Pour gérer vos consentements :
Categories: NavigateursPoste de travail

Chrome 80 : Google change de recette pour les cookies

Chrome 80 vient de passer en version stable sur Windows, Mac, Linux et Android.

De nouvelles stratégies de cookies s’appliquent par défaut. On pouvait les expérimenter* depuis Chrome 76.
Elles sont fondées sur l’attribut SameSite, qui permet de contrôler le comportement des cookies.

SameSite peut prendre trois valeurs :

  • Strict : le cookie n’est envoyé que si la requête provient du site web qu’on visite (contexte first-party).
    C’est l’idéal pour des fonctionnalités qui requièrent une première étape de navigation sur le site (faire un achat, changer de mot de passe…)
  • Lax : même chose que pour Strict, avec une exception applicable dans le cas où la requête ne provient pas du site d’origine (contexte third-party).
    Le cookie est envoyé en cas de recours à des méthodes HTTP dites « sûres » (comme GET) et dans le cadre d’une navigation de premier niveau (changement d’URL dans la barre d’adresse).
  • None : pas de restrictions

Avec Chrome 80, les cookies sans attribut SameSite sont traités comme s’ils avaient la valeur Lax. Ils ne peuvent donc par défaut être utilisés que dans un contexte first-party.

Quant aux cookies dotés de la valeur None, ils sont rejetés s’ils n’ont pas également la valeur « Secure » signifiant que la requête peut se faire en HTTP sécurisé.

Contenu mixte : une nouvelle étape

Chrome 80 marque aussi l’évolution du système par lequel les sites demandent l’autorisation d’envoyer des notifications. Pour plus de discrétion, exit les pop-up, place à une icône cliquable sur la droite de la barre d’adresse.

Google avance également sur le chantier du contenu dit « mixte ».
Ce cas se présente lorsqu’un site chargé en HTTP sécurisé fait appel à des ressources non disponibles en HTTP sécurisé.
Comme d’autres navigateurs, celui de Google bloque par défaut certaines de ces ressources.

Avec Chrome 79, une option avait fait son entrée au niveau de la barre d’adresse pour permettre de désactiver ce blocage sur « des sites spécifiques ».
En version 80, le navigateur tente de forcer le chargement des contenus audio et vidéo en HTTPS. En cas d’impossibilité, il les bloque, sauf si l’utilisateur en décide autrement.
Les images qui ne peuvent être chargées en HTTPS déclenchent quant à elles l’affichage d’un message « non sécurisé ».

Chrome 81 va plus loin en bloquant ces images par défaut.

* À noter une fonctionnalité expérimentale introduite dans Chrome 80 avec le drapeau chrome://flags/#enable-heavy-ad-intervention. Elle permet de bloquer les publicités qui consomment trop de ressources.

Photo d’illustration © Tati___Tata via Visual Hunt / CC BY-NC

Share
Published by
Clément Bohic
Tags: Google
4 années ago

Recent Posts

AWS prend ses distances avec VMware version Broadcom

Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…

12 heures ago

Avec ZTDNS, Microsoft essuie les plâtres du zero trust appliqué au DNS

Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…

15 heures ago

Atos sur la voie d’un sauvetage ? Point de situation

Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…

17 heures ago

AWS abandonne WorkDocs, son concurrent de Dropbox

Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…

3 jours ago

Eviden structure une marque de « serveurs IA »

Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…

4 jours ago

SSE : l’expérience se simplifie plus que les prix

Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…

4 jours ago