Récemment, l’équipe sécurité de Chromium a publié un document expliquant qu’ils pensent bloquer certaines fonctionnalités du navigateur lors de la navigation sur des sites n’utilisant pas HTTPS :
- Geolocation API
- Encrypted Media Extensions
- Device motion / orientation
- Media Capture and Streams
- Application Cache
Cette note datant du mois d’avril 2016 a déjà commencé à être mise en action. Depuis la version 50 de Chromium, il est impossible d’accéder à la géolocalisation de l’utilisateur sur un site en HTTP. C’est la seule modification publiée pour le moment.
L’idée est d’utiliser le concept des contextes de sécurité, en cours de rédaction par le W3C. Cette recommandation décrit comment gérer l’activation de fonctionnalités en se basant sur des pré-requis au niveau de la sécurité.
Pour ceux qui utilisent ces fonctionnalités au sein de leurs application, il est conseillé de bien tester qu’elles fonctionnent toujours correctement avec les dernières versions de Chrome.
Une solution plus pérenne est d’installer un certificat SSL sur le site en question, en utilisant Let’s Encrypt par exemple. C’est assez simple et très efficace.
Mise à jour du 18 septembre 2017 : Aujourd’hui la dernière version des principaux navigateurs du marché désactive ces fonctionnalités sur des sites « non sécurisés ». Il est plus que temps de passer en HTTPS !