In bijna elke versie van Chrome zien we een aanzienlijk aantal updates en verbeteringen aan het product, de prestaties ervan en ook de mogelijkheden van het webplatform. In dit artikel worden enkele beëindigingen en verwijderingen beschreven van Chrome 65, dat vanaf 8 februari in bèta is.
Chrome vertrouwt bepaalde Symantec-certificaten niet meer
Zoals eerder aangekondigd , zal Chrome 65 certificaten die zijn uitgegeven door de Legacy PKI van Symantec na 1 december 2017 niet vertrouwen en resulteren in interstitials. Dit heeft alleen gevolgen voor site-exploitanten die zich expliciet hebben afgemeld voor de overgang van de Legacy PKI van Symantec naar de nieuwe PKI van DigiCert.
Blokkeer cross-origin <een download>
Om te voorkomen dat er in essentie door de gebruiker gemedieerde informatie uitlekt, negeert Blink nu de aanwezigheid van het downloadattribuut op ankerelementen met cross-origin-attributen. Merk op dat dit zowel van toepassing is op HTMLAnchorElement.download als op het element zelf.
Intentie om te verwijderen | Chromestatustracker | Chroombug
Document.all is niet langer vervangbaar
Het is al geruime tijd mogelijk voor webontwikkelaars om document.all te overschrijven. Volgens de huidige norm zou dit niet zo moeten zijn. Vanaf versie 65 voldoet Chrome aan de standaard.
Chromestatustracker | Chroombug
De set-cookie-waarde wordt niet langer ondersteund voor het http-equiv-attribuut van het <meta>-element
Momenteel kan <meta http-equiv="set-cookie" ...> worden gebruikt om bestaande cookies voor een host te manipuleren of om nieuwe cookies in te stellen. Hierdoor kan een niet-scriptinhoudsinjectie zichzelf upgraden naar een sessiefixatieaanval, zelfs in de aanwezigheid van een sterk inhoudbeveiligingsbeleid.
Vanuit veiligheidsperspectief is het beter om toegang tot HTTP-headers (met andere woorden Set-Cookie ) of scriptuitvoering (met andere woorden document.cookie ) te vereisen.
Intentie om te verwijderen | Chromestatustracker | Chroombug