Google Chrome : vers un cache HTTP partitionné pour plus de sécurité
La prochaine version de Chrome pourrait permettre de partitionner le cache HTTP. Objectif : réduire les risques de pistage de la navigation.
Espionner un utilisateur de Google Chrome ? Il y a le cache HTTP pour ça.
À l’heure actuelle, cette zone mémoire est partagée entre toutes les ressources auxquelles le navigateur fait appel.
Aussi ces ressources peuvent-elles, dans une certaine mesure, « s’écouter » les unes les autres.
Cela peut permettre à des tiers de déterminer si un internaute à visité un site en particulier. Ou encore quels termes il a saisis dans des champs de recherche.
Apple s’est penché sur ce problème voilà plusieurs années avec son navigateur Safari. Il y a implémenté un dispositif de partitionnement du cache HTTP*.
Des travaux sont menés dans le même sens sur Chrome. Ils ne se sont toutefois pas encore concrétisés. En cause, l’impact redouté sur les performances du cache, et par là même sur la consommation de bande passante.
Les dernières expérimentations sur les canaux de test (canary et dev) se sont révélées positives. Elles devraient se traduire par l’intégration, dans Chrome 77 (version stable attendue le 10 septembre), d’une option de partitionnement du cache HTTP. Elle serait activable dans les paramètres avancés du navigateur.
Plusieurs solutions sont envisagées pour le partitionnement.
La plus sécurisée consisterait à diviser le cache à la fois en fonction de l’origine du cadre principal d’une page et de celle des sous-cadres. Elle présente l’avantage d’une isolation maximale, mais pose encore des questions en matière de performances.
* Safari utilise un mécanisme basé uniquement sur l’origine du cadre principal de la page. Le cache reste donc partagé entre les sous-cadres.