ProHoster > Blog > actualités internet > Chrome Version 104

Chrome Version 104

Google a dévoilé la sortie du navigateur Web Chrome 104. Parallèlement, une version stable du projet gratuit Chromium, qui sert de base à Chrome, est disponible. Le navigateur Chrome se distingue de Chromium par l'utilisation des logos Google, la présence d'un système d'envoi de notifications en cas de crash, de modules de lecture de contenu vidéo protégé contre la copie (DRM), d'un système d'installation automatique des mises à jour, permettant en permanence l'isolation Sandbox , fournissant les clés de l'API Google et transmettant les paramètres RLZ- lors de la recherche. Pour ceux qui ont besoin de plus de temps pour mettre à jour, la branche Extended Stable est prise en charge séparément, suivie de 8 semaines. La prochaine version de Chrome 105 est prévue pour le 30 août.

Changements clés dans Chrome 104 :

  • Une limite de durée de vie des cookies a été introduite - tous les cookies nouveaux ou mis à jour seront automatiquement supprimés après 400 jours d'existence, même si le délai d'expiration défini via les attributs Expires et Max-Age dépasse 400 jours (pour ces cookies, la durée de vie sera réduite à 400 jours). Les cookies créés avant la mise en œuvre de la restriction conserveront leur durée de vie, même si celle-ci dépasse 400 jours, mais seront limitées en cas de mise à jour. Le changement reflète les nouvelles exigences notées dans le projet de nouvelle spécification.
  • Activation du blocage des URL iframe faisant référence au système de fichiers local (« filesystem:// »).
  • Pour accélérer le chargement des pages, une nouvelle optimisation a été ajoutée qui garantit qu'une connexion avec l'hôte cible est établie au moment où vous cliquez sur un lien, sans attendre que vous relâchiez le bouton ou retiriez votre doigt de l'écran tactile.
  • Ajout de paramètres de gestion de l'API « Sujets et groupes d'intérêt », promue dans le cadre de l'initiative Privacy Sandbox, qui vous permet de définir des catégories d'intérêts d'utilisateurs et de les utiliser au lieu de suivre les cookies pour identifier des groupes d'utilisateurs ayant des intérêts similaires sans identifier les utilisateurs individuels. . De plus, des boîtes de dialogue d'information affichées une fois ont été ajoutées, expliquant à l'utilisateur l'essence de la technologie et proposant d'activer sa prise en charge dans les paramètres.
  • Augmentation des seuils pour limiter les appels imbriqués aux minuteries setTimeout et setInterval s'exécutant avec un intervalle inférieur à 4 ms (« setTimeout(..., <4 ms) »). La limite totale de ces appels a été augmentée de 5 à 100, ce qui permet de ne pas réduire de manière agressive les appels individuels, mais en même temps d'éviter les abus qui pourraient affecter les performances du navigateur.
  • Activé consiste à envoyer une demande de confirmation d'autorisation CORS (Cross-Origin Resource Sharing) au serveur du site principal avec l'en-tête « Access-Control-Request-Private-Network : true » lorsqu'une page accède à une sous-ressource sur le réseau interne (192.168.xx , 10. xxx, 172.16-31.xx) ou vers localhost (127.xxx). Lors de la confirmation de l'opération en réponse à cette requête, le serveur doit renvoyer l'en-tête « Access-Control-Allow-Private-Network: true ». Dans Chrome version 104, le résultat de la confirmation n'affecte pas encore le traitement de la demande - s'il n'y a pas de confirmation, un avertissement s'affiche dans la console Web, mais la demande de sous-ressource elle-même n'est pas bloquée. L'activation du blocage sans accusé de réception n'est pas attendue avant Chrome 107. Pour activer le blocage dans les versions antérieures, vous pouvez activer le paramètre « chrome://flags/#private-network-access-respect-preflight-results ».

    La vérification de l'autorité par le serveur a été introduite pour renforcer la protection contre les attaques liées à l'accès aux ressources sur le réseau local ou sur l'ordinateur de l'utilisateur (localhost) à partir de scripts chargés lors de l'ouverture d'un site. De telles requêtes sont utilisées par les attaquants pour mener des attaques CSRF sur des routeurs, des points d'accès, des imprimantes, des interfaces Web d'entreprise et d'autres appareils et services qui acceptent uniquement les requêtes du réseau local. Pour se protéger contre de telles attaques, si des sous-ressources sont accédées sur le réseau interne, le navigateur enverra une demande explicite d'autorisation pour charger ces sous-ressources.

  • Un mécanisme de capture de région a été ajouté qui vous permet de supprimer le contenu inutile d'une vidéo générée sur la base d'une capture d'écran. Par exemple, à l'aide de l'API getDisplayMedia, une application Web peut diffuser une vidéo du contenu d'un onglet, et Region Capture vous permet de découper une partie du contenu qui inclut les commandes de vidéoconférence.
  • Ajout de la prise en charge de la nouvelle syntaxe de requête multimédia définie dans la spécification Media Queries Niveau 4, qui détermine la taille minimale et maximale de la zone visible (fenêtre d'affichage). La nouvelle syntaxe vous permet d'utiliser des opérateurs de comparaison mathématiques courants et des opérateurs logiques tels que « non », « ou » et « et ». Par exemple, au lieu de « @media (min-width : 400px) { … } », vous pouvez désormais spécifier « @media (width >= 400px) { … } ».
  • Plusieurs nouvelles API ont été ajoutées au mode Origin Trials (fonctionnalités expérimentales nécessitant une activation séparée). Origin Trial implique la possibilité de travailler avec l'API spécifiée à partir d'applications téléchargées depuis localhost ou 127.0.0.1, ou après s'être enregistré et avoir reçu un jeton spécial valable pour une durée limitée pour un site spécifique.
    • Ajout d'une propriété CSS « ​​focusgroup » pour améliorer la navigation dans les éléments à l'aide des touches fléchées du clavier.
    • L'API de confirmation de paiement sécurisé offre à l'utilisateur la possibilité de désactiver le magasin de paramètres de carte de crédit. Pour afficher une boîte de dialogue permettant de refuser la sauvegarde des paramètres de la carte bancaire, le constructeur PaymentRequest() fournit le flag « showOptOut : true ».
    • Ajout de l'API Shared Element Transitions, qui vous permet d'organiser une transition fluide entre différentes vues de contenu dans des applications Web à page unique.
  • La prise en charge des règles de spéculation a été stabilisée, permettant aux auteurs de sites Web de fournir au navigateur des informations sur les pages les plus susceptibles d'être consultées par l'utilisateur. Le navigateur utilise ces informations pour charger et afficher de manière proactive le contenu de la page.
  • Le mécanisme de packaging des sous-ressources en packages au format Web Bundle a été stabilisé, permettant d'augmenter l'efficacité du chargement d'un grand nombre de fichiers d'accompagnement (styles CSS, JavaScript, images, iframes). Contrairement aux packages au format Webpack, le format Web Bundle présente les avantages suivants : ce n'est pas le package lui-même qui est stocké dans le cache HTTP, mais ses composants ; la compilation et l'exécution de JavaScript commencent sans attendre que le package soit entièrement téléchargé ; Il est permis d'inclure des ressources supplémentaires telles que du CSS et des images, qui dans le webpack devraient être codées sous forme de chaînes JavaScript.
  • Ajout de la propriété CSS object-view-box, qui permet de définir une partie de l'image qui sera affichée dans la zone à la place d'un élément donné, qui peut être utilisée, par exemple, pour ajouter une bordure ou une ombre.
  • Ajout de l'API de délégation de capacités plein écran, permettant à un objet Window de déléguer à un autre objet Window le droit d'appeler requestFullscreen().
  • Ajout de l'API Fullscreen Companion Window, permettant de placer le contenu plein écran et les fenêtres contextuelles sur un autre écran après avoir reçu la confirmation de l'utilisateur.
  • Un attribut visual-box a été ajouté à la propriété CSS overflow-clip-margin, qui détermine par où commencer à couper le contenu qui dépasse la frontière de la zone (peut prendre les valeurs content-box, padding-box et border- boîte).
  • L'API Async Clipboard a ajouté la possibilité de définir des formats spécialisés pour les données transférées via le presse-papiers, autres que le texte, les images et le texte avec balisage.
  • WebGL prend en charge la spécification d'un espace colorimétrique pour le tampon de rendu et la transformation lors de l'importation à partir d'une texture.
  • La prise en charge des plates-formes OS X 10.11 et macOS 10.12 a été interrompue.
  • L'API U2F (Cryptotoken), qui était auparavant obsolète et désactivée par défaut, a été abandonnée. L'API U2F a été remplacée par l'API d'authentification Web.
  • Des améliorations ont été apportées aux outils destinés aux développeurs Web. Le débogueur a désormais la possibilité de redémarrer le code depuis le début d'une fonction après avoir atteint un point d'arrêt quelque part dans le corps de la fonction. Ajout de la prise en charge du développement de modules complémentaires pour le panneau Enregistreur. La prise en charge de la visualisation des marques définies dans une application Web via l'appel de la méthode performance.measure() a été ajoutée au panneau d'analyse des performances. Recommandations améliorées pour la saisie semi-automatique des propriétés des objets JavaScript. Lors de la saisie semi-automatique des variables CSS, des aperçus des valeurs non liées aux couleurs sont fournis.
    Chrome Version 104

En plus des innovations et des corrections de bugs, la nouvelle version élimine 27 vulnérabilités. De nombreuses vulnérabilités ont été identifiées à la suite de tests automatisés utilisant les outils AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer et AFL. Aucun problème critique n'a été identifié qui permettrait de contourner tous les niveaux de protection du navigateur et d'exécuter du code sur le système en dehors de l'environnement sandbox. Dans le cadre du programme de récompense en espèces pour la découverte des vulnérabilités de la version actuelle, Google a payé 22 récompenses d'une valeur de 84 15000 $ (une récompense de 10000 8000 $, une récompense de 7000 5000 $, une récompense de 4000 3000 $, une récompense de 2000 1000 $, quatre récompenses de XNUMX XNUMX $, une récompense de XNUMX XNUMX $, trois récompenses de XNUMX XNUMX $. , quatre bourses de XNUMX XNUMX $ et trois bourses de XNUMX XNUMX $). Le montant d’une récompense n’a pas encore été déterminé.

Source: opennet.ru

Ajouter un commentaire