Google vydání webového prohlížeče ... Zároveň stabilní vydání bezplatného projektu , který je základem Chromu. Prohlížeč Chrome používání log Google, přítomnost systému pro zasílání upozornění v případě havárie, možnost stažení modulu Flash na vyžádání, moduly pro přehrávání chráněného video obsahu (DRM), systém automatických aktualizací a přenos při vyhledávání . Další vydání Chrome 77 je naplánováno na 10. září.
:
- ve výchozím nastavení režim ochrany souborů cookie třetích stran, který v případě nepřítomnosti atributu SameSite v záhlaví Set-Cookie má výchozí hodnotu „SameSite=Lax“, což omezuje odesílání souborů cookie pro vložení z webů třetích stran (stránky však budou být schopen přepsat omezení explicitním nastavením nastavení Cookie na SameSite=None). Prohlížeč zatím předal soubor cookie na jakýkoli požadavek webu, který má soubor cookie nastaven, i když je původně otevřen jiný web a požadavek je podán nepřímo načtením obrázku nebo prostřednictvím prvku iframe. V režimu „Lax“ je přenos souborů cookie blokován pouze u dílčích požadavků napříč weby, jako je požadavek na obrázek nebo načítání obsahu prostřednictvím prvku iframe, které se často používají ke spuštění útoků CSRF a sledování pohybu uživatelů mezi weby.
- Ve výchozím nastavení bylo zastaveno přehrávání obsahu Flash. Až do vydání Chrome 87, které se očekává v prosinci 2020, lze podporu Flash vrátit v nastavení (Pokročilé > Soukromí a zabezpečení > Nastavení webu) a poté výslovné potvrzení operace přehrávání obsahu Flash pro každý web (potvrzení je zapamatováno, dokud prohlížeč se restartuje). Úplné odstranění kódu pro podporu Flash je v souladu s dřívějším plánem Adobe ukončit podporu Flash v roce 2020;
- Pro podniky byla do adresního řádku přidána možnost vyhledávat soubory v úložišti Google Drive;
- Začínáme v prohlížeči Chrome nevhodné reklamy, které narušují prostředí a nesplňují kritéria stanovená koalicí pro zlepšování reklam;
- Byl implementován adaptivní režim přepínání na novou stránku, ve kterém se aktuální obsah vymaže a bílé pozadí se zobrazí nikoli okamžitě, ale s krátkou prodlevou. U stránek s rychlým načítáním vede vymazání pouze k blikání a nenese užitečné zatížení určené k informování uživatele, že se začíná načítat nová stránka. Pokud se v novém vydání stránka otevře rychle a vejde se s malým zpožděním, zobrazí se nová stránka na místě a plynule nahradí předchozí (například je to vhodné při přepínání na jiné stránky stejného webu, které jsou podobné v designu a barevném provedení). Pokud uživateli nějakou dobu trvá, než bude viditelná, bude obrazovka předem vymazána jako předtím;
- Kritéria pro určování aktivity uživatele na stránce byla zpřísněna. Chrome umožňuje přehrání vyskakovacích upozornění a otravného video/zvukového obsahu pouze po interakci uživatele se stránkou. V nové verzi se stisknutí klávesy Escape, umístění kurzoru myši nad odkaz a dotyk obrazovky již nepovažuje za interakci aktivující stránku (vyžaduje výslovné kliknutí, psaní nebo rolování);
- dotaz na média „prefers-color-scheme“, který umožňuje webům zjistit, zda prohlížeč používá tmavé téma, a automaticky povolit tmavé pro prohlížený web.
- Když povolíte tmavý motiv v sestaveních pro Linux, adresní řádek se nyní zobrazí v tmavé barvě;
- schopnost určit otevření stránky v režimu inkognito pomocí manipulací s API FileSystem, které dříve používaly některé publikace k uložení placeného předplatného v případě anonymního otevírání stránek bez zapamatování souborů cookie (aby uživatelé nepoužívali soukromý režim obejít mechanismus poskytování bezplatného zkušebního přístupu). Dříve při práci v anonymním režimu prohlížeč blokoval přístup k FileSystem API, aby zabránil usazování dat mezi relacemi, což umožnilo JavaScriptu zkontrolovat schopnost ukládat data přes FileSystem API a v případě selhání posoudit aktivitu anonymního režimu. . Nyní není přístup k FileSystem API blokován a obsah je po skončení relace vymazán;
- nové výzvy v
API žádost o platbu a zpracování platby. V objektu PaymentRequestEvent se objevila nová metoda changePaymentMethod() a do objektu PaymentRequest byla přidána nová obsluha události paymentmethodchange, která umožňuje webu nebo webové aplikaci, která shromažďuje platby, reagovat na změnu platební metody uživatelem. Nová verze také usnadňuje testování aplikací pomocí certifikátů s vlastním podpisem v rozhraních API souvisejících s platbami. Byla přidána nová volba příkazového řádku "--ignore-certificate-errors", která ignoruje chyby ověření certifikátu během vývoje; - V adresním řádku vedle tlačítka záložky pro webové aplikace spuštěné v režimu Desktop Progressive Web Apps (PWA) zkratka pro instalaci webové aplikace do systému, aby fungovala jako samostatný program;
- Pro mobilní zařízení je poskytována možnost ovládat zobrazení minipanelu s výzvou k přidání aplikace na domovskou obrazovku. U aplikací PWA (Progressive Web App) se při prvním otevření webu automaticky zobrazí výchozí minibar. Vývojář nyní může odmítnout zobrazení tohoto panelu a implementovat vlastní instalační výzvu, pro kterou můžete nastavit obsluhu události
beforeinstallprompt a připojit volání preventDefault();
- Zvýšena frekvence kontrol aktualizací pro aplikace PWA (Progressive Web App) nainstalované v prostředí Android. Aktualizace WebAPK jsou nyní kontrolovány jednou denně namísto jednou za tři dny jako dříve. Pokud je během takové kontroly v manifestu zjištěna změna alespoň v jedné klíčové vlastnosti, prohlížeč stáhne a nainstaluje nový WebAPK;
- V API přidána možnost programově číst a zapisovat obrázky přes schránku pomocí metod navigator.clipboard.read() a navigator.clipboard.write();
- Implementována podpora pro skupinu HTTP hlaviček (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site a Sec-Fetch-User), které umožňují odeslat další metadata o povaze požadavku (požadavek napříč weby, požadavek prostřednictvím značky img , atd.), aby server přijal opatření na ochranu proti některým typům útoků (například je nepravděpodobné, že by odkaz na obsluhu převodu peněz byl nastaven přes značku img, takže takové požadavky lze zablokovat, aniž by byly předány do aplikace);
- Funkce přidána , který zahájí programové odeslání údajů formuláře, podobně jako kliknutí na tlačítko Odeslat. Funkci lze použít při vývoji vlastních tlačítek pro odeslání formuláře, pro které volání form.submit() nestačí, protože nevede k interaktivní validaci parametrů, vyvolání události 'submit' a předání dat vázaných na tlačítko Odeslat;
- Funkce přidána do IndexedDB A, která umožňuje, aby byly transakce spojené s objektem IDBTransaction potvrzeny bez čekání na dokončení obslužných rutin událostí ve všech souvisejících požadavcích. Použití commit() vám umožňuje zvýšit propustnost požadavků na zápis a čtení do úložiště a explicitně řídit dokončení transakce;
- Možnosti přidané do funkcí Intl.DateTimeFormat, jako je formatToParts() a resolveOptions() , které vám umožňují požadovat styly specifické pro národní prostředí pro zobrazení data a času;
- Metoda BigInt.prototype.toLocaleString() byla změněna na formátování čísel podle národního prostředí, zatímco metoda Intl.NumberFormat.prototype.format() a funkce formatToParts() byly upraveny tak, aby podporovaly vstupní hodnoty BigInt;
- API povoleno ve všech typech Web Workerů, které lze použít k výběru optimálních parametrů při vytváření MediaStreamu z pracovníka;
- Přidána metoda , který vrací pouze splněné nebo odmítnuté sliby, ignoruje čekající sliby;
- Odebrána možnost „--disable-infobars“, kterou bylo možné dříve použít ke skrytí vyskakovacích varování v rozhraní Chrome (CommandLineFlagSecurityWarningsEnabled bylo navrženo ke skrytí varování souvisejících se zabezpečením);
- Do rozhraní pro práci s bloby metody text(), arrayBuffer() a stream() pro čtení určitých datových typů;
- Přidána vlastnost CSS "white-space:break-spaces", která určuje, že jakákoli sekvence mezer vedoucí k přetečení řádku musí být přerušena;
- Začaly práce na čištění příznaků například v chrome://flags, příznak pro deaktivaci atributu „ping“, který umožňuje vlastníkům stránek sledovat kliknutí na odkazy z jejich stránek. V případě sledování odkazu s atributem „ping=URL“ ve značce „a href“ již prohlížeč nemůže zakázat odesílání dodatečného požadavku POST na adresu URL uvedenou v atributu s informací o přechodu. Bod blokování pingu je ztracen, protože tento atribut ve specifikacích HTML5 a existuje mnoho náhradních řešení, jak udělat totéž (například přesměrování přes dopravní odkaz nebo hákování kliknutí pomocí obslužných nástrojů JavaScript);
- Odebrán příznak pro deaktivaci , ve kterém jsou stránky různých hostitelů vždy umístěny v paměti různých procesů, z nichž každý používá svůj vlastní sandbox.
- V enginu V8 byl výrazně zvýšen výkon skenování a parsování formátu JSON. U oblíbených webových stránek je JSON.parse až 2.7krát rychlejší. Převod unicode řetězců byl značně zrychlen, například rychlost volání String#localeCompare, String#normalize a také některých Intl API se téměř zdvojnásobila. Výkon operací se zmrazenými poli byl také významně optimalizován při použití operací, jako je frozen.indexOf(v), frozen.includes(v), fn(…frozen), fn(…[…frozen]) a fn.apply(this , [...] zmrazené]).
Kromě inovací a oprav chyb nová verze odstraňuje . Mnoho zranitelností bylo identifikováno jako výsledek automatizovaných testovacích nástrojů , , , и . Nebyly zjištěny žádné kritické problémy, které by umožňovaly obejít všechny úrovně ochrany prohlížeče a spouštět kód v systému mimo prostředí sandboxu. V rámci bounty programu za zranitelnost pro aktuální verzi Google vyplatil 16 bonusů v hodnotě 23500 10000 USD (jeden bonus 6000 3000 USD, jeden bonus 500 9 USD, dva bonusy XNUMX XNUMX USD a tři bonusy XNUMX USD). Výše XNUMX odměn zatím nebyla stanovena.
Zdroj: opennet.ru