Se connecter à Google dans Google Chrome

 (underpassapp.com)
1 points par GN⁺ 2025-07-29 | 1 commentaires | Partager sur WhatsApp
  • Lors de la visite de sites web, une bannière « Sign in with Google » s’affiche souvent à de nombreux endroits
  • Contrairement à Safari ou Firefox, cette bannière n’apparaît pas dans Google Chrome
  • Chrome utilise à la place une interface distincte appelée boîte de dialogue « One Tap »
  • Comme cette boîte de dialogue est une interface native du navigateur et non un élément de la page web, certaines extensions ne peuvent pas la masquer
  • Il est possible de désactiver cette boîte de dialogue en choisissant « Block sign-in prompts from identity services » dans les paramètres de Chrome

Résumé complet de Sign in with Google

Le phénomène de la bannière de connexion avec Google

  • Sur de nombreux sites web comme Yelp, une bannière « Sign in with Google » apparaît et nuit à l’expérience utilisateur
  • Google appelle cette fonctionnalité l’expérience utilisateur One Tap
  • Certaines extensions de navigateur, comme StopTheMadness Pro, peuvent masquer cette bannière

Différences entre Chrome, Safari et Firefox

  • Les utilisateurs de Safari ou Firefox peuvent voir directement ces bannières
  • En revanche, dans Google Chrome, ces bannières ne sont pas affichées par défaut
  • En utilisant les outils de développement web de Safari pour changer le User-Agent en Chrome, la bannière disparaît aussi dans Safari

La boîte de dialogue « One Tap » distincte dans Chrome

  • Chrome affiche la boîte de dialogue One Tap comme une interface native propre, et non comme un élément de la page web
  • Cette boîte de dialogue ne peut pas être masquée par des extensions de navigateur comme StopTheMadness Pro
  • Tant que cette boîte de dialogue est affichée, toutes les fenêtres popup des extensions Chrome sont également bloquées

Comment la désactiver dans les paramètres de Chrome

  • Il est possible d’accéder directement à la page des paramètres via l’adresse chrome://settings/content/federatedIdentityApi
  • Il suffit de sélectionner l’option « Block sign-in prompts from identity services » pour désactiver cette boîte de dialogue

La controverse sur le favoritisme du navigateur de Google

  • Cette structure peut être vue comme un exemple de l’avantage accordé par Google à son propre navigateur Chrome
  • En effet, dans les autres navigateurs, il est difficile pour les utilisateurs d’éviter ces bannières non désirées

À lire aussi

1 commentaires

 
GN⁺ 2025-07-29
Discussion sur Hacker News

  • Le fait que ce genre de pop-up apparaisse même sur des sites porno, par exemple, m’a honnêtement semblé beaucoup trop intrusif, surtout ce pop-up de connexion Google qui surgit presque en plein écran à chaque visite ; en navigation privée, comme chaque session est nouvelle, il apparaît encore plus souvent ; je ne comprends pas comment, même sur Reddit, on peut accepter qu’une telle pop-up tierce ruine l’expérience utilisateur ; si Facebook, GitHub et les autres s’y mettent aussi, on va finir par devoir fermer quatre bannières d’un coup ; j’imagine que Reddit peut continuer à suivre les utilisateurs et à mémoriser la fermeture ponctuelle parce que beaucoup de gens n’utilisent pas d’extensions de protection de la vie privée ; je me demande si quelqu’un sait si ce type de pop-up a un effet réel sur la baisse des visites de retour

    • Je trouve ce genre de pop-up gravement intrusif, quel que soit le site ; cela me rappelle sans cesse que des entreprises comme Google collectent toutes les données personnelles que je leur fournis pour construire un profil de presque tous les aspects de ma vie

    • Grâce à Google One Tap, les nouvelles inscriptions à mon app web SaaS ont été multipliées par 8 du jour au lendemain ; les fonctions minimales de l’app sont utilisables sans compte, mais l’inscription apporte des avantages et ouvre aussi un canal pour communiquer avec l’utilisateur par e-mail ; donc je pense que cela peut être bénéfique à la fois pour l’utilisateur et pour l’entreprise

    • Personnellement, quand je vais sur des sites porno, je ne reste connecté qu’à des sites du même genre ; je ne défends pas cette fonctionnalité, mais j’aimerais au moins qu’on l’aborde avec un minimum de bon sens critique ; si je déteste autant ce pop-up sur mobile, c’est surtout parce qu’il apparaît directement sous le doigt juste après le chargement du site (0,5 à 2 secondes), ce qui fait qu’on clique dessus par erreur, puis les informations sont partagées immédiatement sans aucun moyen de revenir en arrière ; je le déteste déjà sur desktop, mais sur mobile il masque complètement le contenu et il est donc encore plus facile de cliquer dessus par erreur ; il me semble qu’on pouvait désactiver ça dans le compte Google ou Google Workspace ; il y a aussi plein d’autres raisons ; Apple, Firefox, Microsoft, Meta et les autres grands fournisseurs d’identité pourraient proposer la même chose, mais on se retrouverait alors avec cinq pop-up en même temps : Sign in with Google, Apple, Facebook, Microsoft, Firefox, etc. ; de ce point de vue, ça ressemble à une tragédie des biens communs ; malgré tout, une inscription et une connexion simples et rapides restent séduisantes, donc une Web API centrée sur la vie privée ne me semblerait pas mauvaise ; en revanche, le pop-up spécifique à Google devrait disparaître ou être interdit

    • Des pop-up sur des sites porno et ailleurs ? Honnêtement, cela montre surtout que pour ce genre de services, tant que le contenu est suffisamment attractif, les utilisateurs continuent à revenir malgré toutes les nuisances possibles : pop-up, pubs, clickjacking, etc.

    • C’est pour ça que je considère Meta et Google comme des acteurs problématiques, trop puissants sur le web, tout en gardant leurs actions en portefeuille dans une position neutre/conservée

  • L’expérience affichée dans Chrome repose sur une nouvelle norme appelée Federated Credential Management (FedCM) ; le navigateur sert d’intermédiaire pour permettre à l’identity provider et à la web app d’échanger les informations nécessaires tout en empêchant le tracking sur Internet ; j’écris justement un article sur le sujet ; si ça vous intéresse, vous pouvez regarder une vidéo récente d’une conférence sur l’authentification (https://m.youtube.com/watch?v=FBAD4x7MWdI) (au passage, c’est moi qui l’anime) ; la norme est en développement actif, Firefox prévoit aussi de l’adopter et Edge la prend déjà en charge ; on attend des retours des identity providers ; plus d’infos ici (https://github.com/w3c-fedid/FedCM) ; il y a aussi une réunion tous les mardis

    • Mozilla n’a pas officiellement donné son accord, mais sa position officielle sur la norme est neutre (https://mozilla.github.io/standards-positions/#fedcm) ; dans le tracker associé, ils montrent de l’intérêt tout en listant plusieurs inquiétudes (https://github.com/mozilla/standards-positions/issues/618) ; Apple avait indiqué de manière vague il y a trois ans que le sujet l’intéressait, mais il n’y a pas eu d’avancée de position depuis (https://github.com/WebKit/standards-positions/issues/309) ; je me demande si leur position a changé depuis

    • Si c’est vraiment une nouvelle norme, elle devrait être soutenue par l’ensemble du secteur ; or, si on regarde les contributeurs GitHub (https://github.com/w3c-fedid/FedCM/graphs/contributors), la plupart viennent de Google

    • Idéalement, il faudrait pouvoir bloquer par défaut le partage de l’adresse e-mail ; trop souvent, dès que j’utilise Google Login, le site ou l’app se met à m’envoyer du spam sans mon consentement ; c’est pour ça que je n’utilise jamais la connexion Google : à cause du spam

    • Ça rappelle un peu OpenID (aujourd’hui disparu), sauf que cette fois l’intégration est native dans le navigateur

    • Il y a ce message : « Pour continuer, Google.com partagera votre nom, votre e-mail et votre photo de profil » ; j’ai du mal à voir comment cela peut être compatible avec une « norme moderne garantissant la vie privée » ; ça ne me paraît pas du tout respectueux de la vie privée

  • À cause de ce pop-up, j’ai cliqué par erreur plusieurs fois et mes PII (informations personnellement identifiables) ont été envoyées à des tiers en qui je n’ai pas confiance, sans mon consentement ; à mes yeux, c’est presque criminel

    • Pour information, on peut corriger le problème avec le filtre suivant dans uBlock Origin :

      ||accounts.google.com/gsi/iframe
##iframe[src^="http://accounts.google.com/gsi/iframe";]
##iframe[src^="https://accounts.google.com/gsi/iframe";]
##iframe[src^="//accounts.google.com/gsi/iframe"]
###credential_picker_container

      Source : stackoverflow, j’ai ajouté la dernière règle pour bloquer le contenu même quand le pop-up ne s’affiche pas

    • Il ne faut pas trop s’inquiéter d’un clic accidentel : de toute façon, Google suit déjà les visites quand la page web se charge ; Google One Tap fonctionne via une balise script servie depuis les serveurs de Google, comme indiqué dans ce guide

    • Je bloque ce pop-up avec uBlock depuis des années

    • J’aimerais vraiment que les PM lisent ce fil ; je pense qu’ils se sont trompés dans leur évaluation des compromis

    • Supprimer son compte Google évite complètement ce problème

  • Il semble qu’on parle ici de l’API FedCM (https://developer.mozilla.org/en-US/docs/Web/API/FedCM_API) ; elle peut en théorie être prise en charge par d’autres acteurs que Google, mais il n’existe pas encore d’implémentation concrète ; la bibliothèque One Tap de Google utilise cette nouvelle API et, sur les navigateurs non compatibles, elle retombe sur l’ancien pop-up ; dans Chrome, on voit « sign in with google.com », alors qu’avec One Tap c’est généralement « sign in with Google » ; Mozilla y travaille aussi, mais le système est complexe, donc ça prendra probablement du temps ; si ça devient populaire, Safari l’ajoutera sans doute aussi

    • J’assiste aux réunions FedCM ; le développeur en charge côté Firefox participe régulièrement ; j’ai vu quelques messages de l’équipe Safari disant en substance « ça semble être une bonne idée, on va examiner ça », mais je n’ai rien vu de concret depuis ; Edge le prend déjà en charge, et l’intégration dans d’autres navigateurs basés sur Chromium est relativement simple

    • Je me demande quelle est la solution de repli : si les cookies tiers sont déjà bloqués ou en voie de disparition, comment le script gsi récupère-t-il les informations de session Google ?

  • Ce qui me surprend vraiment, c’est que ce pop-up ne fait pas partie de la structure DOM : c’est le navigateur lui-même qui le dessine par-dessus la page ; si c’était dans la barre d’outils du navigateur ou quelque part de ce genre, ça ne me dérangerait pas, mais le fait qu’il masque le contenu de la page relève clairement d’un dossier antitrust ; à cause de ce pop-up, j’ai quitté Chrome pour Brave il y a six mois ; même après l’avoir désactivé à la fois dans chrome://settings/content/federatedIdentityApi et dans les paramètres de mon compte Google, il continue à s’afficher

    • Concernant l’idée d’une action antitrust, d’après d’autres commentaires ce serait en fait une norme ouverte, conçue pour être accessible non seulement à Google mais aussi à différents fournisseurs d’identité (explication liée)

  • ||accounts.google.com/gsi/*$xhr,script,3p
    Ce filtre UBO permet de tout bloquer ; sinon, on peut aussi activer la liste « annoyances » pour masquer les bannières de cookies et autres nuisances ; je recommande aussi d’ajouter NoScript

    • NoScript fait largement doublon si on utilise déjà uBlock Origin ; voir ici pour une comparaison détaillée

  • Contrairement à beaucoup, il y a des gens comme moi qui aiment bien ça ; les procédures d’inscription sont souvent trop pénibles et mal conçues, donc j’ai apprécié de pouvoir les contourner

  • Beaucoup de gens ne savent pas que cette bannière n’apparaît pas dans Safari ou Firefox ; c’est peut-être pour ça que beaucoup de sites pensent que tout va bien ; les tribunaux ou les autorités antitrust devraient surveiller de près ce genre de cas ; c’est un exemple typique de Google qui utilise Chrome pour se favoriser non seulement dans son navigateur, mais aussi dans sa plateforme SSO / collecte de données

  • Je croyais qu’afficher des overlays au-dessus de la zone de contenu d’un site web était tabou, précisément parce que n’importe qui peut fabriquer en HTML/CSS un faux dialogue crédible et l’utiliser à mauvais escient

  • Je déteste profondément l’invite « Sign in with Google » ; j’ai peur qu’un clic accidentel ou machinal partage mon adresse e-mail et mon identité avec un site web arbitraire auquel je ne fais pas confiance ; l’idée d’un navigateur qui gère l’identité n’est pas mauvaise en soi, mais l’implémentation actuelle, qui y mêle aussi le partage d’e-mail et d’autres données, favorise trop les erreurs de l’utilisateur pour être vraiment conviviale