Chrome izdanje 105

Google je predstavio izdanje web pretraživača Chrome 105. U isto vrijeme, dostupno je i stabilno izdanje besplatnog Chromium projekta, koji služi kao osnova Chromea. Chrome pretraživač se razlikuje od Chromium-a po korištenju Google logotipa, prisutnosti sistema za slanje obavještenja u slučaju pada, modula za reprodukciju video sadržaja zaštićenog od kopiranja (DRM), sistema za automatsko instaliranje ažuriranja, trajnog omogućavanja Sandbox izolacije , dostavljanje ključeva za Google API i prijenos RLZ- parametara prilikom pretraživanja. Za one kojima je potrebno više vremena za ažuriranje, proširena stabilna grana je posebno podržana, nakon čega slijedi 8 sedmica. Sljedeće izdanje Chrome 106 zakazano je za 27. septembar.

Ključne promjene u Chrome 105:

• Podrška za specijalizovane web aplikacije Chrome aplikacije je ukinuta, zamijenjene samostalnim web aplikacijama zasnovanim na tehnologiji Progressive Web Apps (PWA) i standardnim web API-jima. Google je prvobitno najavio svoju namjeru da napusti Chrome aplikacije još 2016. godine i planirao je da ih prestane podržavati do 2018. godine, ali je potom odgodio ovaj plan. U Chromeu 105, kada pokušate instalirati Chrome aplikacije, dobit ćete upozorenje da više neće biti podržane, ali će aplikacije nastaviti raditi. U Chromeu 109, mogućnost pokretanja Chrome aplikacija će biti onemogućena.
• Obezbeđena dodatna izolacija za proces renderera, koji je odgovoran za renderovanje. Ovaj proces se sada izvodi u dodatnom kontejneru (App Container), implementiranom na vrhu postojećeg sandbox sistema za izolaciju. Ako se iskoristi ranjivost u kodu za renderiranje, dodana ograničenja će spriječiti napadača da dobije pristup mreži sprečavanjem pristupa sistemskim pozivima koji se odnose na mogućnosti mreže.
• Implementirano vlastito objedinjeno skladištenje root certifikata sertifikacijskih tijela (Chrome Root Store). Novo skladište još nije omogućeno prema zadanim postavkama i dok se implementacija ne završi, certifikati će se nastaviti provjeravati korištenjem spremišta specifičnog za svaki operativni sistem. Rješenje koje se testira podsjeća na Mozilla-in pristup, koji održava odvojenu nezavisnu bazu root certifikata za Firefox, koja se koristi kao prva veza za provjeru lanca povjerenja certifikata prilikom otvaranja web lokacija preko HTTPS-a.
• Počele su pripreme za ukidanje Web SQL API-ja, koji je nestandardiziran, uglavnom se ne koristi i zahtijeva redizajn kako bi zadovoljio moderne sigurnosne zahtjeve. Chrome 105 sprječava pristup Web SQL-u iz koda učitanog bez korištenja HTTPS-a, a također dodaje upozorenje o zastarjelom alatu za DevTools. Planirano je da se Web SQL API ukloni 2023. Za programere kojima je takva funkcionalnost potrebna, pripremit će se zamjena bazirana na WebAssembly-u.
• Chrome sinhronizacija više ne podržava sinhronizaciju s Chromeom 73 i ranijim izdanjima.
• Za macOS i Windows platforme, aktiviran je ugrađeni preglednik certifikata, koji zamjenjuje pozivanje sučelja koje pruža operativni sistem. Ranije se ugrađeni preglednik koristio samo u verzijama za Linux i ChromeOS.
• Android verzija dodaje postavke za upravljanje API-jem za teme i interesne grupe, promovirane kao dio Privacy Sandbox inicijative, što vam omogućava da definirate kategorije interesa korisnika i koristite ih umjesto praćenja kolačića za identifikaciju grupa korisnika sa sličnim interesima bez identifikacije pojedinaca korisnika. U posljednjem izdanju, slične postavke dodane su verzijama za Linux, ChromeOS, macOS i Windows.
• Kada omogućite naprednu zaštitu pretraživača (Sigurno pregledanje > Poboljšana zaštita), prikuplja se telemetrija o instaliranim dodacima, pristupu API-ju i vezama s vanjskim lokacijama. Ovi podaci se koriste na Google serverima za otkrivanje zlonamjerne aktivnosti i kršenja pravila od strane dodataka preglednika.
• Zastarjelo je i blokirat će upotrebu ne-ASCII znakova u domenama navedenim u zaglavlju kolačića u Chromeu 106 (za IDN domene, domene moraju biti u punycode formatu). Promjena će dovesti pretraživač u usklađenost sa RFC 6265bis i ponašanjem implementiranim u Firefoxu.
• Predložen je Custom Highlight API, dizajniran da proizvoljno promijeni stil odabranih područja teksta i koji vam omogućava da ne budete ograničeni fiksnim stilom koji pruža pretraživač za istaknuta područja (::selection, ::inactive-selection) i isticanje sintaksičkih grešaka (::spelling-error, ::grammar- error). Prva verzija API-ja je pružala podršku za promjenu teksta i boja pozadine korištenjem pseudoelemenata boja i boja pozadine, ali će se u budućnosti dodati i druge opcije stiliziranja.

  Kao primjer zadataka koji se mogu riješiti korištenjem novog API-ja spominje se dodavanje u web okvire koji pružaju alate za uređivanje teksta, vlastite mehanizme za odabir teksta, različito isticanje za istovremeno zajedničko uređivanje od strane više korisnika, pretraživanje u virtualiziranim dokumentima , i označavanje grešaka prilikom provjere pravopisa . Ako je prethodno kreiranje nestandardnog isticanja zahtijevalo složene manipulacije sa DOM stablom, Custom Highlight API pruža gotove operacije za dodavanje i uklanjanje isticanja koje ne utječu na DOM strukturu i primjenjuju stilove u odnosu na Range objekte.

• Dodan upit “@container” u CSS, omogućavajući stilizovanje elemenata na osnovu veličine roditeljskog elementa. “@container” je sličan upitima “@media”, ali se ne primjenjuje na veličinu cijelog vidljivog područja, već na veličinu bloka (kontejnera) u koji je element smješten, što vam omogućava da sami postavite logika odabira stila za podređene elemente, bez obzira na to gdje se tačno na stranici element nalazi.
• Dodata CSS pseudo-klasa “:has()” za provjeru prisutnosti podređenog elementa u nadređenom elementu. Na primjer, "p:has(span)" pokriva elemente koji u sebi imaju element .
• Dodan je HTML Sanitizer API, koji vam omogućava da izrežete elemente iz sadržaja koji utiču na prikaz i izvršenje tokom izlaza putem metode setHTML(). API može biti koristan za čišćenje vanjskih podataka za uklanjanje HTML oznaka koje se mogu koristiti za izvođenje XSS napada.
• Moguće je koristiti Streams API (ReadableStream) za slanje zahtjeva za preuzimanje prije učitavanja tijela odgovora, tj. možete započeti slanje podataka bez čekanja da se završi generiranje stranice.
• Za instalirane samostalne web aplikacije (PWA, Progressive Web App), moguće je promijeniti dizajn područja naslova prozora pomoću komponenti Window Controls Overlay, koje proširuju područje ekrana web aplikacije na cijeli prozor i omogućavaju da web aplikacija izgleda kao obična desktop aplikacija. Web aplikacija može kontrolirati prikazivanje i obradu unosa u cijelom prozoru, s izuzetkom bloka preklapanja sa standardnim kontrolnim gumbima prozora (zatvori, minimiziraj, povećaj).
• Stabilizirana je mogućnost pristupa proširenjima izvora medija od namjenskih radnika (u kontekstu DedicatedWorker), što se može koristiti, na primjer, za poboljšanje performansi baferirane reprodukcije multimedijskih podataka kreiranjem MediaSource objekta u zasebnom radniku i emitiranjem rezultate svog rada na HTMLMediaElement u glavnoj niti.
• U API-ju Client Hints, koji se razvija da zameni zaglavlje User-Agent i koji vam omogućava da selektivno date podatke o specifičnim parametrima pretraživača i sistema (verzija, platforma, itd.) samo na zahtev servera, podrška za Sec Dodano je svojstvo -CH-Viewport-Heigh koje vam omogućava da dobijete informacije o visini vidljivog područja. Format markupa za određivanje parametara Client Hints za vanjske resurse u “meta” oznaci je promijenjen: Ranije: Sada:
• Dodata mogućnost kreiranja globalnih onbeforeinput obrađivača događaja (document.documentElement.onbeforeinput), uz pomoć kojih web aplikacije mogu nadjačati ponašanje prilikom uređivanja teksta u blokovima , i drugim elementima sa atributom "contenteditable" , u fazi prije promjene pretraživača sadržaja elementa i DOM stabla.
• Mogućnosti API-ja za navigaciju su proširene, omogućavajući web aplikacijama da presretnu navigacijske operacije u prozoru, započnu prijelaz i analiziraju historiju radnji s aplikacijom. Dodane su nove metode intercept() za presretanje prijelaza i scroll() za pomicanje do određene pozicije.
• Dodana je statička metoda Response.json(), koja vam omogućava da generišete tijelo odgovora na osnovu podataka tipa JSON.
• Napravljena su poboljšanja u alatima za web programere. U programu za otklanjanje grešaka, kada se pokrene tačka prekida, dozvoljeno je uređivanje glavnih funkcija u steku, bez prekida sesije otklanjanja grešaka. Panel Snimač, koji vam omogućava snimanje, reprodukciju i analizu radnji korisnika na stranici, podržava tačke prekida, reprodukciju korak po korak i snimanje događaja prelaska miša.

  LCP (Largest Contentful Paint) metrika je dodana na kontrolnu tablu performansi kako bi se identifikovala kašnjenja pri renderovanju velikih (korisnički vidljivih) elemenata u vidljivom području, kao što su slike, video zapisi i blok elementi. U panelu Elementi, gornji slojevi prikazani na vrhu drugog sadržaja označeni su posebnom ikonom. WebAssembly sada ima mogućnost učitavanja podataka za otklanjanje grešaka u DWARF formatu.

Pored inovacija i ispravki grešaka, nova verzija eliminiše 24 ranjivosti. Mnoge ranjivosti su identifikovane kao rezultat automatizovanog testiranja pomoću alata AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Nisu identifikovani kritični problemi koji bi omogućili da se zaobiđu svi nivoi zaštite pretraživača i izvrši kod na sistemu van okruženja sandbox-a. Kao dio programa za isplatu novčanih nagrada za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 21 nagradu u vrijednosti od 60500 dolara (jedna nagrada od 10000 dolara, jedna nagrada od 9000 dolara, jedna nagrada od 7500 dolara, jedna nagrada od 7000 dolara, dvije nagrade od 5000 dolara, četiri nagrade od 3000 dolara, dvije nagrade 2000$ i jedan bonus od 1000$). Veličina sedam nagrada još nije utvrđena.

izvor: opennet.ru