ProHoster > Blog > Internetnachrichten > Chrome-Version 93

Chrome-Version 93

Google hat die Veröffentlichung des Webbrowsers Chrome 93 vorgestellt. Gleichzeitig ist eine stabile Version des kostenlosen Chromium-Projekts verfügbar, das als Basis von Chrome dient. Der Chrome-Browser zeichnet sich durch die Verwendung von Google-Logos, das Vorhandensein eines Systems zum Versenden von Benachrichtigungen im Falle eines Absturzes, Module zum Abspielen geschützter Videoinhalte (DRM), ein System zur automatischen Installation von Updates und die Übermittlung von RLZ-Parametern bei der Suche aus. Die nächste Veröffentlichung von Chrome 94 ist für den 21. September geplant (die Entwicklung wurde auf einen 4-wöchigen Veröffentlichungszyklus verschoben).

Wichtige Änderungen in Chrome 93:

  • Das Design des Blocks mit Seiteninformationen (Seiteninfo) wurde modernisiert, wobei die Unterstützung für verschachtelte Blöcke implementiert wurde und Dropdown-Listen mit Zugriffsrechten durch Schalter ersetzt wurden. Die Listen stellen sicher, dass die wichtigsten Informationen zuerst angezeigt werden. Die Änderung ist nicht für alle Benutzer aktiviert. Um sie zu aktivieren, können Sie die Einstellung „chrome://flags/#page-info-version-2-desktop“ verwenden.
    Chrome-Version 93
  • Für einen kleinen Prozentsatz der Benutzer wurde versuchsweise die sichere Verbindungsanzeige in der Adressleiste durch ein neutraleres Symbol ersetzt, das keine Doppelinterpretationen hervorruft (das Schloss wurde durch ein „V“-Zeichen ersetzt). Bei unverschlüsselt aufgebauten Verbindungen wird weiterhin der Hinweis „nicht sicher“ angezeigt. Als Grund für die Ersetzung des Indikators wird angeführt, dass viele Benutzer den Vorhängeschloss-Indikator mit der Tatsache in Verbindung bringen, dass der Inhalt der Website vertrauenswürdig ist, anstatt ihn als Zeichen dafür zu sehen, dass die Verbindung verschlüsselt ist. Einer Google-Umfrage zufolge verstehen nur 11 % der Nutzer die Bedeutung des Schlosssymbols.
    Chrome-Version 93
  • Die Liste der zuletzt geschlossenen Tabs zeigt jetzt den Inhalt geschlossener Tab-Gruppen an (zuvor zeigte die Liste lediglich den Namen der Gruppe ohne Einzelheiten zum Inhalt an), mit der Möglichkeit, sowohl die gesamte Gruppe als auch einzelne Tabs der Gruppe auf einmal zurückzugeben. Die Funktion ist nicht für alle Benutzer aktiviert. Daher müssen Sie möglicherweise die Einstellung „chrome://flags/#tab-restore-sub-menus“ ändern, um sie zu aktivieren.
    Chrome-Version 93
  • Für Unternehmen wurden neue Einstellungen implementiert: DefaultJavaScriptJitSetting, JavaScriptJitAllowedForSites und JavaScriptJitBlockedForSites, mit denen Sie den JIT-freien Modus steuern können, der die Verwendung der JIT-Kompilierung bei der Ausführung von JavaScript deaktiviert (nur der Ignition-Interpreter wird verwendet) und die Zuweisung ausführbarer Dateien verhindert Speicher während der Codeausführung. Die Deaktivierung von JIT kann nützlich sein, um die Sicherheit bei der Arbeit mit potenziell gefährlichen Webanwendungen zu verbessern, auf Kosten einer Reduzierung der JavaScript-Ausführungsleistung um etwa 17 %. Bemerkenswert ist, dass Microsoft noch weiter gegangen ist und einen experimentellen „Super Duper Secure“-Modus im Edge-Browser implementiert hat, der es dem Benutzer ermöglicht, JIT zu deaktivieren und nicht-JIT-kompatible Hardware-Sicherheitsmechanismen CET (Controlflow-Enforcement Technology), ACG (Arbitrary) zu aktivieren Code Guard) und CFG (Control Flow Guard) für Prozesse, die Webinhalte verarbeiten. Sollte sich das Experiment als erfolgreich erweisen, können wir mit einer Übertragung auf den Hauptteil von Chrome rechnen.
  • Die neue Registerkarte bietet eine Liste der beliebtesten in Google Drive gespeicherten Dokumente. Der Inhalt der Liste entspricht dem Abschnitt „Priorität“ in drive.google.com. Um die Anzeige von Google Drive-Inhalten zu steuern, können Sie die Einstellungen „chrome://flags/#ntp-modules“ und „chrome://flags/#ntp-drive-module“ verwenden.
    Chrome-Version 93
  • Der Seite „Neuen Tab öffnen“ wurden neue Informationskarten hinzugefügt, damit Sie kürzlich angezeigte Inhalte und zugehörige Informationen finden können. Die Karten sollen es einfacher machen, mit Informationen weiterzuarbeiten, deren Anzeige unterbrochen wurde. Die Karten helfen Ihnen beispielsweise dabei, ein Rezept für ein Gericht zu finden, das kürzlich online gefunden wurde, aber nach dem Schließen der Seite verloren gegangen ist, oder mit der Zubereitung fortzufahren Einkäufe in Geschäften. Als Experiment werden Benutzern zwei neue Karten angeboten: „Recipes“ (chrome://flags/#ntp-recipe-tasks-module) zur Suche nach kulinarischen Rezepten und zur Anzeige kürzlich angesehener Rezepte; „Shopping“ (chrome://flags/#ntp-chrome-cart-module) für Erinnerungen an in Online-Shops ausgewählte Produkte.
  • Die Android-Version bietet optionale Unterstützung für ein kontinuierliches Suchfeld (chrome://flags/#continuous-search), mit dem Sie aktuelle Google-Suchergebnisse sichtbar halten können (das Feld zeigt weiterhin Ergebnisse an, nachdem Sie zu anderen Seiten gewechselt sind).
    Chrome-Version 93
  • Der Android-Version wurde ein experimenteller Modus zum Teilen von Zitaten hinzugefügt (chrome://flags/#webnotes-stylize), mit dem Sie ein ausgewähltes Fragment einer Seite als Zitat speichern und mit anderen Benutzern teilen können.
  • Bei der Veröffentlichung neuer Ergänzungen oder Versionsaktualisierungen im Chrome Web Store ist jetzt eine Zwei-Faktor-Entwicklerüberprüfung erforderlich.
  • Nutzer eines Google-Kontos haben die Möglichkeit, Zahlungsinformationen in ihrem Google-Konto zu speichern.
  • Wenn im Inkognito-Modus die Option zum Löschen von Navigationsdaten aktiviert ist, wurde ein neuer Vorgangsbestätigungsdialog implementiert, der erklärt, dass durch das Löschen von Daten das Fenster geschlossen und alle Sitzungen im Inkognito-Modus beendet werden.
  • Aufgrund festgestellter Inkompatibilitäten mit der Firmware einiger Geräte wurde Chrome 91 Unterstützung für die neue Schlüsselvereinbarungsmethode hinzugefügt, die auf Quantencomputern resistent gegen Raten ist und auf der Verwendung der CECPQ1.3-Erweiterung (Combined Elliptic-Curve and Post-Quantum 2) basiert TLSv2, das einen klassischen X25519-Schlüsselaustauschmechanismus mit einem HRSS-Schema kombiniert, das auf dem NTRU-Prime-Algorithmus basiert, der für Post-Quanten-Kryptosysteme entwickelt wurde.
  • Die Ports 989 (ftps-Daten) und 990 (ftps) wurden zur Anzahl der verbotenen Netzwerkports hinzugefügt, um den ALPACA-Angriff zu blockieren. Bisher waren zum Schutz vor NAT-Slipstreaming-Angriffen bereits die Ports 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 und 10080 gesperrt.
  • TLS unterstützt keine Verschlüsselungen mehr, die auf dem 3DES-Algorithmus basieren. Insbesondere die Verschlüsselungssuite TLS_RSA_WITH_3DES_EDE_CBC_SHA, die anfällig für den Sweet32-Angriff ist, wurde entfernt.
  • Die Unterstützung für Ubuntu 16.04 wurde eingestellt.
  • Es ist möglich, die WebOTP-API zwischen verschiedenen Geräten zu verwenden, die über ein gemeinsames Google-Konto verbunden sind. Mit WebOTP kann eine Webanwendung per SMS gesendete einmalige Verifizierungscodes lesen. Die vorgeschlagene Änderung ermöglicht es, einen Bestätigungscode auf einem Mobilgerät mit Chrome für Android zu empfangen und ihn auf einem Desktop-System anzuwenden.
  • Die User-Agent Client Hints API wurde erweitert und als Ersatz für den User-Agent-Header entwickelt. Mit User-Agent Client Hints können Sie die selektive Bereitstellung von Daten zu bestimmten Browser- und Systemparametern (Version, Plattform usw.) erst nach einer Anfrage durch den Server organisieren. Der Benutzer wiederum kann bestimmen, welche Informationen den Websitebesitzern zur Verfügung gestellt werden können. Bei der Verwendung von User-Agent Client Hints wird die Browser-ID nicht ohne explizite Anfrage übermittelt und standardmäßig werden nur Basisparameter angegeben, was die passive Identifizierung erschwert.

    Die neue Version unterstützt den Parameter Sec-CH-UA-Bitness, um Daten über die Plattform-Bitness zurückzugeben, die zur Bereitstellung optimierter Binärdateien verwendet werden können. Standardmäßig wird der Parameter Sec-CH-UA-Platform mit allgemeinen Plattforminformationen gesendet. Der beim Aufruf von getHighEntropyValues() zurückgegebene UADataValues-Wert ist standardmäßig implementiert, um verallgemeinerte Parameter zurückzugeben, wenn es nicht möglich ist, eine detaillierte Option zurückzugeben. Dem NavigatorUAData-Objekt wurde die toJSON-Methode hinzugefügt, mit der Sie Konstrukte wie JSON.stringify(navigator.userAgentData) verwenden können.

  • Die Möglichkeit, Ressourcen in Paketen im Web-Bundle-Format zu packen, die sich für die effizientere Organisation des Ladens einer großen Anzahl begleitender Dateien (CSS-Stile, JavaScript, Bilder, Iframes) eignen, wurde stabilisiert und standardmäßig angeboten. Zu den Mängeln der bestehenden Unterstützung von Paketen für JavaScript-Dateien (Webpack), die das Web Bundle zu beseitigen versucht, gehören: Das Paket selbst, nicht aber seine Bestandteile, kann im HTTP-Cache landen; Die Kompilierung und Ausführung kann erst beginnen, nachdem das Paket vollständig heruntergeladen wurde. Zusätzliche Ressourcen wie CSS und Bilder müssen in Form von JavaScript-Strings codiert werden, was die Größe erhöht und einen weiteren Parsing-Schritt erfordert.
  • Die WebXR Plane Detection API ist enthalten und stellt Informationen über planare Oberflächen in einer virtuellen 3D-Umgebung bereit. Die angegebene API ermöglicht es, die ressourcenintensive Verarbeitung der über den Aufruf MediaDevices.getUserMedia() erhaltenen Daten zu vermeiden, indem proprietäre Implementierungen von Computer-Vision-Algorithmen verwendet werden. Wir möchten Sie daran erinnern, dass Sie mit der WebXR-API die Arbeit mit verschiedenen Klassen von Virtual-Reality-Geräten vereinheitlichen können, von stationären 3D-Helmen bis hin zu Lösungen, die auf mobilen Geräten basieren.
  • Dem Origin-Testmodus (experimentelle Funktionen, die eine separate Aktivierung erfordern) wurden mehrere neue APIs hinzugefügt. Die Origin-Testversion impliziert die Möglichkeit, mit der angegebenen API aus Anwendungen zu arbeiten, die von localhost oder 127.0.0.1 heruntergeladen wurden, oder nach der Registrierung und dem Erhalt eines speziellen Tokens, das für eine begrenzte Zeit für eine bestimmte Site gültig ist.
    • Es wurde die Multi-Screen Window Placement API vorgeschlagen, mit der Sie Fenster auf jedem mit dem aktuellen System verbundenen Display platzieren, die Fensterposition speichern und das Fenster bei Bedarf auf den Vollbildmodus erweitern können. Beispielsweise kann eine Webanwendung zum Anzeigen einer Präsentation mithilfe der angegebenen API die Anzeige von Folien auf einem Bildschirm organisieren und auf einem anderen eine Notiz für den Präsentator anzeigen.
    • Der Cross-Origin-Embedder-Policy-Header, der den Cross-Origin-Isolationsmodus steuert und es Ihnen ermöglicht, sichere Nutzungsregeln auf der Seite „Privilegierte Vorgänge“ zu definieren, unterstützt jetzt einen „credentialless“-Parameter, um die Übertragung von Anmeldeinformationen zu deaktivieren, z Cookies und Client-Zertifikate.
    • Für eigenständige Webanwendungen (PWA, Progressive Web Apps), die die Darstellung von Fensterinhalten steuern und Eingaben verarbeiten, wird ein Overlay mit Fenstersteuerelementen wie einer Titelleiste und Schaltflächen zum Erweitern/Reduzieren bereitgestellt. Ein Overlay erweitert den bearbeitbaren Bereich auf das gesamte Fenster und ermöglicht das Hinzufügen eigener Elemente zum Titelbereich.
      Chrome-Version 93
    • Es wurde die Möglichkeit hinzugefügt, PWA-Anwendungen zu erstellen, die als URL-Handler verwendet werden können. Beispielsweise kann sich die Anwendung „music.example.com“ als URL-Handler https://*.music.example.com registrieren und alle Übergänge von externen Anwendungen, die diese Links verwenden, beispielsweise von Instant Messengern und E-Mail-Clients, führen Zum Öffnen dieser PWA-Anwendungen gehört kein neuer Browser-Tab.
  • Es ist möglich, CSS-Dateien mit dem Ausdruck „import“ zu laden, ähnlich wie beim Laden von JavaScript-Modulen, was beim Erstellen eigener Elemente praktisch ist und es ermöglicht, auf die Zuweisung von Stilen mithilfe von JavaScript-Code zu verzichten. Blatt aus './styles.css' importieren Assert { Typ: 'css' }; document.adoptedStyleSheets = [sheet]; shadowRoot.adoptedStyleSheets = [sheet];
  • Es wurde eine neue statische Methode, AbortSignal.abort(), bereitgestellt, die ein AbortSignal-Objekt zurückgibt, das bereits auf „aborted“ gesetzt wurde. Anstelle mehrerer Codezeilen zum Erstellen eines AbortSignal-Objekts im abgebrochenen Zustand können Sie jetzt mit einer einzigen Zeile „return AbortSignal.abort()“ auskommen.
  • Das Flexbox-Element bietet jetzt Unterstützung für die Schlüsselwörter start, end, self-start, self-end, left und right und ergänzt die Schlüsselwörter center, flex-start und flex-end durch Tools zur vereinfachten Ausrichtung der Position von Flex-Elementen.
  • Der Error()-Konstruktor implementiert eine neue optionale „cause“-Eigenschaft, die es Ihnen ermöglicht, Fehler einfach miteinander zu verknüpfen. const parentError = new Error('parent'); const error = new Error('parent', { Cause: parentError }); console.log(error.cause === parentError); // → wahr
  • Unterstützung für den Noplaybackrate-Modus zur Eigenschaft HTMLMediaElement.controlsList hinzugefügt, mit der Sie Elemente der im Browser bereitgestellten Schnittstelle deaktivieren können, um die Wiedergabegeschwindigkeit von Multimedia-Inhalten zu ändern.
  • Der Sec-CH-Prefers-Color-Scheme-Header wurde hinzugefügt, der es ermöglicht, in der Phase des Sendens der Anfrage Daten über das bevorzugte Farbschema des Benutzers zu übertragen, das in „Prefers-Color-Scheme“-Medienabfragen verwendet wird, was eine Optimierung der Website ermöglicht das Laden von CSS, das mit dem ausgewählten Schema verknüpft ist, und vermeidet sichtbare Wechsel von anderen Schemata.
  • Die Eigenschaft Object.hasOwn wurde hinzugefügt, eine vereinfachte Version von Object.prototype.hasOwnProperty, implementiert als statische Methode. Object.hasOwn({ prop: 42 }, 'prop') // → true
  • Der JIT-Compiler von Sparkplug wurde für eine sehr schnelle Brute-Force-Kompilierung entwickelt und hat einen Batch-Ausführungsmodus hinzugefügt, um den Overhead beim Wechseln von Speicherseiten zwischen Schreib- und Ausführungsmodus zu reduzieren. Sparkplug kompiliert jetzt mehrere Funktionen gleichzeitig und ruft mprotect einmal auf, um die Berechtigungen der gesamten Gruppe zu ändern. Der vorgeschlagene Modus reduziert die Kompilierungszeit erheblich (bis zu 44 %), ohne die Ausführungsleistung von JavaScript negativ zu beeinflussen.
    Chrome-Version 93
  • Die Android-Version deaktiviert den integrierten Schutz der V8-Engine gegen Seitenkanalangriffe wie Spectre, die als nicht so effektiv gelten wie die Isolierung von Websites in separaten Prozessen. In der Desktop-Version wurden diese Mechanismen bereits in der Veröffentlichung von Chrome 70 deaktiviert. Durch die Deaktivierung unnötiger Prüfungen konnte die Leistung um 2–15 % gesteigert werden.
    Chrome-Version 93
  • Es wurden Verbesserungen an den Tools für Webentwickler vorgenommen. Im Stylesheet-Inspektionsmodus ist es möglich, Abfragen zu bearbeiten, die mit dem @container-Ausdruck generiert wurden. Im Netzwerkinspektionsmodus ist eine Vorschau von Ressourcen im Web-Bundle-Format implementiert. In der Webkonsole wurden dem Kontextmenü Optionen zum Kopieren von Strings in Form von JavaScript- oder JSON-Literalen hinzugefügt. Verbessertes Debuggen von CORS-bezogenen Fehlern (Cross-Origin Resource Sharing).
    Chrome-Version 93

Neben Neuerungen und Fehlerbehebungen beseitigt die neue Version 27 Schwachstellen. Viele der Schwachstellen wurden als Ergebnis automatisierter Tests mit den Tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL identifiziert. Es wurden keine kritischen Probleme identifiziert, die es ermöglichen würden, alle Ebenen des Browserschutzes zu umgehen und Code auf dem System außerhalb der Sandbox-Umgebung auszuführen. Im Rahmen des Programms zur Auszahlung von Geldprämien für die Entdeckung von Schwachstellen in der aktuellen Version zahlte Google 19 Auszeichnungen im Wert von 136500 US-Dollar (drei Auszeichnungen im Wert von 20000 US-Dollar, eine Auszeichnung im Wert von 15000 US-Dollar, drei Auszeichnungen im Wert von 10000 US-Dollar, ein Preis im Wert von 7500 US-Dollar, drei Auszeichnungen im Wert von 5000 US-Dollar und drei Auszeichnungen im Wert von 3000 US-Dollar). Die Höhe der 5 Belohnungen steht noch nicht fest.

Source: opennet.ru

Kommentar hinzufügen