Chrome izdanje 80

Google predstavio izdanje web preglednika Chrome 80... Istovremeno dostupno stabilno izdanje besplatnog projekta Krom, koji služi kao osnova Chromea. Chrome preglednik drugačiji korištenje Google logotipa, prisutnost sustava za slanje obavijesti u slučaju pada, mogućnost preuzimanja Flash modula na zahtjev, moduli za reprodukciju zaštićenog video sadržaja (DRM), sustav za automatsku instalaciju ažuriranja i prijenos tijekom pretraživanja RLZ parametri. Sljedeće izdanje Chromea 81 zakazano je za 17. ožujka.

Glavni promjena в krom 80:

• Za mali postotak korisnika nudi se funkcija grupiranja kartica, koja vam omogućuje kombiniranje nekoliko kartica slične namjene u vizualno odvojene grupe. Svakoj grupi može se dodijeliti vlastita boja i naziv. Korisnici koji nisu bili uključeni u prvi val aktivacije mogu omogućiti podršku za grupiranje putem opcije “chrome://flags/#tab-groups”.
  

• Dodana podrška za ovu značajku Pomicanje do teksta, koji vam omogućuje stvaranje poveznica na pojedinačne riječi ili fraze bez izričitog navođenja oznaka u dokumentu pomoću oznake "a name" ili svojstva "id". Sintaksa takvih poveznica planira se odobriti kao web standard, što je još u fazi Nacrt. Prijelazna maska ​​(u suštini pretraživanje pomicanjem) odvojena je od uobičajenog sidra atributom “:~:”. Na primjer, kada otvorite poveznicu “https://opennet.ru/52312/#:~:text=Chrome” stranica će se pomaknuti na mjesto s prvim spominjanjem riječi “Chrome” i ta će riječ biti istaknuta .
• Primijenjeno Strože ograničenje prijenosa kolačića između stranica, za zahtjeve koji nisu HTTPS, zabranjuje obradu kolačića trećih strana postavljenih prilikom pristupa stranicama koje nisu domena trenutne stranice. Takvi se kolačići koriste za praćenje kretanja korisnika između stranica u kodu oglašivačkih mreža, widgeta društvenih mreža i sustava web analitike. Podsjetimo se da se za kontrolu prijenosa kolačića koristi atribut SameSite naveden u zaglavlju Set-Cookie, koji je prema zadanim postavkama sada postavljen na vrijednost "SameSite=Lax", što ograničava slanje kolačića za podzahtjeve između stranica , kao što je zahtjev za sliku ili učitavanje sadržaja kroz iframe s druge web-lokacije. Web-mjesta mogu nadjačati zadano ponašanje SameSite eksplicitnim postavljanjem postavke kolačića na SameSite=None. Međutim, vrijednost SameSite=None za Cookie može se postaviti samo u sigurnom načinu rada (vrijedi za veze putem HTTPS-a). Promjena će započeti u fazama primijeniti 17. veljače, u početku za mali postotak korisnika, a potom postupno šireći pokrivenost.
• Dodano zaštita od dosadnih obavijesti vezanih uz potvrdu vjerodajnica. Budući da aktivnost kao što je slanje neželjenih zahtjeva za push obavijesti prekida korisničko iskustvo i odvraća pozornost od dijaloških okvira za potvrdu, u Chromeu 80, umjesto zasebnog dijaloškog okvira, sada se u adresnoj traci može prikazati informativni alatni opis koji upozorava da je zahtjev za dopuštenjem blokiran, što zatim urušava se u indikator s likom prekriženog zvona. Klikom na indikator možete aktivirati ili odbiti traženo dopuštenje u bilo kojem prikladnom trenutku. Automatski će novi način rada biti selektivno omogućen za korisnike koji su prije obično blokirali takve zahtjeve, kao i za stranice koje bilježe veliki postotak odbijenih zahtjeva. Kako biste omogućili novi način rada za sve zahtjeve, u postavke je dodana posebna opcija (chrome://flags/#quiet-notification-prompts).
  

• Zabranjeno prikazivanje skočnih prozora (pozivanje metode window.open()) i slanje sinkronih XMLHttpRequestova u rukovateljima događajima zatvaranja ili skrivanja stranice (unload, beforeunload, pagehide i visibilitychange);
• Predloženi početni zaštita od učitavanja mješovitog multimedijskog sadržaja (kada se resursi učitavaju na HTTPS stranicu putem http:// protokola). Na stranicama otvorenim putem HTTPS-a veze “http://” sada će se automatski zamijeniti s “https://” u blokovima povezanim s reprodukcijom audio i video datoteka. Ako audio ili video izvor nije dostupan putem https-a, tada je njegovo preuzimanje blokirano (možete ručno označiti blokiranje putem izbornika dostupnog preko simbola lokota u adresnoj traci).

  Slike će se nastaviti učitavati nepromijenjene (automatski ispravak primijenit će se u pregledniku Chrome 81), ali da bi ih zamijenili https-om ili blokirali slike, programerima web-mjesta omogućena su svojstva CSP-a upgrade-insecure-requests i block-all-mixed-content. Za skripte i iframeove, blokiranje mješovitog sadržaja već je ranije implementirano.

• Postupno ugasiti FTP podrška. Prema zadanim postavkama, FTP podrška je i dalje dostupna, ali hoće provedeno eksperiment u kojem će FTP podrška biti onemogućena za određeni postotak korisnika (za povratak morat ćete pokrenuti preglednik s opcijom “-enable-ftp”). Podsjetimo se da je u prethodnim izdanjima prikaz u prozoru preglednika sadržaja resursa preuzetih putem protokola “ftp://” već bio onemogućen (primjerice, zaustavljen je prikaz HTML dokumenata i README datoteka), upotreba FTP-a je bila zabranjeno pri preuzimanju pod-resursa iz dokumenata, a proxy podrška je ukinuta za FTP. Međutim, i dalje je bilo moguće preuzimati datoteke putem izravnih poveznica i prikazivati ​​sadržaj direktorija.
• Dodano
  mogućnost korištenja vektorskih SVG slika kao ikone stranice (favicon).

• U postavke je dodana mogućnost selektivnog onemogućavanja određenih vrsta podataka koji se prenose tijekom sinkronizacije između preglednika.
• Dodano je pravilo za centralno upravljane korporativne korisnike BlockExternalExtensions, koji vam omogućuje da spriječite instalaciju vanjskih dodataka na uređaj.
• Provedeno prilika jednokratna provjera cijelog lanca svojstava ili poziva u JavaScriptu. Na primjer, kada se pristupa “db.user.name.length” prethodno je bilo potrebno provjeriti definiciju svih komponenti korak po korak, na primjer, kroz “if (db && db.user && db.user.name)”. Sada koristeći operaciju “?.” možete pristupiti vrijednosti “db?.user?.name?.length” bez preliminarnih provjera i takav pristup neće dovesti do pogreške. U slučaju problema (ako je neki element obrađen kao null ili nedefiniran)) izlaz će biti "nedefiniran".
• JavaScript uvodi novi logički operator ulančavanja "??", koji vraća desni operand ako je lijevi operand NULL ili nedefiniran, i obrnuto. Na primjer, "const foo = bar ?? 'default string'" ako je bar nula, vratit će vrijednost bara inače, uključujući kada je bar 0 i ' ', za razliku od operatora "||".
• U načinu Origin Trials (eksperimentalne značajke koje zahtijevaju odvojene aktivacija) predloženi API za indeksiranje sadržaja. Origin Trial podrazumijeva mogućnost rada s navedenim API-jem iz aplikacija preuzetih s localhosta ili 127.0.0.1, ili nakon registracije i primanja posebnog tokena koji vrijedi ograničeno vrijeme za određenu stranicu. API Indeksiranje sadržaja, pruža metapodatke o sadržaju koji su prethodno predmemorirale web aplikacije koje rade u načinu Progressive Web Apps (PWS). Aplikacija može spremati razne podatke na strani preglednika, uključujući slike, videozapise i članke, a kada se mrežna veza izgubi, koristiti je pomoću API-ja Cache Storage i IndexedDB. API za indeksiranje sadržaja omogućuje dodavanje, pronalaženje i brisanje takvih izvora. U pregledniku se ovaj API već koristi za ispisivanje popisa stranica i multimedijskih podataka dostupnih za izvanmrežno gledanje.
  

• Stabilizirano i sada distribuirano izvan Origin Trials API-ja Kontaktirajte Picker, omogućujući korisniku odabir unosa iz adresara i prijenos određenih pojedinosti o njima na stranicu. Zahtjev navodi popis svojstava koja se trebaju dohvatiti. Ova svojstva se eksplicitno prikazuju korisniku, koji odlučuje hoće li proslijediti ta svojstva ili ne. API se može koristiti, na primjer, u klijentu web pošte za odabir primatelja za poslano pismo, u web aplikaciji s VoIP funkcijom za pokretanje poziva na određeni broj ili u društvenoj mreži za traženje već registriranih prijatelja . Istodobno, u sklopu Origin Trials, ponuđena su neka nova svojstva Contact Picker-a: uz prethodno dostupno puno ime, email i broj telefona, dodana je mogućnost prijenosa email adrese i slike.
• U Web radnicima zaprosio novi način za učitavanje ECMAScript modula, koji vam omogućuje da izbjegnete korištenje funkcije importScripts(), koja blokira radnika dok obrađuje uvezenu skriptu i izvršava je u globalnom kontekstu. Nova metoda uključuje stvaranje posebnih modula za web radnike koji podržavaju standardne mehanizme uvoza JavaScripta i mogu se učitavati dinamički bez blokiranja izvršavanja radnika. Za učitavanje modula, Worker konstruktor daje novu vrstu resursa - 'modul':

  const worker = new Worker('worker.js', {
  tip: 'modul'
  });

• Provedeno Ugrađena mogućnost JavaScripta za obradu komprimiranih tokova bez potrebe za upotrebom vanjskih biblioteka. API-ji su dodani za kompresiju i dekompresiju CompressionStream i DecompressionStream. Podržana je kompresija pomoću algoritama gzip i deflate.

  const kompresijaReadableStream
  = inputReadableStream.pipeThrough(new CompressionStream('gzip'));

• Dodano CSS svojstvo "prijelom retka: bilo gdje", koji dopušta prekide na razini bilo kojeg tipografskog znaka, uključujući prekide u blizini interpunkcijskih znakova unaprijed definiranih razmacima ( ) i usred riječi. Također je dodano CSS svojstvo "overflow-wrap: bilo gdje» omogućuje vam prekidanje neprekinutih nizova znakova bilo gdje ako se u retku ne može pronaći prikladna pozicija za prijelom.
• Za medijski kontekst obrađen u šifriranom obliku implementirana je podrška za metodu MediaCapabilities.decodingInfo(), koji pruža informacije o mogućnostima preglednika za dekodiranje zaštićenog sadržaja (na primjer, ova se metoda može koristiti za odabir visokokvalitetnih ili energetski učinkovitih scenarija dekodiranja na temelju dostupne propusnosti i veličine zaslona).
• Dodana metoda HTMLVideoElement.getVideoPlaybackQuality(), putem kojeg možete dobiti informacije o performansama video reprodukcije za podešavanje brzine prijenosa, razlučivosti i drugih video parametara.
• U API-ju Voditelj plaćanja, koji pojednostavljuje integraciju s postojećim sustavima plaćanja, dodao je mogućnost delegacija obrada podataka o adresi i kontaktu vanjskom procesoru sustava plaćanja (aplikacija sustava plaćanja može imati točnije podatke od preglednika).
• Dodana podrška za HTTP zaglavlje Sec-Fetch-Dest, koji vam omogućuje slanje dodatnih metapodataka o vrsti sadržaja povezanog sa zahtjevom (na primjer, za zahtjev putem img oznake, tip je "slika", za fontove - "font", za skripte - "skripta", za stilove - "stil", itd. ). Na temelju navedene vrste, poslužitelj može poduzeti mjere za zaštitu od određenih vrsta napada (na primjer, malo je vjerojatno da će poveznica na rukovatelja za prijenos novca biti navedena putem img oznake, tako da takvi zahtjevi ne moraju biti obrađen).
• U JavaScript motoru V8 provedena optimizacija pohranjivanje pokazivača na gomilu. Umjesto pohranjivanja pune 64-bitne vrijednosti, pohranjuju se samo jedinstveni donji bitovi pokazivača. Ova optimizacija omogućila je smanjenje potrošnje heap memorije za 40%, po cijenu smanjenja performansi od 3-8%.
  
  

• promjene u alatima za web programere:
  • Web konzola sada ima mogućnost redefiniranja izraza let i klase.
    

  • Poboljšani WebAssembly alati za otklanjanje pogrešaka. Dodana podrška PATULJAK za korak po korak otklanjanje pogrešaka, određivanje prijelomnih točaka i analizu tragova stogova u izvornom kodu u kojem je napisana aplikacija WebAssembly.
    

  • Poboljšana ploča za analizu mrežne aktivnosti. Dodana mogućnost pregleda lanca poziva skripti povezanih s inicijacijom zahtjeva.
    

    Dodani su novi stupci Put i URL koji prikazuju apsolutni put i puni URL za svaki mrežni resurs. Osigurava da je odabrani upit istaknut u dijagramu pregleda.

    

  • U kartici Mrežni uvjeti dodana je opcija za promjenu parametra User-Agent.
    

  • Predloženo je novo sučelje za konfiguriranje nadzorne ploče.
    

  • U kartici Pokrivenost omogućio je izbor prikupljanja podataka o pokrivenosti za svaku funkciju ili za svaki blok koda (detaljnija statistika, ali zahtijeva više resursa).
    

• AppCache manifest akcija (tehnologija za organiziranje rada web aplikacije u izvanmrežnom načinu rada) ograničen trenutni direktorij web mjesta (ako je manifest preuzet s www.example.com/foo/bar/, tada će mogućnost nadjačavanja URL-a funkcionirati samo unutar /foo/bar/). Podrška za AppCache planira se potpuno ukloniti u Chromeu 82. Kao razlog navodi se želja da se riješi jednog od vektora za cross-site scripting napade. Preporučuje se korištenje API-ja umjesto AppCache-a Cache.
• Ukinuto podrška za naslijeđeni WebVR 1.1 API, koji se može zamijeniti API-jem WebXR uređaj, koji omogućuje pristup komponentama za kreiranje virtualne i proširene stvarnosti te unificiranje rada s različitim klasama uređaja, od stacionarnih kaciga za virtualnu stvarnost do rješenja temeljenih na mobilnim uređajima.
• Rukovatelji protokola povezani putem metoda registerProtocolHandler() i unregisterProtocolHandler() sada mogu raditi samo u sigurnom kontekstu (kada im se pristupa putem HTTPS-a).

Uz inovacije i ispravke pogrešaka, nova verzija eliminira 56 ranjivosti. Mnoge su ranjivosti identificirane kao rezultat automatiziranog testiranja pomoću alata AddressSanitizer, Sredstvo za čišćenje memorije, Integritet protoka kontrole, LibFuzzer и AFL. Nisu identificirani kritični problemi koji bi omogućili zaobilaženje svih razina zaštite preglednika i izvršavanje koda na sustavu izvan okruženja sandboxa. U sklopu programa isplate novčanih nagrada za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 37 nagrada u vrijednosti od 48 tisuća dolara (jedna nagrada od 10000 dolara, tri nagrade od 5000 dolara, tri nagrade od 3000 dolara, četiri nagrade od 2000 dolara, tri nagrade od 1000 dolara i šest nagrada od 500 dolara). Veličina 17 nagrada još nije određena.

Izvor: opennet.ru