ProHoster > Blog > internetes hírek > Chrome 84. kiadás

Chrome 84. kiadás

Google bemutatott webböngésző kiadás Chrome 84... Egyidejűleg elérhető ingyenes projekt stabil kiadása Króm, amely a Chrome alapja. Chrome böngésző különböző a Google logók használata, az összeomlás esetén értesítést küldő rendszer megléte, a Flash modul igény szerinti letöltése, a védett videotartalom (DRM) lejátszására szolgáló modulok, az automatikus frissítési rendszer és a keresési átvitel RLZ paraméterek. A Chrome 85 következő kiadása augusztus 25-re várható.

A főbb változások в króm 84:

  • Tiltva támogatja a TLS 1.0 és TLS 1.1 protokollokat. A webhelyek biztonságos kommunikációs csatornán keresztüli eléréséhez a szervernek támogatnia kell legalább a TLS 1.2-t, ellenkező esetben a böngésző most hibát jelenít meg. A Google szerint jelenleg a weboldalletöltések körülbelül 0.5%-a továbbra is a TLS elavult verzióival történik. A leállás a szerint történt ajánlásokat IETF (Internet Engineering Task Force). A TLS 1.0/1.1 elutasításának oka a modern titkosítások (például ECDHE és AEAD) támogatásának hiánya, valamint a régi titkosítások támogatásának követelménye, amelyek megbízhatósága a számítástechnika fejlődésének jelenlegi szakaszában megkérdőjelezhető (pl. , a TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 és SHA-1 támogatása szükséges). A TLS 1.0/1.1-hez való visszatérést lehetővé tevő beállítás 2021 januárjáig megmarad.
  • Blokkolás biztosított nem biztonságos rendszerindítás (titkosítás nélkül) a végrehajtható fájlokat, és figyelmeztetéseket adott az archívumok nem biztonságos betöltésekor. A jövőben a tervek szerint fokozatosan megszüntetik a titkosítás nélküli fájlfeltöltés támogatását. A blokkolást azért hajtják végre, mert a titkosítás nélküli fájlok letöltése rosszindulatú műveletek végrehajtására használható a tartalom cseréjével MITM-támadások során.
  • Hozzáadva kezdeti támogatás azonosító Ügyféltanácsok, amelyet a User-Agent fejléc alternatívájaként fejlesztettek ki. A Client Hints mechanizmus egy sor „Sec-CH-UA-*” fejlécet kínál a User-Agent helyettesítésére, amely lehetővé teszi az adatok szelektív kézbesítésének megszervezését bizonyos böngésző- és rendszerparaméterekről (verzió, platform stb.) a szerver kérése után. A felhasználónak lehetősége van meghatározni, hogy mely paraméterek elfogadhatók a szállításhoz, és szelektíven megadja ezeket az információkat a webhely tulajdonosainak. A Client Hints használatakor az azonosító alapértelmezés szerint nem kerül továbbításra kifejezett kérés nélkül, ami lehetetlenné teszi a passzív azonosítást (alapértelmezés szerint csak a böngésző neve kerül feltüntetésre). Munka on Felhasználó-ügynök egyesítése elhalasztották jövő évig.
  • Folytatás aktiválás
    szigorúbbak korlátozások Cookie-k átvitele az oldalak között, ami volt törölve a COVID-19 miatt. Nem HTTPS kérések esetén tilos az aktuális oldal domainjétől eltérő webhelyek elérésekor beállított, harmadik féltől származó cookie-k feldolgozása. Az ilyen cookie-k a felhasználók webhelyek közötti mozgásának nyomon követésére szolgálnak a hirdetési hálózatok, a közösségi hálózati widgetek és a webelemző rendszerek kódjában.

    Emlékezzünk rá, hogy a Cookie-k továbbításának szabályozására a Set-Cookie fejlécben megadott SameSite attribútumot használjuk, amely alapértelmezés szerint a „SameSite=Lax” értékre lesz beállítva, ami korlátozza a Cookie-k küldését a webhelyek közötti alkérések esetén. , például egy képkérelem vagy egy másik webhelyről származó tartalom betöltése iframe-en keresztül. A webhelyek felülírhatják az alapértelmezett SameSite viselkedést, ha a Cookie beállítást kifejezetten SameSite=None értékre állítják. Ezenkívül a SameSite=None for Cookie érték csak Biztonságos módban állítható be (HTTS-en keresztüli kapcsolatokra érvényes). A változtatást szakaszosan vezetik be, kezdve a felhasználók kis százalékával, majd fokozatosan kiterjesztve az elérést.

  • Kísérleti megvalósítás hozzáadva erőforrásigényes hirdetésblokkoló, amely a „chrome://flags/#enable-heavy-ad-intervention” beállítással engedélyezhető. A blokkoló lehetővé teszi az iframe hirdetési blokkok automatikus letiltását a forgalom és a CPU terhelési küszöbértékek túllépése után. A blokkolás akkor lép életbe, ha a fő szál összesen több mint 60 másodpercet fogyaszt el a CPU-időből, vagy 15 másodpercet 30 másodperces intervallumon belül (az erőforrások 50%-át több mint 30 másodpercig), valamint ha több mint 4 MB adat letöltése megtörtént a hálózaton keresztül.

    A blokkolás csak akkor működik, ha a korlátok túllépése előtt a felhasználó nem lépett kapcsolatba a hirdetési egységgel (például nem kattintott rá), ami a forgalmi korlátozások figyelembevételével lehetővé teszi a nagy méretek automatikus lejátszását. a hirdetésekben szereplő videókat le kell tiltani anélkül, hogy a felhasználó kifejezetten aktiválná a lejátszást. A javasolt intézkedések megóvják a felhasználókat a nem hatékony kódmegvalósítással vagy szándékos parazita tevékenységgel (például bányászattal) kapcsolatos hirdetésektől. A Google statisztikái szerint a blokkolási kritériumoknak megfelelő reklámok az összes hirdetési egységnek csak 0.30%-át teszik ki, ugyanakkor az ilyen reklámbetétek a CPU erőforrások 28%-át és a forgalom 27%-át fogyasztják a teljes reklámmennyiségből.

  • Dolgoztunk a CPU-erőforrás-felhasználás csökkentésén, amikor a böngészőablak nincs a felhasználó látómezejében. A Chrome most ellenőrzi, hogy a böngészőablak átfedésben van-e más ablakokkal, és megakadályozza a képpontok rajzolását az átfedő területeken. Az új funkció fokozatosan kerül bevezetésre: az optimalizálás egyes felhasználók számára szelektíven engedélyezve lesz a Chrome 84-ben, míg mások számára a Chrome 85-ben.
  • A védelem alapértelmezés szerint engedélyezve van bosszantó értesítésekpéldául a leküldéses értesítések fogadására irányuló kérelmeket tartalmazó spam. Mivel az ilyen kérések megszakítják a felhasználó munkáját, és elvonják a figyelmet a megerősítő párbeszédablakban lévő műveletekről, a címsorban lévő külön párbeszédpanel helyett egy információs üzenet jelenik meg, amely nem igényel semmilyen műveletet a felhasználótól, figyelmeztetéssel, hogy az engedélykérés blokkolva van. , amely automatikusan egy áthúzott harang képével rendelkező indikátorrá kicsinyül. Az indikátorra kattintva bármikor aktiválhatja vagy elutasíthatja a kért engedélyt.

    Chrome 84. kiadás

  • A felhasználó választása a külső protokollok kezelőinek megnyitásakor emlékezik – a felhasználó kiválaszthatja a „mindig engedélyezi ezt a webhelyet” lehetőséget egy adott kezelőhöz, és a böngésző megjegyzi ezt a döntést az aktuális webhelyhez képest.
  • Hozzáadott védelem a felhasználói beállítások kifejezett hozzájárulás nélküli megváltoztatása ellen. Ha a bővítmény megváltoztatja az alapértelmezett keresőmotort vagy egy új laphoz megjelenített oldalt, a böngészőben megjelenik egy párbeszédpanel, amely a megadott művelet megerősítésére vagy a módosítás visszavonására kéri.
  • Folytatás vegyes multimédiás tartalom betöltése elleni védelem megvalósítása (amikor az erőforrásokat a http:// protokollon keresztül egy HTTPS-oldalra töltik be). A HTTPS-en keresztül megnyitott oldalakon a „http://” hivatkozások mostantól automatikusan „https://”-re cserélődnek a képek betöltéséhez kapcsolódó blokkokban (a szkripteket és az iframe-eket korábban lecserélték, a hang- és képforrások automatikus cseréje várható a következő kiadás). Ha egy kép nem érhető el https-en keresztül, akkor a letöltése blokkolva van (a blokkolást manuálisan megjelölheti a címsor lakat szimbólumával elérhető menün keresztül).
  • API támogatás hozzáadva Web OTP (SMS Receiver API-ként fejlesztették ki), amely lehetővé teszi az egyszeri jelszó megadását egy weboldalon, miután megkapta a megerősítő kódot tartalmazó SMS-t a felhasználó Android okostelefonjára, amelyen a böngésző fut. Az SMS visszaigazolással például ellenőrizhető a felhasználó által a regisztráció során megadott telefonszám. Ha korábban a felhasználónak meg kellett nyitnia az SMS-alkalmazást, a kódot a vágólapra másolnia, majd visszatérnie a böngészőbe és be kellett illesztenie ezt a kódot, akkor az új API lehetővé teszi ennek a folyamatnak az automatizálását és egy érintésre való csökkentését.
  • API bővítve Webes animációk
    web-animáció lejátszásának vezérléséhez. Az új kiadás támogatja az összeállítási műveleteket, lehetővé téve az effektusok kombinálásának szabályozását, és új kezelőket biztosít, amelyek tartalomcsere események bekövetkezésekor hívódnak meg. A Web Animations API mostantól támogatja az ígéretet is, amely meghatározza az animációk megjelenítési sorrendjét, és jobban szabályozza, hogy az animációk hogyan működnek együtt más alkalmazásfunkciókkal.

  • Számos új API-val bővült az Origin Trials mód (külön aktiválást igénylő kísérleti funkciók). Az Origin Trial magában foglalja a megadott API-val való együttműködés lehetőségét a localhostról vagy a 127.0.0.1-ről letöltött alkalmazásokból, vagy a regisztráció és egy speciális token fogadása után, amely korlátozott ideig érvényes egy adott webhelyen.
    • API Sütibolt a Service Worker HTTP Cookie-khoz való hozzáférése, amely a document.cookie használatának aszinkron alternatívájaként szolgál.
    • API Üresjárat észlelése a felhasználói inaktivitás észlelésére, lehetővé téve annak észlelését, hogy a felhasználó mikor nem használja a billentyűzetet/egeret, fut a képernyővédő, a képernyő le van zárva, vagy más monitoron dolgozik. Az alkalmazás inaktivitásról való tájékoztatása egy meghatározott inaktivitási küszöb elérése után értesítés küldésével történik.
    • rezsim Eredet elkülönítése, lehetővé teszi a fejlesztő számára, hogy a tartalomfeldolgozás teljesebb elkülönítését használja egy külön folyamatban a forráshoz (eredet - tartomány + port + protokoll), ahelyett, hogy a webhely, bizonyos régi funkciók, például a szinkron támogatásának megszakítása árán. szkriptek végrehajtása a document.domain használatával és a postMessage() meghívása üzenetek WebAssembly.Module példányaiba való elküldéséhez. Más szavakkal, az Origin Isolation lehetővé teszi a különböző folyamatok szétválasztásának megszervezését az erőforrás tartománya alapján, nem pedig az oldalak összes idegen zárványával rendelkező webhely alapján.
    • API WebAssembly SIMD vektor SIMD utasítások használatához WebAssembly formátumú alkalmazásokban. A platformfüggetlenség biztosítása érdekében új, 128 bites típust kínál, amely különböző típusú csomagolt adatokat tud reprezentálni, valamint számos alapvető vektorműveletet kínál a csomagolt adatok feldolgozásához. A SIMD lehetővé teszi a termelékenység növelését az adatfeldolgozás párhuzamosításával, és hasznos lesz a natív kód WebAssembly-be való fordításakor. A SIMD támogatás engedélyezéséhez használja a „chrome://flags/#enable-webassembly-simd” beállítást.
  • Stabilizálva és most az Origin Trials-on kívül terjesztve
    API Tartalomindexelés, amely metaadatokat biztosít azokról a tartalmakról, amelyeket korábban progresszív webalkalmazások (PWS) módban futó webalkalmazások gyorsítótáraztak. Az alkalmazás különféle adatokat menthet a böngésző oldalon, beleértve a képeket, videókat és cikkeket, és a hálózati kapcsolat megszakadása esetén a Cache Storage és az IndexedDB API-k segítségével használhatja. A Content Indexing API lehetővé teszi az ilyen erőforrások hozzáadását, keresését és törlését. A böngészőben ez az API már használatos az offline megtekintéshez elérhető oldalak és multimédiás adatok listájának felsorolására.

  • Az API verzió stabilizálva Ébresztő zár a Promise mechanizmuson alapul, amely biztonságosabb módot nyújt az automatikus zárolási képernyők letiltásának és az eszközök energiatakarékos módba kapcsolásának szabályozására.
  • Az Android platformra készült verzióban tette hozzá az alkalmazások parancsikonjainak támogatása, amely lehetővé teszi az alkalmazásban található népszerű tipikus műveletek gyors elérését. Parancsikonok létrehozásához csak adjon hozzá elemeket a webalkalmazás jegyzékéhez PWA (Progressive Web Apps) formátumban.
    Chrome 84. kiadás

  • A Web Worker használhat API-t ReportingObserver, amely lehetővé teszi, hogy meghatározzon egy kezelőt a jelentés generálásához, amelyet az elavult képességek elérésekor hívnak meg. A generált jelentést a felhasználó saját belátása szerint elmentheti, elküldheti a szervernek, vagy feldolgozhatja egy JavaScript szkripttel.
  • API frissítve Megfigyelő átméretezése, amely lehetővé teszi egy kezelő csatlakoztatását, amelyhez az oldalon lévő megadott elemek méretének változásairól értesítést küldenek. A ResizeObserverEntry három új tulajdonsággal bővült: contentBoxSize, borderBoxSize és devicePixelContentBoxSize, hogy részletesebb információkat biztosítson, ResizeObserverSize objektumok tömbjeként visszaadva.
  • " kulcsszó hozzáadva"visszaszáll» az elemstílus alapértelmezett értékére való visszaállításához.
  • Eltávolítottuk a "-webkit-appearance" és a "-webkit-ruby-position" CSS-tulajdonságok előtagját, amelyek mostantól "" néven érhetők elmegjelenés"És"rubin-pozíció”.
  • JavaScriptben végrehajtva az osztályok metódusainak és tulajdonságainak privátként való megjelölésének támogatása, amely után ezekhez való hozzáférés csak az osztályon belül lesz nyitva (korábban csak a mezők lehettek privátok). A módszerek és tulajdonságok privátként való megjelölése: rámutat a mező neve előtt egy „#” jel található.
  • JavaScriptben tette hozzá támogatás gyenge láncszemek (gyenge hivatkozás) JavaScript objektumokra, amelyek lehetővé teszik az objektumra való hivatkozás megtartását, de nem akadályozzák meg a szemétgyűjtőt a társított objektum törlésében. A véglegesítők támogatása is hozzáadásra került, lehetővé téve egy kezelő meghatározását, amelyet a megadott objektum szemétgyűjtésének befejezése után hívnak meg.
  • Az alkalmazások elindítása a WebAssembly-n felgyorsult, köszönhetően a kezdeti (alapvonali) Liftoff fordítóban való megvalósításnak. atomi utasítások и kötegelt memória műveletek. A WebAssembly hibakereső eszközei javultak, a hibakeresési teljesítmény jelentősen javult a töréspontok használatakor (korábban az értelmezőt használták hibakeresésre, most pedig a Liftoff fordítót).
  • A webfejlesztőknek szánt eszközökben pphttps://developers.google.com/web/updates/2020/05/devtools a teljesítményelemzés panelje frissült. Általános információk hozzáadva a mérőszámmal kapcsolatban TBT (Teljes blokkolási idő), megmutatja, hogy az oldal mennyi ideig láthatóan elérhető, de valójában nem elérhető (azaz az oldalt már renderelték, de a főszál végrehajtása továbbra is blokkolva van, és az adatbevitel nem lehetséges). Új Élményszakasz hozzáadva a mutatók elemzéséhez CLS (Cumulative Layout Shift), ami a tartalom vizuális stabilitását tükrözi. A CSS-stílusok ellenőrző panelje a „background-image” tulajdonságon keresztül megadott képek előnézetét nyújtja.

Az újítások és hibajavítások mellett az új verzió kiküszöböli 38 sebezhetőség. A sebezhetőségek nagy részét automatizált tesztelőeszközök eredményeként azonosították Címfertőtlenítő, MemorySanitizer, Az áramlási integritás szabályozása, LibFuzzer и AFL. Egy probléma (CVE-2020-6510, puffertúlcsordulás a háttér-lekérési kezelőben) kritikusként van megjelölve, pl. lehetővé teszi a böngészővédelem minden szintjének megkerülését és kód futtatását a rendszeren a sandbox környezeten kívül. A jelenlegi kiadás sebezhetőségeinek felfedezéséért pénzbeli jutalmat fizető program részeként a Google 26 díjat fizetett ki 21500 5000 dollár értékben (két 3000 dolláros, két 2000 dolláros, egy 1000 dolláros, két 500 dolláros és három 16 dolláros díjat). A XNUMX jutalom nagyságát még nem határozták meg.

Forrás: opennet.ru

Hozzászólás