Chrome-Version 94

Google hat die Veröffentlichung des Webbrowsers Chrome 94 vorgestellt. Gleichzeitig ist eine stabile Version des kostenlosen Chromium-Projekts verfügbar, das als Basis von Chrome dient. Der Chrome-Browser zeichnet sich durch die Verwendung von Google-Logos, das Vorhandensein eines Systems zum Versenden von Benachrichtigungen im Falle eines Absturzes, Module zum Abspielen geschützter Videoinhalte (DRM), ein System zur automatischen Installation von Updates und die Übermittlung von RLZ-Parametern bei der Suche aus. Die nächste Veröffentlichung von Chrome 95 ist für den 19. Oktober geplant.

Beginnend mit der Veröffentlichung von Chrome 94 wurde die Entwicklung auf einen neuen Veröffentlichungszyklus umgestellt. Neue wichtige Releases werden nun alle 4 Wochen statt alle 6 Wochen veröffentlicht, was eine schnellere Bereitstellung neuer Funktionen für Benutzer ermöglicht. Es wird darauf hingewiesen, dass die Optimierung des Release-Vorbereitungsprozesses und die Verbesserung des Testsystems eine häufigere Generierung von Releases ohne Qualitätseinbußen ermöglichen. Für Unternehmen und diejenigen, die mehr Zeit für die Aktualisierung benötigen, wird alle 8 Wochen separat eine Extended Stable Edition veröffentlicht, die es Ihnen ermöglicht, nicht alle 4 Wochen, sondern alle 8 Wochen auf neue Feature-Releases zu wechseln.

Wichtige Änderungen in Chrome 94:

• HTTPS-First-Modus hinzugefügt, der an den HTTPS-Only-Modus erinnert, der zuvor in Firefox erschien. Wenn der Modus in den Einstellungen aktiviert ist, versucht der Browser beim Versuch, eine Ressource ohne Verschlüsselung über HTTP zu öffnen, zunächst, über HTTPS auf die Site zuzugreifen, und wenn der Versuch nicht erfolgreich ist, wird dem Benutzer eine Warnung über das Fehlen von HTTPS angezeigt HTTPS-Unterstützung und gebeten, die Site ohne Verschlüsselung zu öffnen. In Zukunft erwägt Google, HTTPS-First standardmäßig für alle Nutzer zu aktivieren, den Zugriff auf einige Funktionen der Webplattform für über HTTP geöffnete Seiten einzuschränken und zusätzliche Warnungen hinzuzufügen, um Nutzer über die Risiken zu informieren, die beim Zugriff auf Websites ohne Verschlüsselung entstehen. Der Modus wird im Einstellungsbereich „Datenschutz und Sicherheit“ > „Sicherheit“ > „Erweitert“ aktiviert.
• Für Seiten, die ohne HTTPS geöffnet werden, Senden von Anfragen (Herunterladen von Ressourcen) an lokale URLs (z. B. „http://router.local“ und localhost) und interne Adressbereiche (127.0.0.0/8, 192.168.0.0/16, 10.0.0.0) ist verboten .8/1.2.3.4 usw.). Eine Ausnahme gilt nur für Seiten, die von Servern mit internen IPs heruntergeladen werden. Beispielsweise kann eine vom Server 192.168.0.1 geladene Seite nicht auf eine Ressource zugreifen, die sich auf IP 127.0.0.1 oder IP 192.168.1.1 befindet, wohl aber, wenn sie vom Server XNUMX geladen wird. Die Änderung führt eine zusätzliche Schutzebene gegen die Ausnutzung von Schwachstellen in Handlern ein, die Anfragen an lokale IPs akzeptieren, und schützt außerdem vor DNS-Rebinding-Angriffen.
• Die Funktion „Sharing Hub“ wurde hinzugefügt, mit der Sie schnell einen Link zur aktuellen Seite mit anderen Benutzern teilen können. Es ist möglich, aus einer URL einen QR-Code zu generieren, eine Seite zu speichern, einen Link an ein anderes Gerät zu senden, das mit einem Benutzerkonto verknüpft ist, und einen Link an Websites Dritter wie Facebook, WhatsUp, Twitter und VK zu übertragen. Diese Funktion steht noch nicht allen Benutzern zur Verfügung. Um den „Teilen“-Button im Menü und in der Adressleiste zu erzwingen, können Sie die Einstellungen „chrome://flags/#sharing-hub-desktop-app-menu“ und „chrome://flags/#sharing-hub-“ verwenden. Desktop-Omnibox“ .
• Die Browser-Einstellungsoberfläche wurde neu strukturiert. Jeder Einstellungsbereich wird jetzt auf einer separaten Seite und nicht auf einer gemeinsamen Seite angezeigt.
• Es wurde eine Unterstützung für die dynamische Aktualisierung des Protokolls ausgestellter und widerrufener Zertifikate (Certificate Transparency) implementiert, die nun ohne Bezug auf Browser-Updates aktualisiert wird.
• Es wurde eine Serviceseite „chrome://whats-new“ mit einer Übersicht über für den Benutzer sichtbare Änderungen in der neuen Version hinzugefügt. Die Seite erscheint automatisch unmittelbar nach der Aktualisierung oder ist über die Schaltfläche „Neuigkeiten“ im Hilfemenü zugänglich. Auf der Seite werden derzeit die Tab-Suche, die Möglichkeit zum Teilen von Profilen und eine Funktion zum Ändern der Hintergrundfarbe erwähnt, die nicht spezifisch für Chrome 94 sind und in früheren Versionen eingeführt wurden. Die Anzeige der Seite ist noch nicht für alle Benutzer aktiviert: Um die Aktivierung zu steuern, können Sie die Einstellungen „chrome://flags#chrome-whats-new-ui“ und „chrome://flags#chrome-whats-new-in“ verwenden -Hauptmenü- Neues-Badge".
• Der Aufruf der WebSQL-API über Inhalte, die von Websites Dritter (z. B. einem Iframe) geladen wurden, ist veraltet. In Chrome 94 wird beim Versuch, über Skripts von Drittanbietern auf WebSQL zuzugreifen, eine Warnung angezeigt, aber ab Chrome 97 werden solche Aufrufe blockiert. Für die Zukunft planen wir, die Unterstützung für WebSQL unabhängig vom Nutzungskontext vollständig einzustellen. Die WebSQL-Engine basiert auf SQLite-Code und könnte von Angreifern verwendet werden, um Schwachstellen in SQLite auszunutzen.
• Aus Sicherheitsgründen und zur Verhinderung böswilliger Aktivitäten wurde damit begonnen, die Verwendung des alten Protokolls MK (URL:MK), das einst im Internet Explorer verwendet wurde und es Webanwendungen ermöglichte, Informationen aus komprimierten Dateien zu extrahieren, zu blockieren.
• Die Unterstützung für die Synchronisierung mit älteren Chrome-Versionen (Chrome 48 und älter) wurde eingestellt.
• Der Permissions-Policy-HTTP-Header, der bestimmte Funktionen aktivieren und den Zugriff auf die API steuern soll, hat Unterstützung für das Flag „display-capture“ hinzugefügt, mit dem Sie die Verwendung der Screen Capture-API auf der Seite steuern können (standardmäßig die Möglichkeit, Bildschirminhalte von externen Iframes zu erfassen, ist blockiert.
• Dem Origin-Testmodus (experimentelle Funktionen, die eine separate Aktivierung erfordern) wurden mehrere neue APIs hinzugefügt. Die Origin-Testversion impliziert die Möglichkeit, mit der angegebenen API aus Anwendungen zu arbeiten, die von localhost oder 127.0.0.1 heruntergeladen wurden, oder nach der Registrierung und dem Erhalt eines speziellen Tokens, das für eine begrenzte Zeit für eine bestimmte Site gültig ist.
  • Die WebGPU-API wurde hinzugefügt, die die WebGL-API ersetzt und Tools zum Ausführen von GPU-Vorgängen wie Rendering und Computing bereitstellt. Konzeptionell ähnelt WebGPU den APIs Vulkan, Metal und Direct3D 12. Konzeptionell unterscheidet sich WebGPU von WebGL in etwa auf die gleiche Weise, wie sich die Vulkan-Grafik-API von OpenGL unterscheidet, basiert jedoch nicht auf einer bestimmten Grafik-API, sondern ist universell Ebene, die dieselben Low-Level-Grundelemente verwendet, die in Vulkan, Metal und Direct3D 12 verfügbar sind.

    WebGPU bietet JavaScript-Anwendungen eine einfache Kontrolle über die Organisation, Verarbeitung und Übertragung von Befehlen an die GPU sowie die Möglichkeit, zugehörige Ressourcen, Speicher, Puffer, Texturobjekte und kompilierte Grafik-Shader zu verwalten. Mit diesem Ansatz können Sie eine höhere Leistung für Grafikanwendungen erzielen, indem Sie die Gemeinkosten senken und die Effizienz der Arbeit mit der GPU steigern. Die API ermöglicht auch die Erstellung komplexer 3D-Projekte für das Web, die genauso gut funktionieren wie eigenständige Programme, aber nicht an bestimmte Plattformen gebunden sind.

  • Eigenständige PWA-Anwendungen haben jetzt die Möglichkeit, sich als URL-Handler zu registrieren. Beispielsweise kann sich die Anwendung „music.example.com“ als URL-Handler https://*.music.example.com registrieren und alle Übergänge von externen Anwendungen, die diese Links verwenden, beispielsweise von Instant Messengern und E-Mail-Clients, führen Zum Öffnen dieser PWA-Anwendungen gehört kein neuer Browser-Tab.
  • Es wurde Unterstützung für den neuen HTTP-Antwortcode 103 implementiert, der zur vorzeitigen Anzeige von Headern verwendet werden kann. Mit Code 103 können Sie den Client unmittelbar nach der Anfrage über den Inhalt bestimmter HTTP-Header informieren, ohne darauf warten zu müssen, dass der Server alle mit der Anfrage verbundenen Vorgänge abgeschlossen und mit der Bereitstellung des Inhalts begonnen hat. Auf ähnliche Weise können Sie Hinweise zu Elementen im Zusammenhang mit der bereitgestellten Seite bereitstellen, die vorab geladen werden können (z. B. können Links zum auf der Seite verwendeten CSS und Javascript bereitgestellt werden). Sobald der Browser Informationen über solche Ressourcen erhalten hat, beginnt er mit dem Herunterladen, ohne auf die Fertigstellung der Hauptseite warten zu müssen. Dadurch können Sie die Gesamtverarbeitungszeit der Anfrage verkürzen.
• WebCodecs-API für die Bearbeitung von Medienströmen auf niedriger Ebene hinzugefügt und ergänzt die APIs HTMLMediaElement, Media Source Extensions, WebAudio, MediaRecorder und WebRTC auf hoher Ebene. Die neue API könnte in Bereichen wie Game-Streaming, Client-Nebeneffekten, Stream-Transkodierung und Unterstützung für nicht standardmäßige Multimedia-Container gefragt sein. Anstatt einzelne Codecs in JavaScript oder WebAssembly zu implementieren, bietet die WebCodecs-API Zugriff auf vorgefertigte, leistungsstarke Komponenten, die in den Browser integriert sind. Insbesondere stellt die WebCodecs-API Audio- und Videodecoder und -encoder, Bilddecoder und Funktionen für die Arbeit mit einzelnen Videobildern auf niedriger Ebene bereit.
• Die Insertable Streams API wurde stabilisiert und ermöglicht die Bearbeitung von Rohmedienströmen, die über die MediaStreamTrack-API übertragen werden, wie z. B. Kamera- und Mikrofondaten, Bildschirmaufnahmeergebnisse oder Zwischencodec-Decodierungsdaten. WebCodec-Schnittstellen werden verwendet, um Rohframes darzustellen, und es wird ein Stream generiert, der dem ähnelt, was die WebRTC Insertable Streams API basierend auf RTCPeerConnections generiert. Auf der praktischen Seite ermöglicht die neue API Funktionen wie die Anwendung maschineller Lerntechniken zur Identifizierung oder Kommentierung von Objekten in Echtzeit oder das Hinzufügen von Effekten wie Hintergrundausschnitt vor der Kodierung oder nach der Dekodierung durch einen Codec.
• Die Methode Scheduler.postTask() wurde stabilisiert, sodass Sie die Planung von Aufgaben (JavaScript-Rückrufaufrufe) mit unterschiedlichen Prioritätsstufen steuern können. Es stehen drei Prioritätsstufen zur Verfügung: 1- Ausführung zuerst, auch wenn Benutzervorgänge möglicherweise blockiert sind; 2 – Für den Benutzer sichtbare Änderungen sind zulässig; 3 - Ausführung im Hintergrund). Mit dem TaskController-Objekt können Sie die Priorität ändern und Aufgaben abbrechen.
• Stabilisiert und jetzt außerhalb der Origin Trials API Idle Detection verteilt, um Benutzerinaktivität zu erkennen. Mit der API können Sie Zeiten erkennen, in denen der Benutzer nicht mit der Tastatur/Maus interagiert, der Bildschirmschoner läuft, der Bildschirm gesperrt ist oder auf einem anderen Monitor gearbeitet wird. Die Benachrichtigung der Anwendung über Inaktivität erfolgt durch Versenden einer Benachrichtigung nach Erreichen eines bestimmten Inaktivitätsschwellenwerts.
• Der Prozess des Farbmanagements in CanvasRenderingContext2D- und ImageData-Objekten und die Verwendung des sRGB-Farbraums in ihnen wurde formalisiert. Bietet die Möglichkeit, CanvasRenderingContext2D- und ImageData-Objekte in anderen Farbräumen als sRGB zu erstellen, z. B. Display P3, um die erweiterten Funktionen moderner Monitore zu nutzen.
• Der VirtualKeyboard-API wurden Methoden und Eigenschaften hinzugefügt, um zu steuern, ob die virtuelle Tastatur angezeigt oder ausgeblendet wird, und um Informationen über die Größe der angezeigten virtuellen Tastatur zu erhalten.
• Mit JavaScript können Klassen statische Initialisierungsblöcke verwenden, um Code zu gruppieren, der einmal ausgeführt wird, wenn die Klasse verarbeitet wird: class C { // Der Block wird ausgeführt, wenn die Klasse selbst verarbeitet wird static { console.log("C's static block"); } }
• Die CSS-Eigenschaften „flex-basis“ und „flex“ implementieren die Schlüsselwörter „content“, „min-content“, „max-content“ und „fit-content“, um eine flexiblere Kontrolle über die Größe des Flexbox-Hauptbereichs zu ermöglichen.
• Die CSS-Eigenschaft scrollbar-gutter wurde hinzugefügt, um zu steuern, wie Platz auf dem Bildschirm für die Bildlaufleiste reserviert wird. Wenn Sie beispielsweise nicht möchten, dass Inhalte gescrollt werden, können Sie die Ausgabe so erweitern, dass sie den Bildlaufleistenbereich einnimmt.
• Die Self Profiling API wurde mit der Implementierung eines Profiling-Systems hinzugefügt, das es Ihnen ermöglicht, die Ausführungszeit von JavaScript auf der Benutzerseite zu messen, um Leistungsprobleme im JavaScript-Code zu beheben, ohne auf manuelle Manipulationen an der Schnittstelle für Webentwickler zurückgreifen zu müssen.
• Nach dem Entfernen des Flash-Plugins wurde beschlossen, leere Werte in den Eigenschaften navigator.plugins und navigator.mimeTypes zurückzugeben. Wie sich jedoch herausstellte, verwendeten einige Anwendungen diese, um das Vorhandensein von Plugins für die Anzeige von PDF-Dateien zu überprüfen. Da Chrome über einen integrierten PDF-Viewer verfügt, geben die Eigenschaften navigator.plugins und navigator.mimeTypes jetzt eine feste Liste von Standard-PDF-Viewer-Plugins und MIME-Typen zurück – „PDF Viewer, Chrome PDF Viewer, Chromium PDF Viewer, Microsoft Edge PDF Viewer“. und WebKit integriertes PDF".
• Es wurden Verbesserungen an den Tools für Webentwickler vorgenommen. Nest Hub- und Nest Hub Max-Geräte wurden zur Bildschirmsimulationsliste hinzugefügt. Der Schnittstelle zur Überprüfung der Netzwerkaktivität wurde eine Schaltfläche zum Umkehren von Filtern hinzugefügt (z. B. können Sie bei der Installation des Filters „Statuscode: 404“ schnell alle anderen Anfragen anzeigen) und bietet außerdem die Möglichkeit, die Originalwerte anzuzeigen ​​der Set-Cookie-Header (ermöglicht die Bewertung des Vorhandenseins falscher Werte, die bei der Normalisierung entfernt werden). Die Seitenleiste in der Webkonsole ist veraltet und wird in einer zukünftigen Version entfernt. Es wurde eine experimentelle Möglichkeit hinzugefügt, Probleme auf der Registerkarte „Probleme“ auszublenden. In den Einstellungen wurde die Möglichkeit hinzugefügt, die Sprache der Benutzeroberfläche auszuwählen.

Neben Neuerungen und Fehlerbehebungen beseitigt die neue Version 19 Schwachstellen. Viele der Schwachstellen wurden als Ergebnis automatisierter Tests mit den Tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL identifiziert. Es wurden keine kritischen Probleme identifiziert, die es ermöglichen würden, alle Ebenen des Browserschutzes zu umgehen und Code auf dem System außerhalb der Sandbox-Umgebung auszuführen. Im Rahmen des Programms zur Zahlung von Geldprämien für die Entdeckung von Schwachstellen in der aktuellen Version zahlte Google 17 Auszeichnungen im Wert von 56500 US-Dollar aus (eine Auszeichnung in Höhe von 15000 US-Dollar, zwei Auszeichnungen in Höhe von 10000 US-Dollar, eine Auszeichnung in Höhe von 7500 US-Dollar, vier Auszeichnungen in Höhe von 3000 US-Dollar und zwei Auszeichnungen in Höhe von 1000 US-Dollar). Die Höhe der 7 Belohnungen steht noch nicht fest.

Source: opennet.ru