ProHoster > Blog > internetové zprávy > Vydání Chrome 104

Vydání Chrome 104

Google odhalil vydání webového prohlížeče Chrome 104. Zároveň je k dispozici stabilní vydání bezplatného projektu Chromium, který slouží jako základ Chromu. Prohlížeč Chrome se od Chromia liší použitím log Google, přítomností systému pro zasílání upozornění v případě pádu, moduly pro přehrávání videoobsahu chráněného proti kopírování (DRM), systémem pro automatickou instalaci aktualizací, trvale umožňující izolaci Sandbox , dodává klíče do Google API a přenáší RLZ- při vyhledávání. Pro ty, kteří potřebují více času na aktualizaci, je samostatně podporována větev Extended Stable, po níž následuje 8 týdnů. Další vydání Chrome 105 je naplánováno na 30. srpna.

Klíčové změny v Chrome 104:

  • Byl zaveden limit životnosti souborů cookie – všechny nové nebo aktualizované soubory cookie budou automaticky smazány po 400 dnech existence, a to i v případě, že doba vypršení platnosti nastavená prostřednictvím atributů Expires a Max-Age překročí 400 dnů (u takových souborů cookie se životnost zkrátí až 400 dní). Soubory cookie vytvořené před zavedením omezení si zachovají svou životnost, i když přesáhne 400 dní, ale v případě aktualizace budou omezeny. Změna odráží nové požadavky uvedené v návrhu nové specifikace.
  • Povoleno blokování adres URL prvků iframe odkazujících na místní systém souborů („filesystem://“).
  • Pro urychlení načítání stránek byla přidána nová optimalizace, která zajišťuje navázání spojení s cílovým hostitelem v okamžiku, kdy kliknete na odkaz, aniž byste museli čekat, až uvolníte tlačítko nebo sundáte prst z dotykové obrazovky.
  • Přidáno nastavení pro správu API „Topics & Interest Group“, propagované jako součást iniciativy Privacy Sandbox, která vám umožňuje definovat kategorie zájmů uživatelů a používat je místo sledování souborů cookie k identifikaci skupin uživatelů s podobnými zájmy bez identifikace jednotlivých uživatelů . Navíc byly přidány informační dialogy, které se zobrazí jednou, vysvětlují uživateli podstatu technologie a nabízejí aktivaci její podpory v nastavení.
  • Zvýšené prahové hodnoty pro omezení vnořených volání na časovače setTimeout a setInterval začaly s intervalem určeným méně než 4 ms („setTimeout(…, <4ms)“). Celkový limit takových hovorů byl zvýšen z 5 na 100, což umožňuje agresivně neškrtat jednotlivé hovory, ale zároveň zabránit zneužití, které by mohlo ovlivnit výkon prohlížeče.
  • Povoleno odesílá požadavek na potvrzení autorizace CORS (Cross-Origin Resource Sharing) na hlavní server webu se záhlavím „Access-Control-Request-Private-Network: true“, když stránka přistupuje k dílčímu zdroji v interní síti (192.168.xx , 10. xxx, 172.16-31.xx) nebo na localhost (127.xxx). Při potvrzení operace v reakci na tento požadavek musí server vrátit hlavičku „Access-Control-Allow-Private-Network: true“. Ve verzi Chrome 104 výsledek potvrzení ještě neovlivňuje zpracování požadavku – pokud žádné potvrzení není, ve webové konzoli se zobrazí varování, ale samotný požadavek na subresource není blokován. Povolení blokování bez potvrzení se očekává až ve verzi Chrome 107. Chcete-li povolit blokování v dřívějších verzích, můžete povolit nastavení „chrome://flags/#private-network-access-respect-preflight-results“.

    Ověřování oprávnění serverem bylo zavedeno pro posílení ochrany před útoky souvisejícími s přístupem ke zdrojům v místní síti nebo na počítači uživatele (localhost) ze skriptů načítaných při otevírání webu. Takové požadavky využívají útočníci k provádění CSRF útoků na routery, přístupové body, tiskárny, firemní webová rozhraní a další zařízení a služby, které přijímají požadavky pouze z lokální sítě. Pro ochranu proti takovým útokům, pokud dojde k přístupu k některým dílčím zdrojům v interní síti, prohlížeč odešle výslovnou žádost o povolení načíst tyto dílčí zdroje.

  • Byl přidán mechanismus Region Capture, který umožňuje oříznout nepotřebný obsah z videa generovaného na základě snímání obrazovky. Například pomocí getDisplayMedia API může webová aplikace streamovat video obsahu karty a Region Capture vám umožňuje vyjmout část obsahu, který obsahuje ovládací prvky videokonference.
  • Přidána podpora pro novou syntaxi mediálního dotazu definovanou ve specifikaci Media Queries Level 4, která určuje minimální a maximální velikost viditelné oblasti (výřezu). Nová syntaxe umožňuje používat běžné matematické porovnávací operátory a logické operátory jako „ne“, „nebo“ a „a“. Například místo „@media (min-width: 400px) { … }“ můžete nyní zadat „@media (width >= 400px) { … }“.
  • Do režimu Origin Trials bylo přidáno několik nových API (experimentální funkce, které vyžadují samostatnou aktivaci). Origin Trial znamená schopnost pracovat se zadaným API z aplikací stažených z localhost nebo 127.0.0.1, nebo po registraci a obdržení speciálního tokenu, který je platný po omezenou dobu pro konkrétní web.
    • Přidána vlastnost CSS „focusgroup“ pro zlepšení navigace mezi prvky pomocí kláves se šipkami na klávesnici.
    • Secure Payment Confirmation API poskytuje uživateli možnost deaktivovat úložiště nastavení kreditních karet. Chcete-li zobrazit dialogové okno, které vám umožní odmítnout uložení parametrů kreditní karty, konstruktor PaymentRequest() poskytuje příznak „showOptOut: true“.
    • Přidáno rozhraní Shared Element Transitions API, které umožňuje organizovat hladký přechod mezi různými zobrazeními obsahu v jednostránkových webových aplikacích.
  • Podpora pravidel pro spekulace byla stabilizována, což umožňuje autorům webových stránek poskytovat prohlížeči informace o nejpravděpodobnějších stránkách, na které může uživatel přejít. Prohlížeč používá tyto informace k proaktivnímu načítání a vykreslování obsahu stránky.
  • Mechanismus balení dílčích zdrojů do balíčků ve formátu Web Bundle byl stabilizován, což umožňuje zvýšit efektivitu načítání velkého množství doprovodných souborů (CSS styly, JavaScript, obrázky, iframe). Na rozdíl od balíčků ve formátu Webpack má formát Web Bundle následující výhody: v mezipaměti HTTP není uložen samotný balíček, ale jeho součásti; kompilace a provádění JavaScriptu začíná bez čekání na úplné stažení balíčku; Je povoleno zahrnout další zdroje, jako jsou CSS a obrázky, které by ve webpacku musely být kódovány ve formě řetězců JavaScript.
  • Přidána CSS vlastnost object-view-box, která umožňuje definovat část obrázku, která se bude zobrazovat v ploše místo daného prvku, což lze využít například pro přidání ohraničení nebo stínu.
  • Přidáno Fullscreen Capability Delegation API, které umožňuje jednomu objektu Window delegovat na jiný objekt Window právo volat requestFullscreen().
  • Přidáno rozhraní Fullscreen Companion Window API, které umožňuje umístit obsah na celou obrazovku a vyskakovací okna na jinou obrazovku po obdržení potvrzení od uživatele.
  • Atribut visual-box byl přidán do vlastnosti CSS overflow-clip-margin, která určuje, kde začít ořezávat obsah přesahující hranici oblasti (může nabývat hodnot content-box, padding-box a border- box).
  • Async Clipboard API přidalo možnost definovat specializované formáty pro data přenášená přes schránku, kromě textu, obrázků a textu s označením.
  • WebGL poskytuje podporu pro specifikaci barevného prostoru pro vyrovnávací paměť a transformaci při importu z textury.
  • Podpora platforem OS X 10.11 a macOS 10.12 byla ukončena.
  • U2F (Cryptotoken) API, které bylo dříve zastaralé a ve výchozím nastavení zakázáno, bylo ukončeno. U2F API bylo nahrazeno rozhraním Web Authentication API.
  • Vylepšeny byly nástroje pro webové vývojáře. Ladicí program má nyní možnost restartovat kód od začátku funkce po najetí na bod přerušení někde v těle funkce. Přidána podpora pro vývoj doplňků pro panel Záznamník. Do panelu analýzy výkonu byla přidána podpora pro vizualizaci značek nastavených ve webové aplikaci pomocí volání metody performance.measure(). Vylepšená doporučení pro automatické doplňování vlastností objektů JavaScript. Při automatickém doplňování proměnných CSS jsou poskytovány náhledy hodnot, které nesouvisejí s barvami.
    Vydání Chrome 104

Kromě inovací a oprav chyb nová verze odstraňuje 27 zranitelností. Mnoho zranitelností bylo identifikováno jako výsledek automatizovaného testování pomocí nástrojů AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Nebyly zjištěny žádné kritické problémy, které by umožnily obejít všechny úrovně ochrany prohlížeče a spustit kód v systému mimo prostředí sandbox. V rámci programu peněžních odměn za odhalení zranitelností pro aktuální verzi vyplatil Google 22 ocenění v hodnotě 84 tisíc dolarů (jedno ocenění 15000 10000 USD, jedno ocenění 8000 7000 USD, jedno ocenění 5000 4000 USD, jedno ocenění 3000 2000 USD, čtyři ocenění 1000 XNUMX USD, jedno ocenění XNUMX XNUMX USD, tři ocenění XNUMX XNUMX USD , čtyři ocenění XNUMX XNUMX $ a tři ocenění XNUMX XNUMX $). Velikost jedné odměny zatím nebyla stanovena.

Zdroj: opennet.ru

Přidat komentář