ProHoster > Blog > ynternet nijs > Chrome release 90

Chrome release 90

Google hat de frijlitting fan 'e webblêder Chrome 90 ûntbleate. Tagelyk is in stabile útjefte fan it fergese Chromium-projekt, dat tsjinnet as de basis fan Chrome, beskikber. De Chrome-blêder wurdt ûnderskieden troch it brûken fan Google-logo's, de oanwêzigens fan in systeem foar it ferstjoeren fan notifikaasjes yn gefal fan in crash, modules foar it spieljen fan beskerme fideo-ynhâld (DRM), in systeem foar automatyske ynstallaasje fan updates, en it ferstjoeren fan RLZ-parameters by it sykjen. De folgjende release fan Chrome 91 is pland foar maaie 25th.

Wichtige wizigingen yn Chrome 90:

  • Alle brûkers binne standert ynskeakele om siden fia HTTPS te iepenjen by it typen fan hostnammen yn 'e adresbalke. As jo ​​bygelyks de host example.com ynfiere, sil de side https://example.com standert iepene wurde, en as problemen ûntsteane by it iepenjen, sil it weromdraaid wurde nei http://example.com. Om it gebrûk fan 'e standert "https://" te kontrolearjen, wurdt de ynstelling "chrome://flags#omnibox-default-typed-navigations-to-https" foarsteld.
  • It is no mooglik om ferskate labels ta te jaan oan finsters om se visueel te skieden yn it buroblêdpaniel. Stipe foar it feroarjen fan de finsternamme sil de organisaasje fan wurk ferienfâldigje by it brûken fan aparte browserfinsters foar ferskate taken, bygelyks by it iepenjen fan aparte finsters foar wurktaken, persoanlike belangen, ferdivedaasje, útstelde materialen, ensfh. De namme wurdt feroare troch it item "Finstertitel taheakje" yn it kontekstmenu dat ferskynt as jo rjochts klikke op in leech gebiet yn 'e ljepperbalke. Nei it feroarjen fan de namme yn it applikaasjepaniel, ynstee fan de sidenamme fan 'e aktive ljepper, wurdt de selektearre namme werjûn, wat nuttich kin wêze as jo deselde siden iepenje yn ferskate finsters keppele oan aparte akkounts. De bining wurdt hanthavene tusken sesjes en nei in werstart de finsters wurde weromset mei de selektearre nammen.
    Chrome release 90
  • De mooglikheid tafoege om de "Lêslist" te ferbergjen sûnder ynstellings te feroarjen yn "chrome: // flaggen" ("chrome: // flaggen # read-later"). Om te ferbergjen kinne jo no de opsje "Lêslist sjen litte" brûke oan 'e ûnderkant fan it kontekstmenu dat wurdt werjûn as jo rjochtsklikke op' e blêdwizerbalke. Lit ús jo herinnerje dat yn 'e lêste release, as guon brûkers op it asterisk yn' e adresbalke klikke, neist de knop "Blêdwizer taheakje", in twadde knop "Tafoegje oan lêslist" ferskynt, en yn 'e rjochterhoeke fan' e blêdwizerspaniel it menu "Lêslist" ferskynt, wêryn alle eardere siden oan 'e list tafoege binne. As jo ​​in side út de list iepenje, wurdt dizze markearre as lêzen. Siden yn de list kinne ek mei de hân markearre wurde as lêzen of net lêzen, of fuortsmiten wurde fan de list.
  • Stipe tafoege foar netwurksegmentaasje om te beskermjen tsjin metoaden foar it folgjen fan brûkersbewegingen tusken siden basearre op it bewarjen fan identifiers yn gebieten dy't net bedoeld binne foar permaninte opslach fan ynformaasje ("Supercookies"). Omdat cached boarnen wurde opslein yn in mienskiplike nammeromte, nettsjinsteande it oarspronklike domein, ien side kin bepale dat in oare side is it laden boarnen troch te kontrolearjen oft dy boarne is yn de cache. De beskerming is basearre op it gebrûk fan netwurksegmentaasje (Network Partitioning), wêrfan de essinsje is om oan dielde caches ekstra bining fan records ta te foegjen oan it domein wêrfan de haadside iepene wurdt, wat de cachedekking beheint foar allinich bewegingssporingsskripts nei de aktuele side (in skript fan in iframe kin net kontrolearje oft de boarne is ynladen fan in oare side). De priis fan segmentaasje is in fermindering fan caching-effisjinsje, dy't liedt ta in lichte ferheging fan side-laadtiid (maksimaal mei 1.32%, mar foar 80% fan siden mei 0.09-0.75%).
  • De swarte list fan netwurkpoarten wêrfoar it ferstjoeren fan HTTP-, HTTPS- en FTP-oanfragen blokkearre is, is oanfolle om te beskermjen tsjin NAT-slipstreaming-oanfallen, wêrtroch, by it iepenjen fan in webside dy't spesjaal taret is troch de oanfaller yn in browser, in netwurk fêstigje kin ferbining fan 'e tsjinner fan' e oanfaller nei elke UDP- of TCP-poarte op it systeem fan 'e brûker, nettsjinsteande it gebrûk fan it ynterne adresberik (192.168.xx, 10.xxx). Added 554 (RTSP protokol) en 10080 (brûkt yn Amanda backup en VMWare vCenter) oan de list fan ferbeane havens. Earder wiene havens 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061 en 6566 al blokkearre.
  • Inisjele stipe tafoege foar it iepenjen fan PDF-dokuminten mei XFA-formulieren yn 'e browser.
  • Foar guon brûkers is in nije ynstellingsseksje "Chrome-ynstellings> Privacy en feiligens> Privacy sandbox" aktivearre, wêrmei jo de parameters fan 'e FLoC API kinne beheare, rjochte op it bepalen fan de kategory fan brûkersbelangen sûnder yndividuele identifikaasje en sûnder ferwizing nei de skiednis fan it besykjen fan spesifike siden.
  • In dúdliker notifikaasje mei in list mei tastiene aksjes wurdt no werjûn as in brûker ferbynt mei in profyl wêrfoar sintralisearre behear ynskeakele is.
  • Makket de tastimmingsfersykynterface minder yngripend. Fersiken dy't de brûker wierskynlik sil ôfkarre wurde no automatysk blokkearre mei in oerienkommende yndikator werjûn yn 'e adresbalke, wêrmei't de brûker nei de ynterface kin gean foar it behearen fan tagongsrjochten op in per-side basis.
    Chrome release 90
  • Stipe foar útwreidingen fan Intel CET (Intel Control-flow Enforcement Technology) is opnaam foar hardwarebeskerming tsjin eksploaten boud mei werom-rjochte programmearring (ROP, Return-Oriented Programming) techniken.
  • It wurk bliuwt om de browser oer te setten om ynklusive terminology te brûken. It bestân "master_preferences" is omneamd ta "initial_preferences" om foar te kommen dat se de gefoelens fan brûkers dy't it wurd "master" sjogge as in hint oer de eardere slavernij fan har foarâlden. Om kompatibiliteit te behâlden, sil stipe foar "master_preferences" in skoft yn 'e browser bliuwe. Earder hie de browser it gebrûk fan de wurden "wite list", "swarte list" en "native" al kwyt.
  • Yn 'e Android-ferzje, as de "Lite" ferkearsbesparringsmodus ynskeakele is, wurdt de bitrate fermindere by it downloaden fan fideo as ferbûn fia de netwurken fan mobile operators, wat de kosten sil ferminderje fan brûkers dy't ferkearsbasearre tariven ynskeakele hawwe. "Lite" modus leveret ek kompresje fan ôfbyldings oanfrege fan iepenbier beskikbere boarnen (net ferifikaasje nedich) fia HTTPS.
  • AV1-fideoformaat-encoder tafoege, spesjaal optimalisearre foar gebrûk yn fideokonferinsjes basearre op it WebRTC-protokol. It gebrûk fan AV1 yn fideokonferinsjes makket it mooglik om kompresje-effisjinsje te ferheegjen en de mooglikheid te jaan om út te stjoeren op kanalen mei in bânbreedte fan 30 kbit / sek.
  • Yn JavaScript implementearje de Array-, String- en TypedArrays-objekten de at() metoade, wêrtroch jo relative yndeksearring kinne brûke (relative posysje wurdt oantsjutte as de array-yndeks), ynklusyf it opjaan fan negative wearden relatyf oan 'e ein (bygelyks, "arr.at(-1)" sil it lêste elemint fan 'e array werombringe).
  • JavaScript hat de eigenskip ".indices" tafoege foar reguliere útdrukkingen, dy't in array befettet mei de start- en einposysjes fan groepen wedstriden. It pân wurdt allinich ynfold by it útfieren fan de reguliere ekspresje mei de flagge "/d". const re = /(a)(b)/d; const m = re.exec('ab'); console.log(m.indices[0]); // 0 - alle wedstriid groepen // → [0, 2] console.log(m.indices[1]); // 1 is de earste groep fan wedstriden // → [0, 1] console.log(m.indices[2]); // 2 - twadde groep wedstriden // → [1, 2]
  • De prestaasjes fan "super" eigenskippen (bygelyks super.x) wêrfoar de ynline-cache ynskeakele is, is optimalisearre. De prestaasjes fan it brûken fan "super" is no ticht by de prestaasjes fan tagong ta reguliere eigenskippen.
  • It oproppen fan WebAssembly-funksjes fan JavaSkript is signifikant fersneld troch it brûken fan inline-ynset. Dizze optimalisaasje bliuwt foarearst eksperiminteel en fereasket it rinnen mei de flagge "-turbo-inline-js-wasm-calls".
  • De WebXR Depth Sensing API tafoege, wêrtroch jo de ôfstân kinne bepale tusken objekten yn 'e omjouwing fan' e brûker en it apparaat fan 'e brûker, bygelyks om mear realistyske augmented reality-applikaasjes te meitsjen. Lit ús jo herinnerje dat de WebXR API jo it wurk kin ferienigje mei ferskate klassen fan firtuele realiteit-apparaten, fan stasjonêre 3D-helmen oant oplossingen basearre op mobile apparaten.
  • De funksje WebXR AR Lighting Estimation is stabilisearre, wêrtroch WebXR AR-sesjes omjouwingsferljochtingsparameters kinne bepalen om modellen in natuerliker uterlik te jaan en bettere yntegraasje mei de omjouwing fan 'e brûker.
  • Orizjinele Trials-modus (eksperimintele funksjes dy't aparte aktivearring nedich binne) foeget ferskate nije API's ta dy't op it stuit beheind binne ta it Android-platfoarm. Origin Trial ymplisearret de mooglikheid om te wurkjen mei de oantsjutte API út applikaasjes ynladen fan localhost of 127.0.0.1, of nei registrearjen en ûntfange in spesjale token dat jildich is foar in beheinde tiid foar in spesifike side.
    • De metoade getCurrentBrowsingContextMedia(), dy't it mooglik makket om in MediaStream-fideostream op te nimmen dy't de ynhâld fan 'e aktive ljepper reflektearret. Oars as de ferlykbere getDisplayMedia () metoade, by it oproppen fan getCurrentBrowsingContextMedia (), wurdt in ienfâldige dialooch presintearre oan de brûker om de operaasje fan it oerbringen fan fideo mei de ynhâld fan 'e ljepper te befêstigjen of te blokkearjen.
    • Insertable Streams API, wêrmei jo rûge mediastreamen kinne manipulearje dy't troch de MediaStreamTrack API oerbrocht wurde, lykas kamera- en mikrofoangegevens, resultaten fan skermopname, of tuskentiidse codec-dekodearjende gegevens. WebCodec-ynterfaces wurde brûkt om rau frames te presintearjen en in stream wurdt generearre fergelykber mei wat de WebRTC Insertable Streams API genereart basearre op RTCPeerConnections. Oan 'e praktyske kant makket de nije API funksjonaliteit mooglik lykas it tapassen fan techniken foar learen fan masines om objekten yn realtime te identifisearjen of te annotearjen, of effekten tafoegje lykas eftergrûnknipsel foardat kodearring of nei dekodearjen troch in codec.
    • De mooglikheid om boarnen yn pakketten te pakken (Web Bundle) om effisjinter laden te organisearjen fan in grut oantal begeliedende bestannen (CSS-stilen, JavaScript, ôfbyldings, iframes). Under de tekoartkommingen yn 'e besteande stipe foar pakketten foar JavaScript-bestannen (webpack), dy't de Webbondel besiket te eliminearjen: it pakket sels, mar net syn komponinten, kin yn 'e HTTP-cache einigje; kompilaasje en útfiering kin allinich begjinne nei't it pakket folslein ynladen is; Oanfoljende boarnen lykas CSS en ôfbyldings moatte kodearre wurde yn 'e foarm fan JavaScript-strings, wat de grutte fergruttet en in oare parsearstap fereasket.
    • Stipe foar útsûnderingshanneling yn WebAssembly.
  • Stabilisearre de Declarative Shadow DOM API om nije root-tûken te meitsjen yn 'e Shadow DOM, bygelyks om in ymporteare elemintstyl fan tredden en syn assosjearre DOM-subtûke te skieden fan it haaddokumint. De foarstelde deklarative API lit jo allinich HTML brûke om DOM-tûken los te meitsjen sûnder de needsaak om JavaScript-koade te skriuwen.
  • De aspekt-ferhâlding CSS-eigenskip, wêrtroch jo de aspektferhâlding eksplisyt kinne bine oan elk elemint (om automatysk de ûntbrekkende grutte te berekkenjen by it opjaan fan allinich de hichte of breedte), ymplementearret de mooglikheid om wearden te ynterpolearjen tidens animaasje (glêde oergong fan ien aspektferhâlding nei in oar).
  • De mooglikheid tafoege om de steat fan oanpaste HTML-eleminten yn CSS te reflektearjen fia de pseudo-klasse ": state ()". De funksjonaliteit wurdt ymplementearre troch analogy mei de mooglikheid fan standert HTML-eleminten om har steat te feroarjen ôfhinklik fan brûkersynteraksje.
  • De CSS-eigenskip "úterlik" stipet no de wearde 'auto', dy't standert is ynsteld foar En , en op it Android platfoarm boppedat foar , , , En .
  • Stipe foar de wearde "klip" is tafoege oan de "oerstream" CSS-eigenskip, as ynsteld, ynhâld dy't útwreidet bûten it blok wurdt knipt oan 'e limyt fan' e tastiene oerstreaming fan it blok sûnder de mooglikheid om te rôljen. De wearde dy't bepaalt hoe fier ynhâld kin útwreidzje foarby de eigentlike grins fan it fak foardat it knipjen begjint, wurdt ynsteld fia it nije CSS-eigenskip "overflow-clip-margin". Yn ferliking mei "overflow: ferburgen", mei it brûken fan "overflow: clip" soarget foar bettere prestaasjes.
    Chrome release 90Chrome release 90
  • De Feature-Policy HTTP-header is ferfongen troch in nije Permissions-Policy-header om delegaasje fan tagongsrjochten te kontrolearjen en avansearre funksjes yn te skeakeljen, dy't stipe omfettet foar strukturearre fjildwearden (jo kinne no bygelyks no "Permissions-Policy: geolokaasje" opjaan =()" ynstee fan "Funksje- Belied: geolokaasje 'gjin'").
  • Fersterke beskerming tsjin it brûken fan Protokol Buffers foar oanfallen feroarsake troch spekulative útfiering fan ynstruksjes yn processors. Beskerming wurdt ymplementearre troch it taheakjen fan it MIME-type "applikaasje/x-protobuffer" oan 'e list mei nea snuffele MIME-typen, dy't ferwurke wurdt fia it Cross-Origin-Read-Blocking-meganisme. Earder wie it MIME-type "applikaasje/x-protobuf" al opnaam yn in ferlykbere list, mar "applikaasje/x-protobuffer" waard útlitten.
  • De File System Access API ymplemintearret de mooglikheid om de aktuele posysje yn in bestân foarby syn ein te ferskowen, en folje de resultearjende gat mei nullen by it folgjende skriuwen fia de FileSystemWritableFileStream.write()-oprop. Dizze funksje kinne jo meitsje sparse triemmen mei lege spaasjes en gâns simplifies de organisaasje fan skriuwen nei in bestân streamt mei unordered oankomst fan gegevens blokken (bygelyks, dit wurdt oefene yn BitTorrent).
  • Added StaticRange constructor mei ymplemintaasje fan lichtgewicht Range typen dy't net nedich bywurkjen fan alle assosjearre objekten eltse kear de DOM beam feroarings.
  • Implementearre de mooglikheid om parameters foar breedte en hichte op te jaan foar eleminten oantsjutte binnen it elemint . Dizze funksje lit jo de aspektferhâlding foar eleminten berekkenje , nei analogy mei hoe't it wurdt dien foar , En .
  • Non-standerdisearre stipe foar RTP Data Channels is fuortsmiten út WebRTC, en it is oan te rieden om te brûken SCTP-basearre gegevens kanalen ynstee.
  • De eigenskippen navigator.plugins en navigator.mimeTypes jouwe no altyd in lege wearde werom (nei't Flash-stipe einige, wiene dizze eigenskippen net mear nedich).
  • In grut part fan lytse ferbetterings binne makke oan 'e ark foar webûntwikkelders en in nij CSS-debuggen-ark, flexbox, is tafoege.
    Chrome release 90

Neist ynnovaasjes en bug fixes elimineert de nije ferzje 37 kwetsberens. In protte fan 'e kwetsberens waarden identifisearre as gefolch fan automatisearre testen mei de AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL-ark. Gjin krityske problemen binne identifisearre dat soe tastean in bypass alle nivo fan blêder beskerming en útfiere koade op it systeem bûten de sânbox omjouwing. As ûnderdiel fan it cashbeleanningsprogramma foar it ûntdekken fan kwetsberens foar de hjoeddeistige release, betelle Google 19 prizen fan $ 54000 (ien $ 20000-priis, ien $ 10000-priis, twa $ 5000-prizen, trije $ 3000-prizen, ien $ 2000-priis, ien $ 1000-priis, en $ 500-priis en fjouwer prizen ). ). De grutte fan 'e 6 beleannings is noch net fêststeld.

Apart, it kin opmurken wurde dat juster, nei de formaasje fan 'e korrektive release 89.0.4389.128, mar foar de frijlitting fan Chrome 90, in oare eksploitaasje waard publisearre, dy't in nije 0-dei kwetsberens brûkte dy't net fêst wie yn Chrome 89.0.4389.128 . It is noch net dúdlik oft dit probleem is reparearre yn Chrome 90. Lykas yn it earste gefal beslacht de eksploitaasje mar ien kwetsberens en befettet gjin koade om sânbox-isolaasje te omgean (by it útfieren fan Chrome mei de flagge "--no-sandbox" , de eksploitaasje komt foar by it iepenjen fan in webside op Windows-platfoarm lit jo Notepad útfiere). De kwetsberens ferbûn mei de nije eksploitaasje hat ynfloed op WebAssembly technology.

Boarne: opennet.ru

Add a comment