Chrome release 101

Компания Google представила релиз web-браузера Chrome 101. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель, в которой сформировано обновление для прошлого выпуска Chrome 100. Следующий выпуск Chrome 102 запланирован на 24 мая.

Wichtige wizigingen yn Chrome 101:

• Добавлена функция Side Search, дающая возможность просмотреть результаты поиска в боковой панели одновременно с просмотром другой страницы (в одном окне одновременно можно видеть как содержимое страницы, так и результат обращения к поисковой системе). После перехода на какой-то сайт со страницы с результатами поиска в Google перед полем ввода в адресной строке появляется пиктограмма с буквой «G», при клике на которую открывается боковая панель с результатами ранее предпринятого поиска. По умолчанию функция включена не на всех системах, для включения можно использовать настройку «chrome://flags/#side-search».
• В адресной строке Omnibox реализована упреждающая отрисовка (prerendering) содержимого рекомендаций, предлагаемых по мере ввода. Ранее для ускорения перехода из адресной строки наиболее вероятные для перехода рекомендации подгружались не дожидаясь клика пользователя, используя вызов Prefetch. Теперь, помимо загрузки, они ещё и отрисовываются в буфере (в том числе выполняются скрипты и формируется дерево DOM), что позволяет обеспечить мгновенное отображение рекомендаций после клика. Для управления упреждающей отрисовкой предложены настройки «chrome://flags/#enable-prerender2», «chrome://flags/#omnibox-trigger-for-prerender2» и «chrome://flags/#search-suggestion-for-prerender2».
• Урезана информация в HTTP-заголовке User-Agent и JavaScript параметрах navigator.userAgent, navigator.appVersion и navigator.platform. В заголовке оставлены только сведения о названии браузера, значительной версии браузера (составляющие версии MINOR.BUILD.PATCH заменены на 0.0.0), платформе и типе устройства (мобильный телефон, ПК, планшет). Для получения дополнительных данных, таких как точная версия и расширенные данные о платформе, необходимо использовать API User Agent Client Hints. Для сайтов, которым новой информации недостаточно и которые ещё не готовы перейти на User Agent Client Hints, до мая 2023 года предоставлена возможность возвращения полного User-Agent.
• Изменено поведение функции setTimeout при передаче нулевого аргумента, определяющего задержку вызова. Начиная с Chrome 101 при указании «setTimeout(…, 0)» код будет вызываться сразу, без задержки в 1мс, как того требует спецификация. Для повторных вложенных вызовов setTimeout применяется задержка в 4 мс.
• В версии для платформы Android реализована поддержка запроса полномочий на вывод уведомлений (в Android 13 для отображения уведомлений приложение должно иметь полномочие «POST_NOTIFICATIONS», без которого отправка уведомлений будет блокироваться). При запуске Chrome в окружении Android 13 браузер теперь будет выводить запрос получения полномочий на вывод уведомлений.
• Удалена возможность использования API WebSQL в сторонних скриптах. По умолчанию блокировка WebSQL в скриптах, загруженных не с текущего сайта, была включена в Chrome 97, но была оставлена опция для отключения данного поведения. В Chrome 101 эта опция удалена. В дальнейшем планируется постепенно полностью прекратить поддержку WebSQL, независимо от контекста использования. Вместо WebSQL рекомендуется использовать API Web Storage и Indexed Database. Обработчик WebSQL основан на коде SQLite и мог использоваться злоумышленниками для эксплуатации уязвимостей в SQLite.
• Удалены имена политик для предприятий (chrome://policy), содержащие неинклюзивные термины. Начиная с Chrome 86 для указанных политик предложены замены, в которых используется инклюзивная терминология. Проведена чистка таких терминов, как «whitelist», «blacklist», «native» и «master». Например, политика URLBlacklist переименована в URLBlocklist, AutoplayWhitelist в AutoplayAllowlist, а NativePrinters в Printers.
• Yn Origin Trials-modus (eksperimintele funksjes dy't aparte aktivearring fereaskje), is testen fan 'e Federated Credential Management (FedCM) API oant no ta begon allinnich yn gearkomsten foar it Android-platfoarm, wêrtroch jo ferienige identiteitstsjinsten kinne meitsje dy't privacy garandearje en wurkje sûnder krús. -Mechanismen foar folgjen fan side, lykas Cookie-ferwurking fan tredden. Origin Trial ymplisearret de mooglikheid om te wurkjen mei de oantsjutte API út applikaasjes ynladen fan localhost of 127.0.0.1, of nei registrearjen en ûntfange in spesjale token dat jildich is foar in beheinde tiid foar in spesifike side.
• Стабилизирован и предложен всем желающим механизм Priority Hints, позволяющий задать важность того или иного загружаемого ресурса через указание дополнительного атрибута «importance» в тегах, таких как iframe, img и link. Атрибут может принимать значения «auto» и «low», and «high», которые влияют на порядок загрузки браузером внешних ресурсов.
• Добавлено свойство AudioContext.outputLatency, через которое можно узнать сведения о прогнозируемой задержке перед выводом звука (задержка между запросом звука и началом обработки полученных данных устройством вывода звука).
• Добавлено CSS-свойство font-palette и правило @font-palette-values, позволяющие выбрать палитру из цветного шрифта или определить собственную палитру. Например, указанная возможности может использоваться для приведения цветных символьных шрифтов или emoji к цвету оформления содержимого или для включения тёмного или светлого режима для шрифта.
• Добавлена CSS-функция hwb(), предоставляющая альтернативный метод указания цветов sRGB в формате HWB (Hue, Whiteness, Blackness), похожем на формат HSL (Hue, Saturation, Lightness), но более простом для человеческого восприятия.
• В методе window.open() указание свойства popup в строке windowFeatures, без присвоения значения (т.е. когда просто указан popup, а не popup=true) теперь обрабатывается как включение открытия миниатюрного всплывающего окна (аналог «popup=true») вместо присвоения по умолчанию значения «false», что было нелогично и вводило разработчиков в заблуждение.
• В API MediaCapabilities, предоставляющем информацию о возможностях устройства и браузера по декодированию мультимедийного контента (поддерживаемые кодеки, профили, битрейты и разрешения), добавлена поддержка потоков WebRTC.
• Предложена третья версия API Secure Payment Confirmation, предоставляющего инструменты для дополнительного подтверждения совершаемой платёжной операции. В новой версии добавлена поддержка идентификаторов, требующих ввода данных, определения пиктограммы для индикации сбоя проверки, а также опционального свойства payeeName.
• В API USBDevice добавлен метод forget() для отзыва ранее предоставленных пользователем полномочий для доступа к USB-устройству. Кроме того, экземпляры USBConfiguration, USBInterface, USBAlternateInterface и USBEndpoint теперь равны при строгом сравнении («===», указывают на один объект), если они возвращены для одного и того же объекта USBDevice.
• Внесены улучшения в инструменты для web-разработчиков. Предоставлена возможность импорта и экспорта в формате JSON записанных действий пользователя (пример). В web-консоли и интерфейсе просмотра кода улучшено вычисление и отображение приватных свойств. Добавлена поддержка работы с цветовой моделью HWB. В панели CSS добавлена возможность просмотра каскадных слоёв, задаваемых при помощи правила @layer.

Кроме нововведений и исправления ошибок в новой версии устранено 30 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 25 премий на сумму 81 тысяча долларов США (одна премия $10000, три премии $7500, три премии $7000, одна премия $6000, две премии $5000, четыре премии $2000, три премии $1000 и одна премия $500). Размер 6 вознаграждений пока не определён.

Boarne: opennet.ru