Chrome 80 թողարկում

Google- ը ներկայացրել վեբ բրաուզերի թողարկում Chrome 80. Միաժամանակ հասանելի է անվճար նախագծի կայուն թողարկում Chromium, որը ծառայում է որպես Chrome-ի հիմք։ Chrome բրաուզեր տարբեր Google-ի լոգոների օգտագործում, վթարի դեպքում ծանուցումներ ուղարկելու համակարգի առկայություն, պահանջով Flash մոդուլ ներբեռնելու հնարավորություն, պաշտպանված վիդեո բովանդակություն (DRM) նվագարկելու մոդուլներ, որոնման ընթացքում թարմացումների և փոխանցման ավտոմատ տեղադրման համակարգ։ RLZ պարամետրեր. Chrome 81-ի հաջորդ թողարկումը նախատեսված է մարտի 17-ին:

Հիմնական փոփոխություններ в Chrome 80:

• Օգտատերերի փոքր տոկոսի համար առաջարկվում է ներդիրների խմբավորման գործառույթ, որը թույլ է տալիս միավորել նմանատիպ նպատակներով մի քանի ներդիր տեսողականորեն առանձնացված խմբերի մեջ: Յուրաքանչյուր խմբի կարող է նշանակվել իր գույնը և անունը: Այն օգտատերերը, ովքեր ներառված չեն եղել ակտիվացման առաջին ալիքում, կարող են ակտիվացնել խմբավորման աջակցությունը «chrome://flags/#tab-groups» տարբերակի միջոցով։
  

• Ավելացվեց այս հատկանիշի աջակցությունը Ոլորել-Տեքստ, որը թույլ է տալիս հղումներ ստեղծել առանձին բառերի կամ արտահայտությունների՝ առանց փաստաթղթում հստակորեն նշելու պիտակներ՝ օգտագործելով «a name» թեգը կամ «id» հատկությունը: Նման հղումների շարահյուսությունը նախատեսվում է հաստատել որպես վեբ ստանդարտ, որը դեռ փուլում է նախագիծը. Անցումային դիմակը (ըստ էության ոլորման որոնում) բաժանվում է սովորական խարիսխից «:~:» հատկանիշով: Օրինակ, երբ բացում եք «https://opennet.ru/52312/#:~:text=Chrome» հղումը, էջը կտեղափոխվի «Chrome» բառի առաջին հիշատակումով դիրքը և այս բառը կնշվի: .
• Կիրառվել է Կայքերի միջև Cookie-ների փոխանցման ավելի խիստ սահմանափակում՝ ոչ HTTPS հարցումների համար, որն արգելում է մշակել երրորդ կողմի քուքիները, որոնք սահմանված են ընթացիկ էջի տիրույթից բացի այլ կայքեր մուտք գործելիս: Նման թխուկներն օգտագործվում են գովազդային ցանցերի կոդի, սոցիալական ցանցերի վիդջեթների և վեբ վերլուծական համակարգերի կայքերի միջև օգտատերերի շարժումներին հետևելու համար: Հիշեցնենք, որ թխուկների փոխանցումը վերահսկելու համար օգտագործվում է Set-Cookie վերնագրում նշված SameSite հատկանիշը, որը լռելյայն այժմ դրված է «SameSite=Lax» արժեքի վրա, որը սահմանափակում է «Cookie» ֆայլերի ուղարկումը միջկայքային ենթակետերի համար: , օրինակ՝ պատկերի հարցում կամ այլ կայքից iframe-ի միջոցով բովանդակություն բեռնելը: Կայքերը կարող են չեղարկել SameSite-ի լռելյայն վարքագիծը՝ բացահայտորեն դնելով «Cookie»-ի կարգավորումը SameSite=Ոչ: Այնուամենայնիվ, SameSite=None-ը Cookie-ի համար կարող է սահմանվել միայն Անվտանգ ռեժիմում (վավեր է HTTPS-ի միջոցով միացումների համար): Փոփոխությունը կսկսվի փուլերով դիմել փետրվարի 17-ը՝ սկզբում օգտատերերի փոքր տոկոսի համար, իսկ հետո աստիճանաբար ընդլայնելով ծածկույթը։
• Ավելացված է պաշտպանություն հավատարմագրերի հաստատման հետ կապված տհաճ ծանուցումներից: Քանի որ գործողությունը, ինչպիսին է սպամի հրում ծանուցման հարցումները, ընդհատում է օգտատիրոջ փորձը և շեղում ուշադրությունը հաստատման երկխոսությունից, Chrome 80-ում, առանձին երկխոսության փոխարեն, այժմ հասցեագոտում կարող է ցուցադրվել տեղեկատվական գործիքի հուշում, որը նախազգուշացնում է, որ թույլտվության հարցումն արգելափակված է, որն այնուհետև այն փլուզվում է ցուցիչի՝ խաչած զանգի պատկերով: Ցուցանիշի վրա սեղմելով՝ ցանկացած հարմար պահի կարող եք ակտիվացնել կամ մերժել պահանջվող թույլտվությունը: Ավտոմատ կերպով նոր ռեժիմը ընտրովի միացված կլինի այն օգտատերերի համար, ովքեր նախկինում սովորաբար արգելափակել են նման հարցումները, ինչպես նաև այն կայքերի համար, որոնք գրանցում են մերժված հարցումների մեծ տոկոս: Բոլոր հարցումների համար նոր ռեժիմը միացնելու համար կարգավորումներին ավելացվել է հատուկ տարբերակ (chrome://flags/#quiet-notification-prompts):
  

• Արգելվում է բացվող պատուհանների ցուցադրում (կանչում է window.open() մեթոդը) և ուղարկում համաժամանակյա XMLHttpRequests էջի փակման կամ թաքցման իրադարձությունների մշակիչներում (բեռնաթափում, բեռնաթափումից առաջ, էջի թաքցնում և տեսանելիության փոփոխություն);
• Առաջարկվող սկզբնական պաշտպանություն խառը մուլտիմեդիա բովանդակություն բեռնելուց (երբ ռեսուրսները բեռնվում են HTTPS էջում http:// արձանագրության միջոցով): HTTPS-ի միջոցով բացված էջերում «http://» հղումներն այժմ ավտոմատ կերպով կփոխարինվեն «https://»-ով այն բլոկներում, որոնք կապված են աուդիո և վիդեո ֆայլերի նվագարկման հետ: Եթե ​​աուդիո կամ վիդեո ռեսուրսը հասանելի չէ https-ի միջոցով, ապա դրա ներբեռնումն արգելափակված է (դուք կարող եք ձեռքով նշել արգելափակումը մենյուի միջոցով, որը հասանելի է կողպեքի նշանի միջոցով հասցեագոտում):

  Պատկերները կշարունակեն բեռնվել անփոփոխ (ավտոուղղումը կկիրառվի Chrome 81-ում), սակայն դրանք https-ով կամ պատկերներով արգելափակելու համար կայքի մշակողներին տրամադրվում են CSP հատկությունների թարմացում-անապահով-հարցումներ և արգելափակում-բոլոր-խառը բովանդակություն: Սկրիպտների և iframe-ների համար խառը բովանդակության արգելափակումն արդեն իրականացվել է նախկինում:

• Աստիճանաբար անջատում FTP աջակցություն. Լռելյայնորեն, FTP-ի աջակցությունը դեռ հասանելի է, բայց կլինի իրականացվել է փորձ, որի ժամանակ FTP-ի աջակցությունը կանջատվի օգտատերերի որոշակի տոկոսի համար (վերադառնալու համար հարկավոր է գործարկել զննարկիչը «-enable-ftp» տարբերակով): Հիշեցնենք, որ նախորդ թողարկումներում բրաուզերի պատուհանում «ftp://» արձանագրության միջոցով ներբեռնված ռեսուրսների բովանդակության ցուցադրումն արդեն անջատված էր (օրինակ, HTML փաստաթղթերի և README ֆայլերի ցուցադրումը դադարեցվել էր), FTP-ի օգտագործումը արգելվում է փաստաթղթերից ենթառեսուրսներ ներբեռնելիս, իսկ վստահված անձի աջակցությունը դադարեցվել է FTP-ի համար: Այնուամենայնիվ, դեռևս հնարավոր էր ֆայլեր ներբեռնել ուղղակի հղումներով և ցուցադրել գրացուցակների բովանդակությունը:
• Ավելացված է
  վեկտոր SVG պատկերները որպես կայքի պատկերակ (favicon) օգտագործելու ունակություն:

• Կարգավորումներին ավելացվել է բրաուզերների միջև համաժամացման ընթացքում փոխանցվող տվյալների որոշակի տեսակների ընտրովի անջատման հնարավորությունը:
• Կենտրոնական կառավարվող կորպորատիվ օգտատերերի համար ավելացվել է կանոն BlockExternalExtensions, որը թույլ է տալիս կանխել սարքի վրա արտաքին հավելումների տեղադրումը։
• Իրականացվել է առիթ JavaScript-ում հատկությունների կամ զանգերի ամբողջ շղթայի միանգամյա ստուգում: Օրինակ՝ «db.user.name.length» մուտք գործելիս նախկինում անհրաժեշտ էր քայլ առ քայլ ստուգել բոլոր բաղադրիչների սահմանումը, օրինակ՝ «if (db && db.user && db.user.name)» միջոցով։ Այժմ օգտագործելով «?» գործողությունը: Դուք կարող եք մուտք գործել «db?.user?.name?.length» արժեքը առանց նախնական ստուգումների, և նման մուտքը սխալի չի հանգեցնի: Խնդիրների դեպքում (եթե որոշ տարր մշակվում է որպես զրոյական կամ չսահմանված)) ելքը կլինի «չսահմանված»։
• JavaScript-ը ներկայացնում է նոր տրամաբանական կապակցման օպերատոր »??«, որը վերադարձնում է աջ օպերանդը, եթե ձախ օպերանդը NULL է կամ չսահմանված, և հակառակը։ Օրինակ, «const foo = բար ?? 'կանխադրված տող'», եթե բարը զրոյական է, հակառակ դեպքում կվերադարձնի գծի արժեքը, ներառյալ, երբ բարը 0 է և ' ', ի տարբերություն «||» օպերատորի:
• Origin Trials ռեժիմում (փորձարարական հատկանիշներ, որոնք պահանջում են առանձին ակտիվացում) առաջարկվող բովանդակության ինդեքսավորման API: Origin Trial-ը ենթադրում է նշված API-ի հետ աշխատելու հնարավորություն՝ localhost-ից կամ 127.0.0.1-ից ներբեռնված հավելվածներից, կամ գրանցվելուց և հատուկ նշան ստանալուց հետո, որը վավեր է որոշակի կայքի համար սահմանափակ ժամանակով: API Բովանդակության ինդեքսավորում, տրամադրում է մետատվյալներ այն բովանդակության մասին, որը նախկինում պահվել է Պրոգրեսիվ վեբ հավելվածների (PWS) ռեժիմով աշխատող վեբ հավելվածների կողմից: Հավելվածը կարող է պահպանել տարբեր տվյալներ դիտարկիչի կողմից, ներառյալ պատկերներ, տեսանյութեր և հոդվածներ, և երբ ցանցային կապը կորչում է, օգտագործեք այն՝ օգտագործելով Cache Storage և IndexedDB API-ները: Content Indexing API-ն հնարավորություն է տալիս ավելացնել, գտնել և ջնջել այդպիսի ռեսուրսներ: Բրաուզերում այս API-ն արդեն օգտագործվում է էջերի և մուլտիմեդիա տվյալների ցանկը, որոնք հասանելի են անցանց դիտման համար:
  

• Կայունացված և այժմ բաշխված է Origin Trials API-ից դուրս Կապվեք ընտրիչի հետ, որը թույլ է տալիս օգտվողին ընտրել մուտքերը հասցեագրքից և դրանց մասին որոշակի մանրամասներ փոխանցել կայք: Հարցումը սահմանում է այն հատկությունների ցանկը, որոնք պետք է առբերվեն: Այս հատկությունները բացահայտորեն ցուցադրվում են օգտագործողին, ով որոշում է՝ փոխանցել այդ հատկությունները, թե ոչ: API-ն կարող է օգտագործվել, օրինակ, վեբ փոստի հաճախորդում՝ ուղարկված նամակի հասցեատերեր ընտրելու համար, VoIP գործառույթով վեբ հավելվածում՝ կոնկրետ համարին զանգ սկսելու համար, կամ սոցիալական ցանցում՝ արդեն գրանցված ընկերների որոնելու համար։ . Միևնույն ժամանակ, որպես Origin Trials-ի մաս, առաջարկվում են Contact Picker-ի որոշ նոր հատկություններ. ի լրումն նախկինում հասանելի լրիվ անունի, էլ. փոստի և հեռախոսահամարի, ավելացվել է էլփոստի հասցե և պատկեր փոխանցելու հնարավորություն:
• Web Workers-ում առաջարկել է ECMAScript մոդուլները բեռնելու նոր միջոց, որը թույլ է տալիս խուսափել importScripts() ֆունկցիայի օգտագործումից, որն արգելափակում է աշխատողին ներմուծված սկրիպտը մշակելիս և այն կատարում է գլոբալ համատեքստում: Նոր մեթոդը ներառում է վեբ աշխատողների համար հատուկ մոդուլների ստեղծում, որոնք աջակցում են JavaScript ներմուծման ստանդարտ մեխանիզմներին և կարող են դինամիկ կերպով բեռնվել՝ առանց աշխատողի կատարումն արգելափակելու: Մոդուլները բեռնելու համար Worker կոնստրուկտորը տրամադրում է ռեսուրսի նոր տեսակ՝ «module»:

  const worker = new Worker('worker.js', {
  տեսակը՝ «մոդուլ»
  });

• Իրականացվել է JavaScript-ի ներկառուցված հնարավորությունը՝ մշակելու սեղմված հոսքերը՝ առանց արտաքին գրադարանների օգտագործման պահանջի: API-ները ավելացվել են սեղմման և ապակոմպրեսիայի համար CompressionStream և DecompressionStream. Աջակցվում է սեղմումը՝ օգտագործելով gzip և deflate ալգորիթմները:

  const compressionReadableStream
  = inputReadableStream.pipeThrough(new CompressionStream('gzip'));

• Ավելացվեց CSS հատկություն «գծի ընդմիջում. ցանկացած վայրում«, որը թույլ է տալիս ընդմիջումներ կատարել ցանկացած տպագրական նիշի մակարդակով, ներառյալ ընդմիջումները նախապես բացատներով սահմանված կետադրական նիշերի մոտ ( ) և բառերի մեջտեղում. Նաև ավելացվել է CSS հատկություն «հորդառատ-փաթաթել՝ ցանկացած վայրում» թույլ է տալիս կոտրել նիշերի անխախտ հաջորդականությունը ցանկացած վայրում, եթե տողում չի գտնվել ընդմիջման համար հարմար դիրք:
• Կոդավորված ձևով մշակված մեդիա համատեքստի համար մեթոդի աջակցությունն իրականացվել է MediaCapabilities.decodingInfo(), որը տեղեկատվություն է տրամադրում պաշտպանված բովանդակության վերծանման բրաուզերի հնարավորությունների մասին (օրինակ՝ այս մեթոդը կարող է օգտագործվել բարձրորակ կամ էներգաարդյունավետ ապակոդավորման սցենարներ ընտրելու համար՝ հիմնված հասանելի թողունակության և էկրանի չափի վրա):
• Ավելացված մեթոդ HTMLVideoElement.getVideoPlaybackQuality(), որի միջոցով կարող եք տեղեկություններ ստանալ տեսանյութերի նվագարկման կատարման մասին՝ բիտրեյտը, լուծաչափը և տեսանյութի այլ պարամետրերը կարգավորելու համար:
• API-ում Վճարումների կառավարիչ, որը հեշտացնում է ինտեգրումը գոյություն ունեցող վճարային համակարգերին, ավելացրել է հնարավորությունը պատվիրակություն հասցեի և կոնտակտային տեղեկատվության մշակում վճարային համակարգի արտաքին պրոցեսորին (վճարային համակարգի հավելվածը կարող է ավելի ճշգրիտ տեղեկատվություն ունենալ, քան զննարկիչը):
• Ավելացվեց HTTP վերնագրի աջակցություն Sec-Fetch-Dest, որը թույլ է տալիս ուղարկել լրացուցիչ մետատվյալներ խնդրանքի հետ կապված բովանդակության տեսակի վերաբերյալ (օրինակ՝ img պիտակի միջոցով հարցումի համար տեսակը «պատկեր» է, տառատեսակների համար՝ «տառատեսակ», սկրիպտների համար՝ «սկրիպտ», ոճերի համար՝ «ոճ» և այլն): Ելնելով նշված տիպից՝ սերվերը կարող է միջոցներ ձեռնարկել որոշակի տեսակի հարձակումներից պաշտպանվելու համար (օրինակ՝ քիչ հավանական է, որ դրամական փոխանցման կառավարչի հղումը նշվի img պիտակի միջոցով, ուստի նման հարցումները կարիք չունեն. մշակվել):
• JavaScript V8 շարժիչում իրականացվել է օպտիմալացում ցուցիչների պահպանում կույտի վրա: Ամբողջական 64-բիթանոց արժեքը պահելու փոխարեն պահվում են միայն ցուցիչի եզակի ստորին բիթերը: Այս օպտիմիզացիան հնարավորություն տվեց նվազեցնել կույտային հիշողության սպառումը 40%-ով` 3-8% կատարողականի տուգանքի գնով:
  
  

• Փոփոխություններ վեբ մշակողների համար նախատեսված գործիքներում՝
  • Վեբ վահանակն այժմ հնարավորություն ունի վերասահմանել let և class արտահայտությունները:
    

  • Բարելավված WebAssembly վրիպազերծման գործիքներ: Ավելացված աջակցություն ԹԶՈՒԿ քայլ առ քայլ վրիպազերծման, ընդմիջման կետերի հստակեցման և ելակետային կոդում կուտակային հետքերը վերլուծելու համար, որոնցում գրված է WebAssembly հավելվածը:
    

  • Բարելավված վահանակ ցանցի գործունեության վերլուծության համար: Ավելացվեց հարցումների մեկնարկի հետ կապված սկրիպտների զանգերի շղթան դիտելու հնարավորություն:
    

    Ավելացվեց նոր Ուղ և URL սյունակներ, որոնք ցույց են տալիս ցանցի յուրաքանչյուր ռեսուրսի բացարձակ ուղին և ամբողջական URL-ը: Ապահովում է, որ ընտրված հարցումը ընդգծված է ընդհանուր գծապատկերում:

    

  • Ցանցի պայմանների ներդիրում ավելացվել է «Օգտատեր-գործակալ» պարամետրը փոխելու տարբերակ:
    

  • Նոր ինտերֆեյս է առաջարկվել աուդիտի վահանակի կազմաձևման համար:
    

  • Ներդիրում Ծածկույթ ապահովել է ծածկույթի տվյալների հավաքագրման ընտրությունը յուրաքանչյուր ֆունկցիայի կամ կոդերի յուրաքանչյուր բլոկի համար (ավելի մանրամասն վիճակագրություն, սակայն պահանջում է ավելի շատ ռեսուրսներ):
    

• AppCache մանիֆեստի գործողություն (վեբ հավելվածի աշխատանքը անցանց ռեժիմում կազմակերպելու տեխնոլոգիա) սահմանափակ կայքի ընթացիկ գրացուցակը (եթե մանիֆեստը ներբեռնվել է www.example.com/foo/bar/-ից, ապա URL-ը վերացնելու հնարավորությունը կաշխատի միայն /foo/bar/-ի ներսում): AppCache-ի աջակցությունը նախատեսվում է ամբողջությամբ հեռացնել Chrome 82-ում։ Նշված պատճառը միջկայքի սկրիպտավորման գրոհների վեկտորներից մեկից ազատվելու ցանկությունն է։ Խորհուրդ է տրվում AppCache-ի փոխարեն օգտագործել API Գաղտնարան.
• Դադարեցվել է աջակցություն ժառանգական WebVR 1.1 API-ին, որը կարող է փոխարինվել API-ով WebXR սարք, որը թույլ է տալիս մուտք գործել վիրտուալ և հավելյալ իրականություն ստեղծելու բաղադրիչներ և միավորել աշխատանքը տարբեր դասերի սարքերի հետ՝ վիրտուալ իրականության ստացիոնար սաղավարտներից մինչև շարժական սարքերի վրա հիմնված լուծումներ:
• Արձանագրությունների մշակիչները, որոնք կապված են registerProtocolHandler() և unregisterProtocolHandler() մեթոդների միջոցով, այժմ կարող են աշխատել միայն ապահով համատեքստում (երբ հասանելի է HTTPS-ի միջոցով):

Բացի նորամուծություններից և սխալների շտկումից, նոր տարբերակը վերացնում է 56 խոցելիություն. Խոցելիություններից շատերը հայտնաբերվել են գործիքներով ավտոմատացված փորձարկման արդյունքում Հասցե Սանիտար, Հիշողության ախտահանիչ, Վերահսկել հոսքի ամբողջականությունը, LibFuzzer и AFL. Չի հայտնաբերվել ոչ մի կարևոր խնդիր, որը թույլ կտա շրջանցել բրաուզերի պաշտպանության բոլոր մակարդակները և համակարգում կոդ գործարկել Sandbox միջավայրից դուրս: Ընթացիկ թողարկման համար խոցելիություններ հայտնաբերելու համար դրամական պարգևներ վճարելու ծրագրի շրջանակներում Google-ը վճարել է 37 հազար դոլար արժողությամբ 48 պարգև (մեկ $10000, երեք $5000, երեք $3000, չորս $2000, երեք $1000 և $500 մրցանակ)։ 17 պարգևի չափը դեռ որոշված ​​չէ։

Source: opennet.ru