Chrome 91. kiadás

A Google bemutatta a Chrome 91 webböngésző kiadását, ugyanakkor elérhető a Chrome alapjául szolgáló ingyenes Chromium projekt stabil kiadása is. A Chrome böngészőt a Google logók használata, az összeomlás esetén értesítéseket küldő rendszer, a védett videotartalom lejátszására szolgáló modulok (DRM), a frissítések automatikus telepítésére szolgáló rendszer és az RLZ-paraméterek kereséskor történő továbbítása különbözteti meg. A Chrome 92 következő kiadása július 20-ra várható.

Főbb változások a Chrome 91-ban:

• Beépítette a JavaScript-végrehajtás leállításának lehetőségét egy összecsukott lapcsoportban. A Chrome 85 támogatja a lapok csoportokba rendezését, amelyek egy adott színhez és címkéhez társíthatók. Ha rákattint egy csoport címkéjére, a hozzá tartozó lapok összecsukódnak, és egy címke marad helyette (a címkére ismételt kattintással megnyílik a csoport). Az új kiadásban a CPU-terhelés csökkentése és az energiatakarékosság érdekében felfüggesztették a minimálisra csökkentett lapokon végzett tevékenységet. Kivételt csak azok a lapok tesznek, amelyek hangot játszanak le, használják a Web Locks vagy az IndexedDB API-t, csatlakoznak USB-eszközhöz, vagy rögzítenek videót, hangot vagy ablaktartalmat. A változtatást fokozatosan vezetik be, kezdve a felhasználók kis százalékával.
• Tartalmazza egy kulcsfontosságú megállapodási módszer támogatását, amely ellenáll a nyers erőnek a kvantumszámítógépeken. A kvantumszámítógépek radikálisan gyorsabban oldják meg a természetes számok prímtényezőkre bontásának problémáját, amely a modern aszimmetrikus titkosítási algoritmusok hátterében áll, és nem oldható meg hatékonyan a klasszikus processzorokon. A TLSv1.3-ban való használatra rendelkezésre áll a CECPQ2 (Combined Elliptic-Curve and Post-Quantum 2) beépülő modul, amely egyesíti a klasszikus X25519 kulcscsere-mechanizmust az NTRU Prime algoritmuson alapuló HRSS sémával, amelyet kvantum utáni kriptorendszerekhez terveztek.
• Az IETF (Internet Engineering Task Force) bizottság által elavulttá vált TLS 1.0 és TLS 1.1 protokollok támogatása teljesen megszűnt. A TLS 1.0/1.1 visszaküldésének lehetőségét az SSLVersionMin házirend módosításával eltávolították.
• A Linux platform összeállításai között szerepel a „DNS over HTTPS” (DoH, DNS over HTTPS) mód, amelyet korábban a Windows, a macOS, a ChromeOS és az Android felhasználók is elértek. A DNS-over-HTTPS automatikusan aktiválódik azoknál a felhasználóknál, akiknek beállításai meghatározzák az ezt a technológiát támogató DNS-szolgáltatókat (a DNS-over-HTTPS esetében ugyanaz a szolgáltató lesz használva, mint a DNS-nél). Például, ha a felhasználó DNS 8.8.8.8-val rendelkezik a rendszerbeállításokban, akkor a Google DNS-over-HTTPS szolgáltatása („https://dns.google.com/dns-query”) aktiválódik a Chrome-ban, ha a DNS az 1.1.1.1 , majd a DNS-over-HTTPS szolgáltatás Cloudflare („https://cloudflare-dns.com/dns-query”) stb.
• Az Amanda biztonsági mentésben és a VMWare vCenterben használt 10080-as port felkerült a tiltott hálózati portok listájára. Korábban a 69-es, 137-es, 161-es, 554-es, 1719-es, 1720-as, 1723-as, 5060-as, 5061-es és 6566-os portok már blokkolva voltak. A tiltólistán szereplő portoknál a HTTP, HTTPS és FTP kérések küldése blokkolva van a NAT támadások elleni védelem érdekében. , amely lehetővé teszi, hogy a támadó által a böngészőben speciálisan elkészített weboldal megnyitásakor hálózati kapcsolatot létesítsen a támadó szervere és a felhasználó rendszerének bármely UDP vagy TCP portja között, a belső címtartomány használata ellenére (192.168.xx, 10). .xxx).
• Lehetőség van az önálló webalkalmazások (PWA - Progressive Web Apps) automatikus indításának konfigurálására, amikor a felhasználó bejelentkezik a rendszerbe (Windows és macOS). Az automatikus futtatás a chrome://apps oldalon van konfigurálva. A funkcionalitást jelenleg a felhasználók kis százalékán tesztelik, a többiek esetében pedig a „chrome://flags/#enable-desktop-pwas-run-on-os-login” beállítás aktiválása szükséges.
• A böngésző inkluzív terminológia használatára való áthelyezésének részeként a "master_preferences" fájlt átnevezték "initial_preferences"-re. A kompatibilitás fenntartása érdekében a „master_preferences” támogatása egy ideig megmarad a böngészőben. Korábban a böngésző már megszabadult a „whitelist”, „blacklist” és „native” szavak használatától.
• A Továbbfejlesztett Biztonságos Böngészés mód, amely további ellenőrzéseket aktivál az adathalászat, a rosszindulatú tevékenységek és más internetes fenyegetések elleni védelem érdekében, magában foglalja a letöltött fájlok elküldésének lehetőségét a Google oldalán történő vizsgálatra. Ezen túlmenően a Továbbfejlesztett Biztonságos Böngészés a Google-fiókhoz kötött tokeneket is figyelembe veszi az adathalász kísérletek azonosításakor, valamint a hivatkozó fejlécértékeket küldi a Google szervereinek, hogy ellenőrizzék a rosszindulatú webhelyről történő továbbítást.
• Az Android platformra szánt kiadásban a webes űrlapelemek kialakítását javították, melyeket érintőképernyőkre és fogyatékkal élők számára készült rendszerekre lettek optimalizálva (az asztali rendszerek esetében a designt a Chrome 83-ban alakították át). Az átdolgozás célja az űrlapelemek kialakításának egységesítése és a stílusbeli inkonzisztenciák kiküszöbölése volt - korábban egyes formaelemek az operációs rendszer interfész elemeinek, mások pedig a legnépszerűbb stílusoknak megfelelően készültek. Emiatt a fogyatékkal élők érintőképernyőihez és rendszereihez különböző elemeket eltérően alkalmaztak.
• Hozzáadott egy felhasználói véleménykutatást, amely az Adatvédelmi Sandbox beállításainak megnyitásakor jelenik meg (chrome://settings/privacySandbox).
• Ha a Chrome Android-verzióját nagy képernyős táblaszámítógépeken futtatja, a kérelem a webhely asztali verziójára vonatkozik, nem pedig a mobileszközökre szánt kiadásra. A viselkedést a „chrome://flags/#request-desktop-site-for-tablets” beállítással módosíthatja.
• A táblázatok megjelenítésére szolgáló kódot átdolgoztuk, ami lehetővé tette számunkra, hogy megoldjuk a viselkedés következetlenségéből adódó problémákat a táblázatok Chrome és Firefox/Safari böngészőben való megjelenítése során.
• A spanyol Camerfirma tanúsító hatóságtól származó szervertanúsítványok feldolgozását a 2017 óta ismétlődő incidensek miatt leállították, amelyek a tanúsítványok kiadásának megsértésével jártak. Az ügyféltanúsítványok támogatása megmarad; a blokkolás csak a HTTPS-webhelyeken használt tanúsítványokra vonatkozik.
• Továbbra is támogatjuk a hálózati szegmentációt, hogy megvédjük a felhasználók webhelyek közötti mozgásának nyomon követését az azonosítók tárolásán alapuló olyan területeken, amelyek nem az állandó információ tárolására szolgálnak („szupercookie-k”). Mivel a gyorsítótárazott erőforrások egy közös névtérben vannak tárolva, függetlenül a származási tartománytól, az egyik webhely úgy tudja megállapítani, hogy egy másik webhely erőforrásokat tölt be, ha ellenőrzi, hogy az erőforrás a gyorsítótárban van-e. A védelem a hálózati szegmentálás (Network Partitioning) használatán alapul, melynek lényege, hogy a megosztott gyorsítótárakba további rekordokat kötnek ahhoz a tartományhoz, ahonnan a főoldal megnyílik, ami korlátozza a gyorsítótár lefedettségét csak a mozgáskövető szkriptek számára. az aktuális webhelyre (az iframe-ből származó szkript nem tudja ellenőrizni, hogy az erőforrást egy másik webhelyről töltötték-e le).

  A szegmentálás ára a gyorsítótárazási hatékonyság csökkenése, ami az oldalbetöltési idő enyhe növekedését eredményezi (maximum 1.32%-kal, de az oldalak 80%-ánál 0.09-0.75%-kal). A szegmentálási mód teszteléséhez futtassa a böngészőt az „—enable-features=PartitionConnectionsByNetworkIsolationKey, PartitionExpectCTStateByNetworkIsolationKey, PartitionHttpServerPropertiesByNetworkIsolationKey, PartitionNelAndReportingISSLStKeyNetworks, PartitionNelAndReportingISSLsKeyNey“ opcióval , SplitHostCacheB yNetworkIsolationKey".

• Hozzáadott külső REST API VersionHistory (https://versionhistory.googleapis.com/v1/chrome), amelyen keresztül információkat kaphat a Chrome-verziókról a platformok és ágak vonatkozásában, valamint a böngésző frissítési előzményei.
• Az alapoldal tartományától eltérő tartományból betöltött iframe-ekben az alert(), megerősítés() és prompt() JavaScript párbeszédpanelek megjelenítése tilos, ami megvédi a felhasználókat attól, hogy egy harmadik féltől származó szkript megpróbálja megjeleníteni az üzeneteket az alapoldal alatt. úgy képzeljük el, hogy az értesítést a fő webhely jelenítette meg.
• A WebAssembly SIMD API stabilizálva van, és alapértelmezés szerint felkínálja a vektoros SIMD utasítások használatát a WebAssembly által formázott alkalmazásokban. A platformfüggetlenség biztosítása érdekében új, 128 bites típust kínál, amely különböző típusú csomagolt adatokat tud reprezentálni, valamint számos alapvető vektorműveletet kínál a csomagolt adatok feldolgozásához. A SIMD lehetővé teszi a termelékenység növelését az adatfeldolgozás párhuzamosításával, és hasznos lesz a natív kód WebAssembly-be való fordításakor.
• Számos új API-val bővült az Origin Trials mód (külön aktiválást igénylő kísérleti funkciók). Az Origin Trial magában foglalja a megadott API-val való együttműködés lehetőségét a localhostról vagy a 127.0.0.1-ről letöltött alkalmazásokból, vagy a regisztráció és egy speciális token fogadása után, amely korlátozott ideig érvényes egy adott webhelyen.
  • A WebTransport egy protokoll és a hozzá tartozó JavaScript API adatok küldésére és fogadására a böngésző és a szerver között. A kommunikációs csatorna a HTTP/3 tetejére szerveződik, átvitelként a QUIC protokollt használva, amely viszont az UDP protokoll kiegészítője, amely támogatja több kapcsolat multiplexelését, és a TLS/SSL-lel egyenértékű titkosítási módszereket biztosít.

    A WebSockets és az RTCDataChannel mechanizmusok helyett a WebTransport használható, amely további szolgáltatásokat kínál, mint például a többfolyamos átvitel, az egyirányú folyamok, a nem megfelelő kézbesítés, valamint a megbízható és megbízhatatlan kézbesítési módok. Ezenkívül a WebTransport használható a Server Push mechanizmus helyett, amelyet a Google elhagyott a Chrome-ban.

  • Deklaratív felület az önálló webalkalmazásokhoz (PWA-k) mutató hivatkozások meghatározásához, amely a webalkalmazás jegyzékében a capture_links paraméter használatával engedélyezett, és lehetővé teszi a webhelyek számára, hogy automatikusan új PWA-ablakot nyissanak meg, ha egy alkalmazáshivatkozásra kattintanak, vagy egyablakos módba váltanak, hasonló a mobil alkalmazásokhoz.
  • Hozzáadtuk a WebXR Plane Detection API-t, amely virtuális 3D környezetben nyújt információkat a síkfelületekről. A megadott API lehetővé teszi a MediaDevices.getUserMedia() hívással nyert adatok erőforrás-igényes feldolgozásának elkerülését, a számítógépes képalgoritmusok szabadalmaztatott megvalósításaival. Emlékeztetünk arra, hogy a WebXR API lehetővé teszi, hogy egyesítse a virtuális valóság-eszközök különböző osztályaival végzett munkát, a helyhez kötött 3D-s sisakoktól a mobileszközökön alapuló megoldásokig.
• Megvalósult a WebSockets HTTP/2-n keresztüli munkavégzés támogatása (RFC 8441), amely csak a WebSockets-nek küldött biztonságos kérésekre és a szerverrel már kialakított HTTP/2 kapcsolat jelenlétében érvényes, amely bejelentette a „WebSockets over” támogatását. HTTP/2” kiterjesztés.
• A performance.now() hívás által előállított időzítő értékek pontosságának korlátai minden támogatott platformon konzisztensek, és figyelembe veszik a kezelők külön folyamatokban történő elkülönítésének lehetőségét. Például asztali rendszereken a nem elkülönített környezetben végzett feldolgozás pontossága 5-ről 100 mikroszekundumra csökkent.
• Az asztali buildek mostantól tartalmazzák a fájlok vágólapról történő olvasásának lehetőségét (a fájlok vágólapra írása továbbra is tilos). async function onPaste(e) { let file = e.clipboardData.files[0]; let contents = await file.text(); }
• A CSS megvalósítja a @counter-style szabályt, amely lehetővé teszi, hogy saját stílust határozzon meg a számozott listákban lévő számlálók és címkék számára.
• A „:host()” és „:host-context()” CSS-álosztályok hozzáadták az összetett kiválasztók egyedi értékeinek átadásának lehetőségét ( ) a választólistákon kívül ( ).
• Hozzáadott GravitySensor interfész a gravitációs érzékelő térfogati (három koordináta tengely) adatainak meghatározásához.
• A Fájlrendszer hozzáférési API lehetővé teszi, hogy javaslatokat adjon meg a fájl létrehozásához vagy megnyitásához szükséges párbeszédpanelen a fájlnév és könyvtár kiválasztásához.
• A más tartományokból betöltött iframe-ek hozzáférhetnek a WebOTP API-hoz, ha a felhasználó megadja a megfelelő engedélyeket. A WebOTP lehetővé teszi az SMS-ben küldött egyszeri ellenőrző kódok olvasását.
• A DAL (Digital Asset Links) mechanizmussal összekapcsolt webhelyek hitelesítő adataihoz való hozzáférés megosztása, amely lehetővé teszi az Android-alkalmazások webhelyekhez való társítását a bejelentkezés egyszerűsítése érdekében.
• A szervizmunkások engedélyezik a JavaScript-modulok használatát. Ha a konstruktor meghívásakor megadja a 'modul' típust, a megadott szkriptek modulok formájában töltődnek be, és elérhetők lesznek importálásra a dolgozó kontextusában. A modultámogatás megkönnyíti a kód megosztását a weboldalak és a szervizmunkások között.
• A JavaScript lehetőséget biztosít a privát mezők meglétének ellenőrzésére egy objektumban a "#foo in obj" szintaxis használatával. class A { static test(obj) { console.log(#foo in obj); } #foo = 0; } A.test(new A()); // igaz A.test({}); // hamis
• A JavaScript alapértelmezés szerint lehetővé teszi az await kulcsszó használatát a legfelső szintű modulokban, ami lehetővé teszi az aszinkron hívások zökkenőmentesebb integrálását a modulbetöltési folyamatba, és elkerüli, hogy azokat „aszinkron függvénybe” csomagolják. Például helyett (async function() { await Promise.resolve(console.log('test')); }()); most írhatod a await Promise.resolve(console.log('test'));
• A V8 JavaScript motor javította a sablon gyorsítótárazás hatékonyságát, ami 4.5%-kal növelte a Speedometer2-FlightJS teszt sikeres teljesítésének sebességét.
• A fejlesztések nagy részét a webfejlesztőknek szánt eszközökön végezték el. Új memória-ellenőrző mód került hozzáadásra, amely eszközöket biztosít az ArrayBuffer adatok és a Wasm memória vizsgálatához.

  A Teljesítmény panelhez egy összefoglaló teljesítménymutató került, amely lehetővé teszi annak megítélését, hogy egy webhely optimalizálást igényel-e vagy sem.

  

  Az Elemek panelen és a Hálózatelemzés panelen található kép-előnézetek információkat nyújtanak a kép képarányáról, a renderelési beállításokról és a fájlméretről.

  

  A hálózatellenőrző panelen most már lehetőség van a Content-Encoding fejléc elfogadott értékei megváltoztatására.

  

  A stíluspanelen most gyorsan megtekintheti a számított értéket, amikor a CSS-paraméterek között navigál, ha kiválasztja a „Számított érték megtekintése” lehetőséget a helyi menüben.

  

Az új verzió az újítások és hibajavítások mellett 32 sebezhetőséget szünteti meg. A sebezhetőségek nagy részét az AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer és AFL eszközökkel végzett automatizált tesztelés eredményeként azonosították. Nem azonosítottak olyan kritikus problémát, amely lehetővé tenné a böngészővédelem minden szintjének megkerülését, és kód futtatását a rendszeren a sandbox környezeten kívül. A jelenlegi kiadás sebezhetőségeinek feltárásáért pénzbeli jutalmat folyósító program részeként a Google 21 díjat fizetett ki 92000 20000 dollár értékben (egy 15000 7500 dolláros, egy 5000 3000 dolláros, négy 1000 dolláros, három 500 dolláros, három 5 dolláros XNUMX és két díjat XNUMX USD). Az XNUMX jutalom nagysága még nincs meghatározva.

Forrás: opennet.ru