Bei fast jeder Chrome-Version gibt es eine große Anzahl von Updates und Verbesserungen am Produkt, an seiner Leistung und auch an den Funktionen der Webplattform. In diesem Artikel werden einige der Einstellungs- und Entfernungen in Chrome 65 beschrieben, die seit dem 8. Februar in der Betaversion verfügbar ist.
Chrome vertraut bestimmten Symantec-Zertifikaten nicht mehr
Wie bereits angekündigt, werden in Chrome 65 keine Zertifikate mehr als vertrauenswürdig eingestuft, die nach dem 1. Dezember 2017 von der Legacy-PKI von Symantec ausgestellt wurden. Dies führt zu Interstitials. Dies betrifft nur Website-Betreiber, die den Wechsel von der alten PKI von Symantec zur neuen PKI von DigiCert ausdrücklich abgelehnt haben.
Cross-origin-<a download> blockieren
Um eine von Nutzern vermittelte Weitergabe von Informationen zwischen verschiedenen Ursprüngen zu vermeiden, wird das Attribut „download“ in Blink jetzt bei Ankerelementen mit Attributen für verschiedene Ursprünge ignoriert. Hinweis: Dies gilt sowohl für HTMLAnchorElement.download als auch für das Element selbst.
Entfernung geplant | Chromestatus-Tracker | Chromium-Fehler
Document.all kann nicht mehr ersetzt werden
Seit langem können Webentwickler document.all überschreiben. Gemäß dem aktuellen Standard sollte das nicht der Fall sein.
Ab Version 65 entspricht Chrome dem Standard.
Chromestatus-Tracker | Chromium-Fehler
Der Wert „set-cookie“ wird für das Attribut „http-equiv“ des Elements „<meta>“ nicht mehr unterstützt
Derzeit kann <meta http-equiv="set-cookie" ...> verwendet werden, um vorhandene Cookies für einen Host zu manipulieren oder neue Cookies festzulegen. So kann eine nicht scriptbasierte Injection von Inhalten zu einem Sitzungsfixierungsangriff führen, selbst wenn eine strenge Inhaltssicherheitsrichtlinie vorhanden ist.
Aus Sicherheitsgründen ist es besser, entweder den Zugriff auf HTTP-Header (Set-Cookie) oder die Scriptausführung (document.cookie) zu verlangen.