Google udgivelse af webbrowser ... Samtidigt stabil udgivelse af et gratis projekt , som fungerer som grundlaget for Chrome. Chrome browser brugen af Google-logoer, tilstedeværelsen af et system til at sende meddelelser i tilfælde af et nedbrud, muligheden for at downloade et Flash-modul efter anmodning, moduler til afspilning af beskyttet videoindhold (DRM), et system til automatisk installation af opdateringer og transmission under søgning . Den næste udgivelse af Chrome 77 er planlagt til den 10. september.
:
- som standard er beskyttelsestilstanden mod overførsel af tredjepartscookies, som i mangel af SameSite-attributten i Set-Cookie-headeren indstiller værdien "SameSite=Lax" som standard, hvilket begrænser afsendelsen af cookies til indsættelser fra tredjepartswebsteder (men websteder vil stadig være i stand til at tilsidesætte begrænsningen ved eksplicit at indstille, når du indstiller cookieværdien SameSite=Ingen). Indtil nu har browseren sendt en cookie til enhver anmodning til et websted, som en cookie var indstillet til, selvom et andet websted oprindeligt blev åbnet, og anmodningen blev foretaget indirekte ved at indlæse et billede eller gennem en iframe. I "Lax"-tilstand blokeres Cookie-transmission kun for underanmodninger på tværs af websteder, såsom billedanmodninger eller indlæsning af iframe-indhold, som ofte bruges til at starte CSRF-angreb og spore brugerbevægelser mellem websteder.
- Stoppet med at afspille Flash-indhold som standard. Indtil udgivelsen af Chrome 87, der forventes i december 2020, kan Flash-understøttelse returneres i indstillingerne (Avanceret > Privatliv og sikkerhed > Indstillinger for websted), efterfulgt af en eksplicit bekræftelse af driften af afspilning af Flash-indhold for hvert websted (bekræftelsen er huskes indtil browseren genstartes). Den fuldstændige fjernelse af kode for at understøtte Flash er synkroniseret med Adobes tidligere annoncerede plan om at afslutte supporten til Flash-teknologi i 2020;
- For virksomheder er muligheden for at søge efter filer i Google Drev-lageret blevet tilføjet til adresselinjen;
- Startet Upassende annoncering i Chrome, der forstyrrer opfattelsen af indhold og ikke opfylder kriterierne udviklet af Coalition for Better Advertising;
- En adaptiv tilstand til at skifte til en ny side er blevet implementeret, hvor det aktuelle indhold ryddes, og en hvid baggrund vises ikke umiddelbart, men efter en kort forsinkelse. For sider, der indlæses hurtigt, resulterer skrabning kun i flimren og giver ikke nyttelasten til at informere brugeren om, at en ny side er ved at blive indlæst. I den nye udgivelse, hvis en side åbner hurtigt, og der er en lille forsinkelse, vises den nye side på plads og erstatter problemfrit den forrige (f.eks. praktisk, når du skifter til andre sider på det samme websted, der ligner design og farveskema). Hvis det tager noget tid, der er mærkbar for brugeren, at få vist siden, vil skærmen som før blive ryddet på forhånd;
- Kriterierne for at bestemme brugeraktivitet på en side er blevet skærpet. Chrome giver dig mulighed for kun at vise pop op-meddelelser og afspille irriterende video-/lydindhold efter brugerhandlinger på siden. Med den nye udgivelse opfattes tryk på Escape, svævning over et link og berøring af skærmen ikke længere som sideaktiverende interaktioner (kræver et eksplicit klik, tastning eller rulning);
- medieforespørgsel "prefers-color-scheme", som giver websteder mulighed for at bestemme, om browseren bruger et mørkt tema og automatisk aktivere mørkt tema for det websted, der vises.
- Når du aktiverer det mørke tema i builds til Linux, vises adresselinjen nu i en mørk farve;
- evnen til at bestemme åbningen af en side i inkognitotilstand gennem manipulationer med FileSystem API, som tidligere blev brugt af nogle publikationer til at pålægge et betalt abonnement i tilfælde af upersonlig åbning af sider uden at huske cookies (så brugerne ikke brugte privat tilstand at omgå mekanismen til at give gratis prøveadgang). Tidligere, når man arbejdede i inkognitotilstand, blokerede browseren adgangen til FileSystem API for at forhindre data i at falde mellem sessioner, hvilket gjorde det muligt for JavaScript at kontrollere evnen til at gemme data gennem FileSystem API og, i tilfælde af fejl, at bedømme aktiviteten af inkognitotilstand. Nu er adgangen til FileSystem API ikke blokeret, og indholdet ryddes efter sessionen slutter;
- nye udfordringer i
API-betalingsanmodning og betalingsbehandler. En ny metode changePaymentMethod() er dukket op i PaymentRequestEvent-objektet, og en ny hændelsesbehandler betalingsmetode-ændring er blevet tilføjet til PaymentRequest-objektet, som gør det muligt for betalingsindsamlingsstedet eller webapplikationen at svare på, at brugeren ændrer betalingsmetoden. Den nye udgivelse gør det også nemmere for betalings-API'er at teste applikationer ved hjælp af selvsignerede certifikater. For at ignorere certifikatbekræftelsesfejl under udvikling, er der tilføjet en ny kommandolinjeindstilling "—ignore-certificate-errors"; - I adresselinjen ved siden af knappen for at tilføje til bogmærker for webapplikationer, der kører i Desktop Progressive Web Apps (PWA), en genvej til at installere en webapplikation på systemet til at fungere som et separat program;
- For mobile enheder er det muligt at styre visningen af et minipanel med en invitation til at tilføje en applikation til startskærmen. For PWA-applikationer (Progressive Web App) vises standardminibaren automatisk, første gang du åbner webstedet. Udvikleren kan nu nægte at vise dette panel og implementere sin egen installationsprompt, som han kan installere en hændelseshandler til
beforeinstallprompt og vedhæft et kald til preventDefault();
- Hyppigheden af opdateringstjek for PWA-applikationer (Progressive Web App) installeret i Android-miljøet er blevet øget. WebAPK-opdateringer kontrolleres nu én gang om dagen, og ikke én gang hver tredje dag som før. Hvis en sådan kontrol afslører en ændring i mindst én nøgleegenskab i manifestet, vil browseren downloade og installere en ny WebAPK;
- I API tilføjet muligheden for programmatisk at læse og skrive billeder via udklipsholderen ved hjælp af navigator.clipboard.read() og navigator.clipboard.write() metoderne;
- Implementeret understøttelse af en gruppe HTTP-headere (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site og Sec-Fetch-User), hvilket giver dig mulighed for at sende yderligere metadata om arten af anmodningen (cross-site anmodning, anmodning via img tag osv.) .) for serverens accept af foranstaltninger til beskyttelse mod visse typer angreb (det er f.eks. usandsynligt, at et link til en handler til overførsel af penge vil blive specificeret via et img-tag, så sådanne anmodninger kan blokeres uden at blive videregivet til applikationen );
- Tilføjet funktion , som igangsætter programmatisk indsendelse af formulardata på samme måde som ved at klikke på indsend-knappen. Funktionen kan bruges, når du udvikler dine egne formularindsendelsesknapper, som det ikke er nok at kalde form.submit() på grund af, at det ikke fører til interaktiv verifikation af parametre, generering af 'submit'-hændelsen og transmission af data bundet til indsend-knappen;
- Tilføjet funktion til IndexedDB , som giver dig mulighed for at udføre transaktioner knyttet til et IDBTransaction-objekt uden at vente på, at hændelseshandlere i alle tilknyttede anmodninger skal fuldføre. Brug af commit() giver dig mulighed for at øge gennemløbet af skrive- og læseanmodninger til lageret og eksplicit kontrollere fuldførelsen af transaktionen;
- Tilføjede muligheder til Intl.DateTimeFormat-funktioner såsom formatToParts() og resolveOptions() , som giver dig mulighed for at anmode om lokale-specifikke dato- og klokkeslætsvisningsstile;
- BigInt.prototype.toLocaleString()-metoden er blevet ændret til at formatere tal baseret på lokaliteten, og Intl.NumberFormat.prototype.format()-metoden og formatToParts()-funktionen er blevet ændret til at understøtte BigInt-inputværdier;
- API tilladt i alle typer af Web Workers, som kan bruges til at vælge de optimale parametre, når der oprettes en MediaStream fra en arbejder;
- Tilføjet metode , som kun returnerer opfyldte eller afviste løfter, ikke inklusive afventende løfter;
- Fjernede "--disable-infobars", som tidligere kunne bruges til at skjule pop op-advarsler i Chrome-grænsefladen (CommandLineFlagSecurityWarningsEnabled-reglen er blevet foreslået for at skjule sikkerhedsrelaterede advarsler);
- Til grænsefladen til at arbejde med klatter metoder text(), arrayBuffer() og stream() til at læse specifikke datatyper;
- Добавлено CSS-свойство «white-space:break-spaces», определяющее, что любая последовательность пробелов, приводящая к переполнению строки, должна быть разорвана;
- Der er påbegyndt arbejdet med at rense flagene i chrome://flags, f.eks. flag for at deaktivere "ping"-attributten, som giver webstedsejere mulighed for at spore klik på links fra deres sider. Hvis du følger et link, og der er en "ping=URL"-attribut i "a href"-tagget i browseren, kan du nu deaktivere afsendelse af en yderligere POST-anmodning til den URL, der er angivet i attributten med information om overgangen. Betydningen af at blokere ping går tabt siden denne attribut i HTML5-specifikationerne, og der er mange løsninger til at udføre den samme handling (f.eks. at passere et transitlink eller opsnappe klik med JavaScript-handlere);
- Fjernede deaktiveringsflaget , hvor sider fra forskellige værter altid er placeret i hukommelsen af forskellige processer, som hver bruger sin egen sandkasse.
- V8-motoren har øget ydeevnen for scanning og parsing af JSON-format markant. For populære websider har JSON.parse-udførelseshastigheder op til 2.7 gange. Konverteringen af unicode-strenge er blevet markant accelereret, for eksempel er hastigheden af opkald til String#localeCompare, String#normalize, samt nogle Intl API'er, næsten fordoblet. Ydeevnen af operationer med frosne arrays er også blevet væsentligt optimeret ved brug af operationer som frozen.indexOf(v), frozen.includes(v), fn(...frozen), fn(...[...frozen]) og fn.apply(dette, [... frosset]).
Ud over innovationer og fejlrettelser eliminerer den nye version . Mange af sårbarhederne blev identificeret som et resultat af automatiseret test med værktøjer , , , и . Der er ikke identificeret nogen kritiske problemer, der ville tillade en at omgå alle niveauer af browserbeskyttelse og eksekvere kode på systemet uden for sandkassemiljøet. Som en del af programmet til at betale kontante belønninger for at opdage sårbarheder for den aktuelle udgivelse, udbetalte Google 16 priser på $23500 (én pris på $10000, en pris på $6000, to priser på $3000 og tre priser på $500). Størrelsen på 9 belønninger er endnu ikke fastlagt.
Kilde: opennet.ru