Chrome 63 est disponible : une version bien plus intéressante qu'il n'y paraît

Le bonheur est dans le flag 13
Accès libre
image dediée
Navigateurs
David Legrand

Lancée de manière discrète, la version 63 de Chrome apporte de nombreuses nouveautés : blocage du son émis par les sites, meilleure isolation, arrivée de TLS 1.3 ou encore nouvel affichage des permissions sous Android. Le coup de départ d'une vague d'améliorations pour redonner du contrôle à l'utilisateur.

C'est à travers un billet de blog plutôt anodin que l'équipe en charge de Chrome a annoncé la mise en ligne de la version 63 ce mercredi. On y voit surtout la liste des 37 correctifs de sécurité, sans mention particulière. Pourtant, les nouveautés introduites sont nombreuses, et certaines sont particulièrement intéressantes.

Cette version inaugure une série qui vise à renforcer la sécurité et le contrôle donné à l'utilisateur. Une tendance qui va se poursuivre dans les mois à venir avec l'arrivée du bloqueur de publicités de Google, la (presque) fin de la lecture automatique ou encore des redirections non désirées.

Chrome 63 signe aussi de premières déceptions, avec des fonctionnalités attendues en retard.

Couper le sifflet des sites ? C'est possible (mais pas par défaut)

En test depuis la fin de l'été, la fonctionnalité avait été annoncée en septembre pour Chrome 63. Mais dans les faits, elle n'est pas présente dans les Paramètres du contenu, pas plus que dans le canal Beta, toujours en version 63. On peut seulement en profiter dans le canal Dév, actuellement à la version 64.

Il y a néanmoins une astuce, car la fonctionnalité est en réalité bien là, mais désactivée par défaut. Il suffit de modifier un « flag » de Chrome : #sound-content-setting, via l'adresse chrome://flags dans la barre d'adresse. Après l'avoir cherché, on sélectionne simplement Enabled dans le menu déroulant.

Chrome 63 Sound Content SettingChrome 63 Sound Content Setting

Ensuite, l'option « Son » apparaîtra dans les Paramètres du contenu (chrome://settings/content) pour l'ensemble des sites ou pour un domaine en particulier. Dans ce dernier cas, il vous suffit de cliquer sur la section à gauche de l'URL, puis sur Paramètres du site.

Chrome://flags évolue

On notera au passage que l'interface de gestion des fonctionnalités expérimentales s'est dotée d'un nouveau look. Elle reprend les codes du Material design de Google et se veut claire, plus lisible et surtout plus simple à gérer. 

Un moteur de recherche est présent en tête, avec un bouton permettant de rétablir les paramètres par défaut. Un système d'onglet vient distinguer les options disponibles ou non pour le système en cours d'utilisation. On reste par contre toujours sur une traduction partielle de l'interface. 

Chrome 63 Flags

TLS 1.3, accès direct au certificat, confiance en baisse pour Symantec

Côté chiffrement, Chrome 63 est la première mouture du navigateur à gérer la version 1.3 de TLS (Transport Layer Security), qui est pour rappel le remplaçant de SSL depuis quelques années. Elle est par contre uniquement activée sur Gmail pour le moment, le support devant être étendu courant 2018.

En cas de problème en entreprise, les administrateurs peuvent désactiver ce niveau de chiffrement, des soucis ayant été remontés lors de premiers tests.

Autre point que nous avions relevé en mars dernier : le cas des certificats de Symantec. En raison des manquements constatés par Google, ils ne sont plus considérés comme étant de confiance. Cette dernière passe désormais à 15 mois, puis 9 mois à la prochaine version. Une durée déjà en place pour la version bêta de Chrome 63.

Enfin, on appréciera un détail finalement important : il est à nouveau possible d'afficher simplement le certificat d'un site. Ces derniers mois, cette fonctionnalité avait été placée dans l'onglet sécurité des outils de développement. Désormais, il suffira de cliquer sur le cadenas à gauche de l'URL, puis sur le statut du certificat pour pouvoir accéder à la fenêtre qui en affiche les détails. Un survol permettra directement de connaître l'émetteur :

Chrome 63 Certificat

L'isolation de sites est là

Ces dernières années, les navigateurs ont travaillé à l'utilisation d'un plus grand nombre de processus de rendu et une meilleure isolation de certains éléments dans une sandbox, pour améliorer à la fois les performances et la sécurité. Chrome 63 continue sur cette voie à travers l'isolation de sites.

Détaillée sur le site du projet Chromium, cette fonctionnalité a fait l'objet d'un long travail. Il avait notamment été évoqué en février dernier par Justin Schuh, en charge de la sécurité de Chrome, au sein d'un billet publié sur Medium qui évoquait les différences avec Microsoft Edge.

Pour faire simple, dans le fonctionnement actuel de Chrome, les pages de différents sites sont isolées dans des processus séparés lorsque c'est possible. Mais ce n'est pas toujours le cas, notamment lorsqu'il y a une iFrame, dans le cadre de certaines opérations de navigation d'une page à une autre ou que trop de processus de rendus ont été créés.

L'idée est donc de renforcer cette séparation, pour éviter qu'un attaquant puisse tenter de récupérer des informations de navigation sur un site tiers au sein de la sandbox. Dans une démonstration effectuée en 2015, on peut voir des iFrames ou des intégrations de type boutons sociaux apparaître comme des processus spécifiques pouvant être « tués » si besoin sans que cela n'impacte le reste de la page.

  • Chrome Site Isolation
  • Chrome Site Isolation
  • Chrome Site Isolation
  • Chrome Site Isolation

Une solution intéressante donc, mais pas sans conséquences. Google prévient en effet que la consommation mémoire peut être en hausse de 10 à 20 %. Il peut également y avoir des problèmes lors de l'impression d'une page ou de l'analyse avec les outils de développement. Les iFrames inter-sites ne sont alors pas prises en compte.

L'isolation de sites n'est donc pas activée par défaut. Elle peut l'être par les administrateurs ou de manière manuelle. Pour cela, plusieurs possibilités. Tout d'abord, l'option #enable-site-per-process dans les « flags » de Chrome 63. Vous pouvez également lancer Chrome avec l'argument --site-per-process.

Ceux qui cherchent un juste milieu peuvent opter pour une activation spécifique à certains domaines, pour lesquels la sécurité est considérée comme plus sensible : 

--isolate-origins=https://example.com,https://sousdomaine.example.org

Pour le moment, aucun délai n'a été donné pour une activation généralisée. Google attend sans doute déjà de collecter les premiers retours et de voir dans quels cas cette fonctionnalité pose problème ou non. Une fois que tout aura été identifié et éventuellement corrigé, il sera alors peut être temps de passer à l'étape suivante.

Bloquer les permissions des extensions, NTLMv2 ailleurs que sous Windows

Dans un billet de blog dédié au monde de l'entreprise, Google apporte des précisions sur d'autres fonctionnalités pensées pour ce marché.  Pour rappel, une offre « Enterprise » est disponible depuis septembre pour Chrome OS.

Il est notamment question des permissions aux extensions. Ainsi, un administrateur peut décider de bloquer toutes celles réclamant un accès complet à l'historique de navigation, à la géolocalisation, au micro, à la webcam, au système de fichiers, aux requêtes ou même à certaines API :

Chrome 63 Permissions Extensions

Un dispositif que l'on apprécierait de voir généralisé, ou mieux, d'avoir la possibilité de refuser certaines permissions à des extensions qui en font la demande, comme pour les applications Android depuis quelques temps. 

Google précise au passage que la prochaine version de Chrome gèrera le protocole d'authentification NT LAN Manager v2 avec protection étendue de l'authentification (EPA) sous Android, Chrome OS, Linux et macOS, en plus de Windows qui est déjà supporté. Il est là aussi possible d'effectuer une activation anticipée via les flags avec l'option #enable-ntlm-v2 dans Chrome 64, actuellement dans le canal Dev. NTLMv2 sera utilisé par défaut à partir de Chrome 65.

Notez que le contrôle à distance possible à travers Chrome, qui ne peut plus passer par une application intégrée au navigateur, a désormais droit à son site dédié.

Nouveau système de permissions sous Android

Comme nous l'évoquions fin octobre, sous Android, un nouvel affichage des permissions est arrivé. Celles-ci apparaîtront sous forme de fenêtres modales, et non plus d'une barre.

Elles ont été jugées plus efficaces par Google après une série de tests, mais vont demander aux développeurs de faire plus attention sur le moment où elles sont affichées. Des recommandations ont d'ailleurs été publiées dans ce sens.

Ils sont d'ailleurs prévenus : en cas de refus répété (plus de trois) elles seront temporairement bloquées.

De petites retouches et autres nouveautés

La gestion des favoris a été retravaillée, aussi bien sur ordinateur que sur les appareils mobiles. Sous Android, l'autocomplétion a été améliorée dans la barre d'adresse. Sous iOS, balayer la page Nouvel onglet vers le haut permet d'afficher du contenu suggéré. 

Le reste avait été développé dans un billet de blog il y a un peu plus d'un mois. Nous avions notamment noté la présence de la Device Memory API qui doit aider les développeurs à adapter leurs applications aux contraintes matérielles de l'appareil, l'import dynamique de modules JavaScript ou les Async Iterators/generators entre autres petites retouches.


chargement
Chargement des commentaires...