Release von Chrome 104

Google hat die Version 104 des Chrome-Webbrowsers veröffentlicht. Gleichzeitig ist eine stabile Version des Open-Source-Projekts Chromium verfügbar, das die Basis für Chrome bildet. Der Chrome-Browser unterscheidet sich von Chromium durch die Verwendung von Google-Logos, ein System zur Benachrichtigung bei Abstürzen, Module zur Wiedergabe von kopiergeschütztem Videoinhalt (DRM), eine automatische Update-Installation, permanente Sandbox-Isolation, die Bereitstellung von Schlüsseln für die Google API und die Übertragung von RLZ-Parametern bei der Suche. Für Benutzer, die mehr Zeit für Updates benötigen, wird eine separate Extended Stable-Version unterstützt, die 8 Wochen lang begleitet wird. Das nächste Chrome-Update, Version 105, ist für den 30. August geplant.

Die Hauptänderungen in Chrome 104:

  • Es wurde eine maximale Lebensdauer für Cookies eingeführt – alle neuen oder aktualisierten Cookies werden automatisch nach 400 Tagen gelöscht, selbst wenn das über die Attribute Expires und Max-Age festgelegte Ablaufdatum länger als 400 Tage ist (für solche Cookies wird die Lebensdauer auf 400 Tage begrenzt). Cookies, die vor der Einführung dieser Begrenzung erstellt wurden, behalten ihre Lebensdauer, selbst wenn sie 400 Tage überschreiten, sind jedoch bei einer Aktualisierung eingeschränkt. Diese Änderung spiegelt die neuen Anforderungen wider, die im Entwurf der neuen Spezifikation vermerkt sind.
  • Die Blockierung von Anfragen aus Iframes zu URLs, die sich auf das lokale Dateisystem („filesystem://“) beziehen, ist aktiviert.
  • Um die Ladezeiten der Seite zu beschleunigen, wurde eine neue Optimierung hinzugefügt, die die Verbindung zum Ziel-Host bereits beim Klicken auf den Link herstellt, ohne auf das Loslassen der Taste oder das Abnehmen des Fingers vom Touchscreen zu warten.
  • Es wurden Einstellungen zur Verwaltung der API "Topics & Interest Group" hinzugefügt, die im Rahmen der Initiative Privacy Sandbox gefördert wird. Diese ermöglicht es, Benutzerinteressenkategorien zu definieren und sie anstelle von Tracking-Cookies zu verwenden, um Gruppen von Nutzern mit ähnlichen Interessen zu identifizieren, ohne einzelne Benutzer zu identifizieren. Darüber hinaus wurden einmalige Informationsdialoge eingeführt, die den Nutzern die Technologie näherbringen und anbieten, die Unterstützung in den Einstellungen zu aktivieren.
  • Die Schwellenwerte für die Begrenzung von verschachtelten Aufrufen der Timer setTimeout und setInterval, die mit einem Intervall von weniger als 4 ms gestartet werden ("setTimeout(…, <4ms)"), wurden erhöht. Das Gesamtlimit für solche Aufrufe wurde von 5 auf 100 erhöht, wodurch eine aggressive Begrenzung einzelner Aufrufe vermieden wird, während gleichzeitig Missbrauch unterbunden wird, der die Browserleistung beeinträchtigen könnte.
  • Das Senden einer Anfrage zur Bestätigung der Berechtigung für CORS (Cross-Origin Resource Sharing) an den Server der Hauptwebsite wird aktiviert, mit dem Header „Access-Control-Request-Private-Network: true“, falls von einer Seite auf eine Subressource im internen Netzwerk (192.168.x.x, 10.x.x.x, 172.16-31.x.x) oder auf localhost (127.x.x.x) zugegriffen wird. Wenn die Operation in Antwort auf diese Anfrage bestätigt wird, sollte der Server den Header „Access-Control-Allow-Private-Network: true“ zurückgeben. In Chrome-Version 104 hat das Ergebnis der Bestätigung bisher keinen Einfluss auf die Verarbeitung der Anfrage; im Falle des fehlenden Bestätigungs wird in der Web-Konsole eine Warnung angezeigt, aber die Anfrage selbst wird nicht blockiert. Die Aktivierung der Blockierung bei fehlender Bestätigung wird nicht vor der Version Chrome 107 erwartet. Um die Blockierung in früheren Versionen zu aktivieren, kann die Einstellung „chrome://flags/#private-network-access-respect-preflight-results“ aktiviert werden. Server Die Bestätigung der Berechtigungen

    Berechtigungsbestätigung dem Server durch Dieser Schutz wurde eingeführt, um Angriffe zu verhindern, die durch den Zugriff auf Ressourcen im lokalen Netzwerk oder auf den Computer des Nutzers (localhost) aus Skripten, die beim Öffnen der Website geladen werden, verursacht werden. Solche Anfragen werden von Angreifern verwendet, um CSRF-Angriffe auf Router, Access Points, Drucker, Unternehmens-Webschnittstellen und andere Geräte und Dienste durchzuführen, die Anfragen nur aus dem lokalen Netzwerk annehmen. Um sich vor solchen Angriffen zu schützen, wird der Browser bei Anfragen an beliebige Subressourcen im internen Netzwerk eine explizite Authentifizierungsanfrage für diese Subressourcen senden.

  • Ein Mechanismus namens Region Capture wurde hinzugefügt, der es ermöglicht, überflüssige Inhalte aus Videos, die auf der Bildschirmübertragung basieren, zu schneiden. Zum Beispiel kann eine Webanwendung mit der API getDisplayMedia die Videoübertragung von Tab-Inhalten organisieren, während Region Capture es ermöglicht, Teile des Inhalts herauszuschneiden, die Steuerelemente der Videokonferenz beinhalten.
  • Unterstützung für die in der Spezifikation von Media Queries Level 4 definierten neuen Syntax von Medienabfragen hinzugefügt, die die minimalen und maximalen Größen des sichtbaren Bereichs (Viewport) festlegen. Die neue Syntax ermöglicht die Verwendung standardmäßiger mathematischer Vergleichsoperatoren und logischer Operatoren wie "not", "or" und "and". Zum Beispiel kann anstelle von "@media (min-width: 400px) { … }" nun "@media (width >= 400px) { … }" angegeben werden.
  • Im Origin Trials-Modus (experimentelle Funktionen, die eine separate Aktivierung erfordern) wurden mehrere neue APIs hinzugefügt. Der Origin Trial ermöglicht die Nutzung der angegebenen API aus Anwendungen, die von localhost oder 127.0.0.1 geladen werden, oder nach Registrierung und Erhalt eines speziellen Tokens, das für einen bestimmten Zeitraum für eine bestimmte Website gültig ist.
    • CSS-Eigenschaft "focusgroup" hinzugefügt, um die Navigation zu den Elementen mit den Pfeiltasten der Tastatur zu verbessern.
    • Im API Secure Payment Confirmation wurde die Möglichkeit hinzugefügt, dass der Benutzer die Speicherung der Kreditkartenparameter deaktiviert. Um einen Dialog anzuzeigen, der es ermöglicht, das Speichern der Kreditkartenparameter abzulehnen, wurde im PaymentRequest() Konstruktor das Flag "showOptOut: true" vorgesehen.
    • API Shared Element Transitions hinzugefügt, das einen sanften Übergang zwischen verschiedenen Darstellungen von Inhalten in Single-Page-Webanwendungen ermöglicht.
  • Die Unterstützung der Spekulationsregeln wurde stabilisiert, die es Website-Autoren ermöglichen, dem Browser Informationen über die wahrscheinlichsten Seiten zu übermitteln, auf die der Benutzer zugreifen könnte. Der Browser nutzt diese Informationen, um den Inhalt der Seiten proaktiv zu laden und darzustellen.
  • Der Mechanismus zur Paketierung von Subressourcen im Web Bundle-Format wurde stabilisiert, was die Effizienz beim Laden einer Vielzahl von zugehörigen Dateien (CSS-Stile, JavaScript, Bilder, iframes) erhöht. Im Gegensatz zu Paketen im Webpack-Format bietet das Web Bundle folgende Vorteile: Im HTTP-Cache wird nicht das gesamte Paket, sondern dessen Bestandteile abgelegt; das Kompilieren und Ausführen von JavaScript beginnt, ohne auf das vollständige Laden des Pakets zu warten; es dürfen zusätzliche Ressourcen wie CSS und Bilder integriert werden, die im Webpack als JavaScript-Strings kodiert werden mussten.
  • Die CSS-Eigenschaft object-view-box wurde hinzugefügt, die es ermöglicht, den Teil eines Bildes zu definieren, der im definierten Bereich anstelle des gegebenen Elements angezeigt werden soll. Dies kann beispielsweise verwendet werden, um einen Rahmen oder einen Schatten hinzuzufügen.
  • Die API für die Vollbildfähigkeitsdelegation wurde hinzugefügt, wodurch ein Window-Objekt einem anderen Window-Objekt das Recht zur Aufruf von requestFullscreen() übertragen kann.
  • Die API für das Vollbild-Begleitfenster wurde hinzugefügt, um vollbildinhaltliche Inhalte und Pop-ups auf einem anderen Bildschirm nach Bestätigung durch den Benutzer anzuzeigen.
  • Das CSS-Eigenschaft overflow-clip-margin wurde um das Attribut visual-box erweitert, das definiert, ab welchem Punkt der Inhalt, der über die Begrenzung hinausgeht, abgeschnitten werden soll (mögliche Werte sind content-box, padding-box und border-box).
  • Die API für die asynchrone Zwischenablage ermöglicht nun die Definition spezieller Formate für Daten, die über die Zwischenablage übertragen werden, die von Text, Bildern und strukturiertem Text abweichen.
  • In WebGL wurde die Unterstützung zur Angabe des Farbraums für den Zeichenausgabepuffer und die Umwandlung beim Import aus einer Textur bereitgestellt.
  • Die Unterstützung für die Plattformen OS X 10.11 und macOS 10.12 wurde eingestellt.
  • Die Unterstützung für die API U2F (Cryptotoken), die zuvor als obsolet erklärt und standardmäßig deaktiviert war, wurde eingestellt. Die API Web Authentication hat die API U2F ersetzt.
  • Es wurden Verbesserungen an den Werkzeugen für Webentwickler vorgenommen. Im Debugger wurde die Möglichkeit hinzugefügt, den Code ab Anfang der Funktion neu zu starten, nachdem ein Haltepunkt innerhalb des Funktionskörpers erreicht wurde. Unterstützung für die Entwicklung von Erweiterungen für das Recorder-Panel wurde hinzugefügt. Im Leistungsanalyse-Panel wurde die Unterstützung für die Visualisierung von Markierungen integriert, die in der Webanwendung über den Aufruf der Methode performance.measure() gesetzt wurden. Die Empfehlungen beim automatischen Ausfüllen von JavaScript-Objekteigenschaften wurden verbessert. Beim automatischen Ausfüllen von CSS-Variablen wird eine Vorschau der nicht farbbezogenen Werte bereitgestellt.
    Release von Chrome 104

Neben neuen Funktionen und Fehlerbehebungen wurden in der neuen Version 27 Sicherheitsanfälligkeiten behoben. Viele dieser Schwachstellen wurden durch automatisierte Tests mit den Tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL entdeckt. Kritische Probleme, die es ermöglichen, alle Schutzebenen des Browsers zu umgehen und Code im System außerhalb der Sandbox-Umgebung auszuführen, wurden nicht gefunden. Im Rahmen des Programms zur Belohnung für das Entdecken von Sicherheitsanfälligkeiten hat Google für die aktuelle Version 22 Prämien in Höhe von 84.000 US-Dollar vergeben (eine Prämie von 15.000 $, eine Prämie von 10.000 $, eine Prämie von 8.000 $, eine Prämie von 7.000 $, vier Prämien von 5.000 $, eine Prämie von 4.000 $, drei Prämien von 3.000 $, vier Prämien von 2.000 $ und drei Prämien von 1.000 $). Der Betrag einer einzelnen Prämie wurde noch nicht festgelegt.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster