ProHoster > Blog > internetes hírek > Chrome 104. kiadás

Chrome 104. kiadás

A Google bemutatta a Chrome 104 webböngésző kiadását, ugyanakkor elérhető a Chrome alapjául szolgáló ingyenes Chromium projekt stabil kiadása is. A Chrome böngésző különbözik a Chromiumtól a Google logók használatában, az összeomlás esetén értesítést küldő rendszer meglétében, a másolásvédett videotartalom lejátszására szolgáló modulokban (DRM), a frissítések automatikus telepítésére szolgáló rendszerben, a Sandbox elkülönítés tartós engedélyezésében. , kulcsokat biztosít a Google API-hoz, és RLZ-t küld a keresés során. Azok számára, akiknek több időre van szükségük a frissítéshez, az Extended Stable ág külön támogatott, amelyet 8 hét követ. A Chrome 105 következő kiadása augusztus 30-án jelenik meg.

Főbb változások a Chrome 104-ban:

  • Bevezették a cookie élettartamának korlátját – minden új vagy frissített cookie automatikusan törlődik 400 napos létezés után, még akkor is, ha az Expires és Max-Age attribútumokban beállított lejárati idő meghaladja a 400 napot (az ilyen cookie-k élettartama csökken 400 napig). A korlátozás bevezetése előtt létrehozott cookie-k élettartamukat megőrzik, még akkor is, ha az meghaladja a 400 napot, de frissítés esetén korlátozottak lesznek. A változás az új specifikáció tervezetében szereplő új követelményeket tükrözi.
  • Engedélyezett a helyi fájlrendszerre („filesystem://”) hivatkozó iframe URL-ek blokkolása.
  • Az oldalbetöltés felgyorsítása érdekében egy új optimalizálást adtunk hozzá, amely biztosítja, hogy a kapcsolat létrejöjjön a célgéppel, amint rákattint egy hivatkozásra, anélkül, hogy megvárná, hogy elengedje a gombot vagy eltávolítsa az ujját az érintőképernyőről.
  • Hozzáadott beállítások a „Témák és érdeklődési kör” API kezeléséhez, az Adatvédelmi Sandbox kezdeményezés részeként népszerűsítve, amely lehetővé teszi a felhasználói érdeklődési körök kategóriáinak meghatározását, és azok használatát a cookie-k követése helyett a hasonló érdeklődési körrel rendelkező felhasználók csoportjainak azonosítására az egyes felhasználók azonosítása nélkül. . Ezenkívül egyszer megjelenő információs párbeszédpanelek kerültek hozzáadásra, amelyek elmagyarázzák a felhasználónak a technológia lényegét, és felajánlják a támogatás aktiválását a beállításokban.
  • Megnövelt küszöbértékek a setTimeout és setInterval időzítők beágyazott hívásainak korlátozására, amelyek 4 ms-nál rövidebb időközönként futnak ("setTimeout(..., <4ms)"). Az ilyen hívások összkorlátja 5-ről 100-ra nőtt, ami lehetővé teszi, hogy ne csökkentsék agresszíven az egyes hívásokat, ugyanakkor megakadályozzák a böngésző teljesítményét befolyásoló visszaéléseket.
  • Az Engedélyezve CORS (Cross-Origin Resource Sharing) engedélyezési kérelmet küld a fő webhelykiszolgálónak „Access-Control-Request-Private-Network: true” fejléccel, amikor egy oldal hozzáfér egy alforráshoz a belső hálózaton (192.168.xx). , 10. xxx, 172.16-31.xx) vagy a localhosthoz (127.xxx). A kérésre válaszul végrehajtott művelet megerősítésekor a szervernek vissza kell adnia az „Access-Control-Allow-Private-Network: true” fejlécet. A Chrome 104-es verziójában a megerősítés eredménye még nem befolyásolja a kérés feldolgozását - ha nincs megerősítés, figyelmeztetés jelenik meg a webkonzolon, de magát az alerőforrás-kérést nem blokkolja. A visszaigazolás nélküli blokkolás engedélyezése csak a Chrome 107-es verziójában várható. A korábbi kiadásokban a blokkolás engedélyezéséhez engedélyezheti a „chrome://flags/#private-network-access-respect-preflight-results” beállítást.

    A kiszolgáló általi jogosultságellenőrzést azért vezették be, hogy megerősítsék a védelmet a helyi hálózaton vagy a felhasználó számítógépén (localhost) lévő erőforrásokhoz való hozzáféréssel kapcsolatos támadások ellen a webhely megnyitásakor betöltött szkriptekből. Az ilyen kéréseket a támadók arra használják, hogy CSRF-támadásokat hajtsanak végre útválasztók, hozzáférési pontok, nyomtatók, vállalati webes felületek és más eszközök és szolgáltatások ellen, amelyek csak a helyi hálózatról fogadnak kéréseket. Az ilyen támadások elleni védelem érdekében, ha a belső hálózaton al-erőforrásokhoz férnek hozzá, a böngésző kifejezett engedélykérést küld ezen al-erőforrások betöltésére.

  • Bekerült egy Region Capture mechanizmus, amely lehetővé teszi a szükségtelen tartalom kivágását a képernyőrögzítés alapján generált videóból. Például a getDisplayMedia API használatával egy webalkalmazás videót sugározhat egy lap tartalmáról, a Region Capture pedig lehetővé teszi a tartalom egy részének kivágását, amely videokonferencia-vezérlőket is tartalmaz.
  • Támogatás hozzáadva a Media Queries Level 4 specifikációjában meghatározott új médialekérdezési szintaxishoz, amely meghatározza a látható terület (nézetablak) minimális és maximális méretét. Az új szintaxis lehetővé teszi az olyan általános matematikai összehasonlító operátorok és logikai operátorok használatát, mint a "nem", "vagy" és "és". Például a „@media (min-width: 400px) { … }” helyett most megadhatja a „@media (width >= 400px) { … }” kifejezést.
  • Számos új API-val bővült az Origin Trials mód (külön aktiválást igénylő kísérleti funkciók). Az Origin Trial magában foglalja a megadott API-val való együttműködés lehetőségét a localhostról vagy a 127.0.0.1-ről letöltött alkalmazásokból, vagy a regisztráció és egy speciális token fogadása után, amely korlátozott ideig érvényes egy adott webhelyen.
    • Hozzáadott egy CSS-tulajdonság „focusgroup”, amely javítja a navigációt az elemek között a billentyűzet nyílbillentyűivel.
    • A Secure Payment Confirmation API lehetővé teszi a felhasználó számára a hitelkártya-beállítások tárolójának letiltását. A hitelkártya-paraméterek mentésének megtagadását lehetővé tevő párbeszédpanel megjelenítéséhez a PaymentRequest() konstruktor megadja a „showOptOut: true” jelzőt.
    • Hozzáadtuk a Shared Element Transitions API-t, amely lehetővé teszi a zökkenőmentes átmenet megszervezését a különböző tartalomnézetek között az egyoldalas webalkalmazásokban.
  • A spekulációs szabályok támogatása stabilizálódott, lehetővé téve a webhelyek készítői számára, hogy információkat nyújtsanak a böngészőnek azokról a legvalószínűbb oldalakról, amelyeket a felhasználó felkereshet. A böngésző ezeket az információkat az oldal tartalmának proaktív betöltésére és megjelenítésére használja.
  • Stabilizálták az al-erőforrások Web Bundle formátumú csomagokba való csomagolásának mechanizmusát, ami lehetővé teszi nagyszámú kísérőfájl (CSS-stílusok, JavaScript, képek, iframe-ek) betöltésének hatékonyságának növelését. A Webpack formátumú csomagokkal ellentétben a Web Bundle formátumnak a következő előnyei vannak: nem maga a csomag tárolódik a HTTP-gyorsítótárban, hanem annak összetevői; a JavaScript összeállítása és végrehajtása megkezdődik anélkül, hogy megvárná a csomag teljes letöltését; Lehetőség van további források, például CSS- és képek felvételére, amelyeket a webpackben JavaScript-karakterláncok formájában kell kódolni.
  • Hozzá lett adva az object-view-box CSS tulajdonság, amivel megadható a képnek egy adott elem helyett a területen megjelenő része, amivel például szegélyt vagy árnyékot adhatunk hozzá.
  • Hozzáadtuk a Fullscreen Capability Delegation API-t, amely lehetővé teszi, hogy az egyik Window objektum egy másik Window objektumra delegálja a requestFullscreen() meghívásának jogát.
  • Hozzáadott Fullscreen Companion Window API, amely lehetővé teszi a teljes képernyős tartalom és az előugró ablakok másik képernyőre helyezését, miután megkapta a felhasználó megerősítését.
  • Az overflow-clip-margin CSS tulajdonsághoz hozzáadásra került egy visual-box attribútum, amely meghatározza, hogy hol kezdjem el a terület határán túlmutató tartalom vágását (a content-box, padding-box és border- értékeket veheti fel doboz).
  • Az Async Clipboard API lehetőséget adott a vágólapon keresztül továbbított adatok speciális formátumainak meghatározására, kivéve a szöveget, képeket és jelöléssel ellátott szöveget.
  • A WebGL támogatja a színterek megadását a renderelési pufferhez és az átalakításhoz, amikor textúrából importál.
  • Az OS X 10.11 és a macOS 10.12 platformok támogatása megszűnt.
  • A korábban elavult és alapértelmezés szerint letiltott U2F (Cryptotoken) API megszűnt. Az U2F API-t a Web Authentication API váltotta fel.
  • Továbbfejlesztették a webfejlesztők eszközeit. A hibakereső most már képes újraindítani a kódot a függvény elejétől, miután elérte a töréspontot a függvénytörzsben. Támogatás hozzáadva a Recorder panel kiegészítőinek fejlesztéséhez. A teljesítményelemző panelen a teljesítmény.measure() metódus meghívásával egy webalkalmazásban beállított jelek megjelenítésének támogatása is szerepel. Továbbfejlesztett javaslatok a JavaScript objektumtulajdonságok automatikus kiegészítésére. A CSS-változók automatikus kiegészítésekor a színekhez nem kapcsolódó értékek előnézetei jelennek meg.
    Chrome 104. kiadás

Az új verzió az újítások és hibajavítások mellett 27 sebezhetőséget szünteti meg. A sebezhetőségek nagy részét az AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer és AFL eszközökkel végzett automatizált tesztelés eredményeként azonosították. Nem azonosítottak olyan kritikus problémát, amely lehetővé tenné a böngészővédelem minden szintjének megkerülését, és kód futtatását a rendszeren a sandbox környezeten kívül. A jelenlegi kiadás sebezhetőségeinek feltárásáért folyó pénzjutalom program részeként a Google 22 díjat fizetett ki 84 ezer dollár értékben (egy 15000 10000 dolláros, egy 8000 7000 dolláros, egy 5000 4000 dolláros, egy 3000 2000 dolláros, négy 1000 XNUMX dolláros, egy XNUMX XNUMX dolláros, XNUMX, XNUMX dolláros jutalom, , négy XNUMX dolláros és három XNUMX dolláros díj). Egy jutalom nagyságát még nem határozták meg.

Forrás: opennet.ru

Hozzászólás