Google version du navigateur Web ... Simultanément version stable d'un projet libre , qui est la base de Chrome. Navigateur Chrome l'utilisation des logos Google, la présence d'un système d'envoi de notifications en cas de crash, la possibilité de charger le module Flash à la demande, des modules de lecture de contenus vidéo protégés (DRM), un système de mise à jour automatique, et la transmission sur recherche . La prochaine version de Chrome 85 est prévue pour le 25 août.
:
- prise en charge des protocoles TLS 1.0 et TLS 1.1. Pour accéder aux sites via un canal de communication sécurisé, le serveur doit prendre en charge au moins TLS 1.2, sinon le navigateur affichera désormais une erreur. Selon Google, environ 0.5 % des téléchargements de pages Web continuent actuellement d'être effectués à l'aide de versions obsolètes de TLS. L'arrêt a été effectué conformément aux IETF (Groupe de travail sur l'ingénierie Internet). La raison du rejet de TLS 1.0/1.1 est le manque de prise en charge des chiffrements modernes (par exemple, ECDHE et AEAD) et la nécessité de prendre en charge les anciens chiffrements, dont la fiabilité est remise en question au stade actuel de développement de la technologie informatique (par exemple , la prise en charge de TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA est requise, MD5 et SHA-1). Le paramètre permettant le retour à TLS 1.0/1.1 sera conservé jusqu'en janvier 2021.
- Blocage fourni (sans cryptage) des fichiers exécutables et ajout d'avertissements lors du chargement d'archives de manière non sécurisée. À l’avenir, il est prévu de cesser progressivement de prendre en charge le téléchargement de fichiers sans cryptage. Le blocage est mis en œuvre car le téléchargement de fichiers sans cryptage peut être utilisé pour effectuer des actions malveillantes en remplaçant le contenu lors d'attaques MITM.
- soutien initial , développé comme alternative à l'en-tête User-Agent. Le mécanisme Client Hints propose une série d'en-têtes « Sec-CH-UA-* » en remplacement de User-Agent, qui vous permet d'organiser la livraison sélective de données sur des paramètres spécifiques du navigateur et du système (version, plate-forme, etc.) uniquement. après une demande du serveur. L'utilisateur a la possibilité de déterminer quels paramètres sont acceptables pour la livraison et de fournir de manière sélective ces informations aux propriétaires du site. Lors de l'utilisation de Client Hints, l'identifiant n'est pas transmis par défaut sans demande explicite, ce qui rend impossible une identification passive (par défaut, seul le nom du navigateur est indiqué). sur jusqu'à l'année prochaine.
- activation
plus strictes transfert de Cookies entre sites, qui a été à cause du COVID-19. Pour les demandes non HTTPS, le traitement des Cookies tiers déposés lors de l'accès à des sites autres que le domaine de la page en cours est interdit. Ces cookies sont utilisés pour suivre les mouvements des utilisateurs entre les sites dans le code des réseaux publicitaires, les widgets de réseaux sociaux et les systèmes d'analyse Web.Rappelons que pour contrôler la transmission des Cookies, on utilise l'attribut SameSite spécifié dans l'en-tête Set-Cookie, qui sera par défaut fixé à la valeur « SameSite=Lax », ce qui limite l'envoi de Cookies pour les sous-requêtes cross-site. , comme une demande d'image ou le chargement de contenu via une iframe depuis un autre site. Les sites peuvent remplacer le comportement par défaut de SameSite en définissant explicitement le paramètre Cookie sur SameSite=None. De plus, la valeur SameSite=None pour Cookie ne peut être définie qu'en mode Secure (valable pour les connexions via HTTPS). Le changement sera déployé par étapes, en commençant par un petit pourcentage d’utilisateurs, puis en élargissant progressivement sa portée.
- Implémentation expérimentale ajoutée , qui peut être activé à l’aide du paramètre « chrome://flags/#enable-heavy-ad-intervention ». Le bloqueur vous permet de désactiver automatiquement les blocs de publicité iframe une fois que les seuils de trafic et de charge CPU sont dépassés. Le blocage sera déclenché si le thread principal a consommé plus de 60 secondes de temps CPU au total ou 15 secondes dans un intervalle de 30 secondes (consommant 50 % des ressources pendant plus de 30 secondes), ainsi que lorsque plus de 4 Mo des données ont été téléchargées sur le réseau.
Le blocage ne fonctionnera que si, avant le dépassement des limites, l'utilisateur n'a pas interagi avec l'unité publicitaire (par exemple, n'a pas cliqué dessus), ce qui, compte tenu des restrictions de circulation, permettra la lecture automatique de gros les vidéos dans la publicité doivent être bloquées sans que l'utilisateur n'active explicitement la lecture. Les mesures proposées éviteront aux utilisateurs de faire de la publicité avec une mise en œuvre de code inefficace ou une activité parasitaire délibérée (par exemple, l'exploitation minière). Selon les statistiques de Google, les publicités qui répondent aux critères de blocage ne représentent que 0.30 % de toutes les unités publicitaires, mais en même temps, ces encarts publicitaires consomment 28 % des ressources CPU et 27 % du trafic du volume total de publicité.
- Des travaux ont été effectués pour réduire la consommation des ressources CPU lorsque la fenêtre du navigateur n'est pas dans le champ de vision de l'utilisateur. Chrome vérifie désormais si la fenêtre du navigateur est recouverte par d'autres fenêtres et empêche de dessiner des pixels dans les zones de chevauchement. La nouvelle fonctionnalité sera déployée progressivement : l'optimisation sera activée de manière sélective pour certains utilisateurs dans Chrome 84 et pour d'autres dans Chrome 85.
- La protection est activée par défaut , par exemple, du spam avec des demandes de réception de notifications push. Étant donné que de telles demandes interrompent le travail de l'utilisateur et détournent l'attention des actions dans les boîtes de dialogue de confirmation, au lieu d'une boîte de dialogue distincte dans la barre d'adresse, une invite d'information ne nécessitant aucune action de la part de l'utilisateur s'affichera avec un avertissement indiquant que la demande d'autorisation est bloquée. , qui est automatiquement réduit en un indicateur avec l'image d'une cloche barrée. En cliquant sur l'indicateur, vous pouvez activer ou refuser l'autorisation demandée à tout moment.
- Le choix de l'utilisateur est mémorisé lors de l'ouverture des gestionnaires pour les protocoles externes - l'utilisateur peut sélectionner « toujours autoriser ce site » pour un gestionnaire spécifique et le navigateur se souviendra de cette décision par rapport au site actuel.
- Protection supplémentaire contre la modification des paramètres utilisateur sans consentement explicite. Si le module complémentaire modifie le moteur de recherche par défaut ou la page affichée pour un nouvel onglet, le navigateur affichera désormais une boîte de dialogue vous demandant de confirmer l'opération spécifiée ou d'annuler la modification.
- mise en place d'une protection contre le chargement de contenus multimédia mixtes (lorsque des ressources sont chargées sur une page HTTPS via le protocole http://). Sur les pages ouvertes via HTTPS, les liens « http:// » seront désormais automatiquement remplacés par « https:// » dans les blocs associés au chargement des images (les scripts et iframes étaient auparavant remplacés, un remplacement automatique des ressources audio et vidéo est attendu dans la prochaine version). Si une image n'est pas disponible via https, alors son téléchargement est bloqué (vous pouvez marquer manuellement le blocage via le menu accessible via le symbole du cadenas dans la barre d'adresse).
- Prise en charge des API ajoutée (développée sous le nom de SMS Receiver API), qui permet d'organiser la saisie d'un mot de passe à usage unique sur une page Web après avoir reçu un message SMS avec un code de confirmation délivré sur le smartphone Android de l'utilisateur sur lequel le navigateur s'exécute. La confirmation par SMS, par exemple, peut être utilisée pour vérifier le numéro de téléphone spécifié par l'utilisateur lors de l'inscription. Si auparavant l'utilisateur devait ouvrir l'application SMS, copier le code de celle-ci dans le presse-papiers, revenir au navigateur et coller ce code, alors la nouvelle API permet d'automatiser ce processus et de le réduire à une seule touche.
- API étendue
pour contrôler la lecture de l’animation Web. La nouvelle version ajoute la prise en charge des opérations de composition, vous permettant de contrôler la manière dont les effets sont combinés et fournissant de nouveaux gestionnaires appelés lorsque des événements de remplacement de contenu se produisent. L'API Web Animations prend également désormais en charge Promise pour définir l'ordre dans lequel les animations sont affichées et mieux contrôler la manière dont les animations interagissent avec d'autres fonctionnalités de l'application. - Plusieurs nouvelles API ont été ajoutées au mode Origin Trials (fonctionnalités expérimentales nécessitant une activation séparée). Origin Trial implique la possibilité de travailler avec l'API spécifiée à partir d'applications téléchargées depuis localhost ou 127.0.0.1, ou après s'être enregistré et avoir reçu un jeton spécial valable pour une durée limitée pour un site spécifique.
- API pour l'accès des techniciens de service aux cookies HTTP, servant d'alternative asynchrone à l'utilisation de document.cookie.
- API pour détecter l'inactivité de l'utilisateur, vous permettant de détecter le moment où l'utilisateur n'interagit pas avec le clavier/la souris, l'économiseur d'écran est en cours d'exécution, l'écran est verrouillé ou le travail est en cours sur un autre moniteur. L'information de l'application sur l'inactivité s'effectue par l'envoi d'une notification après avoir atteint un seuil d'inactivité spécifié.
- régime , permet au développeur d'utiliser une isolation plus complète du traitement du contenu dans un processus distinct par rapport à la source (origine - domaine + port + protocole), plutôt qu'au site, au prix de l'arrêt de la prise en charge de certaines fonctionnalités héritées, telles que la synchronisation. exécution de scripts utilisant document.domain et appelant postMessage() pour publier des messages sur les instances WebAssembly.Module. En d'autres termes, Origin Isolation permet d'organiser la séparation entre les différents processus en fonction du domaine de la ressource, et non du site avec toutes les inclusions superflues sur les pages.
- API pour utiliser les instructions vectorielles SIMD dans les applications au format WebAssembly. Pour garantir l'indépendance de la plate-forme, il propose un nouveau type 128 bits pouvant représenter différents types de données compressées, ainsi que plusieurs opérations vectorielles de base pour le traitement des données compressées. SIMD vous permet d'augmenter la productivité en parallélisant le traitement des données et sera utile lors de la compilation de code natif dans WebAssembly. Pour activer la prise en charge SIMD, vous pouvez utiliser le paramètre « chrome://flags/#enable-webassembly-simd ».
- Stabilisé et désormais distribué en dehors d'Origin Trials
API , qui fournit des métadonnées sur le contenu précédemment mis en cache par les applications Web exécutées en mode Progressive Web Apps (PWS). L'application peut enregistrer diverses données côté navigateur, notamment des images, des vidéos et des articles, et lorsque la connexion réseau est perdue, l'utiliser à l'aide des API Cache Storage et IndexedDB. L'API d'indexation de contenu permet d'ajouter, de rechercher et de supprimer de telles ressources. Dans le navigateur, cette API est déjà utilisée pour lister une liste de pages et de données multimédia disponibles pour une visualisation hors ligne. - Version API stabilisée basé sur le mécanisme Promise, qui offre un moyen plus sécurisé de contrôler la désactivation des écrans de verrouillage automatique et de faire passer les appareils en modes d'économie d'énergie.
- Dans la version pour la plateforme Android prise en charge des raccourcis d'application, vous permettant de fournir un accès rapide aux actions typiques populaires dans l'application. Pour créer des raccourcis, ajoutez simplement des éléments au manifeste de l'application Web au format PWA (Progressive Web Apps).
- Web Worker est autorisé à utiliser l'API , qui vous permet de définir un gestionnaire pour générer un rapport, appelé lors de l'accès à des fonctionnalités obsolètes. Le rapport généré peut être enregistré, envoyé au serveur ou traité par un script JavaScript à la discrétion de l'utilisateur.
- API mise à jour , qui vous permet de connecter un gestionnaire auquel seront envoyées les notifications sur les changements de taille des éléments spécifiés sur la page. Trois nouvelles propriétés ont été ajoutées à ResizeObserverEntry : contentBoxSize, borderBoxSize et devicePixelContentBoxSize pour fournir des informations plus granulaires, renvoyées sous forme de tableau d'objets ResizeObserverSize.
- Mot-clé ajouté "» pour réinitialiser le style de l'élément à sa valeur par défaut.
- Suppression du préfixe des propriétés CSS "-webkit-apparence" et "-webkit-ruby-position", qui sont désormais disponibles sous la forme ""Et"«.
- En Javascript prise en charge du marquage des méthodes et des propriétés d'une classe comme privées, après quoi l'accès à celles-ci ne sera ouvert qu'au sein de la classe (auparavant, seuls les champs pouvaient être privés). Pour marquer les méthodes et les propriétés comme privées : avant le nom du champ, il y a un signe « # ».
- En Javascript soutenir (référence faible) aux objets JavaScript qui permettent de conserver une référence à l'objet, mais n'empêchent pas le garbage collector de supprimer l'objet associé. La prise en charge des finaliseurs a également été ajoutée, permettant de définir un gestionnaire qui est appelé une fois le garbage collection de l'objet spécifié terminé.
- Le lancement des applications sur WebAssembly a été accéléré, grâce à l'implémentation dans le compilateur Liftoff initial (de base) и . Les outils de débogage de WebAssembly ont été améliorés, les performances de débogage ont été considérablement améliorées lors de l'utilisation de points d'arrêt (auparavant, l'interpréteur était utilisé pour le débogage, et maintenant le compilateur Liftoff).
- Dans les outils pour les développeurs Web pphttps://developers.google.com/web/updates/2020/05/devtools, le panneau d'analyse des performances a été mis à jour. Ajout d'informations générales sur la métrique (Total Blocking Time), indiquant combien de temps la page semble être disponible, mais n'est en réalité pas disponible (c'est-à-dire que la page a déjà été rendue, mais l'exécution du thread principal est toujours bloquée et la saisie de données n'est pas possible). Ajout d'une nouvelle section Expérience pour l'analyse des métriques (Cumulative Layout Shift), reflétant la stabilité visuelle du contenu. Le panneau d'inspection des styles CSS fournit un aperçu des images spécifiées via la propriété « background-image ».
En plus des innovations et des corrections de bogues, la nouvelle version élimine . De nombreuses vulnérabilités ont été identifiées grâce à des outils de test automatisés , , , и . Un problème (CVE-2020-6510, débordement de tampon dans le gestionnaire d'arrière-plan de récupération) est marqué comme critique, c'est-à-dire vous permet de contourner tous les niveaux de protection du navigateur et d'exécuter du code sur le système en dehors de l'environnement sandbox. Dans le cadre du programme de récompense en espèces pour la découverte de vulnérabilités dans la version actuelle, Google a versé 26 récompenses d'une valeur de 21500 5000 $ (deux récompenses de 3000 2000 $, deux récompenses de 1000 500 $, une récompense de 16 XNUMX $, deux récompenses de XNUMX XNUMX $ et trois récompenses de XNUMX $). Le montant des XNUMX récompenses n’a pas encore été déterminé.
Source: opennet.ru