Google resserre un peu plus l’étau sur Flash Player.
La prochaine version stable du navigateur Chrome, attendue pour le mois de septembre, bloquera, par défaut, tous les contenus qui reposent sur le plugin d’Adobe et qui ne sont pas visibles à la navigation. Par exemple, les traceurs utilisés dans l’écosystème de la publicité en ligne, en remplacement ou en complément des pixels espions.
Une première étape avait été franchie il y a un an : Chrome 42 introduisait, là aussi en paramétrage standard, le blocage du rendu des éléments considérés comme « non essentiels » à l’expérience utilisateur. C’est aux utilisateurs d’autoriser l’exécution de Flash, sur le principe du « click-to-play ».
En toile de fond, un appel général à la transition vers HTML5, pour renforcer la stabilité du navigateur, mais aussi sa sécurité… et réduire la consommation de ressources, tout particulièrement la batterie sur les appareils mobiles.
Le prochain étage de la fusée sera largué en décembre avec Chrome 55. Dans sa configuration par défaut, le butineur ne signalera plus aux sites Web que Flash Player est disponible, via navigator.plugins et navigator.mimeTypes.
Il existera toutefois une exception pour les sites qui nécessitent absolument le plugin d’Adobe. Dans ce cas, il ne sera demandé qu’une seule fois à l’utilisateur s’il souhaite l’activer. Son choix sera mémorisé pour les visites ultérieures.
Dans son annonce, Google n’apporte pas plus de précisions sur les sites en question. Si on s’en tient à la feuille de route « HTML5 par défaut » publiée en mai sur les forums du projet Chromium (navigateur Web libre qui sert de base à Chrome), il s’agit d’abord de ceux qui redirigent vers la page de téléchargement de Flash Player. La requête sera interceptée, annulée et remplacée par une notification permettant d’activer le plugin.
Demeure un débat au sein de la communauté : faut-il appliquer le même principe aux sites qui demandent l’exécution de Flash sans plus de vérifications ?
Autre point de friction : cette « liste blanche » de 10 domaines sur lesquels Flash serait toujours automatiquement exécuté, en raison de leur fréquentation importante. On parle de YouTube.com, Facebook.com, Amazon.com ou encore Mail.ru.
Ladite liste doit être révisée périodiquement et expirer au bout d’un an. Certains y voient un danger, les sites sus-évoqués pouvant constituer des vecteurs d’attaques, notamment via des bannières publicitaires sur technologie Flash.
Mozilla et Microsoft, éditeurs des deux autres principaux navigateurs du marché, ont eux aussi un plan d’action pour écarter progressivement le plugin d’Adobe.
Chez le premier, il est, entre autres, question de généraliser, à l’horizon 2017, le « click-to-play ». Le second a introduit, avec la mise à jour « Anniversary Update » de Windows 10, le blocage des éléments « non essentiels » dans Edge.
Crédit photo : Yeamake – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…