Google lanzamiento del navegador web ... Simultaneamente lanzamiento estable de un proyecto libre , que es la base de Chrome. navegador cromo el uso de logotipos de Google, la presencia de un sistema para enviar notificaciones en caso de falla, la capacidad de cargar el módulo Flash a pedido, módulos para reproducir contenido de video protegido (DRM), un sistema de actualización automática y transmisión en búsqueda . El próximo lanzamiento de Chrome 77 está programado para el 10 de septiembre.
:
- por defecto, el modo de protección de cookies de terceros, que en ausencia del atributo SameSite en el encabezado Set-Cookie, por defecto es "SameSite=Lax", restringiendo el envío de Cookies para inserciones de sitios de terceros (pero los sitios seguirán ser capaz de anular la restricción configurando explícitamente la configuración de Cookie en SameSite=None). Hasta ahora, el navegador ha pasado una cookie en cualquier solicitud a un sitio que tiene un conjunto de cookies, incluso si otro sitio se abrió originalmente, y la solicitud se realiza indirectamente al cargar una imagen o mediante un iframe. En el modo 'Lax', la transmisión de cookies se bloquea solo para subsolicitudes entre sitios, como solicitar una imagen o descargar contenido a través de un iframe, que a menudo se usan para lanzar ataques CSRF y rastrear los movimientos de los usuarios entre sitios.
- Dejó de reproducir contenido Flash de forma predeterminada. Hasta el lanzamiento de Chrome 87, previsto para diciembre de 2020, se puede devolver la compatibilidad con Flash en la configuración (Avanzado > Privacidad y seguridad > Configuración del sitio), seguido de una confirmación explícita de la operación para reproducir contenido Flash para cada sitio (la confirmación se recuerda hasta el navegador se reinicia). La eliminación completa del código para admitir Flash está sincronizada con el plan anterior de Adobe para finalizar el soporte para Flash en 2020;
- Para las empresas, se ha agregado a la barra de direcciones la capacidad de buscar archivos en el almacenamiento de Google Drive;
- Iniciado en Chrome, anuncios inapropiados que interfieren con la experiencia y no cumplen con los criterios establecidos por Ad Improvement Coalition;
- Se ha implementado un modo adaptativo de cambiar a una nueva página, en el que el contenido actual se borra y el fondo blanco no se muestra inmediatamente, sino después de un breve retraso. Para las páginas de carga rápida, el borrado solo produce un parpadeo y no lleva una carga útil diseñada para informar al usuario que una nueva página está comenzando a cargarse. En la nueva versión, si la página se abre rápidamente y cabe dentro de un pequeño retraso, la nueva página se muestra en su lugar, reemplazando sin problemas a la anterior (por ejemplo, es conveniente cuando se cambia a otras páginas del mismo sitio que son similares). en diseño y combinación de colores). Si la página tarda algún tiempo en ser visible para el usuario, la pantalla se borrará previamente como antes;
- Se han endurecido los criterios para determinar la actividad del usuario en la página. Chrome solo permite que se reproduzcan notificaciones emergentes y contenido de video/audio molesto después de que el usuario interactúe con la página. En la nueva versión, presionar Escape, pasar el cursor sobre un enlace y tocar la pantalla ya no se tratan como interacciones de activación de página (requiere un clic explícito, escribir o desplazarse);
- la consulta de medios "prefiere-color-scheme", que permite que los sitios detecten si el navegador está usando un tema oscuro y habilita automáticamente la oscuridad para el sitio que se está viendo.
- Cuando habilita el tema oscuro en compilaciones para Linux, la barra de direcciones ahora se muestra en color oscuro;
- la capacidad de determinar la apertura de una página en modo de incógnito a través de manipulaciones con la API FileSystem, que algunas publicaciones utilizaron anteriormente para imponer una suscripción paga en caso de apertura anónima de páginas sin recordar Cookies (para que los usuarios no usen el modo privado para eludir el mecanismo para proporcionar acceso de prueba gratuito). Anteriormente, cuando se trabajaba en modo de incógnito, el navegador bloqueaba el acceso a la API de FileSystem para evitar que los datos se establecieran entre sesiones, lo que permitía que JavaScript verificara la capacidad de guardar datos a través de la API de FileSystem y, en caso de falla, juzgar la actividad del modo de incógnito. . Ahora el acceso a la API de FileSystem no está bloqueado y el contenido se borra después de que finaliza la sesión;
- nuevos retos en
Solicitud de pago API y controlador de pago. Apareció un nuevo método changePaymentMethod() en el objeto PaymentRequestEvent, y se agregó un nuevo controlador de eventos de Paymentmethodchange al objeto PaymentRequest, que permite que el sitio o la aplicación web que cobra los pagos responda al usuario que cambia el método de pago. La nueva versión también facilita la prueba de aplicaciones utilizando certificados autofirmados en las API relacionadas con pagos. Se agregó una nueva opción de línea de comandos "--ignore-certificate-errors" para ignorar los errores de validación de certificados durante el desarrollo; - En la barra de direcciones junto al botón de marcador para las aplicaciones web que se ejecutan en el modo Desktop Progressive Web Apps (PWA), un acceso directo para instalar una aplicación web en el sistema para que funcione como un programa independiente;
- Para dispositivos móviles, se proporciona la capacidad de controlar la visualización de un minipanel con una invitación para agregar una aplicación a la pantalla de inicio. Para las aplicaciones PWA (Progressive Web App), el minibar predeterminado se muestra automáticamente cuando abre el sitio por primera vez. El desarrollador ahora puede negarse a mostrar este panel e implementar su propio indicador de instalación, para lo cual puede configurar un controlador de eventos.
beforeinstallprompt y adjunte una llamada a preventDefault();
- Aumentó la frecuencia de las comprobaciones de actualización de las aplicaciones PWA (Progressive Web App) instaladas en el entorno de Android. Las actualizaciones de WebAPK ahora se verifican una vez al día en lugar de cada tres días como antes. Si se detecta un cambio en al menos una propiedad clave en el manifiesto durante dicha verificación, el navegador descargará e instalará un nuevo WebAPK;
- En la API agregó la capacidad de leer y escribir imágenes mediante programación a través del portapapeles usando los métodos navigator.clipboard.read() y navigator.clipboard.write();
- Soporte implementado para un grupo de encabezados HTTP (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site y Sec-Fetch-User), que le permiten enviar metadatos adicionales sobre la naturaleza de la solicitud (solicitud entre sitios, solicitud a través de la etiqueta img , etc.) para que un servidor acepte las medidas de protección contra algunos tipos de ataques (por ejemplo, es poco probable que se establezca un enlace al controlador de transferencia de dinero a través de la etiqueta img, por lo que dichas solicitudes pueden bloquearse sin pasarse). a la solicitud);
- Característica añadida , que inicia un envío programático de los datos del formulario, similar a hacer clic en el botón Enviar. La función se puede utilizar al desarrollar sus propios botones de envío de formularios, para los cuales llamar a form.submit() no es suficiente debido al hecho de que no conduce a la validación de parámetros interactivos, genera el evento 'enviar' y pasa los datos vinculados a el botón de enviar;
- Característica agregada a IndexedDB que permite que se confirmen las transacciones asociadas con un objeto IDBTransaction sin esperar a que se completen los controladores de eventos en todas las solicitudes asociadas. El uso de commit() le permite aumentar el rendimiento de las solicitudes de escritura y lectura en el almacenamiento y controlar explícitamente la finalización de la transacción;
- Opciones agregadas a las funciones Intl.DateTimeFormat como formatToParts() y resolveOptions() , que le permiten solicitar estilos específicos de la configuración regional para mostrar fechas y horas;
- El método BigInt.prototype.toLocaleString() se ha cambiado para dar formato a los números según la configuración regional, mientras que el método Intl.NumberFormat.prototype.format() y la función formatToParts() se han adaptado para admitir valores de entrada BigInt;
- API permitida en todos los tipos de Web Workers, que se pueden utilizar para seleccionar los parámetros óptimos al crear un MediaStream a partir de un trabajador;
- Método agregado , que devuelve solo las promesas cumplidas o rechazadas, ignorando las pendientes;
- Se eliminó la opción "--disable-infobars" que anteriormente se podía usar para ocultar las advertencias emergentes en la interfaz de Chrome (se ha propuesto CommandLineFlagSecurityWarningsEnabled para ocultar las advertencias relacionadas con la seguridad);
- Ir a la interfaz para trabajar con blobs métodos text(), arrayBuffer() y stream() para leer ciertos tipos de datos;
- Se agregó la propiedad CSS "white-space:break-spaces", que especifica que cualquier secuencia de espacios en blanco que conduzca al desbordamiento de línea debe romperse;
- Se ha comenzado a trabajar en la limpieza de banderas en chrome://flags, por ejemplo, una bandera para deshabilitar el atributo "ping", que permite a los propietarios de sitios realizar un seguimiento de los clics en los enlaces de sus páginas. En el caso de seguir un enlace con el atributo "ping=URL" en la etiqueta "a href", el navegador ya no puede deshabilitar el envío de una solicitud POST adicional a la URL especificada en el atributo con información sobre la transición. El punto de bloqueo de ping se pierde porque este atributo en las especificaciones de HTML5, y hay muchas soluciones alternativas para hacer lo mismo (por ejemplo, reenviar a través de un enlace de tránsito o hacer clic en enlaces con controladores de JavaScript);
- Bandera eliminada para deshabilitar , en el que las páginas de diferentes hosts siempre se ubican en la memoria de diferentes procesos, cada uno de los cuales usa su propia caja de arena.
- En el motor V8, el rendimiento de escaneo y análisis del formato JSON se ha incrementado significativamente. Para páginas web populares, JSON.parse es hasta 2.7 veces más rápido. La conversión de cadenas Unicode se ha acelerado considerablemente, por ejemplo, la velocidad de las llamadas a String#localeCompare, String#normalize, así como algunas API internacionales, casi se ha duplicado. El rendimiento de las operaciones con matrices congeladas también se ha optimizado significativamente cuando se utilizan operaciones como frozen.indexOf(v), frozen.includes(v), fn(…frozen), fn(…[…frozen]) y fn.apply(this , [… congelado]).
Además de las innovaciones y correcciones de errores, la nueva versión elimina . Muchas de las vulnerabilidades se identificaron como resultado de herramientas de prueba automatizadas. , , , и . No se han identificado problemas críticos que permitan eludir todos los niveles de protección del navegador y ejecutar código en el sistema fuera del entorno sandbox. Como parte del programa de recompensas por vulnerabilidades para la versión actual, Google pagó 16 bonos por valor de $23500 10000 (un bono de $6000 3000, un bono de $500, dos bonos de $9 y tres bonos de $XNUMX). La cantidad de XNUMX recompensas aún no se ha determinado.
Fuente: opennet.ru