Vydání Chrome 80

Google prezentovány vydání webového prohlížeče Chrome 80... Zároveň k dispozici stabilní vydání bezplatného projektu Chróm, který je základem Chromu. Prohlížeč Chrome jiné používání log Google, přítomnost systému pro zasílání upozornění v případě havárie, možnost stažení modulu Flash na vyžádání, moduly pro přehrávání chráněného video obsahu (DRM), systém automatických aktualizací a přenos při vyhledávání parametry RLZ. Další vydání Chrome 81 je naplánováno na 17. března.

hlavní změny в chróm 80:

• Pro malé procento uživatelů je nabízena funkce seskupování záložek, která umožňuje sloučit několik záložek s podobným účelem do vizuálně oddělených skupin. Každé skupině lze přiřadit vlastní barvu a název. Uživatelé, kteří nebyli zahrnuti do první vlny aktivace, mohou povolit podporu seskupování pomocí možnosti „chrome://flags/#tab-groups“.
  

• Přidána podpora pro tuto funkci Scroll-To-Text, který umožňuje vytvářet odkazy na jednotlivá slova nebo fráze bez explicitního určení štítků v dokumentu pomocí tagu „a name“ nebo vlastnosti „id“. Plánuje se schválení syntaxe těchto odkazů jako webového standardu, který je stále ve fázi návrh. Přechodová maska ​​(v podstatě rolovací vyhledávání) je oddělena od běžné kotvy atributem „:~:“. Když například otevřete odkaz „https://opennet.ru/52312/#:~:text=Chrome“, stránka se přesune na pozici s první zmínkou o slovu „Chrome“ a toto slovo bude zvýrazněno .
• Aplikovaný Přísnější omezení přenosu souborů cookie mezi stránkami pro požadavky jiné než HTTPS, které zakazuje zpracování souborů cookie třetích stran nastavených při přístupu na jiné stránky, než je doména aktuální stránky. Tyto soubory cookie se používají ke sledování pohybu uživatelů mezi stránkami v kódu reklamních sítí, widgetů sociálních sítí a systémů webové analýzy. Připomeňme, že pro řízení přenosu souborů cookie se používá atribut SameSite uvedený v hlavičce Set-Cookie, který je nyní standardně nastaven na hodnotu „SameSite=Lax“, což omezuje odesílání souborů cookie pro dílčí požadavky napříč weby. , jako je žádost o obrázek nebo načítání obsahu prostřednictvím prvku iframe z jiného webu. Weby mohou přepsat výchozí chování SameSite explicitním nastavením nastavení Cookie na SameSite=None. Hodnotu SameSite=None pro Cookie však lze nastavit pouze v zabezpečeném režimu (platí pro připojení přes HTTPS). Změna začne po etapách aplikovat 17. února, zpočátku pro malé procento uživatelů a poté postupně rozšiřující pokrytí.
• Přidal ochrana před nepříjemnými upozorněními souvisejícími s potvrzením přihlašovacích údajů. Vzhledem k tomu, že aktivity, jako je spamování žádostí o oznámení push, přerušují uživatelské prostředí a odvádějí pozornost od potvrzovacích dialogů, v Chrome 80 se nyní namísto samostatného dialogu může v adresním řádku zobrazovat informační nápověda s upozorněním, že žádost o povolení byla zablokována. zhroutí se do indikátoru s obrázkem přeškrtnutého zvonu. Kliknutím na indikátor můžete aktivovat nebo odmítnout požadované oprávnění v jakoukoli vhodnou dobu. Automaticky bude nový režim selektivně povolen uživatelům, kteří dříve takové požadavky obvykle blokovali, a také webům, které zaznamenávají velké procento odmítnutých požadavků. Pro povolení nového režimu pro všechny požadavky byla do nastavení přidána speciální možnost (chrome://flags/#quiet-notification-prompts).
  

• Zakázáno zobrazování vyskakovacích oken (volání metody window.open()) a odesílání synchronních požadavků XMLHttpRequests v obslužných rutinách událostí zavření nebo skrytí stránky (unload, beforeunload, pagehide a visionchange);
• Navrhovaná iniciála Bezpečnost z načítání smíšeného multimediálního obsahu (když jsou zdroje načteny na stránku HTTPS prostřednictvím protokolu http://). Na stránkách otevřených pomocí HTTPS budou nyní odkazy „http://“ automaticky nahrazeny „https://“ v blocích spojených s přehráváním audio a video souborů. Pokud zdroj zvuku nebo videa není dostupný přes https, pak je jeho stahování zablokováno (blokování můžete ručně označit pomocí nabídky přístupné přes symbol visacího zámku v adresním řádku).

  Obrázky se budou i nadále načítat beze změny (v Chrome 81 budou použity automatické opravy), ale k jejich nahrazení obrázky https nebo blokováním mají vývojáři webu k dispozici vlastnosti CSP upgrade-insecure-requests a block-all-mixed-content. U skriptů a prvků iframe již bylo blokování smíšeného obsahu implementováno dříve.

• Postupná vypnutí podpora FTP. Ve výchozím nastavení je podpora FTP stále k dispozici, ale bude držený experiment, ve kterém bude podpora FTP deaktivována pro určité procento uživatelů (pro návrat budete muset spustit prohlížeč s volbou „-enable-ftp“). Připomeňme, že v předchozích verzích bylo zobrazování obsahu zdrojů stažených přes protokol „ftp://“ v okně prohlížeče již zakázáno (například bylo zastaveno zobrazování HTML dokumentů a souborů README), používání FTP bylo zakázáno při stahování dílčích zdrojů z dokumentů a podpora proxy byla ukončena pro FTP. Stále však bylo možné stahovat soubory přes přímé odkazy a zobrazovat obsah adresářů.
• Přidal
  možnost použít vektorové obrázky SVG jako ikonu webu (favicon).

• Do nastavení přibyla možnost selektivně zakázat určité typy dat přenášených při synchronizaci mezi prohlížeči.
• Bylo přidáno pravidlo pro centrálně spravované podnikové uživatele BlockExternalExtensions, který umožňuje zabránit instalaci externích doplňků na zařízení.
• Realizováno příležitost jednorázová kontrola celého řetězce vlastností nebo volání v JavaScriptu. Například při přístupu „db.user.name.length“ bylo dříve nutné zkontrolovat definici všech komponent krok za krokem, například přes „if (db && db.user && db.user.name)“. Nyní pomocí operace "?." k hodnotě „db?.user?.name?.length“ můžete přistupovat bez předběžných kontrol a takový přístup nepovede k chybě. V případě problémů (pokud je některý prvek zpracován jako null nebo nedefinovaný)) bude výstup „undefined“.
• JavaScript zavádí nový logický operátor zřetězení "??", který vrací pravý operand, pokud je levý operand NULL nebo nedefinovaný, a naopak. Například „const foo = bar ?? 'default string'“, pokud je bar null, vrátí hodnotu baru jinak, včetně případů, kdy je bar 0 a ' ', na rozdíl od operátoru "||".
• V režimu Origin Trials (experimentální funkce, které vyžadují samostatné aktivace) navrhované Content Indexing API. Origin Trial znamená schopnost pracovat se zadaným API z aplikací stažených z localhost nebo 127.0.0.1, nebo po registraci a obdržení speciálního tokenu, který je platný po omezenou dobu pro konkrétní web. API Indexování obsahu, poskytuje metadata o obsahu, který byl dříve uložen do mezipaměti webovými aplikacemi spuštěnými v režimu progresivních webových aplikací (PWS). Aplikace může ukládat různá data na straně prohlížeče, včetně obrázků, videí a článků, a při ztrátě síťového připojení ji použít pomocí rozhraní Cache Storage a IndexedDB API. Content Indexing API umožňuje přidávat, vyhledávat a odstraňovat takové zdroje. V prohlížeči se toto API již používá k výpisu seznamu stránek a multimediálních dat dostupných pro offline prohlížení.
  

• Stabilizované a nyní distribuované mimo rozhraní Origin Trials API Kontaktujte Picker, což uživateli umožňuje vybrat položky z adresáře a přenést o nich určité podrobnosti na stránku. Požadavek specifikuje seznam vlastností, které je třeba načíst. Tyto vlastnosti jsou explicitně zobrazeny uživateli, který se rozhodne, zda tyto vlastnosti předá nebo ne. API lze použít například ve webovém poštovním klientovi pro výběr adresátů odeslaného dopisu, ve webové aplikaci s funkcí VoIP pro zahájení hovoru na konkrétní číslo nebo v sociální síti pro vyhledávání již registrovaných přátel . Zároveň jsou v rámci Origin Trials nabízeny některé nové vlastnosti Contact Picker: kromě dříve dostupného celého jména, emailu a telefonního čísla byla přidána možnost přenosu emailové adresy a obrázku.
• In Web Workers navržený nový způsob načítání modulů ECMAScript, který vám umožní vyhnout se použití funkce importScripts(), která blokuje pracovníka při zpracování importovaného skriptu a provádí jej v globálním kontextu. Nová metoda zahrnuje vytvoření speciálních modulů pro Web Workers, které podporují standardní mechanismy importu JavaScriptu a lze je dynamicky načítat bez blokování spouštění pracovníků. Pro načtení modulů poskytuje konstruktor Worker nový typ prostředku - 'modul':

  const worker = new Worker('worker.js', {
  typ: 'modul'
  });

• Realizováno Vestavěná schopnost JavaScriptu zpracovávat komprimované proudy bez nutnosti použití externích knihoven. Byla přidána rozhraní API pro kompresi a dekompresi CompressionStream a DecompressionStream. Je podporována komprese pomocí algoritmů gzip a deflate.

  const kompreseReadableStream
  = inputReadableStream.pipeThrough(new CompressionStream('gzip'));

• Přidána vlastnost CSS "zalomení řádku: kdekoli", který umožňuje zalomení na úrovni jakéhokoli typografického znaku, včetně zalomení u interpunkčních znaků předem definovaných mezerami ( ) a uprostřed slov. Také přidána vlastnost CSS "přepadový obal: kdekoli» umožňuje přerušit nepřerušené sekvence znaků kdekoli, pokud v řádku nelze nalézt vhodnou pozici pro přerušení.
• Pro mediální kontext zpracovávaný v zašifrované podobě byla implementována podpora metody MediaCapabilities.decodingInfo(), která poskytuje informace o schopnostech prohlížeče dekódovat chráněný obsah (tuto metodu lze například použít k výběru vysoce kvalitních nebo energeticky účinných scénářů dekódování na základě dostupné šířky pásma a velikosti obrazovky).
• Přidána metoda HTMLVideoElement.getVideoPlaybackQuality(), jehož prostřednictvím můžete získat informace o výkonu přehrávání videa pro úpravu datového toku, rozlišení a dalších parametrů videa.
• V API Správce plateb, který zjednodušuje integraci se stávajícími platebními systémy, přidal možnost delegace zpracování adresních a kontaktních údajů externímu zpracovateli platebního styku (aplikace platebního styku může mít přesnější informace než prohlížeč).
• Přidána podpora HTTP hlaviček Sec-Fetch-Dest, která umožňuje odeslat další metadata o typu obsahu spojeného s požadavkem (například u požadavku prostřednictvím značky img je typ „obrázek“, pro písma – „font“, pro skripty – „script“, pro styly - „styl“ atd.). Na základě zadaného typu může server přijmout opatření k ochraně proti určitým typům útoků (například je nepravděpodobné, že by odkaz na obslužnou rutinu pro převod peněz byl specifikován prostřednictvím značky img, takže takové požadavky nemusí být být zpracovány).
• V JavaScript motoru V8 optimalizace provedena ukládání ukazatelů na hromadu. Místo uložení celé 64bitové hodnoty se ukládají pouze jedinečné spodní bity ukazatele. Tato optimalizace umožnila snížit spotřebu paměti haldy o 40 % za cenu snížení výkonu ve výši 3–8 %.
  
  

• Změny v nástrojích pro webové vývojáře:
  • Webová konzole má nyní možnost předefinovat výrazy let a class.
    

  • Vylepšené nástroje pro ladění WebAssembly. Přidána podpora TRPASLÍK pro ladění krok za krokem, určování bodů přerušení a analýzu trasování zásobníku ve zdrojovém kódu, ve kterém je napsána aplikace WebAssembly.
    

  • Vylepšený panel pro analýzu síťové aktivity. Přidána možnost zobrazení řetězce volání skriptů spojených s iniciací požadavku.
    

    Přidány nové sloupce Cesta a URL, které ukazují absolutní cestu a úplnou adresu URL pro každý síťový prostředek. Zajistí, aby byl vybraný dotaz zvýrazněn v přehledovém diagramu.

    

  • V záložce Podmínky sítě byla přidána možnost změnit parametr User-Agent.
    

  • Pro konfiguraci panelu auditu bylo navrženo nové rozhraní.
    

  • V záložce Krytí poskytoval výběr sběru dat pokrytí pro každou funkci nebo pro každý blok kódu (podrobnější statistiky, ale vyžaduje více zdrojů).
    

• AppCache manifest action (technologie pro organizaci provozu webové aplikace v offline režimu) omezené aktuální adresář webu (pokud byl manifest stažen z www.example.com/foo/bar/, pak možnost přepsat URL bude fungovat pouze uvnitř /foo/bar/). V Chrome 82 se plánuje úplné odstranění podpory AppCache. Důvodem je touha zbavit se jednoho z vektorů útoků cross-site scripting. Místo AppCache se doporučuje používat API Cache.
• Přerušeno podpora pro starší rozhraní API WebVR 1.1, které může být nahrazeno rozhraním API Zařízení WebXR, která umožňuje přístup ke komponentám pro vytváření virtuální a rozšířené reality a sjednocení práce s různými třídami zařízení, od stacionárních přileb pro virtuální realitu až po řešení založená na mobilních zařízeních.
• Obslužné rutiny protokolů připojené pomocí metod registerProtocolHandler() a UnregisterProtocolHandler() nyní mohou fungovat pouze v zabezpečeném kontextu (při přístupu přes HTTPS).

Kromě inovací a oprav chyb nová verze odstraňuje 56 zranitelností. Mnoho zranitelností bylo identifikováno jako výsledek automatizovaných testovacích nástrojů AddressSanitizer, MemorySanitizer, Integrita řízení toku, LibFuzzer и AFL. Nebyly zjištěny žádné kritické problémy, které by umožnily obejít všechny úrovně ochrany prohlížeče a spustit kód v systému mimo prostředí sandbox. V rámci programu vyplácení peněžních odměn za odhalení zranitelností pro aktuální verzi vyplatil Google 37 ocenění v hodnotě 48 tisíc dolarů (jedno ocenění 10000 5000 USD, tři ocenění 3000 2000 USD, tři ocenění 1000 500 USD, čtyři ocenění 17 XNUMX USD, tři ocenění XNUMX XNUMX USD a šest ocenění XNUMX USD). Velikost XNUMX odměn zatím nebyla stanovena.

Zdroj: opennet.ru