ProHoster > Blog > internetové zprávy > Vydání Chrome 105

Vydání Chrome 105

Google odhalil vydání webového prohlížeče Chrome 105. Zároveň je k dispozici stabilní vydání bezplatného projektu Chromium, který slouží jako základ Chromu. Prohlížeč Chrome se od Chromia liší použitím log Google, přítomností systému pro zasílání upozornění v případě pádu, moduly pro přehrávání videoobsahu chráněného proti kopírování (DRM), systémem pro automatickou instalaci aktualizací, trvale umožňující izolaci Sandbox , dodává klíče do Google API a přenáší RLZ- při vyhledávání. Pro ty, kteří potřebují více času na aktualizaci, je samostatně podporována větev Extended Stable, po níž následuje 8 týdnů. Další vydání Chrome 106 je naplánováno na 27. září.

Klíčové změny v Chrome 105:

  • Podpora specializovaných webových aplikací Chrome Apps byla ukončena a nahrazena samostatnými webovými aplikacemi založenými na technologii Progressive Web Apps (PWA) a standardních webových rozhraních API. Google původně oznámil svůj záměr opustit aplikace Chrome již v roce 2016 a plánoval je přestat podporovat do roku 2018, ale poté tento plán odložil. Když se v Chrome 105 pokusíte nainstalovat aplikace Chrome, zobrazí se upozornění, že již nebudou podporovány, ale aplikace budou nadále běžet. V Chrome 109 bude možnost spouštět aplikace Chrome zakázána.
  • Poskytuje další izolaci pro proces vykreslování, který je zodpovědný za vykreslování. Tento proces se nyní provádí v dalším kontejneru (App Container), který je implementován nad stávajícím systémem izolace sandboxu. Pokud dojde ke zneužití chyby zabezpečení ve vykreslovacím kódu, přidaná omezení zabrání útočníkovi získat přístup k síti tím, že zabrání přístupu k systémovým voláním souvisejícím s funkcemi sítě.
  • Implementováno vlastní jednotné úložiště kořenových certifikátů certifikačních autorit (Chrome Root Store). Nové úložiště ještě není ve výchozím nastavení povoleno a dokud nebude implementace dokončena, budou certifikáty nadále ověřovány pomocí úložiště specifického pro každý operační systém. Testované řešení připomíná přístup Mozilly, která spravuje samostatné nezávislé úložiště kořenových certifikátů pro Firefox, používané jako první odkaz pro kontrolu důvěryhodného řetězce certifikátů při otevírání stránek přes HTTPS.
  • Byly zahájeny přípravy na ukončení podpory webového SQL API, které je nestandardizované, z velké části nepoužívané a vyžaduje přepracování, aby vyhovovalo moderním bezpečnostním požadavkům. Chrome 105 zabraňuje přístupu k webovému SQL kódu načtenému bez použití HTTPS a také přidává upozornění na ukončení podpory do DevTools. Web SQL API má být odstraněno v roce 2023. Pro vývojáře, kteří takovou funkcionalitu potřebují, bude připravena náhrada založená na WebAssembly.
  • Synchronizace Chrome již nepodporuje synchronizaci s Chrome 73 a staršími verzemi.
  • Pro platformy macOS a Windows je aktivován vestavěný prohlížeč certifikátů, který nahrazuje volání rozhraní poskytovaného operačním systémem. Dříve se vestavěný prohlížeč používal pouze v sestaveních pro Linux a ChromeOS.
  • Verze pro Android přidává nastavení pro správu API Topics & Interest Group API, propagované jako součást iniciativy Privacy Sandbox, která vám umožňuje definovat kategorie zájmů uživatelů a používat je místo sledování souborů cookie k identifikaci skupin uživatelů s podobnými zájmy bez identifikace jednotlivců. uživatelů. V posledním vydání byla podobná nastavení přidána do verzí pro Linux, ChromeOS, macOS a Windows.
  • Když povolíte rozšířenou ochranu prohlížeče (Bezpečné prohlížení > Vylepšená ochrana), shromažďuje se telemetrie o nainstalovaných doplňcích, přístupu k rozhraní API a připojení k externím webům. Tato data se používají na serverech Google k detekci škodlivé aktivity a porušení pravidel doplňky prohlížeče.
  • Zastaráno a bude blokovat použití jiných než ASCII znaků v doménách uvedených v záhlaví cookie v prohlížeči Chrome 106 (u domén IDN musí být domény ve formátu punycode). Tato změna uvede prohlížeč do souladu s RFC 6265bis a chování implementovaného ve Firefoxu.
  • Bylo navrženo rozhraní Custom Highlight API, které je navrženo tak, aby libovolně měnilo styl vybraných oblastí textu a umožnilo vám nebýt omezováni pevným stylem poskytovaným prohlížečem pro zvýrazněné oblasti (::selection, ::inactive-selection) a zvýraznění. syntaktických chyb (::pravopisná chyba, ::gramatická chyba). První verze API poskytovala podporu pro změnu barvy textu a pozadí pomocí pseudoprvků barva a barva pozadí, ale v budoucnu budou přidány další možnosti stylů.

    Jako příklad úloh, které lze řešit pomocí nového API, je zmíněno přidání do webových frameworků, které poskytují nástroje pro úpravu textu, vlastní mechanismy výběru textu, různé zvýrazňování pro současné společné úpravy několika uživateli, vyhledávání ve virtualizovaných dokumentech a označování chyb při kontrole pravopisu. Pokud dříve vytvoření nestandardního zvýraznění vyžadovalo složité manipulace se stromem DOM, rozhraní Custom Highlight API poskytuje hotové operace pro přidávání a odstraňování zvýraznění, které neovlivňují strukturu DOM a aplikují styly ve vztahu k objektům rozsahu.

  • Do CSS byl přidán dotaz „@container“, který umožňuje stylování prvků na základě velikosti nadřazeného prvku. „@container“ je podobný dotazům „@media“, ale nevztahuje se na velikost celé viditelné oblasti, ale na velikost bloku (kontejneru), ve kterém je prvek umístěn, což umožňuje nastavit vlastní logika výběru stylu pro podřízené prvky, bez ohledu na to, kde přesně na stránce je prvek umístěn.
    Vydání Chrome 105
  • Přidána pseudotřída CSS „:has()“ pro kontrolu přítomnosti podřízeného prvku v nadřazeném prvku. Například "p:has(span)" zahrnuje prvky , uvnitř kterého je prvek .
  • Přidáno rozhraní HTML Sanitizer API, které umožňuje vyjmout prvky z obsahu, které ovlivňují zobrazení a provádění během výstupu pomocí metody setHTML(). Rozhraní API může být užitečné pro čištění externích dat za účelem odstranění značek HTML, které lze použít k provádění útoků XSS.
  • Je možné použít Streams API (ReadableStream) pro odesílání požadavků na načtení před načtením těla odpovědi, tzn. můžete začít odesílat data, aniž byste čekali na dokončení generování stránky.
  • U nainstalovaných samostatných webových aplikací (PWA, Progressive Web App) je možné změnit design oblasti záhlaví okna pomocí komponent Window Controls Overlay, které rozšiřují plochu obrazovky webové aplikace na celé okno a umožňují dát webové aplikaci vzhled běžné desktopové aplikace. Webová aplikace může ovládat vykreslování a zpracování vstupu v celém okně s výjimkou překryvného bloku se standardními tlačítky pro ovládání oken (zavřít, minimalizovat, maximalizovat).
    Vydání Chrome 105
  • Možnost přístupu k Media Source Extensions od vyhrazených pracovníků (v kontextu DedicatedWorker) byla stabilizována, což lze použít například ke zlepšení výkonu přehrávání multimediálních dat s vyrovnávací pamětí vytvořením objektu MediaSource v samostatném pracovníkovi a vysíláním výsledky své práce na HTMLMediaElement v hlavním vlákně .
  • V rozhraní Client Hints API, které je vyvíjeno jako náhrada hlavičky User-Agent a umožňuje selektivně poskytovat údaje o konkrétních parametrech prohlížeče a systému (verze, platforma atd.) pouze na základě požadavku serveru, podpora pro Sec. Byla přidána vlastnost -CH-Viewport-Heigh, která umožňuje získat informace o výšce viditelné oblasti. Formát značek pro nastavení parametrů Klientských rad pro externí zdroje ve značce „meta“ byl změněn: Dříve: Stal se:
  • Přidána možnost vytvářet globální obslužné rutiny událostí onbeforeinput (document.documentElement.onbeforeinput), pomocí kterých mohou webové aplikace přepsat chování při úpravách textu v blocích. , a další prvky s nastaveným atributem „contenteditable“, než prohlížeč změní obsah prvku a strom DOM.
  • Schopnosti Navigačního API byly rozšířeny, což umožňuje webovým aplikacím zachytit navigační operace v okně, zahájit přechod a analyzovat historii akcí s aplikací. Přidány nové metody intercept() pro zachycení přechodu a scroll() pro posun na danou pozici.
  • Přidána statická metoda Response.json(), která umožňuje generovat tělo odpovědi na základě dat typu JSON.
  • Vylepšení byly provedeny nástroje pro webové vývojáře. V ladicím programu jsou při spuštění bodu přerušení povoleny úpravy nejvyšších funkcí v zásobníku, aniž by došlo k přerušení relace ladění. Panel Záznamník, který umožňuje zaznamenávat, přehrávat a analyzovat uživatelské akce na stránce, podporuje zarážky, přehrávání krok za krokem a záznam událostí při přejetí myší.

    Na řídicí panel výkonu byly přidány metriky LCP (Largest Contentful Paint), které identifikují zpoždění při vykreslování velkých (uživatelem viditelných) prvků ve viditelné oblasti, jako jsou obrázky, videa a prvky bloků. Na panelu Prvky jsou horní vrstvy zobrazené nad jiným obsahem označeny speciální ikonou. WebAssembly má nyní možnost načíst ladicí data ve formátu DWARF.

Kromě inovací a oprav chyb nová verze odstraňuje 24 zranitelností. Mnoho zranitelností bylo identifikováno jako výsledek automatizovaného testování pomocí nástrojů AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Nebyly zjištěny žádné kritické problémy, které by umožnily obejít všechny úrovně ochrany prohlížeče a spustit kód v systému mimo prostředí sandbox. V rámci programu vyplácení peněžních odměn za odhalení zranitelností pro aktuální verzi vyplatil Google 21 ocenění v hodnotě 60500 10000 USD (jedno ocenění 9000 7500 USD, jedno ocenění 7000 5000 USD, jedno ocenění 3000 2000 USD, jedno ocenění 1000 XNUMX USD, dvě ocenění XNUMX XNUMX USD, čtyři ocenění XNUMX XNUMX USD, dvě ocenění XNUMX XNUMX USD ). XNUMX XNUMX $ a jeden bonus XNUMX XNUMX $). Velikost sedmi odměn zatím nebyla stanovena.

Zdroj: opennet.ru

Přidat komentář