Google a dévoilé la sortie du navigateur Web Chrome 94. Parallèlement, une version stable du projet gratuit Chromium, qui sert de base à Chrome, est disponible. Le navigateur Chrome se distingue par l'utilisation des logos Google, la présence d'un système d'envoi de notifications en cas de crash, de modules de lecture de contenus vidéo protégés (DRM), d'un système d'installation automatique des mises à jour et de transmission des paramètres RLZ lors de la recherche. La prochaine version de Chrome 95 est prévue pour le 19 octobre.
À partir de la sortie de Chrome 94, le développement est passé à un nouveau cycle de publication. Les nouvelles versions importantes seront désormais publiées toutes les 4 semaines, au lieu de toutes les 6 semaines, permettant une livraison plus rapide des nouvelles fonctionnalités aux utilisateurs. Il est à noter que l'optimisation du processus de préparation des versions et l'amélioration du système de test permettent de générer des versions plus fréquemment sans compromettre la qualité. Pour les entreprises et ceux qui ont besoin de plus de temps pour mettre à jour, une édition Extended Stable sera publiée séparément toutes les 8 semaines, ce qui vous permettra de passer aux nouvelles versions de fonctionnalités non pas une fois toutes les 4 semaines, mais une fois toutes les 8 semaines.
Changements majeurs dans Chrome 94 :
- Ajout du mode HTTPS-First, qui rappelle le mode HTTPS Only qui apparaissait auparavant dans Firefox. Si le mode est activé dans les paramètres, lors d'une tentative d'ouverture d'une ressource sans cryptage via HTTP, le navigateur tentera d'abord d'accéder au site via HTTPS, et si la tentative échoue, l'utilisateur recevra un avertissement concernant le manque de Prise en charge HTTPS et demande d'ouvrir le site sans cryptage. À l'avenir, Google envisage d'activer HTTPS-First par défaut pour tous les utilisateurs, de limiter l'accès à certaines fonctionnalités de la plateforme Web pour les pages ouvertes via HTTP et d'ajouter des avertissements supplémentaires pour informer les utilisateurs des risques qui surviennent lors de l'accès à des sites sans cryptage. Le mode est activé dans la section des paramètres « Confidentialité et sécurité » > « Sécurité » > « Avancé ».
- Pour les pages ouvertes sans HTTPS, envoi de requêtes (téléchargement de ressources) vers des URL locales (par exemple, « http://router.local » et localhost) et des plages d'adresses internes (127.0.0.0/8, 192.168.0.0/16, 10.0.0.0) est interdit .8/1.2.3.4, etc.). Une exception est faite uniquement pour les pages téléchargées à partir de serveurs avec des adresses IP internes. Par exemple, une page chargée depuis le serveur 192.168.0.1 ne pourra pas accéder à une ressource située sur l'IP 127.0.0.1 ou l'IP 192.168.1.1, mais chargée depuis le serveur XNUMX le pourra. Le changement introduit une couche supplémentaire de protection contre l'exploitation des vulnérabilités dans les gestionnaires qui acceptent les requêtes sur les adresses IP locales, et protégera également contre les attaques de rebinding DNS.
- Ajout de la fonction « Sharing Hub », qui vous permet de partager rapidement un lien vers la page actuelle avec d'autres utilisateurs. Il est possible de générer un code QR à partir d'une URL, d'enregistrer une page, d'envoyer un lien vers un autre appareil lié à un compte utilisateur et de transférer un lien vers des sites tiers tels que Facebook, WhatsUp, Twitter et VK. Cette fonctionnalité n'est pas encore disponible pour tous les utilisateurs. Pour forcer le bouton « Partager » dans le menu et la barre d'adresse, vous pouvez utiliser les paramètres « chrome://flags/#sharing-hub-desktop-app-menu » et « chrome://flags/#sharing-hub- bureau-omnibox” .
- L'interface des paramètres du navigateur a été restructurée. Chaque section de paramètres est désormais affichée sur une page distincte, plutôt que sur une page commune.
- La prise en charge de la mise à jour dynamique du journal des certificats émis et révoqués (Certificate Transparency) a été implémentée, qui sera désormais mise à jour sans référence aux mises à jour du navigateur.
- Ajout d'une page de service "chrome://whats-new" avec un aperçu des modifications visibles par l'utilisateur dans la nouvelle version. La page apparaît automatiquement immédiatement après la mise à jour ou est accessible via le bouton Quoi de neuf dans le menu Aide. La page mentionne actuellement la recherche par onglets, la possibilité de diviser les profils et une fonctionnalité de changement de couleur d'arrière-plan, qui ne sont pas spécifiques à Chrome 94 et ont été introduites dans les versions précédentes. L'affichage de la page n'est pas encore activé pour tous les utilisateurs : pour contrôler l'activation, vous pouvez utiliser les paramètres « chrome://flags#chrome-whats-new-ui » et « chrome://flags#chrome-whats-new-in -menu-principal-nouveau-badge".
- L’appel de l’API WebSQL à partir de contenu chargé à partir de sites tiers (tels qu’une iframe) est obsolète. Dans Chrome 94, lorsque vous essayez d'accéder à WebSQL à partir de scripts tiers, un avertissement s'affiche, mais à partir de Chrome 97, ces appels seront bloqués. À l'avenir, nous prévoyons de supprimer complètement le support de WebSQL, quel que soit le contexte d'utilisation. Le moteur WebSQL est basé sur le code SQLite et pourrait être utilisé par des attaquants pour exploiter les vulnérabilités de SQLite.
- Pour des raisons de sécurité et pour prévenir les activités malveillantes, l'utilisation de l'ancien protocole MK (URL:MK), autrefois utilisé dans Internet Explorer et permettant aux applications Web d'extraire des informations à partir de fichiers compressés, a commencé à être bloquée.
- La prise en charge de la synchronisation avec les anciennes versions de Chrome (Chrome 48 et versions antérieures) a été interrompue.
- L'en-tête HTTP Permissions-Policy, conçu pour activer certaines fonctionnalités et contrôler l'accès à l'API, a ajouté la prise en charge de l'indicateur « display-capture », qui vous permet de contrôler l'utilisation de l'API de capture d'écran sur la page (par défaut, la possibilité de capturer le contenu de l'écran à partir d'iframes externes est bloquée).
- Plusieurs nouvelles API ont été ajoutées au mode Origin Trials (fonctionnalités expérimentales nécessitant une activation séparée). Origin Trial implique la possibilité de travailler avec l'API spécifiée à partir d'applications téléchargées depuis localhost ou 127.0.0.1, ou après s'être enregistré et avoir reçu un jeton spécial valable pour une durée limitée pour un site spécifique.
- Ajout de l'API WebGPU, qui remplace l'API WebGL et fournit des outils pour effectuer des opérations GPU telles que le rendu et le calcul. Conceptuellement, WebGPU est proche des API Vulkan, Metal et Direct3D 12. Conceptuellement, WebGPU diffère de WebGL de la même manière que l'API graphique Vulkan diffère d'OpenGL, mais elle n'est pas basée sur une API graphique spécifique, mais est une API universelle. couche qui utilise les mêmes primitives de bas niveau, disponibles dans Vulkan, Metal et Direct3D 12.
WebGPU fournit aux applications JavaScript un contrôle de bas niveau sur l'organisation, le traitement et la transmission des commandes au GPU, ainsi que la possibilité de gérer les ressources associées, la mémoire, les tampons, les objets de texture et les shaders graphiques compilés. Cette approche vous permet d'obtenir des performances plus élevées pour les applications graphiques en réduisant les frais généraux et en augmentant l'efficacité du travail avec le GPU. L'API permet également de créer des projets 3D complexes pour le Web qui fonctionnent aussi bien que des programmes autonomes, mais ne sont pas liés à des plateformes spécifiques.
- Les applications PWA autonomes ont désormais la possibilité de s'enregistrer en tant que gestionnaires d'URL. Par exemple, l'application music.example.com peut s'enregistrer en tant que gestionnaire d'URL https://*.music.example.com et toutes les transitions depuis des applications externes utilisant ces liens, par exemple depuis des messageries instantanées et des clients de messagerie, entraîneront à l'ouverture de ces applications PWA, pas un nouvel onglet de navigateur.
- La prise en charge du nouveau code de réponse HTTP - 103 a été implémentée, qui peut être utilisée pour afficher les en-têtes à l'avance. Le code 103 vous permet d'informer le client du contenu de certains en-têtes HTTP immédiatement après la requête, sans attendre que le serveur termine toutes les opérations liées à la requête et commence à servir le contenu. De la même manière, vous pouvez fournir des indications sur les éléments liés à la page diffusée qui peuvent être préchargés (par exemple, des liens vers le CSS et le javascript utilisés sur la page peuvent être fournis). Après avoir reçu des informations sur ces ressources, le navigateur commencera à les télécharger sans attendre la fin du rendu de la page principale, ce qui vous permettra de réduire le temps global de traitement des demandes.
- Ajout de l'API WebGPU, qui remplace l'API WebGL et fournit des outils pour effectuer des opérations GPU telles que le rendu et le calcul. Conceptuellement, WebGPU est proche des API Vulkan, Metal et Direct3D 12. Conceptuellement, WebGPU diffère de WebGL de la même manière que l'API graphique Vulkan diffère d'OpenGL, mais elle n'est pas basée sur une API graphique spécifique, mais est une API universelle. couche qui utilise les mêmes primitives de bas niveau, disponibles dans Vulkan, Metal et Direct3D 12.
- Ajout de l'API WebCodecs pour la manipulation de bas niveau des flux multimédias, complétant les API de haut niveau HTMLMediaElement, Media Source Extensions, WebAudio, MediaRecorder et WebRTC. La nouvelle API pourrait être demandée dans des domaines tels que le streaming de jeux, les effets côté client, le transcodage de flux et la prise en charge de conteneurs multimédias non standard. Au lieu d'implémenter des codecs individuels dans JavaScript ou WebAssembly, l'API WebCodecs donne accès à des composants prédéfinis et hautes performances intégrés au navigateur. En particulier, l'API WebCodecs fournit des décodeurs et encodeurs audio et vidéo, des décodeurs d'images et des fonctions permettant de travailler avec des images vidéo individuelles à un niveau bas.
- L'API Insertable Streams a été stabilisée, permettant de manipuler les flux multimédias bruts transmis via l'API MediaStreamTrack, tels que les données de caméra et de microphone, les résultats de capture d'écran ou les données de décodage de codec intermédiaire. Les interfaces WebCodec sont utilisées pour présenter des images brutes et un flux est généré similaire à celui généré par l'API WebRTC Insertable Streams sur la base de RTCPeerConnections. Côté pratique, la nouvelle API permet des fonctionnalités telles que l'application de techniques de machine learning pour identifier ou annoter des objets en temps réel, ou encore l'ajout d'effets tels que le découpage de l'arrière-plan avant l'encodage ou après le décodage par un codec.
- La méthode Scheduler.postTask() a été stabilisée, permettant de contrôler la planification des tâches (appels de rappel JavaScript) avec différents niveaux de priorité. Trois niveaux de priorité sont prévus : 1- exécution en premier, même si les opérations des utilisateurs peuvent être bloquées ; 2 : les modifications visibles par l'utilisateur sont autorisées ; 3 - exécution en arrière-plan). Vous pouvez utiliser l'objet TaskController pour modifier la priorité et annuler des tâches.
- Stabilisé et désormais distribué en dehors de la détection d'inactivité de l'API Origin Trials pour détecter l'inactivité des utilisateurs. L'API vous permet de détecter les moments où l'utilisateur n'interagit pas avec le clavier/la souris, où l'économiseur d'écran est en cours d'exécution, où l'écran est verrouillé ou où un travail est effectué sur un autre moniteur. L'information de l'application sur l'inactivité s'effectue par l'envoi d'une notification après avoir atteint un seuil d'inactivité spécifié.
- Le processus de gestion des couleurs dans les objets CanvasRenderingContext2D et ImageData et l'utilisation de l'espace colorimétrique sRGB dans ceux-ci ont été formalisés. Offre la possibilité de créer des objets CanvasRenderingContext2D et ImageData dans des espaces colorimétriques autres que sRGB, tels que Display P3, pour tirer parti des capacités avancées des moniteurs modernes.
- Ajout de méthodes et de propriétés à l'API VirtualKeyboard pour contrôler si le clavier virtuel est affiché ou masqué et pour obtenir des informations sur la taille du clavier virtuel affiché.
- JavaScript permet aux classes d'utiliser des blocs d'initialisation statiques pour regrouper le code exécuté une fois lors du traitement de la classe : class C { // Le bloc sera exécuté lors du traitement de la classe elle-même. static { console.log("Bloc statique de C"); } }
- Les propriétés CSS flex-basis et flex implémentent les mots-clés content, min-content, max-content et fit-content pour fournir un contrôle plus flexible sur la taille de la zone Flexbox principale.
- Ajout de la propriété CSS scrollbar-gutter pour contrôler la manière dont l'espace d'écran est réservé à la barre de défilement. Par exemple, lorsque vous ne souhaitez pas que le contenu défile, vous pouvez étendre la sortie pour occuper la zone de la barre de défilement.
- L'API Self Profiling a été ajoutée avec la mise en place d'un système de profilage qui permet de mesurer le temps d'exécution de JavaScript côté utilisateur pour déboguer les problèmes de performances dans le code JavaScript, sans recourir à des manipulations manuelles dans l'interface pour les développeurs web.
- Après avoir supprimé le plugin Flash, il a été décidé de renvoyer des valeurs vides dans les propriétés navigator.plugins et navigator.mimeTypes, mais il s'est avéré que certaines applications les ont utilisées pour vérifier la présence de plugins d'affichage de fichiers PDF. Étant donné que Chrome dispose d'une visionneuse PDF intégrée, les propriétés navigator.plugins et navigator.mimeTypes renverront désormais une liste fixe de plug-ins de visionneuse PDF standard et de types MIME - "PDF Viewer, Chrome PDF Viewer, Chromium PDF Viewer, Microsoft Edge PDF Viewer et PDF intégré à WebKit".
- Des améliorations ont été apportées aux outils destinés aux développeurs Web. Les appareils Nest Hub et Nest Hub Max ont été ajoutés à la liste de simulation d'écran. Un bouton d'inversion des filtres a été ajouté à l'interface d'inspection de l'activité du réseau (par exemple, lors de l'installation du filtre « code d'état : 404 », vous pouvez visualiser rapidement toutes les autres demandes), et a également fourni la possibilité de visualiser les valeurs d'origine des en-têtes Set-Cookie (permet d'évaluer la présence de valeurs incorrectes qui sont supprimées lors de la normalisation). La barre latérale de la console Web est obsolète et sera supprimée dans une prochaine version. Ajout d'une capacité expérimentale pour masquer les problèmes dans l'onglet Problèmes. Dans les paramètres, la possibilité de sélectionner la langue de l'interface a été ajoutée.
En plus des innovations et des corrections de bugs, la nouvelle version élimine 19 vulnérabilités. De nombreuses vulnérabilités ont été identifiées à la suite de tests automatisés utilisant les outils AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer et AFL. Aucun problème critique n'a été identifié qui permettrait de contourner tous les niveaux de protection du navigateur et d'exécuter du code sur le système en dehors de l'environnement sandbox. Dans le cadre du programme de récompense en espèces pour la découverte de vulnérabilités dans la version actuelle, Google a payé 17 récompenses d'une valeur de 56500 15000 $ (une récompense de 10000 7500 $, deux récompenses de 3000 1000 $, une récompense de 7 XNUMX $, quatre récompenses de XNUMX XNUMX $, deux récompenses de XNUMX XNUMX $). La taille des XNUMX récompenses n’a pas encore été déterminée.
Source: opennet.ru