Chrome 63 est disponible : une version bien plus intéressante qu’il n’y paraît
Le bonheur est dans le flag
Le 08 décembre 2017 à 13h35
8 min
Logiciel
Logiciel
Lancée de manière discrète, la version 63 de Chrome apporte de nombreuses nouveautés : blocage du son émis par les sites, meilleure isolation, arrivée de TLS 1.3 ou encore nouvel affichage des permissions sous Android. Le coup de départ d'une vague d'améliorations pour redonner du contrôle à l'utilisateur.
C'est à travers un billet de blog plutôt anodin que l'équipe en charge de Chrome a annoncé la mise en ligne de la version 63 ce mercredi. On y voit surtout la liste des 37 correctifs de sécurité, sans mention particulière. Pourtant, les nouveautés introduites sont nombreuses, et certaines sont particulièrement intéressantes.
Cette version inaugure une série qui vise à renforcer la sécurité et le contrôle donné à l'utilisateur. Une tendance qui va se poursuivre dans les mois à venir avec l'arrivée du bloqueur de publicités de Google, la (presque) fin de la lecture automatique ou encore des redirections non désirées.
Chrome 63 signe aussi de premières déceptions, avec des fonctionnalités attendues en retard.
Couper le sifflet des sites ? C'est possible (mais pas par défaut)
En test depuis la fin de l'été, la fonctionnalité avait été annoncée en septembre pour Chrome 63. Mais dans les faits, elle n'est pas présente dans les Paramètres du contenu, pas plus que dans le canal Beta, toujours en version 63. On peut seulement en profiter dans le canal Dév, actuellement à la version 64.
Il y a néanmoins une astuce, car la fonctionnalité est en réalité bien là, mais désactivée par défaut. Il suffit de modifier un « flag » de Chrome : #sound-content-setting, via l'adresse chrome://flags
dans la barre d'adresse. Après l'avoir cherché, on sélectionne simplement Enabled dans le menu déroulant.
Ensuite, l'option « Son » apparaîtra dans les Paramètres du contenu (chrome://settings/content
) pour l'ensemble des sites ou pour un domaine en particulier. Dans ce dernier cas, il vous suffit de cliquer sur la section à gauche de l'URL, puis sur Paramètres du site.
Chrome://flags évolue
On notera au passage que l'interface de gestion des fonctionnalités expérimentales s'est dotée d'un nouveau look. Elle reprend les codes du Material design de Google et se veut claire, plus lisible et surtout plus simple à gérer.
Un moteur de recherche est présent en tête, avec un bouton permettant de rétablir les paramètres par défaut. Un système d'onglet vient distinguer les options disponibles ou non pour le système en cours d'utilisation. On reste par contre toujours sur une traduction partielle de l'interface.
TLS 1.3, accès direct au certificat, confiance en baisse pour Symantec
Côté chiffrement, Chrome 63 est la première mouture du navigateur à gérer la version 1.3 de TLS (Transport Layer Security), qui est pour rappel le remplaçant de SSL depuis quelques années. Elle est par contre uniquement activée sur Gmail pour le moment, le support devant être étendu courant 2018.
En cas de problème en entreprise, les administrateurs peuvent désactiver ce niveau de chiffrement, des soucis ayant été remontés lors de premiers tests.
Autre point que nous avions relevé en mars dernier : le cas des certificats de Symantec. En raison des manquements constatés par Google, ils ne sont plus considérés comme étant de confiance. Cette dernière passe désormais à 15 mois, puis 9 mois à la prochaine version. Une durée déjà en place pour la version bêta de Chrome 63.
Enfin, on appréciera un détail finalement important : il est à nouveau possible d'afficher simplement le certificat d'un site. Ces derniers mois, cette fonctionnalité avait été placée dans l'onglet sécurité des outils de développement. Désormais, il suffira de cliquer sur le cadenas à gauche de l'URL, puis sur le statut du certificat pour pouvoir accéder à la fenêtre qui en affiche les détails. Un survol permettra directement de connaître l'émetteur :
L'isolation de sites est là
Ces dernières années, les navigateurs ont travaillé à l'utilisation d'un plus grand nombre de processus de rendu et une meilleure isolation de certains éléments dans une sandbox, pour améliorer à la fois les performances et la sécurité. Chrome 63 continue sur cette voie à travers l'isolation de sites.
Détaillée sur le site du projet Chromium, cette fonctionnalité a fait l'objet d'un long travail. Il avait notamment été évoqué en février dernier par Justin Schuh, en charge de la sécurité de Chrome, au sein d'un billet publié sur Medium qui évoquait les différences avec Microsoft Edge.
Pour faire simple, dans le fonctionnement actuel de Chrome, les pages de différents sites sont isolées dans des processus séparés lorsque c'est possible. Mais ce n'est pas toujours le cas, notamment lorsqu'il y a une iFrame, dans le cadre de certaines opérations de navigation d'une page à une autre ou que trop de processus de rendus ont été créés.
L'idée est donc de renforcer cette séparation, pour éviter qu'un attaquant puisse tenter de récupérer des informations de navigation sur un site tiers au sein de la sandbox. Dans une démonstration effectuée en 2015, on peut voir des iFrames ou des intégrations de type boutons sociaux apparaître comme des processus spécifiques pouvant être « tués » si besoin sans que cela n'impacte le reste de la page.
Une solution intéressante donc, mais pas sans conséquences. Google prévient en effet que la consommation mémoire peut être en hausse de 10 à 20 %. Il peut également y avoir des problèmes lors de l'impression d'une page ou de l'analyse avec les outils de développement. Les iFrames inter-sites ne sont alors pas prises en compte.
L'isolation de sites n'est donc pas activée par défaut. Elle peut l'être par les administrateurs ou de manière manuelle. Pour cela, plusieurs possibilités. Tout d'abord, l'option #enable-site-per-process
dans les « flags » de Chrome 63. Vous pouvez également lancer Chrome avec l'argument --site-per-process
.
Ceux qui cherchent un juste milieu peuvent opter pour une activation spécifique à certains domaines, pour lesquels la sécurité est considérée comme plus sensible :
--isolate-origins=https://example.com,https://sousdomaine.example.org
Pour le moment, aucun délai n'a été donné pour une activation généralisée. Google attend sans doute déjà de collecter les premiers retours et de voir dans quels cas cette fonctionnalité pose problème ou non. Une fois que tout aura été identifié et éventuellement corrigé, il sera alors peut être temps de passer à l'étape suivante.
Bloquer les permissions des extensions, NTLMv2 ailleurs que sous Windows
Dans un billet de blog dédié au monde de l'entreprise, Google apporte des précisions sur d'autres fonctionnalités pensées pour ce marché. Pour rappel, une offre « Enterprise » est disponible depuis septembre pour Chrome OS.
Il est notamment question des permissions aux extensions. Ainsi, un administrateur peut décider de bloquer toutes celles réclamant un accès complet à l'historique de navigation, à la géolocalisation, au micro, à la webcam, au système de fichiers, aux requêtes ou même à certaines API :
Un dispositif que l'on apprécierait de voir généralisé, ou mieux, d'avoir la possibilité de refuser certaines permissions à des extensions qui en font la demande, comme pour les applications Android depuis quelques temps.
Google précise au passage que la prochaine version de Chrome gèrera le protocole d'authentification NT LAN Manager v2 avec protection étendue de l'authentification (EPA) sous Android, Chrome OS, Linux et macOS, en plus de Windows qui est déjà supporté. Il est là aussi possible d'effectuer une activation anticipée via les flags avec l'option #enable-ntlm-v2
dans Chrome 64, actuellement dans le canal Dev. NTLMv2 sera utilisé par défaut à partir de Chrome 65.
Notez que le contrôle à distance possible à travers Chrome, qui ne peut plus passer par une application intégrée au navigateur, a désormais droit à son site dédié.
Nouveau système de permissions sous Android
Comme nous l'évoquions fin octobre, sous Android, un nouvel affichage des permissions est arrivé. Celles-ci apparaîtront sous forme de fenêtres modales, et non plus d'une barre.
Elles ont été jugées plus efficaces par Google après une série de tests, mais vont demander aux développeurs de faire plus attention sur le moment où elles sont affichées. Des recommandations ont d'ailleurs été publiées dans ce sens.
Ils sont d'ailleurs prévenus : en cas de refus répété (plus de trois) elles seront temporairement bloquées.
De petites retouches et autres nouveautés
La gestion des favoris a été retravaillée, aussi bien sur ordinateur que sur les appareils mobiles. Sous Android, l'autocomplétion a été améliorée dans la barre d'adresse. Sous iOS, balayer la page Nouvel onglet vers le haut permet d'afficher du contenu suggéré.
Le reste avait été développé dans un billet de blog il y a un peu plus d'un mois. Nous avions notamment noté la présence de la Device Memory API qui doit aider les développeurs à adapter leurs applications aux contraintes matérielles de l'appareil, l'import dynamique de modules JavaScript ou les Async Iterators/generators entre autres petites retouches.
Chrome 63 est disponible : une version bien plus intéressante qu’il n’y paraît
-
Couper le sifflet des sites ? C'est possible (mais pas par défaut)
-
Chrome://flags évolue
-
TLS 1.3, accès direct au certificat, confiance en baisse pour Symantec
-
L'isolation de sites est là
-
Bloquer les permissions des extensions, NTLMv2 ailleurs que sous Windows
-
Nouveau système de permissions sous Android
-
De petites retouches et autres nouveautés
Commentaires (13)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/12/2017 à 13h44
Enfin je vais pouvoir vérifier le certificat directement " />
Le 08/12/2017 à 14h08
Le 08/12/2017 à 14h19
Ce serait bien si Chrome permettait en fin de limiter la taille du cache disque autrement qu’en créant un lien du dossier cache de Chrome vers /dev/null ou via une bidouille de la ligne de commande. ;-)
Le 08/12/2017 à 15h17
La combine pour le son fonctionne aussi pour chromium 62 version ubuntu.
Le 08/12/2017 à 15h26
TLS 1.3 " />
Le 08/12/2017 à 15h26
Oui on avait déjà fait un petit guide sur comment l’activer, mais ça devait être intégré à Chrome 63. L’astuce fonctionne toujours néanmoins ;)
Le 08/12/2017 à 18h00
Enfin, on appréciera un détail finalement important : il est à nouveau possible d’afficher simplement le certificat d’un site.
Enfin !
Le 10/12/2017 à 11h54
L’arrivée du web 3.0 qui va benner tout ce que les marketeux du web 2.0 nous avaient coller : les redirections, les lectures automatiques, les pubs non désirées… ^^
Le 10/12/2017 à 15h07
Sauf que ce Web 3.0 est propulsé par l’un des plus gros acteurs du-dit Web qui ressort du placard feu son “don’t be evil” pour mieux imposer sa dictature… Après avoir imposé son client Web à une majorité d’internaute par des moyens qui feraient pâlir de jalousie Microsoft à l’époque de son procès en Europe. (mais à l’époque, Google c’était des gentils sauveurs de veuves et d’orphelins)
On troque les délires des publicitaires contre celui des spécialistes du tracking et de l’exploitation de données personnelles.
Pas sûr qu’on gagne réellement au change.
Le 10/12/2017 à 16h50
Ah ! Vivement que Firefox propose la même chose : bocage par défaut du son et de tout lancement automatique. Le rêve !
Le 10/12/2017 à 17h11
Il y a déjà des éléments, on en avait parlé dans un papier spécifique :  Next INpact
Mais ce ne sont pas des fonctionnalités “exposées” pour le moment, espérons que ça viendra vite.
Le 13/12/2017 à 09h56
je sais pas vous, mais avec chrome, j’ai pâs mal de décroché de page, je suis obligé d actualiser la page pour la faire reapparaitre
Le 14/12/2017 à 13h26
avez vous des infos à ce sujet ?