Chrome udgivelse 106

Google har løftet sløret for udgivelsen af ​​webbrowseren Chrome 106. Samtidig er en stabil udgivelse af det gratis Chromium-projekt, som er grundlaget for Chrome, tilgængelig. Chrome-browseren adskiller sig fra Chromium i brugen af ​​Google-logoer, tilstedeværelsen af ​​et system til at sende meddelelser i tilfælde af et nedbrud, moduler til afspilning af kopibeskyttet videoindhold (DRM), et automatisk opdateringssystem, den konstante medtagelse af Sandbox-isolation , levering af nøgler til Google API og transmission ved søgning efter RLZ-parametre. For dem, der har brug for mere tid til at opdatere, understøttes Extended Stable-grenen separat, efterfulgt af 8 uger. Den næste udgivelse af Chrome 107 er planlagt til den 25. oktober.

Vigtigste ændringer i Chrome 106:

• For brugere af desktop-builds er Prerender2-motoren som standard aktiveret til at forudgengive anbefalingsindhold i omnifeltets adresselinje. Proaktiv gengivelse supplerer den tidligere tilgængelige mulighed for at indlæse anbefalinger med størst sandsynlighed for at klikke uden at vente på et brugerklik. Udover at indlæse kan indholdet af sider, der er knyttet til anbefalinger, nu bufres (inklusive scriptudførelse og DOM-trædannelse), hvilket tillader for øjeblikkelig visning af anbefalinger efter et klik.
• Giver mulighed for at søge i historik, bogmærker og faner direkte fra omnifeltets adresselinje. Kontrolmærkerne @history, @bookmarks og @tabs foreslås til søgelokalisering. For at søge i bogmærker skal du f.eks. indtaste "@bookmarks søgesætning". For at deaktivere søgning fra adresselinjen er der en særlig mulighed i søgeindstillingerne.
• Deaktiveret som standard er Server Push, som er defineret i HTTP/2- og HTTP/3-standarderne og tillader serveren at skubbe ressourcer til klienten uden at vente på, at de eksplicit anmodes om. Som årsagen til opsigelsen af ​​støtten nævnes den overdrevne komplikation af implementeringen af ​​teknologien i nærværelse af enklere og ikke mindre effektive alternativer, såsom tagget , HTTP-svar 103 og WebTransport-protokol. Ifølge Googles statistik brugte i 2021 omkring 1.25 % af websteder, der kører over HTTP/2, Server Push, og i 2022 faldt dette tal til 0.7 %. Server Push-teknologi er også til stede i HTTP/3-specifikationen, men i praksis implementerede mange server- og klientsoftwareprodukter, herunder Chrome-browseren, det ikke.
• Deaktiveret muligheden for at bruge ikke-ASCII-tegn i domæner, der er angivet i cookie-headeren (for IDN-domæner skal domæner angives i punycode-format). Ændringen bringer browseren i overensstemmelse med kravene i RFC 6265bis og adfærden implementeret i Firefox.
• Foreslået klarere etiketter til at identificere skærme i multi-monitor konfigurationer. Lignende etiketter kan vises i tilladelsesdialoger til at åbne et vindue på en ekstern skærm. For eksempel, i stedet for det eksterne displaynummer ('Ekstern skærm 1'), vil navnet på skærmmodellen ('HP Z27n') nu blive vist.
• Forbedringer i Android-versionen:
  • Siden med besøgshistorikken understøtter "Rejse"-mekanismen, som opsummerer tidligere aktivitet ved at gruppere oplysninger om tidligere udførte søgeforespørgsler og viste sider. Ved indtastning af nøgleord i adresselinjen, hvis de tidligere blev brugt i forespørgsler, foreslås det at fortsætte søgningen fra den afbrudte position.
  • På Android 11-enheder er muligheden for at blokere en side åbnet i inkognitotilstand efter skift til en anden applikation. Der kræves godkendelse for at fortsætte med at browse efter at være blevet blokeret. Som standard er blokering deaktiveret og kræver aktivering i privatlivsindstillingerne.
  • Når du forsøger at downloade filer fra inkognitotilstand, leveres en yderligere bekræftelsesanmodning for at gemme filen og en advarsel om, at den downloadede fil kan ses af andre brugere af enheden, da den vil blive gemt i downloadhåndteringsområdet.
• Stoppet med at udsætte chrome.runtime API for alle websteder. Denne API er nu kun forsynet med browsertilføjelser forbundet til den. Tidligere var chrome.runtime tilgængelig for alle websteder, fordi den blev brugt af det indbyggede CryptoToken-plugin med den nu forældede U2F API-implementering.
• Adskillige nye API'er er blevet tilføjet til tilstanden Origin Trials (eksperimentelle funktioner, der kræver separat aktivering). Origin Trial indebærer evnen til at arbejde med den specificerede API fra applikationer downloadet fra localhost eller 127.0.0.1, eller efter registrering og modtagelse af et særligt token, der er gyldigt i en begrænset periode for et specifikt websted.
  • Konceptet med anonyme iframes, som tillader indlæsning af et dokument i en separat kontekst, der ikke er relateret til andre iframes og hoveddokumentet.
  • Pop-up API til visning af interface-elementer oven på andre elementer, for eksempel til at organisere interaktive menuer, værktøjstip, værktøjer til valg af indhold og træningssystemer. For at vise elementet på det øverste lag, bruges en ny "popup"-attribut. I modsætning til dialoger oprettet ved hjælp af elementet Den nye API giver dig mulighed for at oprette dialoger uden model, håndtere begivenheder, bruge animationer og oprette fleksible kontroller til pop op-området.
• Interpolationsunderstøttelse er blevet implementeret for egenskaberne 'grid-template-columns' og 'grid-template-rows', der bruges i CSS Grid for at give en jævn overgang mellem forskellige grid-tilstande.
• Tilføjet understøttelse af 'bevar-forælder-farve'-værdien til CSS-egenskaben 'tvunget-farve-tilpasning', når den er indstillet, vil 'farve'-egenskaben låne sin værdi fra det overordnede element.
• Egenskaben "-webkit-hyphenate-character" er blevet fjernet fra "-webkit-"-præfikset og er nu tilgængelig under navnet "hyphenate-character". Den angivne egenskab kan bruges til at indstille den anvendte streng i stedet for slutningen af ​​ordet ("-").
• Den tredje udgave af Intl.NumberFormat API er implementeret, som har nye funktioner formatRange(), formatRangeToParts() og selectRange(), gruppering af sæt, nye muligheder for afrunding og indstillingspræcision, mulighed for at fortolke strenge som decimaltal.
• Tilføjet understøttelse af effektiv direkte overførsel af binære data fra den serielle port til ReadableStream API'et, uden om interne køer og buffere. Direkte optælling aktiveres ved at indstille BYOB-tilstanden - "port.readable.getReader({ mode: 'byob' })".
• Audio- og video-API'erne (AudioDecoder, AudioEncoder, VideoDecoder og VideoEncoder) understøtter nu "dequeue"-hændelsen og dens tilknyttede tilbagekald, der udløses, når codec'et begynder at udføre kodnings- eller afkodningsopgaver for indhold i kø.
• WebXR Device API giver rå adgang til kameraets billedteksturer synkroniseret med den aktuelle position i det virtuelle miljø.
• Der er foretaget forbedringer af værktøjer til webudviklere. Kildepanelet har nu mulighed for at gruppere filer efter kilde. Forbedret staksporing til asynkrone operationer. Nu kan du automatisk ignorere kendte tredjepartsscripts, når du foretager fejlfinding. Tilføjet muligheden for at skjule ignorerede filer i menuer og paneler. Forbedret arbejde med opkaldsstakken i debuggeren.

  Et nyt interaktionsspor er blevet tilføjet til ydeevnepanelet for at visualisere interaktion med siden og identificere potentielle problemer med UI-responsivitet.

  

Ud over innovationer og fejlrettelser er 20 sårbarheder blevet rettet i den nye version. Mange af sårbarhederne blev identificeret som et resultat af automatiserede testværktøjer AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL. Ingen kritiske problemer, der tillader omgåelse af alle browserbeskyttelsesniveauer og eksekvering af kode i systemet uden for sandkassemiljøet, er blevet identificeret. Som en del af sårbarheds-bounty-programmet for den aktuelle udgivelse har Google udbetalt 16 priser til en værdi af $38500 (en hver på $9000, $7500, $7000, $5000, $4000, $3000, $2000 og $1000). Størrelsen af ​​de otte priser er endnu ikke fastlagt.

Kilde: opennet.ru