Google version du navigateur Web ... Simultanément version stable d'un projet libre , qui est la base de Chrome. Navigateur Chrome l'utilisation des logos Google, la présence d'un système d'envoi de notifications en cas de crash, la possibilité de charger le module Flash à la demande, des modules de lecture de contenus vidéo protégés (DRM), un système de mise à jour automatique, et la transmission sur recherche . La prochaine version de Chrome 77 est prévue pour le 10 septembre.
:
- par défaut, le mode de protection contre le transfert de Cookies tiers, qui, en l'absence de l'attribut SameSite dans l'en-tête Set-Cookie, fixe par défaut la valeur « SameSite=Lax », limitant l'envoi de Cookies pour les insertions de sites tiers (mais les sites pourront toujours contourner la restriction en définissant explicitement lors de la définition de la valeur du cookie SameSite=None). Jusqu'à présent, le navigateur envoyait un Cookie à toute requête adressée à un site pour lequel un Cookie était installé, même si un autre site était initialement ouvert, et la requête était effectuée indirectement en chargeant une image ou via une iframe. En mode « Lax », la transmission des cookies n'est bloquée que pour les sous-demandes intersites, telles que les demandes d'images ou le chargement de contenu iframe, qui sont souvent utilisées pour lancer des attaques CSRF et suivre les mouvements des utilisateurs entre les sites.
- Arrêt de la lecture du contenu Flash par défaut. Jusqu'à la sortie de Chrome 87, attendue en décembre 2020, le support Flash peut être restitué dans les paramètres (Avancé > Confidentialité et sécurité > Paramètres du site), suivi d'une confirmation explicite du fonctionnement de lecture du contenu Flash pour chaque site (la confirmation est mémorisé jusqu'au redémarrage du navigateur). La suppression complète du code nécessaire à la prise en charge de Flash est en phase avec le plan annoncé précédemment par Adobe visant à mettre fin à la prise en charge de la technologie Flash en 2020 ;
- Pour les entreprises, la possibilité de rechercher des fichiers dans le stockage Google Drive a été ajoutée à la barre d'adresse ;
- Commencé Publicité inappropriée dans Chrome qui interfère avec la perception du contenu et ne répond pas aux critères développés par la Coalition for Better Advertising ;
- Un mode adaptatif pour passer à une nouvelle page a été implémenté, dans lequel le contenu actuel est effacé et un fond blanc s'affiche non pas immédiatement, mais après un court délai. Pour les pages à chargement rapide, le scraping n'entraîne qu'un scintillement et ne fournit pas la charge utile consistant à informer l'utilisateur qu'une nouvelle page est sur le point de se charger. Dans la nouvelle version, si une page s'ouvre rapidement et qu'il y a un léger retard, la nouvelle page s'affiche sur place, remplaçant de manière transparente la précédente (par exemple, pratique lors du passage à d'autres pages du même site dont la conception est similaire et palette de couleurs). S'il faut un certain temps à l'utilisateur pour afficher la page, alors, comme auparavant, l'écran sera pré-effacé ;
- Les critères de détermination de l'activité des utilisateurs sur une page ont été renforcés. Chrome vous permet d'afficher des notifications contextuelles et de lire du contenu vidéo/audio ennuyeux uniquement après les actions de l'utilisateur sur la page. Avec la nouvelle version, appuyer sur Échap, survoler un lien et toucher l'écran ne sont plus perçus comme des interactions activant la page (nécessitant un clic, une saisie ou un défilement explicite) ;
- requête multimédia « préfère-couleur-schéma », qui permet aux sites de déterminer si le navigateur utilise un thème sombre et d'activer automatiquement le thème sombre pour le site consulté.
- Lorsque vous activez le thème sombre dans les builds pour Linux, la barre d'adresse est désormais affichée dans une couleur sombre ;
- la possibilité de déterminer l'ouverture d'une page en mode incognito grâce à des manipulations avec l'API FileSystem, qui était auparavant utilisée par certaines publications pour imposer un abonnement payant en cas d'ouverture impersonnelle de pages sans se souvenir des Cookies (afin que les utilisateurs n'utilisent pas le mode privé pour contourner le mécanisme permettant de fournir un accès d'essai gratuit). Auparavant, lorsque vous travailliez en mode navigation privée, le navigateur bloquait l'accès à l'API FileSystem pour empêcher les données de s'affaisser entre les sessions, ce qui permettait à JavaScript de vérifier la possibilité de sauvegarder des données via l'API FileSystem et, en cas d'échec, de juger de l'activité de mode navigation privée. Désormais, l'accès à l'API FileSystem n'est pas bloqué et le contenu est effacé une fois la session terminée ;
- de nouveaux défis dans
Demande de paiement API et gestionnaire de paiement. Une nouvelle méthode changePaymentMethod() est apparue dans l'objet PaymentRequestEvent et un nouveau gestionnaire d'événements paymentmethodchange a été ajouté à l'objet PaymentRequest, qui permet au site de collecte de paiement ou à l'application Web de répondre à la modification du mode de paiement par l'utilisateur. La nouvelle version permet également aux API de paiement de tester plus facilement les applications à l'aide de certificats auto-signés. Pour ignorer les erreurs de vérification du certificat pendant le développement, une nouvelle option de ligne de commande « - ignore-certificate-errors » a été ajoutée ; - Dans la barre d'adresse à côté du bouton permettant d'ajouter aux favoris des applications Web exécutées en mode Desktop Progressive Web Apps (PWA), un raccourci pour installer une application Web sur le système afin qu'elle fonctionne comme un programme distinct ;
- Pour les appareils mobiles, il est possible de contrôler l'affichage d'un mini-panneau avec une invitation à ajouter une application sur l'écran d'accueil. Pour les applications PWA (Progressive Web App), la mini-barre par défaut s'affiche automatiquement lors de la première ouverture du site. Le développeur peut désormais refuser d'afficher ce panneau et implémenter sa propre invite d'installation, pour laquelle il peut installer un gestionnaire d'événements
beforeinstallprompt et attachez un appel à PreventDefault();
- La fréquence des contrôles de mise à jour des applications PWA (Progressive Web App) installées dans l'environnement Android a été augmentée. Les mises à jour WebAPK sont désormais vérifiées une fois par jour, et non plus une fois tous les trois jours comme auparavant. Si une telle vérification révèle une modification dans au moins une propriété clé dans le manifeste, le navigateur téléchargera et installera un nouveau WebAPK ;
- Dans l'API ajout de la possibilité de lire et d'écrire des images par programme via le presse-papiers en utilisant les méthodes navigator.clipboard.read() et navigator.clipboard.write() ;
- Prise en charge implémentée d'un groupe d'en-têtes HTTP (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site et Sec-Fetch-User), permettant d'envoyer des métadonnées supplémentaires sur la nature de la requête (requête cross-site, requête via balise img, etc. .) pour l'acceptation par le serveur de mesures de protection contre certains types d'attaques (par exemple, il est peu probable qu'un lien vers un gestionnaire de transfert d'argent soit spécifié via une balise img, de telles demandes peuvent donc être bloquées sans être transmises à l'application );
- Fonction ajoutée , qui lance la soumission programmatique des données du formulaire de la même manière qu'en cliquant sur le bouton Soumettre. La fonction peut être utilisée lors du développement de vos propres boutons de soumission de formulaire, pour lesquels l'appel à form.submit() n'est pas suffisant car il ne conduit pas à une vérification interactive des paramètres, à la génération de l'événement 'submit' et à la transmission des données. lié au bouton de soumission ;
- Fonction ajoutée à IndexedDB , qui vous permet de valider les transactions associées à un objet IDBTransaction sans attendre la fin des gestionnaires d'événements dans toutes les requêtes associées. L'utilisation de commit() vous permet d'augmenter le débit des requêtes d'écriture et de lecture vers le stockage et de contrôler explicitement l'achèvement de la transaction ;
- Ajout d'options aux fonctions Intl.DateTimeFormat telles que formatToParts() et solveOptions() , qui vous permettent de demander des styles d'affichage de la date et de l'heure spécifiques aux paramètres régionaux ;
- La méthode BigInt.prototype.toLocaleString() a été modifiée pour formater les nombres en fonction des paramètres régionaux, et la méthode Intl.NumberFormat.prototype.format() et la fonction formatToParts() ont été modifiées pour prendre en charge les valeurs d'entrée BigInt ;
- API autorisée dans tous les types de Web Workers, qui peuvent être utilisés pour sélectionner les paramètres optimaux lors de la création d'un MediaStream à partir d'un travailleur ;
- Méthode ajoutée , qui renvoie uniquement les promesses remplies ou rejetées, à l'exclusion des promesses en attente ;
- Suppression de l'option « --disable-infobars », qui pouvait auparavant être utilisée pour masquer les avertissements contextuels dans l'interface Chrome (la règle CommandLineFlagSecurityWarningsEnabled a été proposée pour masquer les avertissements liés à la sécurité) ;
- Vers l'interface pour travailler avec des blobs méthodes text(), arrayBuffer() et stream() pour lire des types de données spécifiques ;
- Ajout de la propriété CSS "white-space:break-spaces" pour spécifier que toute séquence d'espaces entraînant un débordement de ligne doit être interrompue ;
- Des travaux ont commencé sur le nettoyage des drapeaux dans chrome://flags, par exemple, flag pour désactiver l'attribut « ping », qui permet aux propriétaires de sites de suivre les clics sur les liens de leurs pages. Si vous suivez un lien et qu'il y a un attribut « ping=URL » dans la balise « a href » du navigateur, vous pouvez désormais désactiver l'envoi d'une requête POST supplémentaire à l'URL spécifiée dans l'attribut avec des informations sur la transition. La signification du blocage du ping est perdue puisque cet attribut dans les spécifications HTML5 et il existe de nombreuses solutions de contournement pour effectuer la même action (par exemple, passer par un lien de transit ou intercepter des clics avec des gestionnaires JavaScript) ;
- Suppression de l'indicateur de désactivation , dans lequel les pages de différents hôtes se trouvent toujours dans la mémoire de différents processus, chacun utilisant son propre bac à sable.
- Le moteur V8 a considérablement augmenté les performances d'analyse et d'analyse du format JSON. Pour les pages Web populaires, l’exécution de JSON.parse est jusqu’à 2.7 fois plus rapide. La conversion des chaînes Unicode a été considérablement accélérée, par exemple, la vitesse des appels à String#localeCompare, String#normalize, ainsi que certaines API Intl, a presque doublé. Les performances des opérations avec des tableaux gelés ont également été considérablement optimisées lors de l'utilisation d'opérations telles que gelé.indexOf(v), gelé.includes(v), fn(...gelé), fn(...[...gelé]) et fn.apply(this, [... gelé]).
En plus des innovations et des corrections de bogues, la nouvelle version élimine . De nombreuses vulnérabilités ont été identifiées grâce à des outils de test automatisés , , , и . Aucun problème critique n'a été identifié qui permettrait de contourner tous les niveaux de protection du navigateur et d'exécuter du code sur le système en dehors de l'environnement sandbox. Dans le cadre du programme de récompense en espèces pour la découverte de vulnérabilités dans la version actuelle, Google a versé 16 récompenses d'un montant de 23500 10000 $ (une récompense de 6000 3000 $, une récompense de 500 9 $, deux récompenses de XNUMX XNUMX $ et trois récompenses de XNUMX $). La taille de XNUMX récompenses n’a pas encore été déterminée.
Source: opennet.ru