ProHoster > Blog > internetové zprávy > Vydání Chrome 93

Vydání Chrome 93

Google odhalil vydání webového prohlížeče Chrome 93. Zároveň je k dispozici stabilní vydání bezplatného projektu Chromium, který slouží jako základ Chromu. Prohlížeč Chrome se vyznačuje použitím log Google, přítomností systému pro zasílání upozornění v případě havárie, moduly pro přehrávání chráněného video obsahu (DRM), systémem pro automatickou instalaci aktualizací a přenosem RLZ parametrů při vyhledávání. Další vydání Chrome 94 je naplánováno na 21. září (vývoj byl posunut na 4týdenní cyklus vydání).

Klíčové změny v Chrome 93:

  • Modernizován byl design bloku s informacemi o stránce (page info), do kterého byla implementována podpora vnořených bloků a nahrazeny rozbalovací seznamy s přístupovými právy přepínači. Seznamy zajišťují, že nejdůležitější informace jsou zobrazeny jako první. Změna není povolena pro všechny uživatele, k její aktivaci můžete použít nastavení „chrome://flags/#page-info-version-2-desktop“.
    Vydání Chrome 93
  • Pro malé procento uživatelů byl v rámci experimentu indikátor zabezpečeného připojení v adresním řádku nahrazen neutrálnějším symbolem, který nezpůsobuje dvojí interpretaci (zámek byl nahrazen znakem „V“). U připojení navázaných bez šifrování se nadále zobrazuje indikátor „nezabezpečeno“. Důvodem pro nahrazení indikátoru je to, že mnoho uživatelů spojuje indikátor visacího zámku se skutečností, že obsahu webu lze důvěřovat, místo aby jej považovali za známku toho, že je připojení šifrované. Soudě podle průzkumu Google pouze 11 % uživatelů chápe význam ikony se zámkem.
    Vydání Chrome 93
  • Seznam nedávno zavřených karet nyní zobrazuje obsah zavřených skupin karet (dříve seznam zobrazoval pouze název skupiny bez podrobností o obsahu) s možností vrátit celou skupinu i jednotlivé karty ze skupiny najednou. Tato funkce není povolena pro všechny uživatele, takže možná budete muset změnit nastavení „chrome://flags/#tab-restore-sub-menus“, abyste ji povolili.
    Vydání Chrome 93
  • Pro podniky byla implementována nová nastavení: DefaultJavaScriptJitSetting, JavaScriptJitAllowedForSites a JavaScriptJitBlockedForSites, která umožňují ovládat režim bez JIT, který zakazuje použití kompilace JIT při spouštění JavaScriptu (používá se pouze interpret Ignition) a zakazuje přidělování spustitelných souborů. paměti během provádění kódu. Zakázání JIT může být užitečné pro zlepšení bezpečnosti práce s potenciálně nebezpečnými webovými aplikacemi za cenu snížení výkonu spouštění JavaScriptu přibližně o 17 %. Je pozoruhodné, že Microsoft šel ještě dále a implementoval experimentální režim „Super Duper Secure“ v prohlížeči Edge, který uživateli umožňuje deaktivovat JIT a aktivovat hardwarové bezpečnostní mechanismy nekompatibilní s JIT CET (Controlflow-Enforcement Technology), ACG (Arbitrary Code Guard) a CFG (Control Flow Guard) pro procesy zpracovávající webový obsah. Pokud se experiment ukáže jako úspěšný, pak můžeme očekávat jeho přenesení do hlavní části Chrome.
  • Stránka Nová karta obsahuje seznam nejoblíbenějších dokumentů uložených na Disku Google. Obsah seznamu odpovídá sekci Priorita na drive.google.com. Chcete-li ovládat zobrazení obsahu Disku Google, můžete použít nastavení „chrome://flags/#ntp-modules“ a „chrome://flags/#ntp-drive-module“.
    Vydání Chrome 93
  • Na stránku Otevřít novou kartu byly přidány nové informační karty, které vám pomohou najít nedávno zobrazený obsah a související informace. Karty jsou navrženy tak, aby usnadnily další práci s informacemi, jejichž prohlížení bylo přerušeno, karty vám například pomohou najít recept na pokrm, který byl nedávno nalezen online, ale po zavření stránky se ztratil, nebo pokračovat ve výrobě nákupy v obchodech. Jako experiment jsou uživatelům nabídnuty dvě nové mapy: „Recepty“ (chrome://flags/#ntp-recipe-tasks-module) pro vyhledávání kulinářských receptů a zobrazování nedávno zobrazených receptů; „Nakupování“ (chrome://flags/#ntp-chrome-cart-module) pro připomenutí produktů vybraných v internetových obchodech.
  • Verze pro Android přidává volitelnou podporu pro panel souvislého vyhledávání (chrome://flags/#continuous-search), který vám umožňuje udržovat nedávné výsledky vyhledávání Google viditelné (panel nadále zobrazuje výsledky i po přesunutí na jiné stránky).
    Vydání Chrome 93
  • Do verze pro Android (chrome://flags/#webnotes-stylize) byl přidán experimentální režim sdílení nabídky, který umožňuje uložit vybraný fragment stránky jako nabídku a sdílet ji s ostatními uživateli.
  • Při publikování nových přírůstků nebo aktualizací verzí v Internetovém obchodě Chrome je nyní vyžadováno dvoufaktorové ověření vývojáře.
  • Uživatelé účtu Google mají možnost uložit si platební údaje do svého účtu Google.
  • Pokud je v režimu inkognito aktivována možnost vymazat navigační data, byl implementován nový dialog pro potvrzení operace s vysvětlením, že vymazáním dat se okno zavře a všechny relace v režimu inkognito se ukončí.
  • Kvůli zjištěným nekompatibilitám s firmwarem některých zařízení byla do Chrome 91 přidána podpora nové metody klíčové dohody, odolné vůči hádání na kvantových počítačích, založené na použití rozšíření CECPQ1.3 (Combined Elliptic-Curve and Post-Quantum 2) v TLSv2, kombinující klasický mechanismus výměny klíčů X25519 se schématem HRSS založeným na algoritmu NTRU Prime navrženém pro postkvantové kryptosystémy.
  • Porty 989 (ftps-data) a 990 (ftps) byly přidány k počtu zakázaných síťových portů, aby se zablokoval útok ALPACA. Dříve byly porty 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 a 10080 již blokovány, aby bylo možné chránit před útoky typu NAT slipstreaming.
  • TLS již nepodporuje šifry založené na algoritmu 3DES. Konkrétně byla odstraněna šifrovací sada TLS_RSA_WITH_3DES_EDE_CBC_SHA, která je náchylná k útoku Sweet32.
  • Podpora pro Ubuntu 16.04 byla ukončena.
  • WebOTP API je možné používat mezi různými zařízeními připojenými přes společný účet Google. WebOTP umožňuje webové aplikaci číst jednorázové ověřovací kódy zaslané prostřednictvím SMS. Navrhovaná změna umožňuje přijímat ověřovací kód na mobilním zařízení s Chrome pro Android a aplikovat jej na počítačový systém.
  • User-Agent Client Hints API bylo rozšířeno a bylo vyvinuto jako náhrada za hlavičku User-Agent. User-Agent Client Hints umožňuje organizovat selektivní doručování dat o konkrétních parametrech prohlížeče a systému (verze, platforma atd.) pouze na žádost serveru. Uživatel zase může určit, jaké informace mohou být poskytnuty vlastníkům stránek. Při použití User-Agent Client Hints se identifikátor prohlížeče nepřenáší bez explicitního požadavku a standardně jsou zadány pouze základní parametry, což ztěžuje pasivní identifikaci.

    Nová verze podporuje parametr Sec-CH-UA-Bitness pro vrácení dat o bitness platformy, který lze použít k obsluze optimalizovaných binárních souborů. Ve výchozím nastavení je parametr Sec-CH-UA-Platform odeslán s obecnými informacemi o platformě. Hodnota UADataValues ​​​​vrácená při volání getHighEntropyValues() je standardně implementována, aby vrátila zobecněné parametry, pokud není možné vrátit podrobnou možnost. Do objektu NavigatorUAData byla přidána metoda toJSON, která umožňuje používat konstrukce jako JSON.stringify(navigator.userAgentData).

  • Možnost zabalit prostředky do balíčků ve formátu Web Bundle, vhodného pro organizaci efektivnějšího načítání velkého množství doprovodných souborů (CSS styly, JavaScript, obrázky, iframe), byla stabilizována a nabízena standardně. Mezi nedostatky stávající podpory balíčků pro soubory JavaScript (webpack), které se Web Bundle snaží odstranit: samotný balíček, nikoli však jeho součásti, může skončit v mezipaměti HTTP; kompilace a provádění může začít až po úplném stažení balíčku; Další zdroje, jako jsou CSS a obrázky, musí být kódovány ve formě řetězců JavaScriptu, což zvyšuje velikost a vyžaduje další krok analýzy.
  • Součástí je WebXR Plane Detection API, které poskytuje informace o rovinných površích ve virtuálním 3D prostředí. Specifikované API umožňuje vyhnout se náročnému na zdroje zpracování dat získaných prostřednictvím volání MediaDevices.getUserMedia() pomocí proprietárních implementací algoritmů počítačového vidění. Připomeňme, že WebXR API umožňuje sjednotit práci s různými třídami zařízení pro virtuální realitu, od stacionárních 3D přileb až po řešení založená na mobilních zařízeních.
  • Do režimu Origin Trials bylo přidáno několik nových API (experimentální funkce, které vyžadují samostatnou aktivaci). Origin Trial znamená schopnost pracovat se zadaným API z aplikací stažených z localhost nebo 127.0.0.1, nebo po registraci a obdržení speciálního tokenu, který je platný po omezenou dobu pro konkrétní web.
    • Bylo navrženo Multi-Screen Window Placement API, které umožňuje umístit okna na jakýkoli displej připojený k aktuálnímu systému, stejně jako uložit pozici okna a v případě potřeby okno roztáhnout na celou obrazovku. Například pomocí zadaného API může webová aplikace pro zobrazení prezentace organizovat zobrazení snímků na jedné obrazovce a zobrazit poznámku pro přednášejícího na druhé.
    • Záhlaví Cross-Origin-Embedder-Policy, které řídí režim izolace Cross-Origin a umožňuje definovat pravidla bezpečného používání na stránce Privileged Operations, nyní podporuje parametr „credentialless“ pro zakázání přenosu informací souvisejících s pověřením, jako je např. Soubory cookie a klientské certifikáty.
    • Pro samostatné webové aplikace (PWA, Progressive Web Apps), které řídí vykreslování obsahu okna a obsluhují vstup, je k dispozici překrytí ovládacími prvky okna, jako je záhlaví a tlačítka pro rozbalení/sbalení. Překrytí rozšiřuje upravitelnou oblast tak, aby pokryla celé okno a umožňuje přidávat do oblasti nadpisu vlastní prvky.
      Vydání Chrome 93
    • Přidána možnost vytvářet aplikace PWA, které lze použít jako obslužné nástroje URL. Například aplikace music.example.com se může zaregistrovat jako obsluha URL https://*.music.example.com a všechny přechody z externích aplikací pomocí těchto odkazů, například z instant messengerů a e-mailových klientů, povedou k otevření této aplikace PWA, nikoli nové kartě prohlížeče.
  • CSS soubory je možné načíst pomocí výrazu „import“, podobně jako načítání modulů JavaScriptu, což je pohodlné při vytváření vlastních prvků a umožňuje vám to obejít se bez přiřazování stylů pomocí kódu JavaScript. import list z './styles.css' asse { type: 'css' }; document.adoptedStyleSheets = [list]; shadowRoot.adoptedStyleSheets = [list];
  • Byla poskytnuta nová statická metoda AbortSignal.abort(), která vrací objekt AbortSignal, který již byl nastaven na přerušený. Namísto několika řádků kódu k vytvoření objektu AbortSignal v přerušeném stavu si nyní vystačíte s jediným řádkem „return AbortSignal.abort()“.
  • Prvek Flexbox přidal podporu pro klíčová slova start, end, self-start, self-end, left a right a doplnil klíčová slova center, flex-start a flex-end o nástroje pro zjednodušené zarovnání polohy prvků flex.
  • Konstruktor Error() implementuje novou volitelnou vlastnost „cause“, která vám umožňuje snadno vzájemně spojovat chyby. const parentError = new Error('parent'); const error = new Error('rodič', { příčina: parentError }); console.log(error.cause === parentError); // → pravda
  • Do vlastnosti HTMLMediaElement.controlsList byla přidána podpora režimu noplaybackrate, která umožňuje zakázat prvky rozhraní poskytovaného v prohlížeči pro změnu rychlosti přehrávání multimediálního obsahu.
  • Přidána hlavička Sec-CH-Prefers-Color-Scheme, která umožňuje ve fázi odesílání požadavku přenášet data o preferovaném barevném schématu uživatele používaném v dotazech na média „prefers-color-scheme“, což umožní webu optimalizovat načítání CSS souvisejících s vybraným schématem a vyhněte se viditelným přepínačům z jiných schémat.
  • Přidána vlastnost Object.hasOwn, což je zjednodušená verze Object.prototype.hasOwnProperty, implementovaná jako statická metoda. Object.hasOwn({ prop: 42 }, 'prop') // → true
  • Kompilátor JIT společnosti Sparkplug, navržený pro velmi rychlou kompilaci hrubou silou, přidal režim dávkového provádění, aby se snížila režie přepínání stránek paměti mezi režimy zápisu a spuštění. Sparkplug nyní zkompiluje více funkcí najednou a jednou zavolá mprotect pro změnu oprávnění celé skupiny. Navrhovaný režim výrazně zkracuje dobu kompilace (až o 44 %), aniž by negativně ovlivnil výkon provádění JavaScriptu.
    Vydání Chrome 93
  • Verze pro Android deaktivuje vestavěnou ochranu motoru V8 proti útokům z postranních kanálů, jako je Spectre, které nejsou považovány za tak účinné jako izolace stránek v samostatných procesech. Ve verzi pro stolní počítače byly tyto mechanismy deaktivovány již ve verzi Chrome 70. Vypnutí zbytečných kontrol umožnilo zvýšit výkon o 2–15 %.
    Vydání Chrome 93
  • Vylepšeny byly nástroje pro webové vývojáře. V režimu kontroly šablony stylů je možné upravovat dotazy generované pomocí výrazu @container. V režimu kontroly sítě je implementován náhled zdrojů ve formátu Web bundle. Ve webové konzoli přibyly do kontextové nabídky možnosti kopírování řetězců v podobě literálů JavaScriptu nebo JSON. Vylepšené ladění chyb souvisejících s CORS (Cross-Origin Resource Sharing).
    Vydání Chrome 93

Kromě inovací a oprav chyb nová verze odstraňuje 27 zranitelností. Mnoho zranitelností bylo identifikováno jako výsledek automatizovaného testování pomocí nástrojů AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Nebyly zjištěny žádné kritické problémy, které by umožnily obejít všechny úrovně ochrany prohlížeče a spustit kód v systému mimo prostředí sandbox. V rámci programu vyplácení peněžních odměn za odhalení zranitelností pro aktuální verzi vyplatil Google 19 ocenění v hodnotě 136500 20000 USD (tři ocenění 15000 10000 USD, jedno ocenění 7500 5000 USD, tři ocenění 3000 5 USD, jedno ocenění XNUMX XNUMX USD, tři ocenění XNUMX XNUMX USD a tři ocenění XNUMX XNUMX USD). Velikost XNUMX odměn zatím nebyla stanovena.

Zdroj: opennet.ru

Přidat komentář