Loading

Protection des utilisateurs contre les téléchargements non sécurisés dans Google Chrome

Date de publication: Sep 13, 2022
Description

Google apporte des modifications progressives au navigateur Google Chrome pour bloquer le rendu de contenu mixte et les téléchargements de contenu mixte. À partir de janvier 2021, Google bloquera les téléchargements de fichiers HTTP d’images, de documents et de PDF, provenant de sites HTTPS par défaut.

Cet article présente les principaux produits de Salesforce. Pour les produits suivants, consultez :

Pour les autres clouds et produits, consultez la section Comment cette modification affecte-t-elle les autres clouds et produits ci-dessous.

 

Quels éléments sont affectés ?

Cette modification peut impacter la capacité de vos utilisateurs à accéder aux téléchargements ou images non-HTTPS à partir de pages sécurisées dans Salesforce.

  • Images

Une image rompue apparaît pour un contenu tel qu’une image ou une vidéo hébergée sur une page HTTP non sécurisée lorsqu’elle est affichée sur une page HTTPS sécurisée. 

  • Téléchargements

Lorsqu’un utilisateur clique sur des pièces jointes ou des liens hébergés sur un site HTTP ou FTP non sécurisé à partir d’une page Web HTTPS sécurisée, une erreur se produit.

 

Quelle est la mesure à prendre ?

Vérifiez votre contenu personnalisé et assurez-vous qu'il est servi par l'intermédiaire d'un hôte HTTPS sécurisé. Le HTTPS utilise le chiffrement des données en transit (TLS) pour empêcher les attaques, telles que les attaques de l'intercepteur ou MITM (man-in-middle). La méthode de configuration du HTTPS peut différer selon le service que vous utilisez. Pour une aide supplémentaire sur la configuration du HTTPS, cliquez sur les liens spécifiques au service ci-dessus. Pour plus d'informations, lisez le blog Google Chrome.
 

Comment cette modification affecte-t-elle les autres clouds et produits ?

Les équipes techniques de Salesforce évaluent l'impact de cette modification sur leurs produits à travers les clouds et prévoient de mettre à jour cet article à mesure que davantage d’informations seront disponibles.
 

Commerce Cloud 

Examinez vos modèles d’e-mails personnalisés pour détecter d’éventuels contenus mixtes. Les modèles d’e-mails personnalisés contrôlés par le client sont le seul domaine affecté par cette modification.
 

Industries Cloud

Vlocity 

Examinez l’interface utilisateur développée sur mesure et les classes Apex pour détecter d’éventuels problèmes de contenu mixte. L’interface utilisateur développée sur mesure comprend des pages Visualforce, des composants Aura et du contenu LWC ou HTML/CSS/JS servi via un hôte sécurisé. Pour les classes Apex personnalisées, recherchez les variables d’URL dans le code, dans les données ou reçues d’API externes intégrées et rendues dans l’interface utilisateur. Tout contenu non sécurisé intégré servi via une URL HTTP peut être supprimé ou remplacé par un hôte HTTPS sécurisé.
 

Experience Cloud (auparavant appelé Community Cloud) 

Auditez vos pages Visualforce, les composants Lightning et la configuration de la communauté pour vous assurer qu’ils n’utilisent pas de contenu mixte. Assurez-vous que tous les liens qui pointent vers le contenu téléchargeable créé ou configuré dans vos composants utilisent HTTPS.

Contenu CMS Salesforce
Pour la création de supports référencés en externe, utilisez des URL sécurisées « https:// » pour conserver toutes les fonctionnalités de votre contenu. Les supports de référencement externes avec des URL non sécurisées n’affichent plus leurs images miniatures et aperçus en mode natif.

 

Pourquoi Google procède-t-elle à cette modification ?

Les téléchargements non sécurisés représentent un risque pour la sécurité et la confidentialité des utilisateurs. Par exemple, des pirates peuvent échanger les téléchargements non sécurisés contre des contenus malveillants. De plus, des intercepteurs peuvent lire les relevés bancaires que les utilisateurs téléchargent de façon non sécurisée. Pour éviter ces risques, Google envisage de retirer de Chrome la prise en charge des téléchargements non sécurisés. Google a annoncé que Chrome va progressivement vérifier que les pages sécurisées (HTTPS) téléchargent uniquement des fichiers sécurisés. Dans une série d'étapes présentée dans la section Timeline, Chrome commence à bloquer les téléchargements de contenus mixtes, c’est-à-dire les téléchargements non-HTTPS lancés à partir de pages sécurisées. Cette initiative fait suite au plan annoncé l'an dernier par Google visant à bloquer toutes les ressources non sécurisées sur les pages sécurisées. Dans un premier temps, le plan de Google concerne les téléchargements non sécurisés lancés à partir de pages sécurisées. Ces téléchargements sont particulièrement préoccupants, car actuellement Chrome n'avertit pas l'utilisateur qu'ils présentent un risque pour sa confidentialité et sa sécurité.

 

Comment accéder à des informations supplémentaires ?

Pour consulter les informations détaillées et le calendrier publiés par Google, lisez le blog Google Chrome.

Résolution

Forum aux questions :

Qu’est-ce que le contenu mixte ?

Les pages Web sont rendues par des navigateurs basés sur deux protocoles : HTTP et HTTPS. Un site Web qui suit le protocole HTTPS est beaucoup plus sûr que celui qui utilise HTTP. Les sites Web activés par HTTPS sont cryptés, ce qui garantit l'authentification, l'intégrité des données et la confidentialité. Cependant, certains sites Web chargent les contenus HTTPS et HTTP sur la même page, ce qui est appelé contenu mixte. La plupart des sites qui ont des problèmes de contenu mixte contiennent des ressources externes, telles que des images, des vidéos, des feuilles de style, des scripts, chargés via le domaine HTTP. Même si la requête initiale est envoyée sous HTTPS, une fois le contenu mixte rendu dans le navigateur Google Chrome, le site n'est plus sécurisé, car il est possible que les ressources HTTP nuisent à la sécurité et à la confidentialité des utilisateurs. 

 

Quel est le calendrier de cette modification ?

Le déploiement prévu de Google Chrome commence par un message d'avertissement sur le navigateur, suivi du blocage des téléchargements de contenus mixtes. Le calendrier de déploiement de Google Chrome est le suivant. 

Type de contenu

Exemples de fichiers

Avertissement du navigateur

Blocage

Fichiers exécutables

exe, apk

Chrome 84 (août)

Chrome 85 (septembre)

Archives

zip, iso

Chrome 85 (septembre)

Chrome 86 (octobre)

Documents

pdf, docx

Chrome 86 (octobre)

Chrome 87 (novembre)

Multimédia

png, mp3

Chrome 87 (novembre)

Chrome 89 (janvier 21)

 

Qu’est-ce qui n’est pas inclus ?

1. Sites/URL HTTP uniquement

L’impact semble être spécifique au contenu non sécurisé affiché sur les pages sécurisées. Une page HTTP uniquement qui affiche du contenu HTTP uniquement a peu de chances d’échouer.

2. Chargement de page HTTP

La modification ne bloque pas le chargement d'un site sur HTTP uniquement ou le rendu d'un e-mail dans un client de messagerie sans sécurité de couche de transport (TLS). Les pages HTTP uniquement qui ne contiennent pas de HTTPS continuent de fonctionner.

Numéro d’article de la base de connaissances

000389288

 
Chargement
Salesforce Help | Article