ProHoster > Blog > Internetnachrichten > Chrome-Version 104

Chrome-Version 104

Google hat die Veröffentlichung des Webbrowsers Chrome 104 vorgestellt. Gleichzeitig ist eine stabile Version des kostenlosen Chromium-Projekts verfügbar, das als Basis von Chrome dient. Der Chrome-Browser unterscheidet sich von Chromium durch die Verwendung von Google-Logos, das Vorhandensein eines Systems zum Versenden von Benachrichtigungen im Falle eines Absturzes, Module zum Abspielen kopiergeschützter Videoinhalte (DRM), ein System zur automatischen Installation von Updates und die dauerhafte Aktivierung der Sandbox-Isolation , Bereitstellung von Schlüsseln für die Google-API und Übertragung von RLZ-Parametern bei der Suche. Für diejenigen, die mehr Zeit für die Aktualisierung benötigen, wird der Extended Stable-Zweig separat unterstützt, gefolgt von 8 Wochen. Die nächste Veröffentlichung von Chrome 105 ist für den 30. August geplant.

Wichtige Änderungen in Chrome 104:

  • Es wurde eine Begrenzung der Cookie-Lebensdauer eingeführt – alle neuen oder aktualisierten Cookies werden nach 400 Tagen ihres Bestehens automatisch gelöscht, auch wenn die über die Attribute „Expires“ und „Max-Age“ festgelegte Ablaufzeit 400 Tage überschreitet (bei solchen Cookies wird die Lebensdauer verkürzt). bis 400 Tage). Cookies, die vor der Einführung der Einschränkung erstellt wurden, behalten ihre Lebensdauer, auch wenn sie 400 Tage überschreitet, werden jedoch bei Aktualisierung begrenzt. Die Änderung spiegelt die neuen Anforderungen wider, die im Entwurf der neuen Spezifikation aufgeführt sind.
  • Blockierung von Iframe-URLs aktiviert, die auf das lokale Dateisystem („filesystem://“) verweisen.
  • Um das Laden der Seite zu beschleunigen, wurde eine neue Optimierung hinzugefügt, die sicherstellt, dass eine Verbindung zum Zielhost hergestellt wird, sobald Sie auf einen Link klicken, ohne darauf warten zu müssen, dass Sie die Schaltfläche loslassen oder Ihren Finger vom Touchscreen nehmen.
  • Es wurden Einstellungen für die Verwaltung der „Topics & Interest Group“-API hinzugefügt, die im Rahmen der Privacy Sandbox-Initiative gefördert wird und es Ihnen ermöglicht, Kategorien von Benutzerinteressen zu definieren und diese anstelle von Tracking-Cookies zu verwenden, um Benutzergruppen mit ähnlichen Interessen zu identifizieren, ohne einzelne Benutzer zu identifizieren . Darüber hinaus wurden einmalig angezeigte Informationsdialoge hinzugefügt, die dem Benutzer das Wesentliche der Technologie erklären und anbieten, ihre Unterstützung in den Einstellungen zu aktivieren.
  • Erhöhte Schwellenwerte, um verschachtelte Aufrufe von setTimeout- und setInterval-Timern zu begrenzen, die mit einem Intervall von weniger als 4 ms ausgeführt werden („setTimeout(..., <4ms)“). Das Gesamtlimit für solche Aufrufe wurde von 5 auf 100 erhöht, was es ermöglicht, einzelne Aufrufe nicht aggressiv einzuschränken, aber gleichzeitig Missbrauch zu verhindern, der die Browserleistung beeinträchtigen könnte.
  • Aktiviert sendet eine CORS-Autorisierungsbestätigungsanfrage (Cross-Origin Resource Sharing) mit dem Header „Access-Control-Request-Private-Network: true“ an den Hauptstandortserver, wenn eine Seite auf eine Unterressource im internen Netzwerk (192.168.xx) zugreift , 10. xxx, 172.16-31.xx) oder an localhost (127.xxx). Bei der Bestätigung des Vorgangs als Antwort auf diese Anfrage muss der Server den Header „Access-Control-Allow-Private-Network: true“ zurückgeben. In der Chrome-Version 104 hat das Bestätigungsergebnis noch keinen Einfluss auf die Verarbeitung der Anfrage. Erfolgt keine Bestätigung, wird eine Warnung in der Webkonsole angezeigt, die Subressourcenanfrage selbst wird jedoch nicht blockiert. Die Aktivierung der No-Acknowledge-Blockierung wird erst mit Chrome 107 erwartet. Um die Blockierung in früheren Versionen zu aktivieren, können Sie die Einstellung „chrome://flags/#private-network-access-respect-preflight-results“ aktivieren.

    Die Überprüfung der Autorität durch den Server wurde eingeführt, um den Schutz vor Angriffen im Zusammenhang mit dem Zugriff auf Ressourcen im lokalen Netzwerk oder auf dem Computer des Benutzers (localhost) durch Skripte zu erhöhen, die beim Öffnen einer Site geladen werden. Solche Anfragen werden von Angreifern verwendet, um CSRF-Angriffe auf Router, Zugangspunkte, Drucker, Unternehmens-Webschnittstellen und andere Geräte und Dienste durchzuführen, die Anfragen nur aus dem lokalen Netzwerk akzeptieren. Um sich vor solchen Angriffen zu schützen, sendet der Browser beim Zugriff auf Unterressourcen im internen Netzwerk eine explizite Anfrage um Erlaubnis zum Laden dieser Unterressourcen.

  • Es wurde ein Region Capture-Mechanismus hinzugefügt, mit dem Sie unnötige Inhalte aus einem Video entfernen können, das auf der Grundlage einer Bildschirmaufnahme erstellt wurde. Mithilfe der getDisplayMedia-API kann eine Webanwendung beispielsweise Videos des Inhalts einer Registerkarte streamen, und Region Capture ermöglicht es Ihnen, einen Teil des Inhalts auszuschneiden, der Videokonferenzsteuerungen enthält.
  • Unterstützung für die neue Medienabfragesyntax hinzugefügt, die in der Media Queries Level 4-Spezifikation definiert ist und die minimale und maximale Größe des sichtbaren Bereichs (Ansichtsfenster) bestimmt. Die neue Syntax ermöglicht die Verwendung gängiger mathematischer Vergleichsoperatoren und logischer Operatoren wie „nicht“, „oder“ und „und“. Anstelle von „@media (min-width: 400px) { … }“ können Sie jetzt beispielsweise „@media (width >= 400px) { … }“ angeben.
  • Dem Origin-Testmodus (experimentelle Funktionen, die eine separate Aktivierung erfordern) wurden mehrere neue APIs hinzugefügt. Die Origin-Testversion impliziert die Möglichkeit, mit der angegebenen API aus Anwendungen zu arbeiten, die von localhost oder 127.0.0.1 heruntergeladen wurden, oder nach der Registrierung und dem Erhalt eines speziellen Tokens, das für eine begrenzte Zeit für eine bestimmte Site gültig ist.
    • Die CSS-Eigenschaft „focusgroup“ wurde hinzugefügt, um die Navigation durch Elemente mithilfe der Pfeiltasten auf der Tastatur zu verbessern.
    • Die API zur sicheren Zahlungsbestätigung bietet dem Benutzer die Möglichkeit, den Speicher für Kreditkarteneinstellungen zu deaktivieren. Um einen Dialog anzuzeigen, der es Ihnen ermöglicht, das Speichern von Kreditkartenparametern zu verweigern, stellt der PaymentRequest()-Konstruktor das Flag „showOptOut: true“ bereit.
    • Die Shared Element Transitions API wurde hinzugefügt, mit der Sie einen reibungslosen Übergang zwischen verschiedenen Inhaltsansichten in einseitigen Webanwendungen organisieren können.
  • Die Unterstützung für Spekulationsregeln wurde stabilisiert, sodass Website-Autoren dem Browser Informationen über die wahrscheinlichsten Seiten bereitstellen können, die der Benutzer besuchen kann. Der Browser nutzt diese Informationen, um Seiteninhalte proaktiv zu laden und darzustellen.
  • Der Mechanismus zum Packen von Unterressourcen in Pakete im Web Bundle-Format wurde stabilisiert, wodurch die Effizienz beim Laden einer großen Anzahl begleitender Dateien (CSS-Stile, JavaScript, Bilder, Iframes) erhöht werden kann. Im Gegensatz zu Paketen im Webpack-Format bietet das Web Bundle-Format folgende Vorteile: Im HTTP-Cache wird nicht das Paket selbst gespeichert, sondern seine Bestandteile; Die Kompilierung und Ausführung von JavaScript beginnt, ohne auf den vollständigen Download des Pakets warten zu müssen. Es ist erlaubt, zusätzliche Ressourcen wie CSS und Bilder einzubinden, die im Webpack in Form von JavaScript-Strings kodiert werden müssten.
  • Die CSS-Eigenschaft „object-view-box“ wurde hinzugefügt, mit der Sie einen Teil des Bildes definieren können, der im Bereich anstelle eines bestimmten Elements angezeigt wird, was beispielsweise zum Hinzufügen eines Rahmens oder Schattens verwendet werden kann.
  • Die Fullscreen Capability Delegation API wurde hinzugefügt, die es einem Window-Objekt ermöglicht, das Recht zum Aufrufen von requestFullscreen() an ein anderes Window-Objekt zu delegieren.
  • Vollbild-Companion-Fenster-API hinzugefügt, die es ermöglicht, Vollbildinhalte und Popups auf einem anderen Bildschirm zu platzieren, nachdem sie eine Bestätigung vom Benutzer erhalten haben.
  • Der CSS-Eigenschaft overflow-clip-margin wurde ein Visual-Box-Attribut hinzugefügt, das bestimmt, wo mit dem Trimmen von Inhalten begonnen werden soll, die über den Rand des Bereichs hinausgehen (kann die Werte content-box, padding-box und border- annehmen). Kasten).
  • Die Async Clipboard API bietet die Möglichkeit, spezielle Formate für über die Zwischenablage übertragene Daten zu definieren, außer Text, Bildern und Text mit Markup.
  • WebGL bietet Unterstützung für die Angabe eines Farbraums für den Renderpuffer und die Transformation beim Importieren aus einer Textur.
  • Die Unterstützung für die Plattformen OS X 10.11 und macOS 10.12 wurde eingestellt.
  • Die U2F-API (Cryptotoken), die zuvor veraltet und standardmäßig deaktiviert war, wurde eingestellt. Die U2F-API wurde durch die Web-Authentifizierungs-API ersetzt.
  • Es wurden Verbesserungen an den Tools für Webentwickler vorgenommen. Der Debugger hat jetzt die Möglichkeit, Code vom Anfang einer Funktion neu zu starten, nachdem irgendwo im Funktionskörper ein Haltepunkt erreicht wurde. Unterstützung für die Entwicklung von Add-ons für das Recorder-Bedienfeld hinzugefügt. Dem Leistungsanalysefenster wurde Unterstützung für die Visualisierung von Markierungen hinzugefügt, die in einer Webanwendung durch Aufrufen der Methode performance.measure() festgelegt wurden. Verbesserte Empfehlungen für die automatische Vervollständigung von JavaScript-Objekteigenschaften. Bei der automatischen Vervollständigung von CSS-Variablen werden Vorschauen von Werten bereitgestellt, die nichts mit Farben zu tun haben.
    Chrome-Version 104

Neben Neuerungen und Fehlerbehebungen beseitigt die neue Version 27 Schwachstellen. Viele der Schwachstellen wurden als Ergebnis automatisierter Tests mit den Tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL identifiziert. Es wurden keine kritischen Probleme identifiziert, die es ermöglichen würden, alle Ebenen des Browserschutzes zu umgehen und Code auf dem System außerhalb der Sandbox-Umgebung auszuführen. Im Rahmen des Geldprämienprogramms für die Entdeckung von Schwachstellen in der aktuellen Version zahlte Google 22 Auszeichnungen im Wert von 84 US-Dollar aus (eine Auszeichnung in Höhe von 15000 US-Dollar, eine Auszeichnung in Höhe von 10000 US-Dollar, eine Auszeichnung in Höhe von 8000 US-Dollar, eine Auszeichnung in Höhe von 7000 US-Dollar, vier Auszeichnungen in Höhe von 5000 US-Dollar, eine Auszeichnung in Höhe von 4000 US-Dollar und drei Auszeichnungen in Höhe von 3000 US-Dollar). , vier 2000-Dollar-Auszeichnungen und drei 1000-Dollar-Auszeichnungen). Die Höhe einer Belohnung steht noch nicht fest.

Source: opennet.ru

Kommentar hinzufügen