Google lanzamiento del navegador web ... Simultaneamente lanzamiento estable de un proyecto libre , que es la base de Chrome. navegador cromo el uso de logotipos de Google, la presencia de un sistema para enviar notificaciones en caso de falla, la capacidad de cargar el módulo Flash a pedido, módulos para reproducir contenido de video protegido (DRM), un sistema de actualización automática y transmisión en búsqueda . El próximo lanzamiento de Chrome 85 está previsto para el 25 de agosto.
:
- soporte para protocolos TLS 1.0 y TLS 1.1. Para acceder a sitios a través de un canal de comunicación seguro, el servidor debe brindar soporte para al menos TLS 1.2; de lo contrario, el navegador mostrará un error. Según Google, actualmente alrededor del 0.5% de las descargas de páginas web se siguen realizando con versiones obsoletas de TLS. El cierre se llevó a cabo de acuerdo con IETF (Grupo de Trabajo de Ingeniería de Internet). El motivo del rechazo de TLS 1.0/1.1 es la falta de soporte para cifrados modernos (por ejemplo, ECDHE y AEAD) y el requisito de soportar cifrados antiguos, cuya confiabilidad está en duda en la etapa actual de desarrollo de la tecnología informática (por ejemplo , se requiere soporte para TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 y SHA-1). La configuración que permite el regreso a TLS 1.0/1.1 se mantendrá hasta enero de 2021.
- Bloqueo proporcionado (sin cifrado) de archivos ejecutables y advertencias agregadas al cargar archivos de forma insegura. En el futuro, está previsto dejar de admitir gradualmente la carga de archivos sin cifrado. El bloqueo se implementa porque la descarga de archivos sin cifrado se puede utilizar para realizar acciones maliciosas al reemplazar el contenido durante los ataques MITM.
- apoyo inicial , desarrollado como una alternativa al encabezado User-Agent. El mecanismo Client Hints ofrece una serie de encabezados "Sec-CH-UA-*" como reemplazo de User-Agent, que le permite organizar la entrega selectiva de datos sobre parámetros específicos del navegador y del sistema (versión, plataforma, etc.) únicamente. después de una solicitud por parte del servidor. El usuario tiene la oportunidad de determinar qué parámetros son aceptables para la entrega y proporcionar dicha información de forma selectiva a los propietarios del sitio. Cuando se utilizan Client Hints, el identificador no se transmite de forma predeterminada sin una solicitud explícita, lo que imposibilita la identificación pasiva (de forma predeterminada, solo se indica el nombre del navegador). en hasta el año que viene.
- activación
más estricto transferencia de Cookies entre sitios, que fue debido al COVID-19. Para solicitudes que no sean HTTPS, está prohibido el procesamiento de Cookies de terceros establecidas al acceder a sitios distintos al dominio de la página actual. Estas cookies se utilizan para rastrear los movimientos de los usuarios entre sitios en el código de redes publicitarias, widgets de redes sociales y sistemas de análisis web.Recuerde que para controlar la transmisión de Cookies se utiliza el atributo SameSite especificado en el encabezado Set-Cookie, que por defecto tendrá el valor “SameSite=Lax”, lo que limita el envío de Cookies para subsolicitudes entre sitios. , como una solicitud de imagen o cargar contenido a través de un iframe desde otro sitio. Los sitios pueden anular el comportamiento predeterminado de SameSite estableciendo explícitamente la configuración de Cookie en SameSite=None. Además, el valor SameSite=None para Cookie sólo se puede configurar en modo seguro (válido para conexiones a través de HTTPS). El cambio se implementará por etapas, comenzando con un pequeño porcentaje de usuarios y luego ampliando gradualmente su alcance.
- Implementación experimental agregada , que se puede habilitar usando la configuración “chrome://flags/#enable-heavy-ad-intervention”. El bloqueador le permite deshabilitar automáticamente los bloques de publicidad de iframe después de que se excedan los umbrales de tráfico y carga de CPU. El bloqueo se activará si el hilo principal ha consumido más de 60 segundos de tiempo de CPU en total o 15 segundos en un intervalo de 30 segundos (consumiendo el 50% de los recursos durante más de 30 segundos), así como cuando se consuman más de 4 MB. de datos se ha descargado a través de la red.
El bloqueo sólo funcionará si, antes de superar los límites, el usuario no interactuó con el bloque publicitario (por ejemplo, no hizo clic en él), lo que, teniendo en cuenta las restricciones de tráfico, permitirá la reproducción automática de grandes Los vídeos publicitarios se bloquearán sin que el usuario active explícitamente la reproducción. Las medidas propuestas salvarán a los usuarios de publicidad con implementación de código ineficiente o actividad parasitaria deliberada (por ejemplo, minería). Según las estadísticas de Google, la publicidad que cumple con los criterios de bloqueo representa solo el 0.30% de todas las unidades publicitarias, pero al mismo tiempo, dichas inserciones publicitarias consumen el 28% de los recursos de la CPU y el 27% del tráfico del volumen total de publicidad.
- Se ha trabajado para reducir el consumo de recursos de la CPU cuando la ventana del navegador no está en el campo de visión del usuario. Chrome ahora comprueba si la ventana del navegador está superpuesta con otras ventanas y evita dibujar píxeles en áreas superpuestas. La nueva característica se implementará gradualmente: la optimización se habilitará selectivamente para algunos usuarios en Chrome 84 y para otros en Chrome 85.
- La protección está habilitada de forma predeterminada , por ejemplo, spam con solicitudes para recibir notificaciones automáticas. Dado que tales solicitudes interrumpen el trabajo del usuario y distraen la atención de las acciones en los cuadros de diálogo de confirmación, en lugar de un cuadro de diálogo separado en la barra de direcciones, se mostrará un mensaje de información que no requiere acción por parte del usuario con una advertencia de que la solicitud de permisos está bloqueada. , que se minimiza automáticamente a un indicador con la imagen de una campana tachada. Al hacer clic en el indicador, puede activar o rechazar el permiso solicitado en cualquier momento conveniente.
- La elección del usuario se recuerda al abrir controladores para protocolos externos: el usuario puede seleccionar "permitir siempre este sitio" para un controlador específico y el navegador recordará esta decisión en relación con el sitio actual.
- Protección adicional contra cambios en la configuración del usuario sin consentimiento explícito. Si el complemento cambia el motor de búsqueda predeterminado o la página que se muestra para una nueva pestaña, el navegador ahora mostrará un cuadro de diálogo pidiéndole que confirme la operación especificada o cancele el cambio.
- implementación de protección contra la carga de contenido multimedia mixto (cuando los recursos se cargan en una página HTTPS a través del protocolo http://). En las páginas abiertas a través de HTTPS, los enlaces “http://” ahora se reemplazarán automáticamente con “https://” en los bloques asociados con la carga de imágenes (anteriormente se reemplazaron los scripts y los iframes, se espera el reemplazo automático de los recursos de audio y video en la próxima versión). Si una imagen no está disponible a través de https, su descarga se bloquea (puedes marcar manualmente el bloqueo a través del menú accesible mediante el símbolo del candado en la barra de direcciones).
- Soporte API agregado (desarrollado como API del receptor de SMS), que le permite organizar la entrada de una contraseña de un solo uso en una página web después de recibir un mensaje SMS con un código de confirmación entregado al teléfono inteligente Android del usuario en el que se ejecuta el navegador. La confirmación por SMS, por ejemplo, se puede utilizar para verificar el número de teléfono especificado por el usuario durante el registro. Si antes el usuario tenía que abrir la aplicación de SMS, copiar el código al portapapeles, volver al navegador y pegar este código, entonces la nueva API permite automatizar este proceso y reducirlo a un solo toque.
- API ampliada
para controlar la reproducción de la animación web. La nueva versión agrega soporte para operaciones de composición, lo que le permite controlar cómo se combinan los efectos y proporciona nuevos controladores que se llaman cuando ocurren eventos de reemplazo de contenido. La API de animaciones web ahora también admite Promise para definir el orden en que se muestran las animaciones y controlar mejor cómo interactúan las animaciones con otras funciones de la aplicación. - Se han agregado varias API nuevas al modo de prueba de Origin (funciones experimentales que requieren activación por separado). Origin Trial implica la capacidad de trabajar con la API especificada desde aplicaciones descargadas de localhost o 127.0.0.1, o después de registrarse y recibir un token especial que es válido por un tiempo limitado para un sitio específico.
- API para el acceso de los trabajadores del servicio a las cookies HTTP, que sirven como una alternativa asincrónica al uso de document.cookie.
- API para detectar la inactividad del usuario, lo que le permite detectar el momento en que el usuario no está interactuando con el teclado/ratón, el protector de pantalla está ejecutándose, la pantalla está bloqueada o se está trabajando en otro monitor. La información a la aplicación sobre la inactividad se realiza enviando una notificación después de alcanzar un umbral de inactividad específico.
- régimen , permite al desarrollador utilizar un aislamiento más completo del procesamiento de contenido en un proceso separado en relación con la fuente (origen - dominio + puerto + protocolo), en lugar del sitio, a costa de suspender el soporte para algunas características heredadas, como la sincrónica. ejecución de scripts utilizando document.domain y llamando a postMessage() para publicar mensajes en instancias WebAssembly.Module. En otras palabras, Origin Isolation le permite organizar la separación entre diferentes procesos en función del dominio del recurso y no del sitio con todas las inclusiones extrañas en las páginas.
- API para utilizar instrucciones vectoriales SIMD en aplicaciones en formato WebAssembly. Para garantizar la independencia de la plataforma, ofrece un nuevo tipo de 128 bits que puede representar diferentes tipos de datos empaquetados y varias operaciones vectoriales básicas para procesar datos empaquetados. SIMD le permite aumentar la productividad al paralelizar el procesamiento de datos y será útil al compilar código nativo en WebAssembly. Para habilitar la compatibilidad con SIMD, puede utilizar la configuración "chrome://flags/#enable-webassembly-simd".
- Estabilizado y ahora distribuido fuera de Origin Trials
API , que proporciona metadatos sobre el contenido previamente almacenado en caché por aplicaciones web que se ejecutan en modo Progressive Web Apps (PWS). La aplicación puede guardar diversos datos en el lado del navegador, incluidas imágenes, vídeos y artículos, y cuando se pierde la conexión de red, utilizarla mediante las API Cache Storage e IndexedDB. La API de indexación de contenido permite agregar, buscar y eliminar dichos recursos. En el navegador, esta API ya se utiliza para mostrar una lista de páginas y datos multimedia disponibles para ver sin conexión. - Versión API estabilizada basado en el mecanismo Promise, que proporciona una forma más segura de controlar la desactivación de pantallas de bloqueo automático y el cambio de dispositivos a modos de ahorro de energía.
- En la versión para la plataforma Android. soporte para accesos directos a aplicaciones, lo que le permite proporcionar acceso rápido a acciones típicas populares en la aplicación. Para crear accesos directos, simplemente agregue elementos al manifiesto de la aplicación web en formato PWA (Progressive Web Apps).
- Web Worker puede utilizar API , que le permite definir un controlador para generar un informe, llamado cuando se accede a capacidades obsoletas. El informe generado se puede guardar, enviar al servidor o procesar mediante un script JavaScript a discreción del usuario.
- API actualizada , que le permite conectar un controlador al que se enviarán notificaciones sobre cambios en el tamaño de los elementos especificados en la página. Se han agregado tres nuevas propiedades a ResizeObserverEntry: contentBoxSize, borderBoxSize y devicePixelContentBoxSize para proporcionar información más granular, devuelta como una matriz de objetos ResizeObserverSize.
- Palabra clave agregada "» para restablecer el estilo del elemento a su valor predeterminado.
- Se eliminó el prefijo para las propiedades CSS "-webkit-appearance" y "-webkit-ruby-position", que ahora están disponibles como ""Y"«.
- En JavaScript soporte para marcar métodos y propiedades de una clase como privados, después de lo cual el acceso a ellos estará abierto solo dentro de la clase (anteriormente solo los campos podían ser privados). Para marcar métodos y propiedades como privados: antes del nombre del campo hay un signo “#”.
- En JavaScript apoyar (referencia débil) a objetos JavaScript que le permiten conservar una referencia al objeto, pero no impiden que el recolector de basura elimine el objeto asociado. También se agregó soporte para finalizadores, lo que permite definir un controlador que se llama después de que se completa la recolección de basura del objeto especificado.
- El lanzamiento de aplicaciones en WebAssembly se ha acelerado gracias a la implementación en el compilador Liftoff inicial (de referencia) и . Se han mejorado las herramientas para depurar WebAssembly, el rendimiento de la depuración se ha mejorado significativamente cuando se utilizan puntos de interrupción (anteriormente, para la depuración se usaba el intérprete y ahora el compilador Liftoff).
- En herramientas para desarrolladores web pphttps://developers.google.com/web/updates/2020/05/devtools se ha actualizado el panel para análisis de rendimiento. Se agregó información general sobre la métrica. (Tiempo total de bloqueo), que muestra cuánto tiempo la página parece estar disponible, pero en realidad no está disponible (es decir, la página ya se ha renderizado, pero la ejecución del hilo principal aún está bloqueada y la entrada de datos no es posible). Se agregó una nueva sección de Experiencia para análisis de métricas. (Cambio de diseño acumulativo), que refleja la estabilidad visual del contenido. El panel de inspección de estilos CSS proporciona una vista previa de las imágenes especificadas a través de la propiedad "imagen de fondo".
Además de las innovaciones y correcciones de errores, la nueva versión elimina . Muchas de las vulnerabilidades se identificaron como resultado de herramientas de prueba automatizadas. , , , и . Un problema (CVE-2020-6510, desbordamiento del búfer en el controlador de recuperación en segundo plano) está marcado como crítico, es decir. le permite omitir todos los niveles de protección del navegador y ejecutar código en el sistema fuera del entorno sandbox. Como parte del programa para pagar recompensas en efectivo por descubrir vulnerabilidades para la versión actual, Google pagó 26 premios por valor de 21500 dólares (dos premios de 5000 dólares, dos premios de 3000 dólares, un premio de 2000 dólares, dos premios de 1000 dólares y tres premios de 500 dólares). Aún no se ha determinado el tamaño de las 16 recompensas.
Fuente: opennet.ru