Разработчики Chrome намерены ограничить всплывающие диалоги на JavaScript
Разработчики web-браузера Chrome рассматривают возможность по ограничению диалогов, реализуемых средствами JavaScript и перекрывающих контент. По мнению разработчиков, в основной массе подобные диалоги применяются для навязывания каких-то действий и вызывают значительное недовольство среди посетителей.
Помимо раздражающих, но безвредных и одобренных владельцами ресурсов, всплывающих диалогов, в которых предлагается пройти различные опросы, обратиться к online-консультанту, подписаться на канал в социальной сети или подтвердить закрытие страницы, последнее время участились случаи использования данных диалогов для мошенничества или совершения вредоносных действий. Например, через рекламные сети или взлом сайтов продвигаются блоки, предлагающие обновить браузер чтобы продолжить просмотр страницы или установить поддельный антивирус под предлогом обнаружения в системе вируса, а также симулирующие возникновение системной ошибки и предлагающие позвонить по указанному номеру телефона.
Рассматривается несколько путей блокирования назойливых всплывающих диалогов, с сохранением возможности их применения по назначению. Вместо блоков, перекрывающих содержимое и останавливающих дальнейшую работу со страницей/браузером, для вывода уведомлений предлагается использовать Notifications API (не блокирующие работу уведомления) и HTML-тег dialog (организация ввода), а для отладочных целей console.log(document.origin).
На первом этапе предлагается изменить реализацию функций alert(), confirm() и prompt(), сделав их немодальными (не блокирующими страницу) и по аналогии с тем, как это реализовано в браузере Safari, обеспечить их автоматическое закрытие при переключении на другую вкладку. Также рассматривается возможность отключения показа диалогов alert(), confirm(), prompt() и onbeforeunload, если пользователь просто просматривает страницу, не взаимодействуя с ней.
Дополнительно можно отметить выпуск обновления Chrome 57.0.2987.133, в котором устранена порция уязвимостей. Четыре проблемы помечены как опасные, а одной присвоен статус критической уязвимости (CVE-2017-5055), позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Уязвимость присутствует в коде организации вывода на печать и вызвана обращением к области памяти после ее освобождения.
