20 Browser-Lücken in Chrome 50 beseitigt

Die nächste Chrome-Generation hat die Beta-Testphase verlassen und ist mit der neuen Chrome-Version 50.0.2661.75 im so genannten stabilen Zweig angekommen. Googles Entwickler haben etliche Sicherheitslücken beseitigt und an vielen Stellen Verbesserungen vorgenommen. So unterstützt Chrome 50 nun erweiterte Push-Benachrichtigungen, wie es Firefox bereits tut. Web-Entwickler können jetzt Anweisungen zum Vorab-laden von Ressourcen wie CSS-Vorlagen verwenden, um den Seitenaufbau zu beschleunigen. Wie Krishna Govind im Chrome Release Blog meldet, haben die Google-Entwickler in der neuen Chrome-Version 20 Sicherheitslücken geschlossen. Darunter sind acht Schwachstellen, die externe Sicherheitsforscher entdeckt und an Google gemeldet haben. Dafür hat Google zunächst 17.500 US-Dollar an Prämien zuerkannt, weitere Beträge sollen jedoch noch folgen. Dies betrifft vor allem externe Forscher, die Lücken bereits während der Entwicklungsphase gemeldet haben. Zwei der extern gemeldeten Schwachstellen stuft Google als hohes Risiko ein. Eine Verbesserung der Sicherheit stellt auch der Wegfall der Unterstützung für TLS-Fallbacks dar. Bislang konnten Angreifer Websites dazu zwingen auf eine ältere, weniger sichere TLS-Version zurückzufallen. TLS (Transport Layer Security) ist der Nachfolger der SSL-Verschlüsselung für abgesicherte Verbindungen, etwa zwischen Browser und Web-Server (HTTP S ). Zu den Neuerungen in Chrome 50 zählt ferner die Unterstützung für erweiterte Push-Benachrichtigungen. Damit sollen Probleme mit der bisherigen Praxis vermieden werden. Websites können nun Inhalte direkt mit der Benachrichtigung senden, ohne dass erneut Kontakt zum Server aufgebaut werden muss. Dies ist Teil der Push API und wird bereits von Firefox unterstützt. Wenn eine Web-Seite für ihre vollständige Darstellung weitere CSS-Formatierungen aus einer zusätzlichen CSS-Datei benötigt, die erst nach dem Laden der Seite per Javascript eingebunden wird, dauert der Seitenaufbau unnötig lange. Diese Verzögerungen können Web-Entwickler nun vermeiden, in sie solche Ressourcen im Seiten-Header deklarieren. Mit einer Zeile wie

können sie Chrome anweisen die Ressource bereits vorab zu laden. Benutzer müssen somit nicht mehr so lange warten, bis sie etwas auf der Seite zu sehen bekommen. Das ist auch auf andere Dateitypen wie Bilder, Videos, Fonts oder Javascript anwendbar – mit jeweils einem anderen passenden Schlüsselwort im Attribut „as“. Weitere Neuerungen, vor allem für Web-Entwickler, finden Sie im Chromium Blog , wo Peter Beverloo und Nicolás Satragno eine Liste mit Änderungen und Verbesserungen zusammengestellt haben.