In fast jeder Version von Chrome gibt es eine beträchtliche Anzahl von Updates und Verbesserungen des Produkts, seiner Leistung und auch der Funktionen der Web-Plattform. In diesem Artikel werden einige Einstellungen und Entfernungen in Chrome 65 beschrieben, das sich seit dem 8. Februar in der Betaphase befindet.
Chrome vertraut bestimmten Symantec-Zertifikaten nicht mehr
Wie bereits angekündigt, vertraut Chrome 65 nach dem 1. Dezember 2017 keinen Zertifikaten, die von der alten PKI von Symantec ausgestellt wurden. Stattdessen werden Interstitials eingeblendet. Dies betrifft nur Website-Betreiber, die der Umstellung von der Legacy-PKI von Symantec auf die neue PKI von DigiCert ausdrücklich widersprochen haben.
Ursprungsübergreifendes <a download> blockieren
Um zu vermeiden, dass es im Wesentlichen ein vom Nutzer vermitteltes ursprungsübergreifendes Datenleck ist, ignoriert Blink jetzt das Vorhandensein des Downloadattributs bei Anchor-Elementen mit ursprungsübergreifenden Attributen. Dies gilt sowohl für HTMLAnchorElement.download als auch für das Element selbst.
Entfernungsabsicht | Chromestatus-Tracker | Chromium-Fehler
„Document.all“ kann nicht mehr ersetzt werden
Schon seit langer Zeit konnten Webentwickler document.all überschreiben. Nach aktuellem Standard sollte dies nicht so sein.
Ab Version 65 entspricht Chrome diesem Standard.
Chromestatus-Tracker | Chromium-Programmfehler
Der Set-Cookie-Wert wird für das „http-equiv“-Attribut des <meta>-Elements nicht mehr unterstützt
Derzeit können mit <meta http-equiv="set-cookie" ...> vorhandene Cookies für einen Host bearbeitet oder neue Cookies gesetzt werden. Dadurch kann sich eine Inhaltseinschleusung ohne Skript selbst auf einen Angriff zur Sitzungsfixierung umstellen, selbst wenn eine strenge Content Security Policy vorliegt.
Aus Sicherheitsgründen ist es besser, entweder Zugriff auf HTTP-Header (mit anderen Worten: Set-Cookie) oder die Skriptausführung (mit anderen Worten: document.cookie) zu verlangen.