ProHoster > Blogi > netin uutisia > Chromen julkaisu 104

Chromen julkaisu 104

Google on julkistanut Chrome 104 -verkkoselaimen julkaisun. Samanaikaisesti saatavilla on vakaa versio ilmaisesta Chromium-projektista, joka on Chromen perusta. Chrome-selain eroaa Chromiumista Google-logojen käytössä, järjestelmän olemassaolossa ilmoitusten lähettämiseksi kaatuessa, kopiosuojatun videosisällön (DRM) toistamiseen tarkoitetuissa moduuleissa, automaattisessa päivitysjärjestelmässä, jatkuvassa Sandbox-eristyksen sisällyttämisessä. , avainten toimittaminen Google API:lle ja lähetys haettaessa RLZ-parametreja. Niille, jotka tarvitsevat enemmän aikaa päivittämiseen, Extended Stable -haaraa tuetaan erikseen, minkä jälkeen 8 viikkoa. Chrome 105:n seuraava julkaisu julkaistaan ​​30. elokuuta.

Tärkeimmät muutokset Chrome 104:ssa:

  • Evästeiden käyttöikäraja on otettu käyttöön - kaikki uudet tai päivitetyt evästeet poistetaan automaattisesti 400 päivän jälkeen, vaikka Expires- ja Max-Age-määritteillä asetettu vanhenemisaika ylittäisi 400 päivää (tällaisten evästeiden käyttöikä lyhenee 400 päivään). Ennen rajoituksen käyttöönottoa luodut evästeet säilyttävät käyttöikänsä, vaikka se ylittäisi 400 päivää, mutta niitä rajoitetaan, jos ne päivitetään. Muutos heijastaa uusia vaatimuksia, jotka on merkitty uuden spesifikaatioluonnokseen.
  • Paikalliseen tiedostojärjestelmään ("filesystem://") viittaavien iframe-URL-osoitteiden esto on otettu käyttöön.
  • Sivun latautumisen nopeuttamiseksi on lisätty uusi optimointi, joka varmistaa, että yhteys kohdepalvelimeen muodostetaan heti, kun napsautat linkkiä, odottamatta painikkeen vapauttamista tai sormen poistamista kosketusnäytöltä.
  • Lisätty asetukset "Topics & Interest Group" -sovellusliittymän hallintaan, jota mainostetaan osana Privacy Sandbox -aloitetta, jonka avulla voit määrittää käyttäjien kiinnostuksen kohteiden luokat ja käyttää niitä evästeiden jäljittämisen sijaan tunnistaaksesi käyttäjäryhmät, joilla on samanlaisia ​​kiinnostuksen kohteita yksilöimättä yksittäisiä käyttäjiä. . Lisäksi on lisätty kerran näytettävät tiedotusikkunat, jotka selittävät käyttäjälle tekniikan olemuksen ja tarjoavat mahdollisuuden aktivoida sen tuen asetuksissa.
  • Korotetut kynnykset rajoittavat sisäkkäisiä kutsuja setTimeout- ja setInterval-ajastimiin, jotka toimivat alle 4 ms:n välein ("setTimeout(..., <4ms)"). Tällaisten puheluiden kokonaisrajaa on nostettu 5:stä 100:aan, mikä mahdollistaa yksittäisten puhelujen aggressiivisen vähentämisen, mutta samalla estää selaimen suorituskykyyn mahdollisesti vaikuttavan väärinkäytön.
  • Enabled lähettää CORS-valtuutusvahvistuspyynnön (Cross-Origin Resource Sharing) pääsivuston palvelimelle otsikolla "Access-Control-Request-Private-Network: true", kun sivu käyttää aliresurssia sisäisessä verkossa (192.168.xx). , 10. xxx, 172.16-31.xx) tai localhostille (127.xxx). Kun palvelin vahvistaa toiminnon vastauksena tähän pyyntöön, sen on palautettava "Access-Control-Allow-Private-Network: true" -otsikko. Chrome-versiossa 104 vahvistustulos ei vielä vaikuta pyynnön käsittelyyn - jos vahvistusta ei ole, verkkokonsolissa näkyy varoitus, mutta itse aliresurssipyyntöä ei ole estetty. Kuittaamaton esto otetaan käyttöön vasta Chrome 107:ssä. Ota esto käyttöön aiemmissa julkaisuissa ottamalla käyttöön "chrome://flags/#private-network-access-respect-preflight-results" -asetus.

    Palvelimen suorittama valtuutusvarmennus otettiin käyttöön suojauksen vahvistamiseksi hyökkäyksiä vastaan, jotka liittyvät paikallisverkon tai käyttäjän tietokoneen (localhost) resurssien käyttöön sivustoa avattaessa ladatuista komentosarjoista. Hyökkääjät käyttävät tällaisia ​​pyyntöjä suorittaakseen CSRF-hyökkäyksiä reitittimiä, tukiasemia, tulostimia, yrityksen verkkoliittymiä ja muita laitteita ja palveluita vastaan, jotka hyväksyvät pyynnöt vain paikallisesta verkosta. Suojatakseen tällaisia ​​hyökkäyksiä vastaan, jos sisäisessä verkossa käytetään aliresursseja, selain lähettää nimenomaisen pyynnön näiden aliresurssien lataamiseen.

  • Alueen kaappausmekanismi on lisätty, jonka avulla voit leikata tarpeetonta sisältöä videosta, joka on luotu näytön kaappauksen perusteella. Esimerkiksi getDisplayMedia API:n avulla verkkosovellus voi suoratoistaa videota välilehden sisällöstä, ja Region Capture -sovelluksen avulla voit leikata pois osan sisällöstä, joka sisältää videoneuvottelusäätimet.
  • Lisätty tuki Media Queries Level 4 -määrittelyssä määritellylle uudelle mediakyselysyntaksille, joka määrittää näkyvän alueen (näkymäportin) vähimmäis- ja enimmäiskoon. Uuden syntaksin avulla voit käyttää yleisiä matemaattisia vertailuoperaattoreita ja loogisia operaattoreita, kuten "ei", "tai" ja "ja". Esimerkiksi "@media (min-width: 400px) { … }" sijaan voit nyt määrittää "@media (leveys >= 400px) { … }".
  • Useita uusia API:ita on lisätty Origin Trials -tilaan (kokeelliset ominaisuudet, jotka vaativat erillisen aktivoinnin). Origin Trial tarkoittaa kykyä työskennellä määritetyn API:n kanssa localhostista tai 127.0.0.1:stä ladatuista sovelluksista tai rekisteröitymisen ja erityisen tunnuksen vastaanottamisen jälkeen, joka on voimassa rajoitetun ajan tietyllä sivustolla.
    • Lisätty CSS-ominaisuus "focusgroup" parantaaksesi navigointia elementtien välillä näppäimistön nuolinäppäimillä.
    • Secure Payment Confirmation API tarjoaa käyttäjälle mahdollisuuden poistaa luottokorttiasetusten tallennuksen käytöstä. Voit näyttää valintaikkunan, jossa voit kieltäytyä tallentamasta luottokorttiparametreja, PaymentRequest()-konstruktori tarjoaa "showOptOut: true" -lipun.
    • Lisätty Shared Element Transitions API, jonka avulla voit järjestää sujuvan siirtymisen eri sisältönäkymien välillä yksisivuisissa verkkosovelluksissa.
  • Spekulaatiosääntöjen tuki on vakiintunut, jolloin verkkosivustojen tekijät voivat tarjota selaimelle tietoja todennäköisimmistä sivuista, joille käyttäjä voi mennä. Selain käyttää näitä tietoja sivun sisällön ennakoivaan lataamiseen ja hahmontamiseen.
  • Mekanismi aliresurssien pakkaamiseksi Web Bundle -muodossa oleviin paketteihin on vakiintunut, mikä mahdollistaa suuren määrän mukana olevien tiedostojen (CSS-tyylit, JavaScript, kuvat, iframe) lataamisen tehokkuuden. Toisin kuin Webpack-muodossa olevilla paketeilla, Web Bundle -muodolla on seuraavat edut: HTTP-välimuistiin ei tallenneta itse pakettia, vaan sen osat; JavaScriptin kokoaminen ja suorittaminen alkaa odottamatta paketin lataamista kokonaan; On sallittua sisällyttää lisäresursseja, kuten CSS ja kuvia, jotka webpackissa olisi koodattava JavaScript-merkkijonojen muodossa.
  • Lisätty Object-view-box CSS-ominaisuus, jonka avulla voit määrittää kuvan osan, joka näytetään alueella tietyn elementin sijaan, jota voidaan käyttää esimerkiksi reunan tai varjon lisäämiseen.
  • Lisätty Fullscreen Capability Delegation -sovellusliittymä, jonka avulla yksi Window-objekti voi siirtää toiselle ikkunaobjektille oikeuden kutsua requestFullscreen().
  • Lisätty Fullscreen Companion Window -sovellusliittymä, joka mahdollistaa koko näytön sisällön ja ponnahdusikkunoiden sijoittamisen toiselle näytölle saatuaan vahvistuksen käyttäjältä.
  • Overflow-clip-margin CSS-ominaisuuteen on lisätty attribuutti visual-box, joka määrittää, mistä aloitetaan alueen rajan yli olevan sisällön leikkaaminen (voi ottaa arvot content-box, padding-box ja border- laatikko).
  • Async Clipboard API on lisännyt mahdollisuuden määrittää erikoismuotoja leikepöydän kautta siirrettävälle tiedolle, lukuun ottamatta tekstiä, kuvia ja tekstiä merkinnällä.
  • WebGL tukee väriavaruuden määrittämistä renderöintipuskurille ja muunnokselle tekstuurista tuotaessa.
  • OS X 10.11- ja macOS 10.12 -alustojen tuki on lopetettu.
  • U2F (Cryptotoken) API, joka oli aiemmin vanhentunut ja oletuksena poistettu käytöstä, on lopetettu. U2F API on korvattu Web Authentication API:lla.
  • Web-kehittäjien työkaluihin on tehty parannuksia. Debuggerilla on nyt mahdollisuus käynnistää koodi uudelleen funktion alusta, kun se osuu keskeytyskohtaan jossain funktion rungossa. Lisätty tuki tallenninpaneelin lisäosien kehittämiseen. Suorituskykyanalyysipaneeliin on lisätty tuki verkkosovelluksessa asetettujen merkkien visualisoimiseksi performanssi.measure()-menetelmän avulla. Parannetut suositukset JavaScript-objektin ominaisuuksien automaattiseen täydennykseen. Kun CSS-muuttujia täydennetään automaattisesti, tarjotaan esikatseluja arvoista, jotka eivät liity väreihin.
    Chromen julkaisu 104

Innovaatioiden ja virheenkorjausten lisäksi uusi versio eliminoi 27 haavoittuvuutta. Monet haavoittuvuuksista tunnistettiin automaattisen testauksen tuloksena AddressSanitizer-, MemorySanitizer-, Control Flow Integrity-, LibFuzzer- ja AFL-työkaluilla. Ei ole tunnistettu kriittisiä ongelmia, jotka antaisivat mahdollisuuden ohittaa kaikki selaimen suojaustasot ja suorittaa koodia järjestelmässä hiekkalaatikkoympäristön ulkopuolella. Osana käteispalkkioohjelmaa nykyisen julkaisun haavoittuvuuksien löytämisestä Google maksoi 22 palkintoa arvoltaan 84 tuhatta dollaria (yksi 15000 10000 dollarin palkinto, yksi 8000 7000 dollarin palkinto, yksi 5000 4000 dollarin palkinto, yksi 3000 2000 dollarin palkinto, neljä 1000 XNUMX dollaria, yksi XNUMX XNUMX dollaria, XNUMX , neljä XNUMX XNUMX dollarin palkintoa ja kolme XNUMX XNUMX dollarin palkintoa). Yhden palkinnon suuruutta ei ole vielä päätetty.

Lähde: opennet.ru

Lisää kommentti