ne proposaient surtout que du neuf pour les développeurs.

Le premier apport est une nouvelle mesure contre Flash. Le lecteur est toujours intégré dans Chrome, mais la fonction liée est maintenant coupée par défaut.

Si vous utilisez le canal bêta et que vous avez besoin de Flash, il faudra vous rendre sur le réglage chrome://settings/content/flash. Le réglage « Demander d’abord » est devenu « Empêcher les sites d’exécuter Flash », accompagné d’une parenthèse « recommandé ». Il suffira alors de réactiver la fonction.

Autre changement, celui-là poussé en avant par l’un des développeurs de Chrome (Paul Irish), l’impossibilité pour les sites de détecter le mode Incognito du navigateur. Il s’agit pour rappel de la fonction navigation privée, qui n’enregistre aucune trace locale de la session de surf.

Le développeur s’excuse dans la foulée pour les scripts de détection du mode navigation privée qui, du coup, ne fonctionneront plus. Pourquoi de tels scripts ? Parce que de nombreux sites utilisant un paywall permettent une lecture d’un à trois articles gratuits par jour. Ils ne devraient donc plus être en mesure d’exploiter cette solution.

D’autres changements sont à noter. Quand un site visité est détecté comme PWA (Progressive Web App), un bouton « + » apparaît à droite de la barre d’adresse. La mention « Installer » s’affiche brièvement, montrant à l’utilisateur où cliquer pour installer cette application web. La suite est connue puisqu’il s’agit simplement d’un raccourci vers la fonction se trouvant dans le menu général.

Chrome 76 permet également aux sites de détecter le mode d’affichage en cours pour l’interface : clair ou sombre. Puisque le mode sombre est maintenant disponible sur macOS et Windows, les sites pourront interroger Chrome avec une ligne de code et s’adapter en conséquence s’ils le souhaitent.

Enfin, de nombreux ajouts et changements ont été faits pour les développeurs. C’est notamment le cas pour l’API Payments, qui introduit des capacités supplémentaires, comme la possibilité pour un site de déclencher une action quand un changement de méthode de paiement est détecté.

La version finale de Chrome 76 est attendue pour le 26 juillet, après les six semaines environ de test classiques.

• Télécharger Chrome en bêta

Seules les versions FIPS (Nano FIPS, C FIPS, C NANO FIPS) sont concernées et « tous les autres produits Yubico ne sont pas impactés par ce problème », explique le constructeur.

Avec les firmwares 4.4.2 et 4.4.4 (il n'y a pas eu de version 4.4.3), certaines valeurs aléatoires ne l'étaient pas vraiment après la mise sous tension de la clé de sécurité. En effet, la mémoire tampon « contient du contenu prévisible issu des tests de démarrage ». Par la suite, des valeurs aléatoires sont correctement générées.

Les conséquences sont plus ou moins graves. Dans le cas d'une clé RSA sur 2 048 bits, jusqu'à 80 bits peuvent être prédits ; ce qui ne représenterait selon le fabricant pas un risque immédiat.

Par contre, c'est bien plus gênant pour une clé de signature ECDSA avec 80 bits prévisibles sur 256. Même chose pour les clés ECC. Bien d'autres cas sont détaillés par ici.

Enfin, le constructeur estime que « la majorité des clés YubiKey FIPS concernées a été remplacée ou est en cours de remplacement ». Une page dédiée a été mise en ligne.