Google het die vrystelling van die Chrome 94-webblaaier onthul. Terselfdertyd is 'n stabiele vrystelling van die gratis Chromium-projek, wat as die basis van Chrome dien, beskikbaar. Die Chrome-blaaier word onderskei deur die gebruik van Google-logo's, die teenwoordigheid van 'n stelsel vir die stuur van kennisgewings in geval van 'n ongeluk, modules vir die speel van beskermde video-inhoud (DRM), 'n stelsel vir outomatiese installering van opdaterings en die oordrag van RLZ-parameters wanneer jy soek. Die volgende weergawe van Chrome 95 is geskeduleer vir 19 Oktober.
Begin met die vrystelling van Chrome 94, ontwikkeling het na 'n nuwe vrystellingsiklus oorgeskuif. Nuwe beduidende vrystellings sal nou elke 4 weke gepubliseer word, eerder as elke 6 weke, wat voorsiening maak vir vinniger aflewering van nuwe kenmerke aan gebruikers. Daar word kennis geneem dat die optimalisering van die vrystellingvoorbereidingsproses en die verbetering van die toetsstelsel toelaat dat vrystellings meer gereeld gegenereer word sonder om kwaliteit in te boet. Vir ondernemings en diegene wat meer tyd nodig het om op te dateer, sal 'n Uitgebreide Stable-uitgawe elke 8 weke afsonderlik vrygestel word, wat jou sal toelaat om oor te skakel na nuwe kenmerkvrystellings nie een keer elke 4 weke nie, maar een keer elke 8 weke.
Groot veranderinge in Chrome 94:
- Bygevoeg HTTPS-Eerste-modus, wat herinner aan die Slegs HTTPS-modus wat voorheen in Firefox verskyn het. As die modus in die instellings geaktiveer is, wanneer 'n hulpbron sonder enkripsie via HTTP oopgemaak word, sal die blaaier eers probeer om toegang tot die webwerf via HTTPS te kry, en as die poging onsuksesvol is, sal die gebruiker 'n waarskuwing gewys word oor die gebrek aan HTTPS-ondersteuning en gevra om die webwerf sonder enkripsie oop te maak. In die toekoms oorweeg Google dit om HTTPS-First by verstek vir alle gebruikers te aktiveer, om toegang tot sommige webplatformkenmerke te beperk vir bladsye wat oor HTTP oopgemaak is, en bykomende waarskuwings by te voeg om gebruikers in te lig oor die risiko's wat ontstaan wanneer hulle toegang tot webwerwe sonder enkripsie verkry. Die modus is geaktiveer in die "Privaatheid en sekuriteit"> "Sekuriteit"> "Gevorderde" instellings afdeling.
- Vir bladsye wat sonder HTTPS oopgemaak is, stuur versoeke (aflaai hulpbronne) na plaaslike URL's (byvoorbeeld "http://router.local" en localhost) en interne adresreekse (127.0.0.0/8, 192.168.0.0/16, 10.0.0.0) is verbode .8/1.2.3.4, ens.). 'n Uitsondering word slegs gemaak vir bladsye wat van bedieners met interne IP's afgelaai is. Byvoorbeeld, 'n bladsy wat vanaf bediener 192.168.0.1 gelaai is, sal nie toegang hê tot 'n hulpbron wat op IP 127.0.0.1 of IP 192.168.1.1 geleë is nie, maar gelaai vanaf bediener XNUMX sal wel kan. Die verandering stel 'n bykomende laag van beskerming in teen uitbuiting van kwesbaarhede in hanteerders wat versoeke op plaaslike IP's aanvaar, en sal ook beskerm teen DNS-herbinding-aanvalle.
- Het die "Sharing Hub"-funksie bygevoeg, waarmee jy vinnig 'n skakel na die huidige bladsy met ander gebruikers kan deel. Dit is moontlik om 'n QR-kode vanaf 'n URL te genereer, 'n bladsy te stoor, 'n skakel te stuur na 'n ander toestel wat aan 'n gebruikersrekening gekoppel is, en 'n skakel na derdeparty-werwe soos Facebook, WhatsUp, Twitter en VK oor te dra. Hierdie kenmerk is nog nie aan alle gebruikers beskikbaar gestel nie. Om die "Deel"-knoppie in die kieslys en adresbalk te dwing, kan jy die instellings "chrome://flags/#sharing-hub-desktop-app-menu" en "chrome://flags/#sharing-hub- lessenaar-omnibox” .
- Die blaaierinstellingskoppelvlak is herstruktureer. Elke instellingsafdeling word nou op 'n aparte bladsy vertoon, eerder as op een gemeenskaplike bladsy.
- Ondersteuning vir dinamiese opdatering van die logboek van uitgereikte en herroepe sertifikate (Sertifikaatdeursigtigheid) is geïmplementeer, wat nou opgedateer sal word sonder verwysing na blaaieropdaterings.
- Het 'n diensbladsy "chrome://whats-new" bygevoeg met 'n oorsig van gebruikerssigbare veranderinge in die nuwe vrystelling. Die bladsy verskyn outomaties onmiddellik na opdatering of is toeganklik deur die Wat's Nuut-knoppie in die Hulp-kieslys. Die bladsy noem tans oortjiesoektog, die vermoë om profiele te verdeel, en 'n agtergrondkleurveranderingsfunksie, wat nie spesifiek vir Chrome 94 is nie en in vorige vrystellings bekendgestel is. Om die bladsy te wys is nog nie vir alle gebruikers geaktiveer nie: om aktivering te beheer, kan jy die instellings "chrome://flags#chrome-whats-new-ui" en "chrome://flags#chrome-whats-new-in" gebruik -hoofkieslys- nuwe-kenteken".
- Die oproep van die WebSQL API vanaf inhoud wat vanaf derdeparty-werwe (soos 'n iframe) gelaai is, is opgeskort. In Chrome 94, wanneer probeer om toegang tot WebSQL vanaf derdeparty-skrifte te verkry, word 'n waarskuwing vertoon, maar vanaf Chrome 97 sal sulke oproepe geblokkeer word. In die toekoms beplan ons om ondersteuning vir WebSQL heeltemal uit te faseer, ongeag die konteks van gebruik. Die WebSQL-enjin is gebaseer op SQLite-kode en kan deur aanvallers gebruik word om kwesbaarhede in SQLite te ontgin.
- Om sekuriteitsredes en om kwaadwillige aktiwiteite te voorkom, het die gebruik van die verouderde MK (URL:MK) protokol, wat een keer in Internet Explorer gebruik is en dit toelaat dat webtoepassings inligting uit saamgeperste lêers onttrek, geblokkeer word.
- Ondersteuning vir sinchronisasie met ouer weergawes van Chrome (Chrome 48 en ouer) is gestaak.
- Die Permissions-Policy HTTP-kopskrif, wat ontwerp is om sekere vermoëns te aktiveer en toegang tot die API te beheer, het ondersteuning bygevoeg vir die "display-capture" vlag, wat jou toelaat om die gebruik van die Screen Capture API op die bladsy te beheer (by verstek, die vermoë om skerminhoud van eksterne iframes vas te vang is geblokkeer).
- Verskeie nuwe API's is by die Origin Trials-modus gevoeg (eksperimentele kenmerke wat afsonderlike aktivering vereis). Oorsprongproef impliseer die vermoë om met die gespesifiseerde API te werk vanaf toepassings wat van localhost of 127.0.0.1 afgelaai is, of nadat 'n spesiale teken geregistreer en ontvang is wat vir 'n beperkte tyd geldig is vir 'n spesifieke webwerf.
- Bygevoeg die WebGPU API, wat die WebGL API vervang en bied gereedskap vir die uitvoering van GPU bewerkings soos lewering en rekenaar. Konseptueel is WebGPU naby aan die Vulkan, Metal en Direct3D 12 API's. Konseptueel verskil WebGPU van WebGL op baie dieselfde manier as wat die Vulkan grafiese API van OpenGL verskil, maar dit is nie gebaseer op 'n spesifieke grafiese API nie, maar is 'n universele laag wat dieselfde lae-vlak primitiewe gebruik, wat beskikbaar is in Vulkan, Metal en Direct3D 12.
WebGPU bied JavaScript-toepassings met laevlakbeheer oor die organisasie, verwerking en oordrag van opdragte na die GPU, sowel as die vermoë om geassosieerde hulpbronne, geheue, buffers, tekstuurvoorwerpe en saamgestelde grafiese shaders te bestuur. Hierdie benadering laat jou toe om hoër werkverrigting vir grafiese toepassings te bereik deur oorhoofse koste te verminder en die doeltreffendheid van die werk met die GPU te verhoog. Die API maak dit ook moontlik om komplekse 3D-projekte vir die web te skep wat net so goed werk as selfstandige programme, maar nie aan spesifieke platforms gekoppel is nie.
- Selfstandige PWA-toepassings het nou die vermoë om as URL-hanteerders te registreer. Byvoorbeeld, die music.example.com-toepassing kan homself registreer as 'n URL-hanteerder https://*.music.example.com en alle oorgange vanaf eksterne toepassings wat hierdie skakels gebruik, byvoorbeeld van kitsboodskappers en e-poskliënte, sal lei na die opening van hierdie PWA-toepassings, nie 'n nuwe blaaieroortjie nie.
- Ondersteuning vir die nuwe HTTP-reaksiekode - 103 is geïmplementeer, wat gebruik kan word om opskrifte voor die tyd te vertoon. Kode 103 laat jou toe om die kliënt in te lig oor die inhoud van sekere HTTP-opskrifte onmiddellik na die versoek, sonder om te wag dat die bediener alle bewerkings wat verband hou met die versoek voltooi en die inhoud begin bedien. Op 'n soortgelyke manier kan jy wenke verskaf oor elemente wat verband hou met die bladsy wat bedien word wat vooraf gelaai kan word (byvoorbeeld, skakels na die css en javascript wat op die bladsy gebruik word, kan verskaf word). Nadat u inligting oor sulke bronne ontvang het, sal die blaaier dit begin aflaai sonder om te wag dat die hoofbladsy klaar is met lewering, wat u toelaat om die algehele versoekverwerkingstyd te verminder.
- Bygevoeg die WebGPU API, wat die WebGL API vervang en bied gereedskap vir die uitvoering van GPU bewerkings soos lewering en rekenaar. Konseptueel is WebGPU naby aan die Vulkan, Metal en Direct3D 12 API's. Konseptueel verskil WebGPU van WebGL op baie dieselfde manier as wat die Vulkan grafiese API van OpenGL verskil, maar dit is nie gebaseer op 'n spesifieke grafiese API nie, maar is 'n universele laag wat dieselfde lae-vlak primitiewe gebruik, wat beskikbaar is in Vulkan, Metal en Direct3D 12.
- Bygevoeg WebCodecs API vir laevlak manipulasie van mediastrome, wat die hoëvlak HTMLMediaElement, Media Source Extensions, WebAudio, MediaRecorder en WebRTC API's aanvul. Die nuwe API kan in aanvraag wees op gebiede soos speletjiestroming, kliënt-newe-effekte, stroomtranskodering en ondersteuning vir nie-standaard multimediahouers. In plaas daarvan om individuele codecs in JavaScript of WebAssembly te implementeer, bied die WebCodecs API toegang tot voorafgeboude, hoëprestasie-komponente wat in die blaaier ingebou is. Die WebCodecs API bied veral oudio- en video-dekodeerders en -enkodeerders, beelddekodeerders en funksies om met individuele videorame op 'n lae vlak te werk.
- Die Insertable Streams API is gestabiliseer, wat dit moontlik maak om rou mediastrome wat deur die MediaStreamTrack API oorgedra word, te manipuleer, soos kamera- en mikrofoondata, skermopnameresultate of intermediêre kodek-dekoderingsdata. WebCodec-koppelvlakke word gebruik om rou rame aan te bied en 'n stroom word gegenereer soortgelyk aan wat die WebRTC Insertable Streams API genereer gebaseer op RTCPeerConnections. Op die praktiese kant maak die nuwe API voorsiening vir funksionaliteit soos die toepassing van masjienleertegnieke om voorwerpe in reële tyd te identifiseer of annoteer, of die byvoeging van effekte soos agtergrondknipsel voor enkodering of na dekodering deur 'n kodek.
- Die skeduleerder.postTask() metode is gestabiliseer, sodat jy die skedulering van take (JavaScript terugbeloproepe) met verskillende prioriteitsvlakke kan beheer. Drie prioriteitsvlakke word verskaf: 1- uitvoering eerste, selfs al kan gebruikeroperasies geblokkeer word; 2—veranderings wat vir die gebruiker sigbaar is, word toegelaat; 3 - uitvoering in die agtergrond). Jy kan die TaskController-objek gebruik om die prioriteit te verander en take te kanselleer.
- Gestabiliseer en nou versprei buite Origin Trials API Idle Detection om gebruikeronaktiwiteit op te spoor. Die API laat jou toe om tye op te spoor wanneer die gebruiker nie met die sleutelbord/muis interaksie het nie, die skermbewaarder aan die gang is, die skerm gesluit is, of werk word op 'n ander monitor gedoen. Om die aansoek oor onaktiwiteit in te lig, word uitgevoer deur 'n kennisgewing te stuur nadat 'n gespesifiseerde onaktiwiteitsdrempel bereik is.
- Die proses van kleurbestuur in CanvasRenderingContext2D en ImageData-objekte en die gebruik van die sRGB-kleurruimte daarin is geformaliseer. Bied die vermoë om CanvasRenderingContext2D- en ImageData-voorwerpe in ander kleurruimtes as sRGB, soos Display P3, te skep om voordeel te trek uit die gevorderde vermoëns van moderne monitors.
- Metodes en eienskappe by die VirtualKeyboard API gevoeg om te beheer of die virtuele sleutelbord gewys of versteek word, en om inligting te verkry oor die grootte van die vertoonde virtuele sleutelbord.
- JavaScript laat klasse toe om statiese inisialiseringsblokke te gebruik om kode te groepeer wat een keer uitgevoer word wanneer die klas verwerk word: klas C { // Die blok sal uitgevoer word wanneer die klas self verwerk word static { console.log("C se statiese blok"); } }
- Die flex-basis en flex CSS-eienskappe implementeer die inhoud, min-inhoud, maksimum-inhoud en pas-inhoud sleutelwoorde om meer buigsame beheer oor die grootte van die hoof Flexbox-area te bied.
- Het die rolbalk-goot CSS-eienskap bygevoeg om te beheer hoe skermspasie vir die rolbalk gereserveer word. Byvoorbeeld, wanneer jy nie wil hê dat inhoud moet blaai nie, kan jy die uitvoer uitbrei om die skuifbalkarea te beset.
- Die Self Profiling API is bygevoeg met die implementering van 'n profileringstelsel wat jou toelaat om die uitvoeringstyd van JavaScript aan die gebruikerskant te meet om prestasieprobleme in JavaScript-kode te ontfout, sonder om na handmatige manipulasies in die koppelvlak vir webontwikkelaars toe te vlug.
- Nadat die Flash-inprop verwyder is, is besluit om leë waardes in die navigator.plugins- en navigator.mimeTypes-eienskappe terug te gee, maar soos dit geblyk het, het sommige toepassings dit gebruik om te kyk vir die teenwoordigheid van inproppe om PDF-lêers te vertoon. Aangesien Chrome 'n ingeboude PDF-kyker het, sal die navigator.plugins en navigator.mimeTypes-eienskappe nou 'n vaste lys van standaard PDF-kyker-inproppe en MIME-tipes gee - "PDF Viewer, Chrome PDF Viewer, Chromium PDF Viewer, Microsoft Edge PDF Viewer en WebKit ingeboude PDF".
- Verbeterings is aangebring aan nutsgoed vir webontwikkelaars. Nest Hub- en Nest Hub Max-toestelle is by die skermsimulasielys gevoeg. 'n Knoppie vir die omkeer van filters is by die koppelvlak gevoeg om netwerkaktiwiteit te inspekteer (by die installering van die "status-kode: 404" filter, kan jy vinnig alle ander versoeke sien), en het ook die vermoë verskaf om die oorspronklike waardes te sien van die Stel-koekie-opskrifte (laat jou toe om die teenwoordigheid van verkeerde waardes wat verwyder word tydens normalisering, te evalueer). Die sybalk in die webkonsole is opgeskort en sal in 'n toekomstige vrystelling verwyder word. Bygevoeg eksperimentele vermoë om kwessies te versteek in die Kwessies-oortjie. In die instellings is die vermoë om die koppelvlaktaal te kies bygevoeg.
Benewens innovasies en foutoplossings, skakel die nuwe weergawe 19 kwesbaarhede uit. Baie van die kwesbaarhede is geïdentifiseer as gevolg van outomatiese toetsing met behulp van die AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL-nutsgoed. Geen kritieke probleme is geïdentifiseer wat 'n mens sal toelaat om alle vlakke van blaaierbeskerming te omseil en kode buite die sandbox-omgewing op die stelsel uit te voer nie. As deel van die program om kontantbelonings te betaal vir die ontdekking van kwesbaarhede vir die huidige vrystelling, het Google 17 toekennings ter waarde van $56500 betaal (een $15000-toekenning, twee $10000-toekennings, een $7500-toekenning, vier $3000-toekennings, twee $1000-toekennings). Die grootte van die 7 belonings is nog nie bepaal nie.
Bron: opennet.ru