ProHoster > Blogi > internetiuudised > Chrome'i väljalase 104

Chrome'i väljalase 104

Google avalikustas veebibrauseri Chrome 104 väljalase. Samal ajal on saadaval ka Chrome'i aluseks oleva tasuta Chromiumi projekti stabiilne väljalase. Chrome'i brauser erineb Chromiumist Google'i logode kasutamise, krahhi korral teadete saatmise süsteemi olemasolu, kopeerimiskaitsega videosisu (DRM) esitamise moodulite, värskenduste automaatse installimise süsteemi, liivakasti isoleerimise püsiva lubamise poolest. , varustab võtmeid Google API-le ja edastab otsimisel RLZ-. Neile, kes vajavad värskendamiseks rohkem aega, toetatakse eraldi laiendatud stabiilset haru, millele järgneb 8 nädalat. Chrome 105 järgmine väljalase ilmub 30. augustil.

Peamised muudatused Chrome'is 104:

  • Kasutusele on võetud küpsiste eluea limiit – kõik uued või uuendatud küpsised kustutatakse automaatselt pärast 400-päevast eksisteerimist, isegi kui atribuutide Expires ja Max-Age kaudu määratud aegumisaeg ületab 400 päeva (selliste küpsiste eluiga lüheneb kuni 400 päeva). Enne piirangu rakendamist loodud küpsised säilitavad oma eluea, isegi kui see ületab 400 päeva, kuid ajakohastamise korral on nende kasutusiga piiratud. Muudatus kajastab uue spetsifikatsiooni eelnõus märgitud uusi nõudeid.
  • Lubatud on kohalikule failisüsteemile ("filesystem://") viitavate iframe URL-ide blokeerimine.
  • Lehekülje laadimise kiirendamiseks on lisatud uus optimeerimine, mis tagab ühenduse loomise sihthostiga kohe, kui lingil klõpsate, ootamata, kuni te nupu vabastate või sõrme puuteekraanilt eemaldate.
  • Lisatud seaded teemade ja huvigruppide API haldamiseks, mida reklaamitakse privaatsusliivakasti algatuse osana, mis võimaldab teil määratleda kasutajate huvide kategooriad ja kasutada neid küpsiste jälgimise asemel sarnaste huvidega kasutajarühmade tuvastamiseks ilma üksikuid kasutajaid tuvastamata. . Lisaks on lisatud üks kord kuvatavad teabedialoogid, mis selgitavad kasutajale tehnoloogia olemust ja pakuvad seadetes selle toe aktiveerimist.
  • Suurendatud künnised, et piirata pesastatud kõnesid setTimeout ja setInterval taimeritega, mis töötavad intervalliga alla 4 ms ("setTimeout(..., <4ms)"). Selliste kõnede kogulimiiti on tõstetud 5-lt 100-le, mis võimaldab üksikuid kõnesid mitte agressiivselt kärpida, kuid samal ajal vältida kuritarvitamist, mis võib mõjutada brauseri jõudlust.
  • Lubatud saadab CORS-i (Cross-Origin Resource Sharing) volituse kinnitustaotluse saidi põhiserverisse päisega „Juurdepääsu-kontroll-Taotlus-Privaatvõrk: tõene”, kui leht pääseb juurde sisevõrgu alamressursile (192.168.xx). , 10. xxx, 172.16-31.xx) või kohalikule hostile (127.xxx). Sellele päringule vastuseks toimingu kinnitamisel peab server tagastama päise „Access-Control-Allow-Private-Network: true”. Chrome'i versioonis 104 kinnitustulemus päringu töötlemist veel ei mõjuta – kui kinnitust pole, kuvatakse veebikonsoolis hoiatus, kuid alamressursi taotlust ennast ei blokeerita. Kinnitamata blokeerimise lubamine on eeldatavasti alles Chrome 107. Varasemates versioonides blokeerimise lubamiseks saate lubada seade „chrome://flags/#private-network-access-respect-preflight-results”.

    Volituste kontrollimine serveri poolt võeti kasutusele, et tugevdada kaitset rünnakute eest, mis on seotud saidi avamisel laaditud skriptide juurdepääsuga kohaliku võrgu või kasutaja arvuti (localhost) ressurssidele. Ründajad kasutavad selliseid päringuid CSRF-rünnakute läbiviimiseks ruuterite, pääsupunktide, printerite, ettevõtte veebiliideste ja muude seadmete ja teenuste vastu, mis võtavad vastu ainult kohaliku võrgu päringuid. Selliste rünnete eest kaitsmiseks saadab brauser, kui sisevõrgus on juurdepääs alamressurssidele, selgesõnalise loataotluse nende alamressursside laadimiseks.

  • Lisatud on Region Capture mehhanism, mis võimaldab kärpida ekraanipildil loodud videost mittevajalikku sisu. Näiteks getDisplayMedia API abil saab veebirakendus vahekaardi sisust videot voogesitada ja Region Capture võimaldab teil välja lõigata osa sisust, mis sisaldab videokonverentsi juhtelemente.
  • Lisatud on Media Queries Level 4 spetsifikatsioonis määratletud uue meediumipäringu süntaksi tugi, mis määrab nähtava ala (vaateava) minimaalse ja maksimaalse suuruse. Uus süntaks võimaldab kasutada tavalisi matemaatilisi võrdlusoperaatoreid ja loogilisi operaatoreid nagu "mitte", "või" ja "ja". Näiteks "@media (min-width: 400px) { … }" asemel saate nüüd määrata "@media (width >= 400px) { … }".
  • Origin Trials režiimi on lisatud mitu uut API-d (eksperimentaalsed funktsioonid, mis nõuavad eraldi aktiveerimist). Origin Trial tähendab võimalust töötada määratud API-ga kohalikest hostidest või versioonist 127.0.0.1 alla laaditud rakendustes või pärast registreerimist ja spetsiaalse loa saamist, mis kehtib konkreetse saidi jaoks piiratud aja.
    • Lisati CSS-i atribuut "fookusgrupp", et parandada elementide vahel navigeerimist klaviatuuri nooleklahvide abil.
    • Turvalise makse kinnituse API võimaldab kasutajal krediitkaardi seadete salvestust keelata. Krediitkaardi parameetrite salvestamisest keeldumise dialoogi kuvamiseks pakub PaymentRequest() konstruktor lipu "showOptOut: true".
    • Lisatud Shared Element Transitions API, mis võimaldab ühelehelistes veebirakendustes korraldada sujuva ülemineku erinevate sisuvaadete vahel.
  • Spekulatsioonireeglite tugi on stabiliseeritud, võimaldades veebisaitide autoritel anda brauserile teavet kõige tõenäolisemate lehtede kohta, millele kasutaja saab minna. Brauser kasutab seda teavet lehe sisu ennetavaks laadimiseks ja renderdamiseks.
  • Alamressursside Web Bundle'i vormingus pakettidesse pakkimise mehhanism on stabiliseeritud, mis võimaldab suurendada suure hulga kaasnevate failide (CSS-stiilid, JavaScript, pildid, iframe) laadimise efektiivsust. Erinevalt Webpack-vormingus pakettidest on Web Bundle'i vormingul järgmised eelised: HTTP vahemällu ei salvestata paketti ennast, vaid selle osi; JavaScripti koostamine ja käivitamine algab paketi täielikku allalaadimist ootamata; Lubatud on lisada täiendavaid ressursse, nagu CSS ja pildid, mis veebipaketis peaksid olema JavaScripti stringide kujul kodeeritud.
  • Lisatud on objekt-vaatekasti CSS atribuut, mis võimaldab määrata antud elemendi asemel alas kuvatava pildi osa, mida saab kasutada näiteks äärise või varju lisamiseks.
  • Lisatud Fullscreen Capability Delegation API, mis võimaldab ühel aknaobjektil delegeerida teisele aknaobjektile õiguse kutsuda requestFullscreen().
  • Lisatud Fullscreen Companion Window API, mis võimaldab pärast kasutajalt kinnituse saamist paigutada täisekraani sisu ja hüpikaknad teisele ekraanile.
  • CSS-i atribuudile overflow-clip-margin on lisatud atribuut visual-box, mis määrab, kust alustada ala piirist väljapoole jääva sisu kärpimist (võib võtta väärtused content-box, padding-box ja border- kast).
  • Async Clipboard API on lisanud võimaluse määratleda lõikepuhvri kaudu edastatavate andmete jaoks spetsiaalseid vorminguid, välja arvatud tekst, pildid ja märgistusega tekst.
  • WebGL toetab tekstuurist importimisel renderduspuhvri värviruumi määramist ja teisendamist.
  • OS X 10.11 ja macOS 10.12 platvormide tugi on lõpetatud.
  • U2F (Cryptotoken) API, mis oli varem aegunud ja vaikimisi keelatud, on lõpetatud. U2F API on asendatud Web Authentication API-ga.
  • Veebiarendajatele mõeldud tööriistu on täiustatud. Siluril on nüüd võimalus taaskäivitada kood funktsiooni algusest pärast seda, kui see on kuskil funktsiooni kehas murdepunkti tabanud. Lisatud on tugi paneeli Recorder lisandmoodulite arendamiseks. Jõudlusanalüüsi paneelile on lisatud tugi veebirakenduses määratud märkide visualiseerimiseks meetodi performance.measure() kutsumise kaudu. Täiustatud soovitused JavaScripti objekti atribuutide automaatseks täitmiseks. CSS-i muutujate automaatsel täitmisel kuvatakse värvidega mitteseotud väärtuste eelvaated.
    Chrome'i väljalase 104

Lisaks uuendustele ja veaparandustele kõrvaldab uus versioon 27 turvaauku. Paljud haavatavused tuvastati AddressSanitizeri, MemorySanitizeri, Control Flow Integrity, LibFuzzeri ja AFL-i tööriistu kasutades automatiseeritud testimise tulemusena. Pole tuvastatud ühtegi kriitilist probleemi, mis võimaldaks mööda minna brauseri kõigist kaitsetasemetest ja käivitada süsteemis koodi väljaspool liivakastikeskkonda. Osana rahalise preemiaprogrammi praeguse versiooni haavatavuste avastamise eest maksis Google 22 auhinda väärtuses 84 tuhat dollarit (üks 15000 10000 dollari suurune auhind, üks 8000 7000 dollari auhind, üks 5000 dollari auhind, üks 4000 dollari auhind, neli 3000 dollarit, üks 2000 dollari auhinda, 1000 dollarit, , neli XNUMX dollari auhinda ja kolm XNUMX dollari auhinda). Ühe preemia suurus pole veel kindlaks määratud.

Allikas: opennet.ru

Lisa kommentaar