ProHoster > Blog > internetes hírek > Chrome 105. kiadás

Chrome 105. kiadás

A Google bemutatta a Chrome 105 webböngésző kiadását, ugyanakkor elérhető a Chrome alapjául szolgáló ingyenes Chromium projekt stabil kiadása is. A Chrome böngésző különbözik a Chromiumtól a Google logók használatában, az összeomlás esetén értesítést küldő rendszer meglétében, a másolásvédett videotartalom lejátszására szolgáló modulokban (DRM), a frissítések automatikus telepítésére szolgáló rendszerben, a Sandbox elkülönítés tartós engedélyezésében. , kulcsokat biztosít a Google API-hoz és RLZ-t küld a keresés során. Azok számára, akiknek több időre van szükségük a frissítéshez, az Extended Stable ág külön támogatott, amelyet 8 hét követ. A Chrome 106 következő kiadása szeptember 27-én jelenik meg.

Főbb változások a Chrome 105-ban:

  • A speciális webalkalmazások támogatása megszűnt. A Chrome Apps támogatása megszűnt, helyette a Progressive Web Apps (PWA) technológián és a szabványos webes API-kon alapuló, önálló webalkalmazások állnak rendelkezésre. A Google eredetileg 2016-ban bejelentette, hogy felhagy a Chrome Apps-szel, és azt tervezte, hogy 2018-ig leállítja a támogatásukat, de aztán elhalasztotta ezt a tervet. A Chrome 105-ös verzióban, amikor megpróbálja telepíteni a Chrome-alkalmazásokat, figyelmeztetést kap, hogy a továbbiakban nem támogatott, de az alkalmazások továbbra is futnak. A Chrome 109-ben a Chrome-alkalmazások futtatása le lesz tiltva.
  • További elkülönítést biztosított a renderelő folyamat számára, amely felelős a megjelenítésért. Ezt a folyamatot most egy további tárolóban (App Container) hajtják végre, amely a meglévő sandbox-elszigetelő rendszer tetején van megvalósítva. Ha a renderelő kódban lévő biztonsági rést kihasználják, a hozzáadott korlátozások megakadályozzák, hogy a támadó hozzáférjen a hálózathoz azáltal, hogy megakadályozza a hálózati képességekkel kapcsolatos rendszerhívásokhoz való hozzáférést.
  • Megvalósította a tanúsító hatóságok gyökértanúsítványainak saját egységes tárolását (Chrome Root Store). Az új tároló alapértelmezés szerint még nincs engedélyezve, és amíg a megvalósítás be nem fejeződik, a tanúsítványok ellenőrzése az egyes operációs rendszerekhez tartozó tárolók használatával folytatódik. A tesztelés alatt álló megoldás a Mozilla megközelítésére emlékeztet, amely külön független gyökértanúsítvány-tárolót tart fenn a Firefox számára, amely az első hivatkozásként szolgál a tanúsítvány-megbízhatósági lánc ellenőrzéséhez, amikor webhelyeket nyit meg HTTPS-en keresztül.
  • Megkezdődtek az előkészületek a nem szabványosított, nagyrészt használaton kívüli Web SQL API leépítésére, amely a modern biztonsági követelményeknek megfelelően újratervezést igényel. A Chrome 105 megakadályozza a Web SQL-hez való hozzáférést a HTTPS használata nélkül betöltött kódtól, és egy elavulási figyelmeztetést is hozzáad a DevToolshoz. A Web SQL API-t a tervek szerint 2023-ban eltávolítják. Azok a fejlesztők, akiknek szükségük van ilyen funkciókra, egy WebAssembly alapú csere készül.
  • A Chrome szinkronizálása már nem támogatja a Chrome 73-as és korábbi kiadásaival való szinkronizálást.
  • A macOS és Windows platformokon a beépített tanúsítványnézegető aktiválódik, amely felváltja az operációs rendszer által biztosított interfész hívását. Korábban a beépített megjelenítőt csak Linux és ChromeOS összeállításokban használták.
  • Az Android-verzió a Privacy Sandbox kezdeményezés részeként népszerűsített Témák és érdeklődési csoportok API kezeléséhez beállításokat ad, amely lehetővé teszi a felhasználói érdeklődési körök kategóriáinak meghatározását, és a cookie-k követése helyett a hasonló érdeklődésű felhasználók csoportjainak azonosítását az egyének azonosítása nélkül. felhasználókat. Az utolsó kiadásban hasonló beállításokat adtak hozzá a Linux, ChromeOS, macOS és Windows verziókhoz.
  • Ha engedélyezi a speciális böngészővédelmet (Biztonságos Böngészés > Továbbfejlesztett védelem), a rendszer telemetriai adatokat gyűjt a telepített bővítményekről, az API-hoz való hozzáférésről és a külső webhelyekkel való kapcsolatokról. Ezeket az adatokat a Google szerverein használják fel a rosszindulatú tevékenységek és a böngészőbővítmények általi szabálysértések észlelésére.
  • Elavult, és blokkolja a nem ASCII-karakterek használatát a Chrome 106 Cookie-fejlécében meghatározott tartományokban (IDN-tartományok esetén a domaineknek punycode formátumúaknak kell lenniük). A változtatással a böngésző megfelel az RFC 6265bis szabványnak és a Firefoxban megvalósított viselkedésnek.
  • Egyedi kiemelés API-t javasoltak, amely a kiválasztott szövegterületek stílusának tetszőleges megváltoztatására szolgál, és lehetővé teszi, hogy ne korlátozza a böngésző által a kiemelt területekhez (::kiválasztás, ::inaktív-kiválasztás) és a kiemelésekhez biztosított rögzített stílus. szintaktikai hibák (::spelling-error, ::grammar error). Az API első verziója támogatta a szöveg és a háttér színének megváltoztatását a szín és a háttérszín pszeudoelemek használatával, de a jövőben további stíluslehetőségek is megjelennek.

    Az új API segítségével megoldható feladatokra példaként említik a szövegszerkesztéshez eszközöket biztosító webes keretrendszerek kiegészítését, saját szövegkiválasztási mechanizmusokat, különböző kiemeléseket a több felhasználó egyidejű közös szerkesztéséhez, keresést a virtualizált dokumentumokban. és a hibák megjelölése a helyesírás-ellenőrzés során. Ha korábban egy nem szabványos kiemelés létrehozása bonyolult manipulációkat igényelt a DOM fával, az Egyéni kiemelés API kész műveleteket biztosít a kiemelések hozzáadásához és eltávolításához, amelyek nem befolyásolják a DOM szerkezetét, és stílusokat alkalmaznak a Range objektumokhoz.

  • „@container” lekérdezés hozzáadva a CSS-hez, lehetővé téve az elemek stílusát a szülőelem mérete alapján. A „@container” hasonló a „@media” lekérdezésekhez, de nem a teljes látható terület méretére vonatkozik, hanem annak a blokknak (tárolónak) a méretére, amelybe az elem kerül, ami lehetővé teszi a saját beállítását. stíluskiválasztási logika gyermekelemekhez, függetlenül attól, hogy az elem pontosan hol helyezkedik el.
    Chrome 105. kiadás
  • A „:has()” CSS-pszeudoosztály hozzáadásával ellenőrzi, hogy van-e gyermekelem a szülőelemben. Például a "p:has(span)" átfogja az elemeket , amelynek belsejében van egy elem .
  • Hozzáadtuk a HTML Sanitizer API-t, amely lehetővé teszi olyan elemek kivágását a tartalomból, amelyek befolyásolják a megjelenítést és a végrehajtást a kimenet során a setHTML() metóduson keresztül. Az API hasznos lehet a külső adatok megtisztítására az XSS-támadások végrehajtására használható HTML-címkék eltávolítására.
  • Lehetőség van a Streams API (ReadableStream) segítségével lekérési kérések küldésére a választörzs betöltése előtt, pl. megkezdheti az adatok küldését anélkül, hogy megvárná az oldalgenerálás befejezését.
  • Telepített önálló webalkalmazások esetén (PWA, Progressive Web App) lehetőség van az ablak címterületének kialakítására a Window Controls Overlay komponensek segítségével, amelyek kiterjesztik a webalkalmazás képernyőterületét a teljes ablakra és lehetővé teszik a webalkalmazásnak egy hagyományos asztali alkalmazás megjelenését. A webalkalmazások a teljes ablakban vezérelhetik a bemenetek megjelenítését és feldolgozását, kivéve a szabványos ablakvezérlő gombokkal (bezárás, kicsinyítés, maximalizálás) ellátott overlay blokkot.
    Chrome 105. kiadás
  • Stabilizálódott a Media Source Extensions dedikált dolgozóktól való elérésének képessége (a DedicatedWorker kontextusban), amely felhasználható például a multimédiás adatok pufferelt lejátszásának teljesítményének javítására úgy, hogy egy MediaSource objektumot hoz létre egy külön dolgozóban, és sugározza a munkájának eredményeit a HTMLMediaElementhez a fő szálban.
  • A User-Agent fejléc leváltására fejlesztés alatt álló Client Hints API-ban, amely lehetővé teszi, hogy csak a szerver kérésére adjon meg szelektíven adatokat adott böngésző- és rendszerparaméterekről (verzió, platform stb.) a Sec támogatása. A -CH-Viewport-Heigh tulajdonság hozzáadásra került, amely lehetővé teszi a látható terület magasságának megszerzését. Módosult a Client Hints paramétereinek a „meta” címkében lévő Client Hints paramétereinek beállítására szolgáló jelölési formátum: Korábban: lett:
  • Hozzáadtuk a globális onbeforeinput eseménykezelők (document.documentElement.onbeforeinput) létrehozásának lehetőségét, amellyel a webes alkalmazások felülbírálhatják a blokkban lévő szöveg szerkesztése során tapasztalható viselkedést. , és más elemek a "contenteditable" attribútumkészlettel, mielőtt a böngésző módosítaná az elem tartalmát és DOM-fáját.
  • A Navigációs API képességei kibővültek, lehetővé téve a webalkalmazások számára, hogy egy ablakban elfogják a navigációs műveleteket, kezdeményezzenek átmenetet és elemezzek az alkalmazással végzett műveletek előzményeit. Új metódusok: intercept() az átmenet elfogására és scroll() az adott pozícióra való görgetéshez.
  • Hozzáadtuk a Response.json() statikus metódust, amely lehetővé teszi a választörzs létrehozását a JSON típusú adatok alapján.
  • Továbbfejlesztették a webfejlesztők eszközeit. A hibakeresőben egy töréspont aktiválásakor a verem legfelső funkcióinak szerkesztése engedélyezett a hibakeresési munkamenet megszakítása nélkül. A Rögzítő panel, amely lehetővé teszi a felhasználói műveletek rögzítését, lejátszását és elemzését az oldalon, támogatja a töréspontokat, a lépésről lépésre történő lejátszást és az egérmutató események rögzítését.

    Az LCP (legnagyobb tartalommal rendelkező festés) mérőszámok hozzáadásra kerültek a teljesítmény-műszerfalhoz, hogy azonosítsák a késéseket a látható területen lévő nagy (felhasználó által látható) elemek, például képek, videók és blokkelemek megjelenítése során. Az Elemek panelen a többi tartalom felett megjelenő felső rétegeket speciális ikon jelzi. A WebAssembly mostantól képes a hibakeresési adatokat DWARF formátumban betölteni.

Az új verzió az újítások és hibajavítások mellett 24 sebezhetőséget szüntet meg. A sebezhetőségek nagy részét az AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer és AFL eszközökkel végzett automatizált tesztelés eredményeként azonosították. Nem azonosítottak olyan kritikus problémát, amely lehetővé tenné a böngészővédelem minden szintjének megkerülését, és kód futtatását a rendszeren a sandbox környezeten kívül. A jelenlegi kiadás sebezhetőségeinek feltárásáért pénzjutalomban részesülő program részeként a Google 21 díjat fizetett ki 60500 10000 dollár értékben (egy 9000 7500 dolláros, egy 7000 5000 dolláros, egy 3000 2000 dolláros, egy 1000 XNUMX dolláros, két XNUMX XNUMX dolláros, XNUMX, XNUMX dolláros díjat ). XNUMX USD és egy XNUMX USD bónusz). A hét jutalom nagyságát még nem határozták meg.

Forrás: opennet.ru

Hozzászólás