Chrome desfaz atualização que atrapalhou funcionamento de sites e aplicativos

Após inúmeras reclamações de desenvolvedores, o Google reverteu uma atualização do Chrome que afetava janelas de alerta e prompts criados por iframes de origem cruzada. Um iframe cruzado é um tipo de quadro incorporado de outras páginas para a sua própria, que trazem recursos de uma fonte de domínio diferente. Quando um texto do Canaltech inclui um tuíte ou um vídeo do YouTube, este é um exemplo de iframe.

• Chrome 93 Beta traz tema dinâmico do Android 12 e pacotão de novidades
• Microsoft pode ajudar o Chrome a ficar mais veloz
• Chrome tem brecha conhecida que finalmente pode ter uma solução; entenda

Nas duas últimas semanas, diversos aplicativos que rodam em navegadores tiveram problemas com o update, que passou a bloquear o envio de alertas a usuários. A equipe desenvolvedora do projeto Chromium queria restringir isso porque eles podem trazer problemas de segurança para páginas. Na prática, um iframe incorporado poderia exibir um aviso como se fosse o domínio original, o que confundia o usuário.

O próprio Google disse que esse tipo de atividade já ocorreu em sites que simularam mensagens de alerta do Chrome para enganar as pessoas. Ao se camuflar como uma mensagem de sistema, essas técnicas pediam ao usuário para clicar em algo, preencher dados, que eram remetidos aos criminosos, ou instalavam malwares nas máquinas.

A ideia da empresa com o bloqueio era obrigar desenvolvedores a deixar tudo mais claro para quem navega. O problema é que a restrição total das notificações gerou um imenso problema para os iframes que usavam o prompt como forma de interação com o usuário, como janelas de confirmação.

Implantação abrupta

Assim que o Chrome 92.0.4515.107 foi ao ar, choveram reclamações de desenvolvedores no suporte do projeto. A principal queixa foi a forma repentina como tudo teria ocorrido, sem dar tempo suficiente para equipes de TI produzirem soluções alternativas para o problema. No Twitter, vários desenvolvedores também se queixaram ou comentaram o assunto.

If anyone is trying to use SharedArrayBuffer inside a cross-origin iframe in Chrome you need to add this:The docs linked from the Chrome notification do not mention this and only talk about setting headers (which you need to do too). — Katie Bell (@notsolonecoder) August 4, 2021 Soluções de pagamento são um exemplo típico de uso do iframe de origem cruzada. Para dar mais confiabilidade ao usuário, os e-commerces preferem mantê-lo dentro do seu próprio sistema e usam fontes externas para efetivar a compra. Algumas plataformas pediam ao usuário que confirmasse dados antes de concluir uma transação e isso ficou prejudicado com a exclusão da janela de aviso. Com o temporal de reclamações, o Google retrocedeu e desativou o bloqueio do recurso até 15 de agosto para fornecer mais tempo na elaboração dos aplicativos web. A companhia criou um “teste de origem reversa” para ajudar nessa missão de adaptar os sistemas atuais e encontrar métodos alternativas de integração da API. A preocupação dos engenheiros do Chromium foi legítima e realmente necessária, como muitos constataram. O problema talvez tenha sido a forma apressada e sem comunicação prévia como foi feita. Possivelmente, as grandes empresas já colocaram seus melhores desenvolvedores para trabalhar diuturnamente para criar uma alternativa. O que você achou da postura da companhia? Notou alguma dificuldade de completar ações em iframes do Chrome nos últimos dias? Comente.

Fonte: Chromium, The Register