ProHoster > Blog > internet nyheder > Chrome udgivelse 104

Chrome udgivelse 104

Google har løftet sløret for udgivelsen af ​​webbrowseren Chrome 104. Samtidig er en stabil udgivelse af det gratis Chromium-projekt, der fungerer som grundlaget for Chrome, tilgængelig. Chrome-browseren adskiller sig fra Chromium i brugen af ​​Google-logoer, tilstedeværelsen af ​​et system til afsendelse af meddelelser i tilfælde af et nedbrud, moduler til afspilning af kopibeskyttet videoindhold (DRM), et system til automatisk installation af opdateringer, der permanent muliggør Sandbox-isolering , leverer nøgler til Google API og sender RLZ-, når der søges i. parametre. For dem, der har brug for mere tid til at opdatere, understøttes Extended Stable-grenen separat, efterfulgt af 8 uger. Den næste udgivelse af Chrome 105 er planlagt til den 30. august.

Vigtigste ændringer i Chrome 104:

  • En cookie-levetidsgrænse er blevet indført - alle nye eller opdaterede cookies vil automatisk blive slettet efter 400 dages eksistens, selvom udløbstiden, der er indstillet via Expires og Max-Age attributterne, overstiger 400 dage (for sådanne cookies vil levetiden blive reduceret til 400 dage). Cookies oprettet før implementeringen af ​​begrænsningen bevarer deres levetid, selvom den overstiger 400 dage, men vil være begrænset, hvis de opdateres. Ændringen afspejler nye krav noteret i udkastet til ny specifikation.
  • Aktiveret blokering af iframe-URL'er, der refererer til det lokale filsystem ("filsystem://").
  • For at fremskynde sideindlæsningen er der tilføjet en ny optimering, der sikrer, at der oprettes forbindelse til målværten i det øjeblik, du klikker på et link, uden at vente på, at du slipper knappen eller fjerner fingeren fra berøringsskærmen.
  • Tilføjede indstillinger til administration af "Emner & Interessegruppe" API'en, fremmet som en del af Privacy Sandbox-initiativet, som giver dig mulighed for at definere kategorier af brugerinteresser og bruge dem i stedet for at spore cookies til at identificere grupper af brugere med lignende interesser uden at identificere individuelle brugere . Derudover er der tilføjet informationsdialoger, der vises én gang, som forklarer brugeren essensen af ​​teknologien og tilbyder at aktivere dens support i indstillingerne.
  • Forøgede tærskler for at begrænse indlejrede opkald til setTimeout og setInterval-timere, der kører med et interval på mindre end 4ms ("setTimeout(..., <4ms)"). Den samlede grænse for sådanne opkald er hævet fra 5 til 100, hvilket gør det muligt ikke aggressivt at skære ned på individuelle opkald, men samtidig forhindre misbrug, der kan påvirke browserens ydeevne.
  • Aktiveret sender en CORS-bekræftelsesanmodning (Cross-Origin Resource Sharing) til hovedwebstedets server med overskriften "Access-Control-Request-Private-Network: true", når en side får adgang til en underressource på det interne netværk (192.168.x.x) , 10. x.x.x, 172.16-31.x.x) eller til localhost (127.x.x.x). Når du bekræfter handlingen som svar på denne anmodning, skal serveren returnere "Access-Control-Allow-Private-Network: true"-headeren. I Chrome version 104 påvirker bekræftelsesresultatet endnu ikke behandlingen af ​​anmodningen - hvis der ikke er nogen bekræftelse, vises en advarsel i webkonsollen, men selve subressourceanmodningen er ikke blokeret. Aktivering af blokering uden bekræftelse forventes ikke før Chrome 107. For at aktivere blokering i tidligere udgivelser kan du aktivere indstillingen "chrome://flags/#private-network-access-respect-preflight-results".

    Bekræftelse af autoritet af serveren blev indført for at styrke beskyttelsen mod angreb relateret til adgang til ressourcer på det lokale netværk eller på brugerens computer (localhost) fra scripts indlæst ved åbning af et websted. Sådanne anmodninger bruges af angribere til at udføre CSRF-angreb på routere, adgangspunkter, printere, virksomhedswebgrænseflader og andre enheder og tjenester, der kun accepterer anmodninger fra det lokale netværk. For at beskytte mod sådanne angreb vil browseren sende en eksplicit anmodning om tilladelse til at indlæse disse underressourcer, hvis der er adgang til nogle underressourcer på det interne netværk.

  • En Region Capture-mekanisme er blevet tilføjet, der giver dig mulighed for at trimme unødvendigt indhold fra en video, der er genereret baseret på skærmoptagelse. Ved at bruge getDisplayMedia API'et kan en webapplikation f.eks. streame video af indholdet af en fane, og Region Capture giver dig mulighed for at skære en del af indholdet ud, der inkluderer videokonferencekontrol.
  • Tilføjet understøttelse af den nye medieforespørgselssyntaks defineret i Media Queries Level 4-specifikationen, som bestemmer minimums- og maksimumstørrelsen af ​​det synlige område (viewport). Den nye syntaks giver dig mulighed for at bruge almindelige matematiske sammenligningsoperatorer og logiske operatorer såsom "ikke", "eller" og "og". For eksempel, i stedet for "@media (min-width: 400px) { … }" kan du nu angive "@media (width >= 400px) { … }".
  • Adskillige nye API'er er blevet tilføjet til tilstanden Origin Trials (eksperimentelle funktioner, der kræver separat aktivering). Origin Trial indebærer evnen til at arbejde med den specificerede API fra applikationer downloadet fra localhost eller 127.0.0.1, eller efter registrering og modtagelse af et særligt token, der er gyldigt i en begrænset periode for et specifikt websted.
    • Tilføjet en CSS-egenskab "focusgroup" for at forbedre navigation gennem elementer ved hjælp af piletasterne på tastaturet.
    • Secure Payment Confirmation API giver brugeren mulighed for at deaktivere butikken med kreditkortindstillinger. For at vise en dialogboks, der giver dig mulighed for at nægte at gemme kreditkortparametre, giver PaymentRequest()-konstruktøren "showOptOut: true"-flaget.
    • Tilføjet Shared Element Transitions API, som giver dig mulighed for at organisere en glidende overgang mellem forskellige indholdsvisninger i enkeltsidede webapplikationer.
  • Understøttelse af spekulationsregler er blevet stabiliseret, hvilket gør det muligt for webstedsforfattere at give browseren information om de mest sandsynlige sider, som brugeren kan gå til. Browseren bruger disse oplysninger til proaktivt at indlæse og gengive sideindhold.
  • Mekanismen til at pakke underressourcer ind i pakker i Web Bundle-formatet er blevet stabiliseret, hvilket gør det muligt at øge effektiviteten af ​​indlæsning af et stort antal ledsagende filer (CSS-stile, JavaScript, billeder, iframes). I modsætning til pakker i Webpack-formatet har Web Bundle-formatet følgende fordele: det er ikke selve pakken, der er gemt i HTTP-cachen, men dens komponentdele; kompilering og eksekvering af JavaScript begynder uden at vente på, at pakken er fuldt downloadet; Det er tilladt at inkludere yderligere ressourcer såsom CSS og billeder, som i webpack skal kodes i form af JavaScript-strenge.
  • Tilføjet CSS-egenskaben object-view-box, som giver dig mulighed for at definere en del af billedet, der skal vises i området i stedet for et givet element, som for eksempel kan bruges til at tilføje en kant eller skygge.
  • Tilføjet Fullscreen Capability Delegation API, hvilket tillader et Window-objekt at delegere til et andet Window-objekt retten til at kalde requestFullscreen().
  • Tilføjet Fullscreen Companion Window API, der gør det muligt at placere fuldskærmsindhold og popups på en anden skærm efter at have modtaget bekræftelse fra brugeren.
  • En visual-box-attribut er blevet tilføjet til overflow-clip-margin CSS-egenskaben, som bestemmer, hvor man skal begynde at trimme indhold, der går ud over grænsen af ​​området (kan tage værdierne content-box, padding-box og border- boks).
  • Async Clipboard API har tilføjet muligheden for at definere specialiserede formater for data, der overføres via udklipsholderen, bortset fra tekst, billeder og tekst med markup.
  • WebGL giver support til at angive et farverum for gengivelsesbufferen og transformationen, når der importeres fra en tekstur.
  • Understøttelse af OS X 10.11 og macOS 10.12 platforme er afbrudt.
  • U2F (Cryptotoken) API, som tidligere var forældet og deaktiveret som standard, er blevet afbrudt. U2F API er blevet erstattet af Web Authentication API.
  • Der er foretaget forbedringer af værktøjer til webudviklere. Debuggeren har nu mulighed for at genstarte kode fra begyndelsen af ​​en funktion efter at have ramt et breakpoint et sted i funktionslegemet. Tilføjet support til udvikling af tilføjelser til optagerpanelet. Understøttelse af visualisering af mærker sat i en webapplikation ved at kalde performance.measure() metoden er blevet tilføjet til præstationsanalysepanelet. Forbedrede anbefalinger til autofuldførelse af egenskaber for JavaScript-objekter. Ved autofuldførelse af CSS-variabler leveres forhåndsvisninger af værdier, der ikke er relateret til farver.
    Chrome udgivelse 104

Ud over innovationer og fejlrettelser eliminerer den nye version 27 sårbarheder. Mange af sårbarhederne blev identificeret som et resultat af automatiseret test ved hjælp af AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL værktøjerne. Der er ikke identificeret nogen kritiske problemer, der ville tillade en at omgå alle niveauer af browserbeskyttelse og eksekvere kode på systemet uden for sandkassemiljøet. Som en del af kontantbelønningsprogrammet for at opdage sårbarheder for den aktuelle udgivelse, udbetalte Google 22 priser til en værdi af $84 tusinde (en pris på $15000, en pris på $10000, en pris på $8000, en pris på $7000, fire priser på $5000, en pris på $4000, tre priser på $3000 , fire priser på $2000 og tre priser på $1000). Størrelsen af ​​en belønning er endnu ikke fastlagt.

Kilde: opennet.ru

Tilføj en kommentar