Google webblaaier vrystelling ... Terselfdertyd stabiele vrystelling van 'n gratis projek , wat die basis van Chrome is. Chrome-blaaier die gebruik van Google-logo's, die teenwoordigheid van 'n stelsel vir die stuur van kennisgewings in geval van 'n ongeluk, die vermoë om 'n Flash-module op aanvraag af te laai, modules vir die speel van beskermde video-inhoud (DRM), 'n outomatiese opdateringstelsel en transmissie tydens soektog . Die volgende weergawe van Chrome 77 is geskeduleer vir 10 September.
:
- by verstek, derdeparty-koekiebeskermingsmodus, wat in die afwesigheid van die SameSite-kenmerk in die Set-Cookie-kopskrif verstek op "SameSite=Lax", wat die stuur van koekies vir invoegings vanaf derdeparty-werwe beperk (maar werwe sal steeds in staat wees om die beperking te ignoreer deur uitdruklik die instelling van Cookie op SameSite=Geen te stel). Tot dusver het die blaaier 'n koekie op enige versoek deurgegee aan 'n webwerf wat 'n koekiestel het, selfs al is 'n ander webwerf oorspronklik oopgemaak en die versoek word indirek gemaak deur 'n prent of via 'n iframe te laai. In 'Lax'-modus word koekie-oordrag slegs geblokkeer vir kruiswebwerf-subversoeke, soos om 'n prent te versoek of inhoud via 'n iframe te laai, wat dikwels gebruik word om CSRF-aanvalle te loods en gebruikersbewegings tussen werwe op te spoor.
- Het by verstek opgehou om Flash-inhoud te speel. Tot die vrystelling van Chrome 87, wat in Desember 2020 verwag word, kan Flash-ondersteuning in die instellings (Gevorderd > Privaatheid en sekuriteit > Werfinstellings) teruggestuur word, gevolg deur eksplisiete bevestiging van die Flash-inhoudweergawe vir elke werf (bevestiging word onthou totdat die blaaier word herbegin). Die volledige kodeverwydering om Flash te ondersteun is in ooreenstemming met Adobe se vroeëre plan om ondersteuning vir Flash in 2020 te beëindig;
- Vir ondernemings is die vermoë om lêers in die Google Drive-berging te soek, by die adresbalk gevoeg;
- Begin In Chrome, onvanpaste advertensies wat inmeng met die ervaring en nie voldoen aan die kriteria wat deur die Advertensieverbeteringskoalisie vasgestel is nie;
- 'n Aanpasbare modus om na 'n nuwe bladsy oor te skakel is geïmplementeer, waarin die huidige inhoud uitgevee word en die wit agtergrond nie onmiddellik nie, maar na 'n kort vertraging vertoon word. Vir vinnig laai bladsye, lei uitvee slegs tot 'n flikkering en dra nie 'n loonvrag wat ontwerp is om die gebruiker in te lig dat 'n nuwe bladsy begin laai nie. In die nuwe weergawe, as die bladsy vinnig oopmaak en binne 'n klein vertraging pas, word die nuwe bladsy in plek vertoon, wat die vorige een naatloos vervang (dit is byvoorbeeld gerieflik wanneer jy oorskakel na ander bladsye van dieselfde webwerf wat soortgelyk is in ontwerp en kleurskema). As die bladsy 'n rukkie neem om vir die gebruiker sigbaar te wees, sal die skerm vooraf skoongemaak word soos voorheen;
- Die kriteria vir die bepaling van gebruikersaktiwiteit op die bladsy is verskerp. Chrome laat slegs opspringkennisgewings en irriterende video-/oudio-inhoud toe om gespeel te word nadat die gebruiker met die bladsy interaksie het. In die nuwe vrystelling word die druk van Escape, om oor 'n skakel te beweeg en die skerm aan te raak nie meer as bladsy-aktiverende interaksies hanteer nie (vereis 'n eksplisiete klik, tik of blaai);
- die "prefers-color-skema"-medianavraag, wat webwerwe toelaat om vas te stel of die blaaier 'n donker tema gebruik en outomaties donker aktiveer vir die webwerf wat bekyk word.
- Wanneer jy die donker tema in builds vir Linux aktiveer, word die adresbalk nou in donker kleur vertoon;
- die vermoë om die opening van 'n bladsy in incognitomodus te bepaal deur manipulasies met die FileSystem API, wat voorheen deur sommige publikasies gebruik is om 'n betaalde intekening op te lê in geval van anonieme opening van bladsye sonder om koekies te onthou (sodat gebruikers nie privaatmodus gebruik nie om die meganisme vir die verskaffing van gratis proeftoegang te omseil). Voorheen, toe die blaaier in incognitomodus gewerk het, het die blaaier toegang tot die FileSystem API geblokkeer om te verhoed dat data tussen sessies gevestig word, wat JavaScript toegelaat het om die vermoë om data deur die FileSystem API te stoor na te gaan en, in geval van mislukking, die aktiwiteit van incognitomodus te beoordeel . Nou word toegang tot die FileSystem API nie geblokkeer nie, en die inhoud word skoongemaak nadat die sessie geëindig het;
- nuwe uitdagings in
API-betalingsversoek en betalinghanteerder. 'n Nuwe changePaymentMethod()-metode het in die PaymentRequestEvent-objek verskyn, en 'n nuwe paymentmethodchange-gebeurtenishanteerder is by die PaymentRequest-objek gevoeg, wat die webwerf of webtoepassing wat betalings insamel, toelaat om te reageer op die gebruiker wat die betaalmetode verander. Die nuwe vrystelling maak dit ook makliker om toepassings te toets deur selfondertekende sertifikate in die betalingsverwante API's te gebruik. 'n Nuwe opdragreëlopsie "--ignore-certificate-errors" is bygevoeg om sertifikaatvalideringsfoute tydens ontwikkeling te ignoreer; - In die adresbalk langs die boekmerkknoppie vir webtoepassings wat in Desktop Progressive Web Apps (PWA)-modus loop, 'n kortpad vir die installering van 'n webtoepassing in die stelsel om as 'n selfstandige program te werk;
- Vir mobiele toestelle word die vermoë verskaf om die vertoning van 'n mini-paneel te beheer met 'n uitnodiging om 'n toepassing by die tuisskerm te voeg. Vir PWA-toepassings (Progressive Web App) word die verstek-minibar outomaties gewys wanneer jy die werf die eerste keer oopmaak. Die ontwikkelaar kan nou weier om hierdie paneel te vertoon en sy eie installasieprompt te implementeer, waarvoor jy 'n gebeurtenishanteerder kan stel
beforeinstallprompt en heg 'n oproep aan om te verhoedDefault();
- Verhoog die frekwensie van opdateringskontroles vir PWA (Progressive Web App) toepassings wat in die Android-omgewing geïnstalleer is. WebAPK-opdaterings word nou een keer per dag gekontroleer in plaas van een keer elke drie dae soos voorheen. As 'n verandering in ten minste een sleutel-eienskap in die manifes tydens so 'n kontrole bespeur word, sal die blaaier 'n nuwe WebAPK aflaai en installeer;
- In die API het die vermoë bygevoeg om beelde programmaties te lees en te skryf via die knipbord met behulp van die navigator.clipboard.read() en navigator.clipboard.write() metodes;
- Ondersteuning geïmplementeer vir 'n groep HTTP-opskrifte (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site en Sec-Fetch-User), wat jou in staat stel om bykomende metadata oor die aard van die versoek te stuur (kruis-werf versoek, versoek via die img tag , ens.) vir aanvaarding deur 'n bediener van maatreëls om teen sekere soorte aanvalle te beskerm (dit is byvoorbeeld onwaarskynlik dat 'n skakel na die geldoordraghanteerder via die img-merker gestel sal word, sodat sulke versoeke geblokkeer kan word sonder om deurgegee te word na die aansoek);
- Kenmerk bygevoeg , wat 'n programmatiese indiening van die vormdata begin, soortgelyk aan om op die indien-knoppie te klik. Die funksie kan gebruik word wanneer jy jou eie vorm indien knoppies ontwikkel, waarvoor die aanroep van form.submit() nie voldoende is nie as gevolg van die feit dat dit nie lei tot interaktiewe parameter validering nie, die verhoging van die 'submit' gebeurtenis en die deurgee van die data gebind aan die indien-knoppie;
- Kenmerk bygevoeg by IndexedDB A wat jou toelaat om transaksies te pleeg wat met 'n IDBTransaction-objek geassosieer word sonder om te wag vir gebeurtenishanteerders in alle geassosieerde versoeke om te voltooi. Die gebruik van commit() laat jou toe om die deurset van skryf- en leesversoeke na die stoor te verhoog en die voltooiing van die transaksie eksplisiet te beheer;
- Opsies gevoeg by Intl.DateTimeFormat funksies soos formatToParts() en resolveOptions() , wat jou toelaat om plek-spesifieke style aan te vra vir die vertoon van datums en tye;
- Die BigInt.prototype.toLocaleString()-metode is verander na formaatgetalle gebaseer op die land, terwyl die Intl.NumberFormat.prototype.format()-metode en die formatToParts()-funksie aangepas is om BigInt-invoerwaardes te ondersteun;
- API toegelaat in alle soorte Webwerkers, wat gebruik kan word om die optimale parameters te kies wanneer 'n MediaStream van 'n werker geskep word;
- Bygevoeg metode , wat slegs reeds vervulde of verwerpte beloftes terugstuur, wat hangende beloftes ignoreer;
- Het die "--disable-infobars"-opsie verwyder, wat voorheen gebruik kon word om opspringwaarskuwings in die Chrome-koppelvlak te versteek (CommandLineFlagSecurityWarningsEnabled is voorgestel om sekuriteitverwante waarskuwings te versteek);
- Na die koppelvlak om met blobs te werk text(), arrayBuffer() en stream() metodes vir die lees van sekere datatipes;
- Bygevoeg "white-space:break-spaces" CSS-eienskap, wat spesifiseer dat enige volgorde van witspasie wat tot lynoorloop lei, gebreek moet word;
- Werk het begin om vlae in chrome://flags skoon te maak, byvoorbeeld, 'n vlag om die "ping"-kenmerk te deaktiveer, wat werfeienaars toelaat om klikke op skakels vanaf hul bladsye na te spoor. In die geval van 'n skakel met die "ping=URL"-kenmerk in die "a href"-merker, kan die blaaier nie meer die stuur van 'n bykomende POST-versoek na die URL gespesifiseer in die kenmerk met inligting oor die oorgang deaktiveer nie. Die punt om ping te blokkeer, is verlore omdat hierdie kenmerk in die HTML5-spesifikasies, en daar is baie oplossings om dieselfde ding te doen (byvoorbeeld, aanstuur deur 'n transito-skakel of inhaak-klikke met JavaScript-hanteerders);
- Vlag verwyder om te deaktiveer , waarin bladsye van verskillende gashere altyd in die geheue van verskillende prosesse geleë is, wat elkeen sy eie sandbox gebruik.
- In die V8-enjin is die werkverrigting van skandering en ontleding van die JSON-formaat aansienlik verhoog. Vir gewilde webblaaie is JSON.parse tot 2.7 keer vinniger. Die omskakeling van unicode-stringe is baie versnel, byvoorbeeld, die spoed van oproepe na String#localeCompare, String#normalize, sowel as sommige Intl API's, het amper verdubbel. Die werkverrigting van bedrywighede met gevriesde skikkings is ook aansienlik geoptimaliseer wanneer bewerkings soos frozen.indexOf(v), frozen.includes(v), fn(...frozen), fn(...[...frozen]) en fn.apply(hierdie) gebruik word , [... gevries]).
Benewens innovasies en foutoplossings, skakel die nuwe weergawe uit . Baie van die kwesbaarhede is geïdentifiseer as gevolg van outomatiese toetsinstrumente , , , и . Geen kritieke kwessies wat dit moontlik maak om alle blaaierbeskermingsvlakke te omseil en kode in die stelsel buite die sandbox-omgewing uit te voer, is geïdentifiseer nie. As deel van die kwesbaarheidsprogram vir die huidige vrystelling, het Google 16 bonusse ter waarde van $23500 10000 betaal (een $6000 3000 bonus, een $500 9 bonus, twee $XNUMX XNUMX bonusse en drie $XNUMX bonusse). Die bedrag van XNUMX belonings is nog nie bepaal nie.
Bron: opennet.ru