Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Dans Chrome, la protection Safe Browsing passe au temps réel

Dans Chrome, la protection Safe Browsing passe au temps réel

Le 18 mars à 06h55

Chrome fournit une protection contre les tentatives d'hameçonnage depuis longtemps. Une fois toutes les 30 à 60 minutes, le navigateur reçoit une liste à jour des sites considérés comme dangereux. Si l’internaute visite l’un d’entre eux, Chrome affiche un écran rouge pour prévenir du danger.

Cette méthode évolue pour devenir plus réactive. Google explique, dans un billet, que la liste des sites visités est constamment envoyée sur un serveur sous forme d’empreinte chiffrée pour y être comparée avec un répertoire de site dangereux ou potentiellement dangereux.

La société affirme qu’elle ne compare que des hashs et ne sait jamais quels sites sont visités par les internautes. Le serveur de comparaison serait même géré par un tiers (Fastly). Il permettrait de ne jamais réunir l’adresse visitée et l’adresse IP source.

Selon Google, cette méthode devrait entrainer une baisse de 25 % des tentatives d'hameçonnage dans son navigateur. Elle serait beaucoup plus efficace contre des sites ne restant que peu de temps en ligne. La nouvelle méthode est déjà active dans toutes les dernières révisions de Chrome sur l’ensemble des plateformes.

Le 18 mars à 06h55

Commentaires (9)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
elle ne compare que des hashs et ne sait jamais quels sites sont visités par les internautes
Que l'url du serveur soit maquillée dans un HASH ne signifie pas qu'elle est lisible. C'est d'ailleurs l'objectif de ce système. Ce truc serait réellement anonyme si la liste était traitée en locale. Là concrètement tu envoies en temps réel ton historique de navigation, en face "fastly" a peut-être une table de hash de toutes les entrées DNS du monde, et ne remonte que les "dangereux" tout en loguant l'entièreté de ta navigation.
votre avatar
Ou alors il faudrait faire comme l'API de I have been pwned, où cela se passe en 2 temps :
- une requête avec un hash partiel (et le serveur répond avec l'ensemble des hash correspondants)
- une vérification en local par rapport à la liste retournée par le serveur.

Ainsi, le hash complet d'un mot de passe testé n'est jamais envoyé complètement. Pour I have been pwned, 5 caractères suffisent.

[edit]
Je viens de regarder le post de Google, et c'est bien ce qu'ils font ! Donc j'ai rien dit :)
votre avatar
La société affirme qu’elle ne compare que des hashs et ne sait jamais quels sites sont visités par les internautes
Moi j'ai confiance. C'est pas comme si Google cherchait à récupérer nos historiques coté serveur (Analytics, DNS) ou en local (FLoC, Topics).

/s
votre avatar
L'outil en a pas besoin puisque de toute façon les outils de Google le font déjà depuis longtemps à balancer des tonnes de données chiffrées vers leurs serveurs.
votre avatar
Je comprend pas, les hashs sont bien générés depuis des urls existantes ? Donc de fait, même si l'on ne compare que deux hashs, le créateur de la liste originale connait le site de départ. Il ne faut que croire qu'il n'y aura pas rapprochement.
votre avatar
Le web et l'informatique sont morts, non?
Je me demande souvent quelle est la quantité de données utiles face à la quantité de données transférées.
C'est quoi l'image par rapport à la vie quotidienne: des agents en permanence autour de nous pour faire passer un interrogatoire à la boulangère avant qu'on entre, goûter notre sandwich avant qu'on ne puisse l'attraper, vérifier que la salle est sécure avant de s'asseoir, et qui nettoient derrière nous quand on part?
votre avatar
Google est notre amis. Google veut notre bien a tous :D
votre avatar
Des milliards de requêtes supplémentaires chaque heure sur le net, c'est bon pour l'environnement !
votre avatar
Ça n'a en effet pour ainsi dire aucun impact écologique.

Dans Chrome, la protection Safe Browsing passe au temps réel

Fermer