Google presentou o lanzamento do navegador web Chrome 94. Ao mesmo tempo, está dispoñible unha versión estable do proxecto Chromium gratuíto, que serve como base de Chrome. O navegador Chrome distínguese polo uso de logotipos de Google, a presenza dun sistema de envío de notificacións en caso de fallo, módulos para reproducir contido de vídeo protexido (DRM), un sistema de instalación automática de actualizacións e transmisión de parámetros RLZ durante a busca. A próxima versión de Chrome 95 está programada para o 19 de outubro.
A partir do lanzamento de Chrome 94, o desenvolvemento pasou a un novo ciclo de lanzamento. Os novos lanzamentos significativos publicaranse agora cada 4 semanas, en lugar de cada 6 semanas, o que permitirá unha entrega máis rápida de novas funcións aos usuarios. Nótase que a optimización do proceso de preparación de lanzamentos e a mellora do sistema de probas permiten xerar lanzamentos con máis frecuencia sen comprometer a calidade. Para as empresas e aqueles que necesitan máis tempo para actualizarse, lanzarase unha edición estable ampliada por separado cada 8 semanas, o que lle permitirá cambiar ás novas funcións non unha vez cada 4 semanas, senón unha vez cada 8 semanas.
Cambios clave en Chrome 94:
- Engadiuse o modo HTTPS-First, que lembra ao modo Só HTTPS que apareceu anteriormente en Firefox. Se o modo está activado na configuración, ao tentar abrir un recurso sen cifrado a través de HTTP, o navegador primeiro tentará acceder ao sitio a través de HTTPS e, se o intento non é exitoso, o usuario mostrará un aviso sobre a falta de Soporte HTTPS e solicitou abrir o sitio sen cifrar. No futuro, Google está considerando habilitar HTTPS-First de forma predeterminada para todos os usuarios, limitar o acceso a algunhas funcións da plataforma web para páxinas abertas a través de HTTP e engadir avisos adicionais para informar aos usuarios sobre os riscos que xorden ao acceder a sitios sen cifrar. O modo está habilitado na sección de configuración "Privacidade e seguridade" > "Seguridade" > "Avanzado".
- Para páxinas abertas sen HTTPS, envío de solicitudes (recursos de descarga) a URL locais (por exemplo, "http://router.local" e localhost) e intervalos de enderezos internos (127.0.0.0/8, 192.168.0.0/16, 10.0.0.0) está prohibido .8/1.2.3.4, etc.). Só se fai unha excepción para as páxinas descargadas de servidores con IP internas. Por exemplo, unha páxina cargada desde o servidor 192.168.0.1 non poderá acceder a un recurso situado na IP 127.0.0.1 ou na IP 192.168.1.1, pero cargada dende o servidor XNUMX poderá facelo. O cambio introduce unha capa adicional de protección contra a explotación de vulnerabilidades nos controladores que aceptan solicitudes en IP locais e tamén protexerá contra ataques de reenlace de DNS.
- Engadiuse a función "Sharing Hub", que che permite compartir rapidamente unha ligazón á páxina actual con outros usuarios. É posible xerar un código QR desde unha URL, gardar unha páxina, enviar unha ligazón a outro dispositivo vinculada a unha conta de usuario e transferir unha ligazón a sitios de terceiros como Facebook, WhatsUp, Twitter e VK. Esta función aínda non estivo dispoñible para todos os usuarios. Para forzar o botón "Compartir" no menú e na barra de enderezos, pode usar as opcións "chrome://flags/#sharing-hub-desktop-app-menu" e "chrome://flags/#sharing-hub-". escritorio-omnibox”.
- A interface de configuración do navegador reestruturouse. Cada sección de configuración móstrase agora nunha páxina separada, en lugar de nunha páxina común.
- Implementouse o soporte para a actualización dinámica do rexistro de certificados emitidos e revogados (Certificate Transparence), que agora se actualizará sen facer referencia ás actualizacións do navegador.
- Engadiuse unha páxina de servizo "chrome://whats-new" cunha visión xeral dos cambios visibles polo usuario na nova versión. A páxina aparece automaticamente inmediatamente despois da actualización ou pódese acceder mediante o botón Novidades do menú Axuda. Actualmente, a páxina menciona a busca de pestanas, a capacidade de dividir perfís e unha función de cambio de cor de fondo, que non son específicas de Chrome 94 e foron introducidas en versións anteriores. Mostrar a páxina aínda non está activado para todos os usuarios: para controlar a activación, podes usar a configuración "chrome://flags#chrome-whats-new-ui" e "chrome://flags#chrome-whats-new-in" -menú-principal- novo distintivo".
- A chamada á API de WebSQL desde contido cargado desde sitios de terceiros (como un iframe) quedou en desuso. En Chrome 94, ao tentar acceder a WebSQL desde scripts de terceiros, móstrase un aviso, pero a partir de Chrome 97, esas chamadas bloquearanse. No futuro, pensamos eliminar gradualmente o soporte para WebSQL por completo, independentemente do contexto de uso. O motor WebSQL baséase no código SQLite e podería ser usado por atacantes para explotar vulnerabilidades en SQLite.
- Por motivos de seguridade e para evitar actividades maliciosas, comezou a bloquearse o uso do protocolo MK (URL:MK) legado, que antes se utilizaba en Internet Explorer e que permitía ás aplicacións web extraer información dos ficheiros comprimidos.
- Descontinuouse a compatibilidade coa sincronización con versións antigas de Chrome (Chrome 48 e anteriores).
- A cabeceira HTTP Permissions-Policy, deseñada para habilitar determinadas capacidades e controlar o acceso á API, engadiu compatibilidade coa marca "display-capture", que che permite controlar o uso da API de captura de pantalla na páxina (por defecto, bloquearase a capacidade de capturar contido da pantalla desde iframes externos).
- Engadíronse varias API novas ao modo Origin Trials (funcións experimentais que requiren unha activación separada). Origin Trial implica a capacidade de traballar coa API especificada desde aplicacións descargadas desde localhost ou 127.0.0.1, ou despois de rexistrarse e recibir un token especial que é válido por un tempo limitado para un sitio específico.
- Engadiuse a API WebGPU, que substitúe á API WebGL e ofrece ferramentas para realizar operacións de GPU como renderizado e informática. Conceptualmente, WebGPU está preto das API de Vulkan, Metal e Direct3D 12. Conceptualmente, a WebGPU difire de WebGL da mesma forma que a API de gráficos Vulkan difiere de OpenGL, pero non está baseada nunha API de gráficos específica, senón que é unha API universal. capa que usa as mesmas primitivas de baixo nivel , que están dispoñibles en Vulkan, Metal e Direct3D 12.
WebGPU ofrece ás aplicacións JavaScript un control de baixo nivel sobre a organización, procesamento e transmisión de comandos á GPU, así como a capacidade de xestionar os recursos asociados, a memoria, os búfers, os obxectos de textura e os sombreadores de gráficos compilados. Este enfoque permítelle acadar un maior rendemento para as aplicacións gráficas reducindo os custos xerais e aumentando a eficiencia de traballar coa GPU. A API tamén permite crear proxectos 3D complexos para a Web que funcionan igual de ben que programas autónomos, pero que non están vinculados a plataformas específicas.
- As aplicacións PWA autónomas agora teñen a posibilidade de rexistrarse como controladores de URL. Por exemplo, a aplicación music.example.com pode rexistrarse como un controlador de URL https://*.music.example.com e todas as transicións de aplicacións externas que utilicen estas ligazóns, por exemplo, de mensaxería instantánea e clientes de correo electrónico, levarán a cabo á apertura destas aplicacións PWA, non unha nova pestana do navegador.
- Implementouse o soporte para o novo código de resposta HTTP: 103, que se pode usar para mostrar cabeceiras con antelación. O código 103 permítelle informar ao cliente sobre o contido de determinadas cabeceiras HTTP inmediatamente despois da solicitude, sen esperar a que o servidor complete todas as operacións relacionadas coa solicitude e comece a servir o contido. De xeito similar, pode proporcionar suxestións sobre elementos relacionados coa páxina que se está a servir que se poden cargar previamente (por exemplo, pódense proporcionar ligazóns ao css e ao javascript utilizados na páxina). Unha vez recibida información sobre estes recursos, o navegador comezará a descargalos sen esperar a que a páxina principal remate de renderizado, o que lle permite reducir o tempo global de procesamento da solicitude.
- Engadiuse a API WebGPU, que substitúe á API WebGL e ofrece ferramentas para realizar operacións de GPU como renderizado e informática. Conceptualmente, WebGPU está preto das API de Vulkan, Metal e Direct3D 12. Conceptualmente, a WebGPU difire de WebGL da mesma forma que a API de gráficos Vulkan difiere de OpenGL, pero non está baseada nunha API de gráficos específica, senón que é unha API universal. capa que usa as mesmas primitivas de baixo nivel , que están dispoñibles en Vulkan, Metal e Direct3D 12.
- Engadiuse a API WebCodecs para a manipulación de baixo nivel de fluxos multimedia, complementando as API de alto nivel HTMLMediaElement, Media Source Extensions, WebAudio, MediaRecorder e WebRTC. A nova API pode ser demandada en áreas como a transmisión de xogos, os efectos secundarios do cliente, a transcodificación de fluxos e a compatibilidade con contedores multimedia non estándar. En lugar de implementar códecs individuais en JavaScript ou WebAssembly, a API de WebCodecs proporciona acceso a compoñentes preconstruídos e de alto rendemento integrados no navegador. En particular, a API de WebCodecs ofrece decodificadores e codificadores de audio e vídeo, descodificadores de imaxes e funcións para traballar con cadros de vídeo individuais a un nivel baixo.
- A API Insertable Streams estabilizouse, o que permite manipular fluxos multimedia en bruto transmitidos a través da API MediaStreamTrack, como datos de cámara e micrófono, resultados de captura de pantalla ou datos de decodificación de códecs intermedios. As interfaces de WebCodec utilízanse para presentar marcos en bruto e xérase un fluxo similar ao que xera a API de WebRTC Insertable Streams baseado en RTCPeerConnections. No lado práctico, a nova API permite funcionalidades como a aplicación de técnicas de aprendizaxe automática para identificar ou anotar obxectos en tempo real, ou engadir efectos como o recorte de fondo antes da codificación ou despois da descodificación mediante un códec.
- O método scheduler.postTask() foi estabilizado, o que lle permite controlar a programación de tarefas (chamadas de devolución de chamada de JavaScript) con diferentes niveis de prioridade. Ofrécense tres niveis de prioridade: 1- a primeira execución, aínda que as operacións do usuario se poidan bloquear; 2—permítense cambios visibles para o usuario; 3 - execución en segundo plano). Podes usar o obxecto TaskController para cambiar a prioridade e cancelar tarefas.
- Estabilizouse e distribúese agora fóra de Origin Trials API Idle Detection para detectar a inactividade dos usuarios. A API permítelle detectar momentos nos que o usuario non está interactuando co teclado/rato, o protector de pantalla está en execución, a pantalla está bloqueada ou se está a traballar noutro monitor. A información da aplicación sobre a inactividade realízase mediante o envío dunha notificación despois de alcanzar un limiar de inactividade especificado.
- Formalizouse o proceso de xestión da cor nos obxectos CanvasRenderingContext2D e ImageData e o uso do espazo de cor sRGB neles. Ofrece a posibilidade de crear obxectos CanvasRenderingContext2D e ImageData en espazos de cor distintos de sRGB, como Display P3, para aproveitar as capacidades avanzadas dos monitores modernos.
- Engadíronse métodos e propiedades á API de VirtualKeyboard para controlar se o teclado virtual se mostra ou oculto e para obter información sobre o tamaño do teclado virtual mostrado.
- JavaScript permite que as clases usen bloques de inicialización estático para agrupar o código que se executa unha vez ao procesar a clase: class C { // O bloque executarase ao procesar a propia clase static { console.log("Bloque estático de C"); } }
- As propiedades flex-base e flex CSS implementan as palabras clave de contido, contido mínimo, contido máximo e contido de axuste para proporcionar un control máis flexible sobre o tamaño da área principal de Flexbox.
- Engadiuse a propiedade CSS scrollbar-gutter para controlar como se reserva o espazo na pantalla para a barra de desprazamento. Por exemplo, cando non queres que o contido se desprace, podes expandir a saída para ocupar a área da barra de desprazamento.
- A API Self Profiling engadiuse coa implementación dun sistema de perfilado que permite medir o tempo de execución de JavaScript no lado do usuario para depurar problemas de rendemento en código JavaScript, sen recorrer a manipulacións manuais na interface para desenvolvedores web.
- Despois de eliminar o complemento de Flash, decidiuse devolver os valores baleiros nas propiedades navigator.plugins e navigator.mimeTypes, pero como resultou, algunhas aplicacións usáronos para comprobar a presenza de complementos para mostrar ficheiros PDF. Dado que Chrome ten un visor de PDF integrado, as propiedades navigator.plugins e navigator.mimeTypes agora devolverán unha lista fixa de complementos de visor de PDF estándar e tipos MIME: "Visor de PDF, Visor de PDF de Chrome, Visor de PDF de Chromium, Visor de PDF de Microsoft Edge. e PDF integrado de WebKit".
- Realizáronse melloras nas ferramentas para desenvolvedores web. Engadíronse os dispositivos Nest Hub e Nest Hub Max á lista de simulación de pantalla. Engadiuse un botón para inverter filtros á interface para inspeccionar a actividade da rede (por exemplo, ao instalar o filtro "código de estado: 404", pode ver rapidamente todas as demais solicitudes) e tamén ofrece a posibilidade de ver os valores orixinais das cabeceiras Set-Cookie (permite avaliar a presenza de valores incorrectos que se eliminan ao normalizar). A barra lateral da consola web quedou en desuso e eliminarase nunha versión futura. Engadiuse a capacidade experimental para ocultar problemas na pestana Problemas. Na configuración, engadiuse a posibilidade de seleccionar o idioma da interface.
Ademais de innovacións e correccións de erros, a nova versión elimina 19 vulnerabilidades. Moitas das vulnerabilidades identificáronse como resultado de probas automatizadas mediante as ferramentas AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Non se identificaron problemas críticos que permitan ignorar todos os niveis de protección do navegador e executar código no sistema fóra do entorno sandbox. Como parte do programa para pagar recompensas en metálico por descubrir vulnerabilidades para a versión actual, Google pagou 17 premios por valor de 56500 dólares (un premio de 15000 dólares, dous premios de 10000 dólares, un premio de 7500 dólares, catro premios de 3000 dólares, dous premios de 1000 dólares). O tamaño das 7 recompensas aínda non se determinou.
Fonte: opennet.ru