Google a publié le navigateur Web Chrome 147. Dans le même temps, une version stable du projet gratuit Chromium, qui est la base de Chrome, est disponible. Le navigateur Chrome diffère de Chromium en ce qu'il utilise les logos Google, dispose d'un système d'envoi de notifications en cas de plantage, dispose de modules de lecture de contenu vidéo protégé contre la copie (DRM), dispose d'un système d'installation automatique des mises à jour, active toujours l'isolation Sandbox, fournit des clés à l'API Google et transmet les paramètres RLZ lors de la recherche. Pour ceux qui ont besoin de plus de temps pour mettre à jour, il existe une branche Extended Stable distincte, qui est prise en charge pendant 8 semaines. La prochaine version, Chrome 148, est prévue pour le 5 mai.
Principaux changements dans Chrome 147 (1, 2, 3, 4) :
- Un mode d'affichage vertical des onglets a été ajouté, remplaçant la barre horizontale supérieure par une barre latérale d'onglets verticaux. Ces onglets peuvent être affichés en mode développé (icône + description partielle) ou réduit (icône uniquement). Survoler un onglet latéral permet d'afficher un aperçu de son contenu. La gestion des groupes d'onglets a été simplifiée. Une option « Afficher les onglets verticalement » a été ajoutée au menu contextuel (accessible par clic droit sur la ligne d'onglets). Si cette option n'est pas affichée par défaut, elle peut être activée via le paramètre « chrome://flags/#vertical-tabs ».
- Le mode lecture a été repensé pour n'afficher que le texte pertinent, masquant ainsi les commandes, bannières, menus, barres de navigation et autres éléments non liés au contenu. Dans cette nouvelle version, comme dans Firefox, le contenu pertinent s'affiche dans toute la zone visible, et non plus dans une barre latérale étroite. Si ce mode n'est pas activé par défaut, vous pouvez l'activer via le paramètre « chrome://flags/#read-anything-immersive-reading-mode ».
- Un bouton a été ajouté au menu « Aide » pour signaler le blocage des pages web créées à des fins frauduleuses ou d'hameçonnage. Ce bouton s'affiche lorsque le mode « Navigation sécurisée » est activé.
- Protection renforcée contre l'accès au système local lors des interactions avec des sites web publics. Accès depuis les sites web vers adresses IP L'accès au réseau local (intranet ou adresses internes) ou à l'interface de bouclage (127.0.0.0/8) requiert une confirmation de l'utilisateur. La protection couvre désormais non seulement les tentatives de chargement de ressources via HTTP/HTTPS, les requêtes fetch() et les insertions d'iframes, mais aussi les connexions via WebSockets et WebTransport, ainsi que les requêtes fetch initiées via la méthode WindowClient.navigate(). Les attaquants exploitent l'accès aux ressources internes pour s'identifier indirectement et mener des attaques CSRF sur les routeurs, points d'accès, imprimantes, interfaces web d'entreprise et autres périphériques et services qui n'acceptent que les requêtes provenant du réseau local.
- La fonctionnalité d'analyse XML a été migrée de libxml2 vers une nouvelle bibliothèque écrite en Rust, avec une sécurité renforcée. Ce changement concerne uniquement le XML ; comme annoncé précédemment, la prise en charge de XSLT sera bientôt abandonnée.
- Il est désormais possible d'utiliser la méthode startViewTransition() non seulement pour la page entière, mais aussi pour des éléments HTML individuels.
- La fonction CSS `contrast-color()` a été ajoutée. Elle renvoie la couleur opposée à celle spécifiée (pour le blanc, elle renvoie le noir, et pour le noir, le blanc). Cette fonction permet d'assortir la couleur de fond d'un texte de couleur spécifique, et inversement.
- La propriété CSS « border-shape » a été ajoutée, permettant de créer des bordures non rectangulaires autour des éléments, comme des bordures circulaires ou polygonales. La propriété « border-shape » accepte les mêmes types de formes que la propriété « clip-path », mais contrairement à cette dernière, elle détecte un contour, le décode et rogne tout contenu qui dépasse de ce contour.
- Ajout de l'interface CSSPseudoElement, qui permet de travailler avec les pseudo-éléments CSS depuis JavaScript.
- L'élément lien prend désormais en charge l'utilisation de l'attribut « rel=modulepreload » pour précharger non seulement les scripts, mais aussi les modules avec des styles CSS ( ) et données JSON ( ).
- Le comportement du calcul de la largeur des bordures et des contours dans les propriétés CSS `border-width`, `outline-width` et `column-rule-width` a été modifié afin de l'harmoniser avec Firefox et les navigateurs basés sur WebKit. Auparavant, la largeur de ces propriétés était réinitialisée à zéro, quelles que soient leurs valeurs, si les propriétés `border-style`, `outline-style` ou `column-rule-style` étaient définies sur « none » ou « hidden ». Désormais, les valeurs de `border-width`, `outline-width` et `column-rule-width` correspondent toujours aux valeurs définies par le développeur, indépendamment du contenu des propriétés `*-style`.
- Ajout de la méthode Math.sumPrecise() pour calculer la somme des éléments du tableau et d'autres objets énumérables avec une précision supérieure à celle de la sommation normale dans une boucle (éliminant ainsi les pertes de précision lors du stockage des résultats entre les deux).
- Ajout de l'attribut Request.isReloadNavigation pour détecter quand une page a été rechargée, par exemple après avoir cliqué sur le bouton « Actualiser » ou appelé les méthodes location.reload() et history.go(0).
- Pour réduire la précision de l'identification indirecte, la logique d'arrondi de la taille de la mémoire renvoyée par l'API Device Memory, qui fournit des informations sur la taille de la RAM, a été modifiée. Ces informations peuvent être utiles pour créer des versions allégées d'applications web destinées aux appareils disposant d'une RAM limitée ou pour activer des fonctionnalités avancées lorsque de grandes quantités de mémoire sont disponibles. Dans les versions pour la plateforme Android La taille de la mémoire est désormais arrondie à 1, 2, 4 et 8, et pour les autres plateformes à 2, 4, 8, 16 et 32.
- Pour les applications web isolées (IWA), l'API d'impression web est implémentée, offrant des méthodes pour déterminer la disponibilité des imprimantes, envoyer des documents à imprimer et gérer la file d'attente d'impression. Les noms d'attributs et la sémantique utilisés dans l'API correspondent au protocole d'impression Internet (IPP).
- Le mode « essais d’origine » implémente l’API WebNN, qui permet l’utilisation des services d’apprentissage automatique fournis par le système d’exploitation et les capacités matérielles associées.
- Des améliorations ont été apportées aux outils de développement web. L'assistant IA intégré sélectionne désormais automatiquement les contextes. Le panneau « Mode appareil », utilisé pour tester les performances du site web sur différents appareils mobiles, a été modernisé. Le panneau Réseau décode désormais automatiquement le contenu compressé des requêtes envoyées avec l'en-tête Content-Encoding : gzip ou deflate. Il est désormais possible d'utiliser des expressions régulières pour filtrer les styles CSS.
Outre de nouvelles fonctionnalités et des corrections de bugs, cette nouvelle version corrige 60 vulnérabilités. Nombre d'entre elles ont été identifiées grâce à des tests automatisés utilisant AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer et AFL. Deux problèmes (un dépassement de tampon et un dépassement d'entier dans WebML) ont été classés comme critiques, ce qui signifie qu'ils peuvent contourner toutes les protections du navigateur et exécuter du code en dehors de l'environnement sandbox. Dans le cadre de son programme de primes pour la découverte de vulnérabilités, Google a attribué 60 récompenses pour un montant total de 118 000 $ (deux récompenses de 43 000 $, deux de 11 000 $, et une de 4 000 $, une de 3 000 $, une de 2 000 $ et une de 1 000 $). Le montant des 52 autres récompenses n'a pas encore été déterminé.
Source: opennet.ru
