Chrome izdanje 93

Google je predstavio izdanje web pretraživača Chrome 93. U isto vrijeme, dostupno je i stabilno izdanje besplatnog Chromium projekta, koji služi kao osnova Chromea. Chrome pretraživač se odlikuje upotrebom Google logotipa, prisustvom sistema za slanje obavještenja u slučaju pada, modulima za reprodukciju zaštićenog video sadržaja (DRM), sistemom za automatsko instaliranje ažuriranja i prijenosom RLZ parametara prilikom pretraživanja. Sljedeće izdanje Chrome 94 zakazano je za 21. septembar (razvoj je pomjeren na ciklus izdanja od 4 sedmice).

Ključne promjene u Chrome 93:

• Moderniziran je dizajn bloka sa informacijama o stranici (page info), u kojem je implementirana podrška za ugniježđene blokove, a padajuće liste s pravima pristupa zamijenjene su prekidačima. Liste osiguravaju da se najvažnije informacije prikazuju prve. Promjena nije omogućena za sve korisnike; da biste je aktivirali, možete koristiti postavku "chrome://flags/#page-info-version-2-desktop".
• Za mali procenat korisnika, kao eksperiment, indikator sigurne veze u adresnoj traci zamijenjen je neutralnijim simbolom koji ne uzrokuje dvostruku interpretaciju (brava je zamijenjena znakom “V”). Za veze uspostavljene bez šifriranja, indikator „nije bezbedno“ nastavlja da se prikazuje. Razlog koji se navodi za zamjenu indikatora je taj što mnogi korisnici povezuju indikator katanca s činjenicom da se sadržaju stranice može vjerovati, umjesto da ga vide kao znak da je veza šifrirana. Sudeći po Google anketi, samo 11% korisnika razumije značenje ikone sa bravom.
• Lista nedavno zatvorenih kartica sada prikazuje sadržaj zatvorenih grupa kartica (ranije je lista jednostavno prikazivala naziv grupe bez detaljnog sadržaja) uz mogućnost da se odjednom vrati i cijela grupa i pojedinačne kartice iz grupe. Ova funkcija nije omogućena za sve korisnike, pa ćete možda morati promijeniti postavku "chrome://flags/#tab-restore-sub-menus" da biste je omogućili.
• Za preduzeća, implementirane su nove postavke: DefaultJavaScriptJitSetting, JavaScriptJitAllowedForSites i JavaScriptJitBlockedForSites, koje vam omogućavaju da kontrolišete režim bez JIT-a, koji onemogućava upotrebu JIT kompilacije prilikom izvršavanja (koristi se samo Ignition interpreter) i zabranjuje izvršavanje svih datoteka. memoriju tokom izvršavanja koda. Onemogućavanje JIT-a može biti korisno za poboljšanje sigurnosti rada s potencijalno opasnim web aplikacijama po cijenu smanjenja performansi izvršavanja JavaScript-a za približno 17%. Važno je napomenuti da je Microsoft otišao još dalje i implementirao eksperimentalni “Super Duper Secure” način rada u Edge pretraživaču, omogućavajući korisniku da onemogući JIT i aktivira hardverske sigurnosne mehanizme koji nisu kompatibilni sa JIT CET (Controlflow-Enforcement Technology), ACG (Arbitrary Code Guard) i CFG (Control Flow Guard) za procese obrade web sadržaja. Ako se eksperiment pokaže uspješnim, onda možemo očekivati ​​da će biti prebačen u glavni dio Chromea.
• Stranica nove kartice pruža listu najpopularnijih dokumenata sačuvanih na Google disku. Sadržaj liste odgovara odjeljku Prioritet na drive.google.com. Za kontrolu prikaza sadržaja Google Drive-a, možete koristiti postavke “chrome://flags/#ntp-modules” i “chrome://flags/#ntp-drive-module”.
• Nove informativne kartice dodane su na stranicu Otvori novu karticu kako biste lakše pronašli nedavno pregledani sadržaj i povezane informacije. Kartice su dizajnirane da olakšaju nastavak rada sa informacijama čije je gledanje prekinuto, na primjer, kartice će vam pomoći da pronađete recept za jelo koje je nedavno pronađeno na internetu, ali je izgubljeno nakon zatvaranja stranice, ili da nastavite sa pravljenjem kupovine u prodavnicama. Kao eksperiment, korisnicima su ponuđene dvije nove mape: “Recepti” (chrome://flags/#ntp-recipe-tasks-module) za traženje kulinarskih recepata i prikazivanje nedavno pregledanih recepata; “Kupovina” (chrome://flags/#ntp-chrome-cart-module) za podsjetnike o proizvodima odabranim u online trgovinama.
• Verzija za Android dodaje opcionu podršku za panel kontinuiranog pretraživanja (chrome://flags/#continuous-search), koji vam omogućava da nedavne rezultate Google pretrage zadržite vidljivima (panel nastavlja da prikazuje rezultate nakon prelaska na druge stranice).
• U Android verziju je dodat eksperimentalni način dijeljenja citata (chrome://flags/#webnotes-stylize), koji vam omogućava da sačuvate odabrani fragment stranice kao citat i podijelite ga s drugim korisnicima.
• Prilikom objavljivanja novih dodataka ili ažuriranja verzije u Chrome web trgovini, sada je potrebna dvofaktorska provjera programera.
• Korisnici Google naloga imaju opciju da sačuvaju informacije o plaćanju na svoj Google nalog.
• U anonimnom načinu rada, ako je aktivirana opcija brisanja navigacijskih podataka, implementiran je novi dijalog za potvrdu operacije, koji objašnjava da će brisanje podataka zatvoriti prozor i završiti sve sesije u anonimnom načinu rada.
• Zbog utvrđenih nekompatibilnosti sa firmverom nekih uređaja, Chromeu 91 je dodata podrška za novu metodu dogovora ključeva, otpornu na pogađanje na kvantnim računarima, zasnovanu na korištenju ekstenzije CECPQ1.3 (Combined Elliptic-Curve and Post-Quantum 2) u TLSv2, kombinujući klasični mehanizam razmene ključeva X25519 sa HRSS šemom zasnovanom na NTRU Prime algoritmu dizajniranom za post-kvantne kriptosisteme.
• Portovi 989 (ftps-podaci) i 990 (ftps) su dodati broju zabranjenih mrežnih portova kako bi se blokirao ALPACA napad. Ranije su, radi zaštite od NAT slipstreaming napada, portovi 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 i 10080 već bili blokirani.
• TLS više ne podržava šifre zasnovane na 3DES algoritmu. Konkretno, uklonjen je TLS_RSA_WITH_3DES_EDE_CBC_SHA paket šifriranja, koji je podložan napadu Sweet32.
• Podrška za Ubuntu 16.04 je ukinuta.
• Moguće je koristiti WebOTP API između različitih uređaja povezanih preko zajedničkog Google naloga. WebOTP omogućava web aplikaciji da čita jednokratne verifikacione kodove poslane putem SMS-a. Predložena promjena omogućava primanje verifikacionog koda na mobilnom uređaju koji koristi Chrome za Android i primjenu na desktop sistemu.
• API korisničkih savjeta za klijenta je proširen, razvijen kao zamjena za zaglavlje korisničkog agenta. User-Agent Client Hints vam omogućava da organizujete selektivnu isporuku podataka o specifičnim parametrima pretraživača i sistema (verzija, platforma, itd.) samo nakon zahteva servera. Korisnik, zauzvrat, može odrediti koje informacije mogu biti dostavljene vlasnicima stranica. Kada se koriste savjeti klijenta za korisničkog agenta, identifikator pretraživača se ne prenosi bez eksplicitnog zahtjeva, a po defaultu su specificirani samo osnovni parametri, što otežava pasivnu identifikaciju.

  Nova verzija podržava parametar Sec-CH-UA-Bitness za vraćanje podataka o bitnosti platforme, koji se mogu koristiti za opsluživanje optimiziranih binarnih datoteka. Po defaultu, parametar Sec-CH-UA-Platform se šalje s općim informacijama o platformi. Vrijednost UADataValues ​​koja se vraća prilikom poziva getHighEntropyValues() implementirana je prema zadanim postavkama za vraćanje generaliziranih parametara ako je nemoguće vratiti detaljnu opciju. Metoda toJSON je dodana objektu NavigatorUAData, što vam omogućava da koristite konstrukcije kao što je JSON.stringify(navigator.userAgentData).

• Mogućnost pakovanja resursa u pakete u Web Bundle formatu, pogodnom za organizovanje efikasnijeg učitavanja velikog broja pratećih fajlova (CSS stilovi, JavaScript, slike, iframeovi), je stabilizovana i ponuđena kao podrazumevano. Među nedostacima postojeće podrške za pakete za JavaScript datoteke (webpack), koje Web Bundle pokušava eliminisati: sam paket, ali ne i njegovi sastavni dijelovi, može završiti u HTTP kešu; kompilacija i izvršavanje mogu započeti tek nakon što je paket u potpunosti preuzet; Dodatni resursi kao što su CSS i slike moraju biti kodirani u obliku JavaScript stringova, što povećava veličinu i zahtijeva još jedan korak raščlanjivanja.
• WebXR Plane Detection API je uključen, pružajući informacije o ravnim površinama u virtuelnom 3D okruženju. Specificirani API omogućava izbjegavanje resursno intenzivne obrade podataka dobijenih putem poziva MediaDevices.getUserMedia(), koristeći vlasničke implementacije algoritama kompjuterskog vida. Podsjetimo, WebXR API vam omogućava da objedinite rad s različitim klasama uređaja virtuelne stvarnosti, od stacionarnih 3D kaciga do rješenja baziranih na mobilnim uređajima.
• Nekoliko novih API-ja je dodano u Origin Trials mod (eksperimentalne funkcije koje zahtijevaju odvojenu aktivaciju). Origin Trial podrazumijeva mogućnost rada sa navedenim API-jem iz aplikacija preuzetih sa localhost ili 127.0.0.1, ili nakon registracije i primanja posebnog tokena koji važi ograničeno vrijeme za određenu lokaciju.
  • Predložen je API za postavljanje prozora na više ekrana, koji vam omogućava da postavite prozore na bilo koji ekran povezan sa trenutnim sistemom, kao i da sačuvate poziciju prozora i, ako je potrebno, proširite prozor na ceo ekran. Na primjer, korištenjem navedenog API-ja, web aplikacija za prikazivanje prezentacije može organizirati prikaz slajdova na jednom ekranu, a prikazati bilješku za prezentera na drugom.
  • Zaglavlje Cross-Origin-Embedder-Policy, koje kontrolira način izolacije Cross-Origin i omogućava vam definiranje sigurnih pravila korištenja na stranici Privilegirane operacije, sada podržava parametar "bez vjerodajnika" za onemogućavanje prijenosa informacija u vezi s vjerodajnicama kao što je Kolačići i klijentski certifikati.
  • Za samostalne web aplikacije (PWA, Progressive Web Apps) koje kontrolišu prikazivanje sadržaja prozora i rukovati unosom, obezbeđeno je preklapanje sa kontrolama prozora, kao što je naslovna traka i dugmad za proširenje/sažimanje. Preklapanje proširuje područje koje se može uređivati ​​da pokrije cijeli prozor i omogućava vam da dodate svoje elemente u područje naslova.
  • Dodata mogućnost kreiranja PWA aplikacija koje se mogu koristiti kao URL rukovaoci. Na primjer, aplikacija music.example.com se može registrovati kao URL rukovalac https://*.music.example.com i svi prijelazi iz vanjskih aplikacija koristeći ove veze, na primjer, iz instant messengera i klijenata e-pošte, će dovesti do otvaranja ove PWA-aplikacije, a ne nove kartice pretraživača.
• Moguće je učitati CSS datoteke pomoću izraza “import”, slično učitavanju JavaScript modula, što je zgodno kada kreirate vlastite elemente i omogućava vam da bez dodjeljivanja stilova koristeći JavaScript kod. import sheet from './styles.css' assert { type: 'css' }; document.adoptedStyleSheets = [list]; shadowRoot.adoptedStyleSheets = [list];
• Osigurana je nova statička metoda, AbortSignal.abort(), koja vraća objekt AbortSignal koji je već postavljen na prekinut. Umjesto nekoliko linija koda za kreiranje AbortSignal objekta u prekinutom stanju, sada možete proći sa jednim redom „return AbortSignal.abort()“.
• Flexbox element je dodao podršku za start, end, self-start, self-end, lijevo i desno ključne riječi, dopunjujući ključne riječi center, flex-start i flex-end alatima za pojednostavljeno poravnavanje položaja flex elemenata.
• Error() konstruktor implementira novo opciono svojstvo “cause”, koje vam omogućava da lako povežete greške jedna s drugom. const parentError = nova greška('parent'); const error = new Error('parent', { uzrok: parentError }); console.log(error.cause === parentError); // → istina
• Dodata podrška za režim noplaybackrate svojstvu HTMLMediaElement.controlsList, što vam omogućava da onemogućite elemente interfejsa koji se nalaze u pretraživaču za promjenu brzine reprodukcije multimedijalnog sadržaja.
• Dodano zaglavlje Sec-CH-Prefers-Color-Scheme, koje omogućava, u fazi slanja zahtjeva, prenošenje podataka o korisnikovoj preferiranoj shemi boja koja se koristi u medijskim upitima "prefers-color-scheme", što će omogućiti web-stranici da optimizira učitavanje CSS-a povezanog sa odabranom šemom i izbjegavanje vidljivih prekidača iz drugih šema.
• Dodano svojstvo Object.hasOwn, koje je pojednostavljena verzija Object.prototype.hasOwnProperty, implementirano kao statička metoda. Object.hasOwn({ prop: 42 }, 'prop') // → istina
• Dizajniran za vrlo brzu brute-force kompilaciju, Sparkplug-ov JIT kompajler je dodao način grupnog izvršavanja kako bi smanjio troškove prebacivanja memorijskih stranica između načina pisanja i rada. Sparkplug sada kompajlira više funkcija odjednom i poziva mprotect jednom da promijeni dozvole cijele grupe. Predloženi način rada značajno smanjuje vrijeme kompilacije (do 44%) bez negativnog utjecaja na performanse izvršavanja JavaScripta.
• Android verzija onemogućava ugrađenu zaštitu motora V8 od napada sa strane kanala kao što je Spectre, koji se ne smatraju efikasnim kao izolacija lokacija u odvojenim procesima. U desktop verziji, ovi mehanizmi su onemogućeni još u izdanju Chromea 70. Onemogućavanje nepotrebnih provjera omogućilo je povećanje performansi za 2-15%.
• Napravljena su poboljšanja u alatima za web programere. U načinu inspekcije stilskog lista moguće je uređivati ​​upite generirane pomoću izraza @container. U režimu mrežne inspekcije implementiran je pregled resursa u formatu Web bundle. U web konzoli su u kontekstni meni dodane opcije za kopiranje stringova u obliku JavaScript ili JSON literala. Poboljšano otklanjanje grešaka vezanih za CORS (Cross-Origin Resource Sharing).

Pored inovacija i ispravki grešaka, nova verzija eliminiše 27 ranjivosti. Mnoge ranjivosti su identifikovane kao rezultat automatizovanog testiranja pomoću alata AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Nisu identifikovani kritični problemi koji bi omogućili da se zaobiđu svi nivoi zaštite pretraživača i izvrši kod na sistemu izvan okruženja sandbox-a. Kao dio programa za isplatu novčanih nagrada za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 19 nagrada u vrijednosti od 136500 dolara (tri nagrade od 20000 dolara, jedna nagrada od 15000 dolara, tri nagrade od 10000 dolara, jedna nagrada od 7500 dolara, tri nagrade od 5000 dolara, 3000 nagrada). Veličina 5 nagrada još nije određena.

izvor: opennet.ru