Chrome 76 թողարկում

Google- ը ներկայացրել վեբ բրաուզերի թողարկում Chrome 76. Միաժամանակ հասանելի է անվճար նախագծի կայուն թողարկում Chromium, որը ծառայում է որպես Chrome-ի հիմք։ Chrome բրաուզեր տարբեր Google-ի լոգոների օգտագործում, վթարի դեպքում ծանուցումներ ուղարկելու համակարգի առկայություն, պահանջով Flash մոդուլ ներբեռնելու հնարավորություն, պաշտպանված վիդեո բովանդակություն (DRM) նվագարկելու մոդուլներ, որոնման ընթացքում թարմացումների և փոխանցման ավտոմատ տեղադրման համակարգ։ RLZ պարամետրեր. Chrome 77-ի հաջորդ թողարկումը նախատեսված է սեպտեմբերի 10-ին:

Հիմնական փոփոխություններ в Chrome 76:

• ակտիվացված լռելյայնորեն, պաշտպանական ռեժիմը երրորդ կողմի թխուկների փոխանցումից, որը, Set-Cookie վերնագրում SameSite հատկանիշի բացակայության դեպքում, լռելյայն սահմանում է «SameSite=Lax» արժեքը՝ սահմանափակելով թխուկների ուղարկումը ներդիրներից: երրորդ կողմի կայքերը (սակայն կայքերը դեռ կկարողանան վերացնել սահմանափակումը՝ բացահայտորեն կարգավորելով Cookie-ի արժեքը SameSite=Ոչ մեկը): Մինչ այժմ զննարկիչը «Cookie» էր ուղարկում ցանկացած հարցման այն կայք, որի համար «Cookie» էր դրված, նույնիսկ եթե ի սկզբանե բացված էր մեկ այլ կայք, և հարցումն արվում էր անուղղակի՝ պատկեր բեռնելով կամ iframe-ի միջոցով: «Lax» ռեժիմում Cookie-ի փոխանցումն արգելափակված է միայն միջկայքային ենթահարկերի համար, ինչպիսիք են պատկերի հարցումները կամ iframe-ի բովանդակության բեռնումը, որոնք հաճախ օգտագործվում են CSRF հարձակումներ գործարկելու և օգտատերերի շարժումները կայքերի միջև հետևելու համար:
• Լռելյայն դադարեցվել է Flash բովանդակության նվագարկումը: Մինչև Chrome 87-ի թողարկումը, որը սպասվում է 2020 թվականի դեկտեմբերին, Flash-ի աջակցությունը կարող է վերադարձվել կարգավորումներում (Ընդլայնված > Գաղտնիություն և անվտանգություն > Կայքի կարգավորումներ), որին հաջորդում է յուրաքանչյուր կայքի համար Flash բովանդակության նվագարկման գործողության հստակ հաստատում (հաստատումը հետևյալն է. հիշվում է մինչև զննարկիչը վերագործարկվի): Flash-ին աջակցելու համար կոդի ամբողջական հեռացումը համահունչ է Adobe-ի նախկինում հայտարարված ծրագրի հետ՝ դադարեցնելու Flash տեխնոլոգիայի աջակցումը 2020 թվականին.
• Ձեռնարկությունների համար Google Drive-ի պահեստում ֆայլեր որոնելու հնարավորությունն ավելացվել է հասցեագոտում.
  

• Սկսել զանգվածային արգելափակում Անհամապատասխան գովազդ Chrome-ում, որը խանգարում է բովանդակության ընկալմանը և չի համապատասխանում «Հանուն ավելի լավ գովազդի կոալիցիայի» կողմից մշակված չափանիշներին.
• Գործարկվել է նոր էջ անցնելու հարմարվողական ռեժիմ, որի դեպքում ընթացիկ բովանդակությունը մաքրվում է և սպիտակ ֆոնը ցուցադրվում է ոչ թե անմիջապես, այլ կարճ ուշացումից հետո։ Արագ բեռնվող էջերի դեպքում քերծումը հանգեցնում է միայն թարթման և չի ապահովում օգտվողին տեղեկացնելու օգտակար բեռը, որ նոր էջը բեռնվելու է: Նոր թողարկումում, եթե էջը արագ բացվում է և կա մի փոքր ուշացում, ապա նոր էջը ցուցադրվում է տեղում՝ անխափան փոխարինելով նախորդը (օրինակ՝ հարմար է նույն կայքի այլ էջեր անցնելիս, որոնք դիզայնով նման են. և գունային սխեման): Եթե ​​էջը ցուցադրելու համար օգտագործողի համար նկատելի ժամանակ պահանջվի, ապա, ինչպես նախկինում, էկրանը նախապես կմաքրվի;
• Էջում օգտատերերի ակտիվությունը որոշելու չափանիշները խստացվել են։ Chrome-ը թույլ է տալիս ցուցադրել թռուցիկ ծանուցումներ և նվագարկել նյարդայնացնող վիդեո/աուդիո բովանդակություն միայն էջում օգտատիրոջ գործողություններից հետո: Նոր թողարկման դեպքում Escape սեղմելը, հղման վրա սավառնելը և էկրանին դիպչելը այլևս չեն ընկալվում որպես էջի ակտիվացնող փոխազդեցություն (պահանջում է բացահայտ սեղմում, մուտքագրում կամ ոլորում);
• Ավելացված է «նախընտրում է գույների սխեման» մեդիա հարցումը, որը թույլ է տալիս կայքերին որոշել, թե արդյոք զննարկիչն օգտագործում է մուգ թեմա և ավտոմատ կերպով միացնել մուգ թեման դիտվող կայքի համար:
• Երբ դուք միացնում եք մուգ թեման Linux-ի համար նախատեսված շինություններում, հասցեագոտն այժմ ցուցադրվում է մուգ գույնով.
• Արգելափակված ինկոգնիտո ռեժիմում էջի բացումը որոշելու ունակություն FileSystem API-ով մանիպուլյացիաների միջոցով, որը նախկինում օգտագործվում էր որոշ հրապարակումների կողմից վճարովի բաժանորդագրություն պարտադրելու համար էջերի անանձնական բացման դեպքում՝ առանց թխուկները հիշելու (այնպես, որ օգտվողները չօգտագործեին մասնավոր ռեժիմը շրջանցել անվճար փորձնական մուտքի ապահովման մեխանիզմը): Նախկինում, երբ աշխատում էր ինկոգնիտո ռեժիմում, զննարկիչը արգելափակում էր մուտքը դեպի FileSystem API՝ թույլ չտալու համար տվյալների թուլացումը նիստերի միջև, ինչը JavaScript-ին թույլ էր տալիս ստուգել FileSystem API-ի միջոցով տվյալները պահելու հնարավորությունը և ձախողման դեպքում դատել դրա գործունեությունը: ինկոգնիտո ռեժիմ: Այժմ մուտքը դեպի FileSystem API արգելափակված չէ, և բովանդակությունը մաքրվում է նիստի ավարտից հետո;
• Ավելացված է նոր մարտահրավերներ
  API-ի վճարման հարցում և վճարման կառավարիչ: PaymentRequestEvent օբյեկտում հայտնվել է նոր եղանակ changePaymentMethod() և PaymentRequest օբյեկտում ավելացվել է նոր իրադարձություն մշակողի վճարման մեթոդի փոփոխություն, որը թույլ է տալիս վճարումների հավաքագրման կայքին կամ վեբ հավելվածին պատասխանել վճարման եղանակը փոխող օգտատիրոջը: Նոր թողարկումը նաև հեշտացնում է վճարային API-ների համար հավելվածների փորձարկումը՝ օգտագործելով ինքնաստորագրված հավաստագրերը: Մշակման ընթացքում վկայագրի ստուգման սխալները անտեսելու համար ավելացվել է նոր հրամանի տող «—ignore-certificate-errors» տարբերակը.

• «Desktop Progressive Web Apps» (PWA) ռեժիմով աշխատող վեբ հավելվածների էջանիշերին ավելացնելու կոճակի կողքին գտնվող հասցեագոտում, ավելացրեց համակարգում վեբ հավելված տեղադրելու դյուրանցում՝ որպես առանձին ծրագիր աշխատելու համար.
  

• Բջջային սարքերի համար հնարավոր է կառավարել մինի վահանակի ցուցադրումը հիմնական էկրանին հավելված ավելացնելու հրավերով: PWA (Progressive Web App) հավելվածների համար լռելյայն մինի-բարը ավտոմատ կերպով ցուցադրվում է, երբ դուք առաջին անգամ բացում եք կայքը: Այժմ մշակողը կարող է հրաժարվել այս վահանակի ցուցադրումից և տեղադրել իր սեփական տեղադրման հուշումը, որի համար կարող է տեղադրել իրադարձությունների մշակիչ
  նախքան տեղադրեք և կցեք զանգ preventDefault();
  

• Android միջավայրում տեղադրված PWA հավելվածների (Progressive Web App) թարմացման ստուգումների հաճախականությունը մեծացել է: WebAPK թարմացումներն այժմ ստուգվում են օրական մեկ անգամ, և ոչ թե երեք օրը մեկ, ինչպես նախկինում: Եթե ​​նման ստուգումը բացահայտի մանիֆեստում առնվազն մեկ հիմնական հատկության փոփոխություն, զննարկիչը կներբեռնի և կտեղադրի նոր WebAPK;
• API-ում Async clipboard ավելացրել է clipboard-ի միջոցով պատկերները ծրագրային կերպով կարդալու և գրելու հնարավորությունը՝ օգտագործելով navigator.clipboard.read() և navigator.clipboard.write() մեթոդները;
• Իրականացված աջակցություն HTTP վերնագրերի խմբի համար Ստացեք մետատվյալներ (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site և Sec-Fetch-User), որը թույլ է տալիս ուղարկել լրացուցիչ մետատվյալներ հարցման բնույթի վերաբերյալ (միջկայքի հարցում, հարցում img թեգի միջոցով և այլն): .) սերվերի կողմից որոշ տիպի հարձակումներից պաշտպանվելու համար միջոցներ ընդունելու համար (օրինակ, քիչ հավանական է, որ գումար փոխանցելու կառավարչի հղումը նշվի img պիտակի միջոցով, այնպես որ նման հարցումները կարող են արգելափակվել առանց հավելվածին փոխանցվելու: );
• Ավելացված հատկություն form.requestSubmit(), որը նախաձեռնում է ձևի տվյալների ծրագրային ներկայացումը այնպես, ինչպես սեղմելով ուղարկել կոճակը։ Ֆունկցիան կարող է օգտագործվել սեփական ձևի ուղարկելու կոճակներ մշակելիս, որոնց համար form.submit() կանչելը բավարար չէ, քանի որ դա չի հանգեցնում պարամետրերի ինտերակտիվ ստուգման, «submit» իրադարձության առաջացման և տվյալների փոխանցման: կապված է ուղարկել կոճակին;
• IndexedDB-ին ավելացվել է ֆունկցիա պարտավորվել (), որը թույլ է տալիս կատարել գործարքներ, որոնք կապված են IDBTransaction օբյեկտի հետ՝ առանց սպասելու իրադարձությունների մշակողներին բոլոր առնչվող հարցումների ավարտին: Commit()-ի օգտագործումը թույլ է տալիս մեծացնել գրելու և կարդալու հարցումների թողունակությունը դեպի պահեստ և հստակ վերահսկել գործարքի ավարտը.
• Ընտրանքներ են ավելացվել Intl.DateTimeFormat ֆունկցիաներին, ինչպիսիք են formatToParts() և solveOptions() dateStyle և timeStyle, որը թույլ է տալիս պահանջել տեղանքին հատուկ ամսաթվի և ժամի ցուցադրման ոճեր;
• BigInt.prototype.toLocaleString() մեթոդը փոփոխվել է՝ թվերի ձևաչափման համար՝ հիմնված տեղանքի վրա, իսկ Intl.NumberFormat.prototype.format() մեթոդը և formatToParts() ֆունկցիան փոփոխվել են՝ աջակցելու BigInt մուտքագրման արժեքներին;
• API-ն թույլատրված է Մեդիա կարողություններ բոլոր տեսակի Web Workers-ում, որոնք կարող են օգտագործվել աշխատողից MediaStream ստեղծելիս օպտիմալ պարամետրեր ընտրելու համար.
• Ավելացված մեթոդ Promise.allSettled(), որը վերադարձնում է միայն կատարված կամ մերժված խոստումները, չներառյալ սպասվող խոստումները.
• Հեռացվել է «--disable-infobars» տարբերակը, որը նախկինում կարող էր օգտագործվել Chrome-ի միջերեսում թռուցիկ նախազգուշացումները թաքցնելու համար (CommandLineFlagSecurityWarningsEnabled կանոնն առաջարկվել է թաքցնել անվտանգության հետ կապված նախազգուշացումները);
• Բլոբների հետ աշխատելու ինտերֆեյսին ավելացրել է մեթոդները text(), arrayBuffer() և stream() տվյալների հատուկ տեսակներ կարդալու համար;
• Ավելացվեց CSS հատկությունը «white-space:break-spaces»՝ նշելու, որ բացատների ցանկացած հաջորդականություն, որը հանգեցնում է տողերի արտահոսքի, պետք է կոտրվի;
• Աշխատանքներ են սկսվել chrome://flags-ում դրոշների մաքրման ուղղությամբ, օրինակ. ջնջված է դրոշակ՝ անջատելու «ping» հատկանիշը, որը թույլ է տալիս կայքի սեփականատերերին հետևել իրենց էջերի հղումների վրա կատարվող սեղմումները: Եթե ​​հետևում եք հղմանը և բրաուզերի «a href» թեգում կա «ping=URL» հատկանիշ, այժմ կարող եք անջատել լրացուցիչ POST հարցում ուղարկելը հատկանիշում նշված URL-ին՝ անցման մասին տեղեկություններով: Պինգի արգելափակման իմաստը կորել է այս հատկանիշից սահմանված HTML5-ի բնութագրերում, և կան բազմաթիվ լուծումներ նույն գործողությունն իրականացնելու համար (օրինակ՝ անցնելով տարանցիկ հղումով կամ սեղմել JavaScript մշակիչներով);
• Հեռացվել է անջատման դրոշակը կայքի մեկուսացման խիստ ռեժիմ, որոնցում տարբեր հոսթինգների էջերը միշտ գտնվում են տարբեր գործընթացների հիշողության մեջ, որոնցից յուրաքանչյուրն օգտագործում է իր ավազարկղը։
• V8 շարժիչը զգալիորեն մեծացրել է JSON ձևաչափի սկանավորման և վերլուծության կատարումը: Հանրաճանաչ վեբ էջերի համար JSON.parse կատարման արագությունը հասնում է 2.7 անգամ: Unicode տողերի փոխակերպումը զգալիորեն արագացել է, օրինակ՝ String#localeCompare, String#normalize, ինչպես նաև որոշ Intl API-ների զանգերի արագությունը գրեթե կրկնապատկվել է։ Սառեցված զանգվածներով գործողությունների կատարումը նույնպես զգալիորեն օպտիմիզացվել է, երբ օգտագործվում են այնպիսի գործողություններ, ինչպիսիք են frozen.indexOf(v), frozen.includes(v), fn(...frozen), fn(...[...frozen]) և fn.apply(this, [... սառեցված]):
  

Բացի նորամուծություններից և սխալների շտկումից, նոր տարբերակը վերացնում է 43 խոցելիություն. Խոցելիություններից շատերը հայտնաբերվել են գործիքներով ավտոմատացված փորձարկման արդյունքում Հասցե Սանիտար, Հիշողության ախտահանիչ, Վերահսկել հոսքի ամբողջականությունը, LibFuzzer и AFL. Չի հայտնաբերվել ոչ մի կարևոր խնդիր, որը թույլ կտա շրջանցել բրաուզերի պաշտպանության բոլոր մակարդակները և համակարգում կոդ գործարկել sandbox միջավայրից դուրս: Որպես ընթացիկ թողարկման համար խոցելիություններ հայտնաբերելու համար դրամական պարգևներ վճարելու ծրագրի մաս՝ Google-ը վճարել է 16 պարգև՝ 23500 ԱՄՆ դոլարի չափով (մեկ մրցանակ՝ 10000 ԱՄՆ դոլար, մեկ պարգև՝ 6000 ԱՄՆ դոլար, երկու պարգև՝ 3000 ԱՄՆ դոլար և երեք պարգև՝ 500 ԱՄՆ դոլար)։ 9 պարգևի չափը դեռ որոշված ​​չէ։

Source: opennet.ru