Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Chrome 76 débarque avec Flash bloqué par défaut, un mode incognito non détecté par les sites web
Et des améliorations pour les PWA et le mode sombre

Le , par Olivier Famien

52PARTAGES

9  0 
Le plug-in Flash qui a permis d’ajouter de l’interactivité sur les sites web est depuis des années progressivement délaissé au profit de HTML5. Comme reproches, les entreprises mettent en avant le fait qu’il consomme beaucoup d’énergie, ralentit l’exécution des pages web, est instable, mais surtout cumule des failles de sécurité à foison. Depuis 2010, Apple a donc décidé de ne plus prendre en charge ce plug-in sur ses ordinateurs, tablettes et téléphones. Comme Apple, d’autres entreprises ont suivi le pas.

En 2015, Google a commencé à limiter l’usage du plug-in Flash sur son navigateur Chrome. D’abord, cela s’est traduit par l’exécution de moins de contenus Flash dans les pages web afin de limiter les ressources énergétiques consommées par l’affichage des animations Flash. Dans la même année, la firme de Mountain View a encore poussé la limitation en mettant en pause les vidéos qui ne sont pas au centre des pages web et qui sont jouées automatiquement. En 2016, Google a remplacé tous les éléments exécutés naguère par flash avec HTML5. Il faut souligner qu’il n’y a pas que Google qui s’est résolu à abandonner Flash. Aussi bien Mozilla que Microsoft ont également entrepris la même démarche depuis des années.

Face à toutes décisions de se débarrasser de Flash, Adobe, l’éditeur de Flash s’est lui-même résigné à soutenir son plug-in et a annoncé en 2017 qu’il mettra fin au support de Flash à partir de la fin de l’année 2020.

Flash bloqué par défaut

La messe est donc dite. Toutes les initiatives des éditeurs d’applications ne feront que précipiter Flash dans la tombe. Depuis hier, Chrome 76 est de sortie. Dans cette nouvelle version du navigateur de Google, plusieurs améliorations ont été ajoutées. Parmi ces mises à jour, l’on note encore une fois des limitations de Flash dans le navigateur. Avec Chrome 76, Flash est désormais bloqué par défaut. Cela signifie que si un utilisateur avait autorisé l’activation de Flash dans la version précédente qu’il utilisait, cette autorisation est ignorée dans Flash 76.


Toutefois, il est possible aux utilisateurs d’activer Flash dans les paramètres du navigateur (chrome://settings/content/flash). À noter que si vous voulez toujours activer Flash dans Chrome 76, il va falloir le faire pour chaque site après chaque redémarrage du navigateur.

Un mode incognito non détecté par les sites web

Au-delà de ce changement concernant Flash, Chrome 76 résout également un problème concernant la détection du mode incognito. Le mode incognito ou mode privé sur Chrome permet, une fois activé, de naviguer de manière privée sur la toile. Cela signifie que l’historique de navigation, les cookies, les données de sites et les informations saisies dans les formulaires ne seront pas enregistrés par Chrome. En principe, les sites web ne devaient pas pouvoir détecter qu’un utilisateur a activé ce mode qui lui permet de ne pas être suivi sur le web. Mais l’API FileSystem permet depuis des années aux sites de détecter ce mode. Cette nouvelle version de Chrome vient donc corriger ce bogue.


Amélioration du côté des Progressive Web Applications

Dans Chrome 76, une amélioration a également été apportée du côté de la gestion des applications web progressives (abrégées PWA en anglais). Nous rappelons qu’une application web progressive est une application constituée de pages web, mais qui peut apparaître sur le poste client comme une application native ou une application mobile. Dans Chrome 76, lorsqu’un site répond aux critères d’installation d’une PWA, Chrome affiche un bouton d’installation dans la barre d’adresses indiquant à l’utilisateur que l’application PWA peut être installée sur le système de l’ordinateur portable ou de bureau.


Sur un appareil mobile, Google Chrome affiche une mini-barre d’informations la première fois qu’un utilisateur visite un site qui répond aux critères d’installabilité de la PWA. Il suffira à l’utilisateur de cliquer sur le bouton d’installation pour installer l’application sur la page Home du mobile. Si le développeur souhaite toutefois ne pas faire afficher cette mini-barre, Chrome 76 ajoute des fonctions pour le faire. Pour cela, il faudra appeler la méthode preventDefault() sur l’évènement beforeinstallprompt().

Prise en charge automatique du mode sombre

Avec Chrome 76, le mode sombre ou thème sombre est désormais pris en charge. Si vous installez par exemple Chrome 76 sur un ordinateur Mac et que le mode sombre est défini par défaut, il est maintenant possible aux développeurs de sites d’utiliser les fonctionnalités de Chrome 76 pour afficher leurs sites en fonction du mode utilisé sur le système de l’utilisateur. Pour ce faire, il va falloir utiliser la requête ci-dessous :

Code CSS : Sélectionner tout
1
2
3
4
5
6
@media (prefers-color-scheme: dark) { 
  body { 
    background-color: black; 
    color: white; 
  } 
}

En dehors de ces changements, nous avons plusieurs autres améliorations pour lire les Blob, prendre en charge des images avec l’API presse-papiers asynchrone, accroître l’analyse de JSON et plus encore.

Source : Chromium, Google, Twitter

Et vous ?

Que pensez-vous de cette nouvelle mouture de Chrome ? Répond-elle à vos attentes ?

Quels commentaires faites-vous du blocage de Flash dans Chrome 76 ? Google devrait-il supprimer définitivement ce plug-in ? Ou devrait-il reporter le plus loin possible l'abandon de Flash ?

Quels sont les changements que vous avez aimés ou détestés dans cette version de Chrome 76 ?

Voir aussi

Mozilla désactivera le plugin Flash par défaut dans Firefox 69 conformément à sa feuille de route, la suppression totale du support prévue pour 2020
Le moteur de jeu Unity met fin au support de Flash, coup dur pour Adobe ?
Adobe publie une mise à jour de Flash Player pour corriger deux vulnérabilités critiques y compris celle exploitée par des hackers nord-coréens
Google continue ses efforts pour se débarrasser de Flash avec la conversion automatique des annonces publicitaires en HTML5
Adobe contourne le bannissement du Flash par Apple en proposant aux annonceurs de convertir leurs contenus en HTML 5

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 12/08/2019 à 14:51
Le mode Google Chrome Incognito peut toujours être détecté par deux méthodes,
qui sont nées de la solution de Google pour empêcher cette détection

Avec la sortie de Chrome 76, Google a corrigé une faille qui permettait aux sites Web de détecter si un visiteur utilisait le mode navigation privée. Le mois dernier Google a annoncé qu'il modifiait l'API du système de fichiers de Chrome, que les sites utilisent pour stocker des fichiers temporaires ou permanents. Auparavant, si l'API n'était pas disponible, un site Web pouvait supposer que le navigateur était en mode de navigation privée.

Certains sites Web utilisaient la détection en mode navigation privée pour empêcher les utilisateurs de contourner les paywalls ou pour offrir aux utilisateurs de navigation privée une expérience de navigation différente.

Malheureusement, la solution de Google a conduit à deux autres méthodes qui peuvent toujours être utilisées pour détecter lorsqu'un visiteur est en navigation privée.

Tandis que Google souhaitait que les utilisateurs puissent naviguer sur le Web en privé et que leurs choix de modes de navigation soient également privés, ils ont comblé une faille en rendant l'API disponible dans les deux modes de navigation. Dans le cadre de cette correction, au lieu d'utiliser un stockage sur disque pour l'API FileSystem, ils utilisent un système de fichiers de mémoire transitoire en mode de navigation privée qui est effacé à la fermeture d'une session.

L'utilisation d'un système de fichiers en mémoire, cependant, crée deux nouvelles failles qui pourraient être utilisées pour détecter le mode de navigation privée, décrites ci-dessous.

Détection du mode navigation privée via des quotas de système de fichiers

Lorsque Google a fait en sorte que le mode Incognito utilise un système de fichiers temporaire utilisant la mémoire vive de l'ordinateur, une nouvelle méthode de détection a été ouverte, basée sur la quantité de mémoire réservée au système de fichiers interne utilisé par le navigateur.

Vikas Mishra, spécialiste de la sécurité, a constaté que lorsque Chrome allouait de la mémoire au système de fichiers de mémoire temporaire utilisé par le mode de navigation privée, son quota maximum était de 120 Mo.


« Sur la base des observations ci-dessus, les principales différences entre les quotas de stockage TEMPORAIRE entre les modes incognito et non incognito sont les suivantes: en cas de mode incognito, il existe une limite stricte de 120 Mo alors que ce n'est pas le cas pour la fenêtre non incognito. Et à partir du tableau ci-dessus il est clair que pour que le quota de stockage temporaire soit inférieur à 120 Mo en cas de mode non incognito, le stockage de périphérique doit être inférieur à 2,4 Go. Cependant, pour des raisons pratiques, il est prudent de supposer que la majorité des périphériques actuellement utilisés doivent avoir plus de 2,4 Go de stockage ».

Fort de cette connaissance, Mishra a mis au point un script qui interroge le quota attribué au système de fichiers du navigateur et, si la taille est inférieure ou égale à 120 Mo, il déduit que le navigateur est en mode incognito.

Détection du mode incognito via les timings d'accès

Lorsqu'il s'agit de lire et d'écrire des données, les systèmes de fichiers de mémoire sont toujours plus rapides que les systèmes de fichiers. Chrome ayant basculé vers un système de fichiers à mémoire en mode navigation privée, il est désormais possible de détecter la navigation privée en mesurant la vitesse d'écriture sur le système de fichiers.

Le chercheur Jesse Li a découvert cette nouvelle méthode de détection qui mesure une série d'écritures dans le système de fichiers du navigateur. Sur la base de la vitesse de ces écritures, un site Web pourrait théoriquement déterminer si le navigateur utilise le mode de navigation privée.


Contrairement à la recherche de Mishra, Li n'a pas mis au point une PoC complète de cette méthode, mais plutôt un script qui mesure la vitesse d'écriture et les affiche. C'est à quelqu'un d'autre de proposer les mesures appropriées pour déterminer le mode incognito avec cette méthode.

De plus, l'approche de Li nécessite de nombreuses écritures pour déterminer la vitesse du système de fichiers, ce qui entraînerait un processus de détection assez long.

Si vous souhaitez mesurer le système de fichiers écrit en mode incognito et en mode de navigation normale, Li a créé un script avec lequel vous pouvez jouer pour afficher les différences de vitesse d'écriture.

Li note que sa technique est plus lente et moins fiable que les techniques existantes. Cependant, il est également plus difficile de la rendre caduque en raison de la décision technique de stocker les données en mémoire plutôt que sur le disque. Il pense que le seul moyen de bloquer cette technique est que le mode Incognito et le mode normal utilisent le même stockage.

Des sites utilisent déjà ces nouvelles méthodes de détection

Malheureusement, les sites ont déjà commencé à utiliser la méthode de détection de quota de système de fichiers de Mishra pour déterminer si un visiteur est en mode de navigation privée. Comme le note le développeur de Microsoft Edge, Eric Lawrence, le New York Times est en train de tester cette méthode pour détecter à quel moment un visiteur passe en mode privé.


Cela se fait par un script qui montre clairement les recherches de Mishra utilisées.


Script utilisé pour détecter le mode Incognito

Les développeurs de Chromium travaillent sur un correctif pour les bogues de quota et de minutage, décrits comme les deux surfaces associées pour la détection en mode Incognito à l'aide de l'API Filesystem.

Sources : Eric Lawrence, Chromium, Vikas Mishra, Jesse Li

Et vous ?

Qu'en pensez-vous ?
Vous êtes-vous déjà servi du mode Incognito pour contourner un paywall ?
Êtes-vous déjà allé sur un site qui propose une expérience différente sur le mode Incognito ?
Que pensez-vous dans l'absolu de la détection d'un tel mode ?
En général pourquoi utilisez-vous ce mode ?
13  0 
Avatar de sebastiano
Membre extrêmement actif https://www.developpez.com
Le 01/08/2019 à 9:10
Parfait ! Comme ça, les applications et sites tiers ne pourront pas gober nos données.

Seul Google le pourra.
1  0 
Avatar de der§en
Membre actif https://www.developpez.com
Le 01/08/2019 à 8:08
Malgré les qualités affichés, Chrome est blacklisté chez nous car il y a Google derrière !
0  0