Google odhalil vydání webového prohlížeče Chrome 94. Zároveň je k dispozici stabilní vydání bezplatného projektu Chromium, který slouží jako základ Chromu. Prohlížeč Chrome se vyznačuje použitím log Google, přítomností systému pro zasílání upozornění v případě havárie, modulů pro přehrávání chráněného video obsahu (DRM), systémem pro automatickou instalaci aktualizací a přenosem parametrů RLZ při vyhledávání. Další vydání Chrome 95 je naplánováno na 19. října.
Počínaje vydáním Chrome 94 se vývoj přesunul do nového cyklu vydávání. Nové významné verze budou nyní zveřejňovány každé 4 týdny, nikoli každých 6 týdnů, což umožňuje rychlejší dodání nových funkcí uživatelům. Je třeba poznamenat, že optimalizace procesu přípravy vydání a zlepšení systému testování umožňují generování vydání častěji, aniž by došlo ke snížení kvality. Pro podniky a ty, kteří potřebují více času na aktualizaci, bude edice Extended Stable vydána samostatně každých 8 týdnů, což vám umožní přejít na nové funkce ne jednou za 4 týdny, ale jednou za 8 týdnů.
Klíčové změny v Chrome 94:
- Přidán režim HTTPS-First, který připomíná režim Pouze HTTPS, který se dříve objevoval ve Firefoxu. Pokud je režim aktivován v nastavení, prohlížeč se při pokusu o otevření zdroje bez šifrování přes HTTP nejprve pokusí o přístup k webu přes HTTPS, a pokud je pokus neúspěšný, zobrazí se uživateli varování o nedostatku Podpora HTTPS a žádost o otevření webu bez šifrování. V budoucnu Google zvažuje, že by ve výchozím nastavení všem uživatelům povolil HTTPS-First, omezil přístup k některým funkcím webové platformy pro stránky otevřené přes HTTP a přidal další varování, která by uživatele informovala o rizicích, která vznikají při přístupu na stránky bez šifrování. Režim je povolen v části „Soukromí a zabezpečení“ > „Zabezpečení“ > „Pokročilá“ nastavení.
- U stránek otevřených bez HTTPS odesílání požadavků (stahování zdrojů) na místní adresy URL (například „http://router.local“ a localhost) a interní rozsahy adres (127.0.0.0/8, 192.168.0.0/16, 10.0.0.0) je zakázáno .8/1.2.3.4 atd.). Výjimku tvoří pouze stránky stažené ze serverů s interními IP. Například stránka načtená ze serveru 192.168.0.1 nebude mít přístup ke zdroji umístěnému na IP 127.0.0.1 nebo IP 192.168.1.1, ale načtená ze serveru XNUMX ano. Změna zavádí další vrstvu ochrany proti zneužití zranitelností v obslužných rutinách, které přijímají požadavky na místní IP adresy, a bude také chránit před útoky na DNS rebinding.
- Přidána funkce „Sharing Hub“, která umožňuje rychle sdílet odkaz na aktuální stránku s ostatními uživateli. Je možné vygenerovat QR kód z adresy URL, uložit stránku, odeslat odkaz na jiné zařízení propojené s uživatelským účtem a přenést odkaz na stránky třetích stran, jako je Facebook, WhatsUp, Twitter a VK. Tato funkce ještě nebyla zpřístupněna všem uživatelům. Chcete-li vynutit tlačítko „Sdílet“ v nabídce a adresním řádku, můžete použít nastavení „chrome://flags/#sharing-hub-desktop-app-menu“ a „chrome://flags/#sharing-hub- desktop-omnibox“ .
- Rozhraní nastavení prohlížeče bylo přepracováno. Každá sekce nastavení se nyní zobrazuje na samostatné stránce, nikoli na jedné společné stránce.
- Byla implementována podpora dynamické aktualizace protokolu vydaných a odvolaných certifikátů (Certificate Transparency), která bude nyní aktualizována bez vazby na aktualizace prohlížeče.
- Přidána stránka služby „chrome://whats-new“ s přehledem změn viditelných pro uživatele v novém vydání. Stránka se zobrazí automaticky ihned po aktualizaci nebo je přístupná přes tlačítko Co je nového v nabídce Nápověda. Stránka aktuálně zmiňuje vyhledávání na kartách, možnost rozdělit profily a funkci změny barvy pozadí, které nejsou specifické pro Chrome 94 a byly představeny v minulých verzích. Zobrazení stránky zatím není povoleno pro všechny uživatele: aktivaci můžete ovládat pomocí nastavení „chrome://flags#chrome-whats-new-ui“ a „chrome://flags#chrome-whats-new-in -hlavní-menu- nový-odznak".
- Volání rozhraní WebSQL API z obsahu načteného z webů třetích stran (jako je iframe) bylo ukončeno. V Chrome 94 se při pokusu o přístup k WebSQL ze skriptů třetích stran zobrazí varování, ale počínaje Chrome 97 budou taková volání blokována. V budoucnu plánujeme úplné ukončení podpory WebSQL bez ohledu na kontext použití. Engine WebSQL je založen na kódu SQLite a útočníci by jej mohli využít ke zneužití zranitelností v SQLite.
- Z bezpečnostních důvodů a pro zamezení škodlivé činnosti začalo být blokováno používání staršího protokolu MK (URL:MK), který byl kdysi používán v Internet Exploreru a umožňoval webovým aplikacím extrahovat informace z komprimovaných souborů.
- Podpora synchronizace se staršími verzemi prohlížeče Chrome (Chrome 48 a starší) byla ukončena.
- HTTP hlavička Permissions-Policy, navržená tak, aby umožňovala určité funkce a řídila přístup k API, přidala podporu pro příznak „display-capture“, který vám umožňuje řídit použití rozhraní Screen Capture API na stránce (ve výchozím nastavení, schopnost zachytit obsah obrazovky z externích prvků iframe je zablokována).
- Do režimu Origin Trials bylo přidáno několik nových API (experimentální funkce, které vyžadují samostatnou aktivaci). Origin Trial znamená schopnost pracovat se zadaným API z aplikací stažených z localhost nebo 127.0.0.1, nebo po registraci a obdržení speciálního tokenu, který je platný po omezenou dobu pro konkrétní web.
- Přidáno rozhraní WebGPU API, které nahrazuje rozhraní WebGL API a poskytuje nástroje pro provádění operací GPU, jako je vykreslování a výpočty. Koncepčně se WebGPU blíží API Vulkan, Metal a Direct3D 12. Koncepčně se WebGPU liší od WebGL v podstatě stejným způsobem, jakým se liší grafické API Vulkan od OpenGL, ale není založeno na konkrétním grafickém API, ale je univerzální vrstva, která používá stejná nízkoúrovňová primitiva, která jsou k dispozici ve Vulkan, Metal a Direct3D 12.
WebGPU poskytuje aplikacím JavaScriptu nízkoúrovňovou kontrolu nad organizací, zpracováním a přenosem příkazů do GPU a také schopnost spravovat související zdroje, paměť, vyrovnávací paměti, texturové objekty a kompilované grafické shadery. Tento přístup umožňuje dosáhnout vyššího výkonu pro grafické aplikace snížením režijních nákladů a zvýšením efektivity práce s GPU. API také umožňuje vytvářet složité 3D projekty pro web, které fungují stejně dobře jako samostatné programy, ale nejsou vázány na konkrétní platformy.
- Samostatné aplikace PWA mají nyní možnost zaregistrovat se jako obslužné nástroje URL. Například aplikace music.example.com se může zaregistrovat jako obsluha URL https://*.music.example.com a všechny přechody z externích aplikací pomocí těchto odkazů, například z instant messengerů a e-mailových klientů, povedou k otevření této aplikace PWA, nikoli nové kartě prohlížeče.
- Byla implementována podpora nového kódu odezvy HTTP - 103, který lze použít k zobrazení záhlaví s předstihem. Kód 103 vám umožňuje informovat klienta o obsahu určitých HTTP hlaviček ihned po požadavku, aniž byste museli čekat, až server dokončí všechny operace související s požadavkem a začne obsluhovat obsah. Podobným způsobem můžete poskytnout rady o prvcích souvisejících s obsluhovanou stránkou, které lze předem načíst (lze například poskytnout odkazy na css a javascript použité na stránce). Po obdržení informací o takových zdrojích je prohlížeč začne stahovat, aniž by čekal na dokončení vykreslování hlavní stránky, což vám umožní zkrátit celkovou dobu zpracování požadavku.
- Přidáno rozhraní WebGPU API, které nahrazuje rozhraní WebGL API a poskytuje nástroje pro provádění operací GPU, jako je vykreslování a výpočty. Koncepčně se WebGPU blíží API Vulkan, Metal a Direct3D 12. Koncepčně se WebGPU liší od WebGL v podstatě stejným způsobem, jakým se liší grafické API Vulkan od OpenGL, ale není založeno na konkrétním grafickém API, ale je univerzální vrstva, která používá stejná nízkoúrovňová primitiva, která jsou k dispozici ve Vulkan, Metal a Direct3D 12.
- Přidáno rozhraní WebCodecs API pro nízkoúrovňovou manipulaci s mediálními toky, které doplňuje vysokoúrovňová rozhraní HTMLMediaElement, Media Source Extensions, WebAudio, MediaRecorder a WebRTC API. Nové API může být žádané v oblastech, jako je streamování her, efekty na straně klienta, překódování streamu a podpora nestandardních multimediálních kontejnerů. Místo implementace jednotlivých kodeků v JavaScriptu nebo WebAssembly poskytuje WebCodecs API přístup k předem sestaveným, vysoce výkonným komponentám zabudovaným do prohlížeče. WebCodecs API zejména poskytuje audio a video dekodéry a kodéry, obrazové dekodéry a funkce pro práci s jednotlivými snímky videa na nízké úrovni.
- Rozhraní Insertable Streams API bylo stabilizováno, což umožňuje manipulovat s nezpracovanými mediálními streamy přenášenými prostřednictvím rozhraní MediaStreamTrack API, jako jsou data z kamery a mikrofonu, výsledky snímání obrazovky nebo data zprostředkujícího dekódování kodeků. Rozhraní WebCodec se používají k prezentaci nezpracovaných snímků a generuje se proud podobný tomu, který generuje rozhraní WebRTC Insertable Streams API na základě RTCPeerConnections. Z praktického hlediska nové API umožňuje funkce, jako je aplikace technik strojového učení k identifikaci nebo anotování objektů v reálném čase nebo přidávání efektů, jako je oříznutí pozadí před kódováním nebo po dekódování kodekem.
- Metoda scheduler.postTask() byla stabilizována, což vám umožňuje řídit plánování úloh (volání zpětného volání JavaScriptu) s různými úrovněmi priority. K dispozici jsou tři úrovně priority: 1- provedení jako první, i když operace uživatele mohou být blokovány; 2 – změny viditelné pro uživatele jsou povoleny; 3 - provedení na pozadí). Pomocí objektu TaskController můžete změnit prioritu a zrušit úkoly.
- Stabilizované a nyní distribuované mimo Origin Trials API Idle Detection k detekci nečinnosti uživatelů. Rozhraní API umožňuje detekovat časy, kdy uživatel neinteraguje s klávesnicí/myší, běží spořič obrazovky, obrazovka je zamčená nebo se pracuje na jiném monitoru. Informování aplikace o nečinnosti se provádí zasláním upozornění po dosažení stanoveného prahu nečinnosti.
- Proces správy barev v objektech CanvasRenderingContext2D a ImageData a použití barevného prostoru sRGB v nich byl formalizován. Poskytuje možnost vytvářet objekty CanvasRenderingContext2D a ImageData v jiných barevných prostorech než sRGB, jako je Display P3, a využít tak pokročilé možnosti moderních monitorů.
- Do rozhraní API VirtualKeyboard byly přidány metody a vlastnosti pro ovládání, zda je virtuální klávesnice zobrazena nebo skrytá, a pro získání informací o velikosti zobrazené virtuální klávesnice.
- JavaScript umožňuje třídám používat statické inicializační bloky ke seskupování kódu, který se provede jednou při zpracování třídy: class C { // Blok bude spuštěn při zpracování samotné třídy static { console.log("statický blok C"); } }
- Vlastnosti flex-basis a flex CSS implementují klíčová slova content, min-content, max-content a fit-content, aby poskytovaly flexibilnější kontrolu nad velikostí hlavní oblasti Flexbox.
- Přidána vlastnost CSS scrollbar-gutter pro ovládání toho, jak je místo na obrazovce vyhrazeno pro posuvník. Pokud například nechcete, aby se obsah posouval, můžete výstup rozšířit tak, aby zabíral oblast posuvníku.
- Self Profiling API bylo přidáno s implementací profilovacího systému, který vám umožňuje měřit dobu provádění JavaScriptu na straně uživatele za účelem ladění problémů s výkonem v kódu JavaScript, aniž byste se museli uchylovat k ručním manipulacím v rozhraní pro webové vývojáře.
- Po odebrání pluginu Flash bylo rozhodnuto vrátit prázdné hodnoty ve vlastnostech navigator.plugins a navigator.mimeTypes, ale jak se ukázalo, některé aplikace je používaly ke kontrole přítomnosti pluginů pro zobrazování souborů PDF. Protože Chrome má vestavěný prohlížeč PDF, vlastnosti navigator.plugins a navigator.mimeTypes nyní vrátí pevný seznam standardních pluginů pro prohlížení PDF a typů MIME – „PDF Viewer, Chrome PDF Viewer, Chromium PDF Viewer, Microsoft Edge PDF Viewer a vestavěný PDF WebKit“.
- Vylepšeny byly nástroje pro webové vývojáře. Zařízení Nest Hub a Nest Hub Max byla přidána do seznamu simulací obrazovky. Do rozhraní pro kontrolu síťové aktivity bylo přidáno tlačítko pro invertování filtrů (například při instalaci filtru „stavový kód: 404“ můžete rychle zobrazit všechny ostatní požadavky) a také poskytuje možnost zobrazení původních hodnot záhlaví Set-Cookie (umožňuje vyhodnotit přítomnost nesprávných hodnot, které jsou při normalizaci odstraněny). Postranní panel ve webové konzoli byl zastaralý a v budoucí verzi bude odstraněn. Přidána experimentální možnost skrýt problémy na kartě Problémy. V nastavení přibyla možnost volby jazyka rozhraní.
Kromě inovací a oprav chyb nová verze odstraňuje 19 zranitelností. Mnoho zranitelností bylo identifikováno jako výsledek automatizovaného testování pomocí nástrojů AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Nebyly zjištěny žádné kritické problémy, které by umožnily obejít všechny úrovně ochrany prohlížeče a spustit kód v systému mimo prostředí sandboxu. V rámci programu vyplácení peněžních odměn za odhalení zranitelností pro aktuální verzi vyplatil Google 17 ocenění v hodnotě 56500 15000 USD (jedno ocenění 10000 7500 USD, dvě ocenění 3000 1000 USD, jedno ocenění 7 XNUMX USD, čtyři ocenění XNUMX XNUMX USD, dvě ocenění XNUMX XNUMX USD). Velikost XNUMX odměn zatím nebyla stanovena.
Zdroj: opennet.ru