Suite à notre article de blog sur la protection des utilisateurs de Windows contre les extensions malveillantes, nous appliquons les modifications suivantes à partir de la version bêta de Chrome 33 et des versions stables de Windows:
- Les utilisateurs ne peuvent installer que les extensions hébergées dans le Chrome Web Store, sauf en cas d'installation via les règles d'entreprise ou le mode développeur.
- Les extensions précédemment installées, mais qui ne sont pas hébergées sur le Chrome Web Store, seront désactivées définitivement (c'est-à-dire que l'utilisateur ne pourra pas les réactiver), sauf en cas d'installation via les règles d'entreprise ou le mode développeur.
Quelle est la raison de cette mesure ?
Consultez Protéger les utilisateurs de Windows contre les extensions malveillantes.
Pour les extensions actuellement hébergées en dehors du Chrome Web Store, que faut-il faire et dans quel délai ?
Si vos extensions ne sont actuellement pas hébergées sur le Chrome Web Store, nous vous conseillons de les migrer vers le Chrome Web Store dès que possible. Les modifications ci-dessus sont déjà en vigueur sur la version bêta de Chrome 33 pour Windows et le seront sur la version stable de Chrome 33 pour Windows (vers la fin du mois de février 2014). La migration de vos extensions vers le Chrome Web Store n'aura aucune incidence sur vos utilisateurs, qui pourront toujours les utiliser comme si rien n'avait changé. Si vous migrez vos extensions vers le Chrome Web Store, commencez immédiatement à tester Chrome 33.
Que se passera-t-il si je transfère l'extension vers le Chrome Web Store ultérieurement ? Vais-je perdre tous mes utilisateurs ?
Une fois la mesure d'application déployée dans Chrome 33 stable/bêta pour Windows, les extensions hors magasin seront définitivement désactivées pour les utilisateurs. Toutefois, si l'extension est migrée vers le Chrome Web Store après le déploiement, les utilisateurs peuvent l'activer manuellement depuis la page des paramètres des extensions (chrome://extensions) ou la fiche du Chrome Web Store.
Que faire si je souhaite restreindre l'accès à certains utilisateurs ou empêcher mon extension d'être listée sur le Chrome Web Store ?
Vous pouvez restreindre l'accès à votre extension en limitant sa visibilité aux testeurs de confiance ou en la supprimant de la liste du Chrome Web Store.
Quels sont les systèmes d'exploitation et les versions de Chrome concernés par ce changement ?
Les modifications ne s'appliquent qu'aux versions stables et bêta de Windows à partir de Chrome 33.
Cela aura-t-il une incidence sur ma capacité à développer mes extensions sous Windows ?
Non. Vous pouvez toujours charger des extensions non empaquetées en mode développeur sous Windows. Vous pouvez également continuer à développer des extensions dans la version en développement de Chrome ou dans la version Canary, lorsque ces modifications ne sont pas prises en compte.
Comment puis-je distribuer mon extension si je ne peux pas l'importer sur le Chrome Web Store pour des raisons de non-respect des règles ?
Ces modifications ne sont effectives que sur les versions bêta et stable de Windows. Les utilisateurs qui souhaitent obtenir des extensions qui ne sont pas hébergées sur le Chrome Web Store peuvent le faire sur les versions pour les développeurs/Canary de Chrome sous Windows ou sur toutes les versions de Chrome sous d'autres systèmes d'exploitation.
Pourquoi ce problème ne peut-il pas être résolu en utilisant un paramètre/une option permettant de charger les extensions qui ne sont pas hébergées sur le Chrome Web Store ?
Contrairement aux systèmes d'exploitation mobiles modernes, Windows ne crée pas de bac à sable pour les applications. Par conséquent, nous ne serons pas en mesure de faire la différence entre un utilisateur qui active ce paramètre et une application native malveillante qui ignore le paramètre de l'utilisateur.
Quelles sont les options de déploiement des extensions prises en charge après ce changement ?
En plus de l'installation d'extensions à partir du Chrome Web Store, les options de déploiement suivantes seront disponibles:
- Sous OSX et Linux, les extensions peuvent être installées via un fichier JSON Preferences.
- Pour Windows, les extensions peuvent être installées via le registre Windows. Dans le Registre Windows, assurez-vous que la clé de registre update_url pointe vers l'URL suivante : https://clients2.google.com/service/update2/crx. Les installations locales de .crx via la clé de registre de chemin d'accès sont obsolètes. Notez que cette option de déploiement ne fonctionne que pour les extensions hébergées par le Chrome Web Store et que update_url ne peut pas pointer vers un autre hôte que https://clients2.google.com/service/update2/crx.
- Pour les entreprises, nous continuerons à accepter la stratégie de groupe pour installer des extensions, quel que soit l'emplacement où elles sont hébergées. Notez que la machine de l'utilisateur doit rejoindre un domaine pour que les transferts de stratégie de GPO soient effectifs.
Existe-t-il d'autres considérations à prendre en compte pour les extensions qui dépendent d'un binaire d'application native ?
Auparavant, lorsque les extensions hors magasin étaient prises en charge, il était possible de mettre à jour les binaires d'applications tierces et l'extension téléchargée indépendamment. Toutefois, les extensions hébergées sur le Chrome Web Store sont mises à jour via le mécanisme de mise à jour de Chrome que les développeurs ne contrôlent pas. Les développeurs d'extensions doivent veiller à ne pas mettre à jour les extensions qui dépendent du binaire de l'application native (par exemple, les extensions utilisant la messagerie native ou les anciennes extensions utilisant NPAPI).
Que verront les utilisateurs lorsque leur extension en dehors du Play Store sera désactivée à la suite de ce déploiement ?
L'utilisateur recevra une notification indiquant "Extensions suspectes désactivées" ainsi qu'un lien vers l'article d'aide suivant.
Pourquoi l'info-bulle "Désactiver les extensions en mode développeur" s'affiche-t-elle lors du chargement d'une extension non empaquetée dans les versions stable/bêta de Windows ?
Nous ne voulons pas que le mode développeur soit utilisé comme vecteur d'attaque pour la diffusion d'extensions malveillantes. Par conséquent, nous indiquons aux utilisateurs les extensions en mode développeur dans les versions stables/bêta de Windows et leur donnons la possibilité de les désactiver.