Chrome 84 թողարկում

Google- ը ներկայացրել վեբ բրաուզերի թողարկում Chrome 84. Միաժամանակ հասանելի է անվճար նախագծի կայուն թողարկում Chromium, որը ծառայում է որպես Chrome-ի հիմք։ Chrome բրաուզեր տարբեր Google-ի լոգոների օգտագործում, վթարի դեպքում ծանուցումներ ուղարկելու համակարգի առկայություն, պահանջով Flash մոդուլ ներբեռնելու հնարավորություն, պաշտպանված վիդեո բովանդակություն (DRM) նվագարկելու մոդուլներ, որոնման ընթացքում թարմացումների և փոխանցման ավտոմատ տեղադրման համակարգ։ RLZ պարամետրեր. Chrome 85-ի հաջորդ թողարկումը նախատեսված է օգոստոսի 25-ին:

Հիմնական փոփոխություններ в Chrome 84:

• Անաշխատունակ աջակցություն TLS 1.0 և TLS 1.1 արձանագրություններին: Անվտանգ կապի ալիքով կայքեր մուտք գործելու համար սերվերը պետք է ապահովի առնվազն TLS 1.2-ի աջակցություն, հակառակ դեպքում զննարկիչն այժմ կցուցադրի սխալ: Google-ի տվյալներով՝ ներկայումս վեբ էջերի ներբեռնումների մոտ 0.5%-ը շարունակում է իրականացվել TLS-ի հնացած տարբերակների միջոցով։ Անջատումն իրականացվել է համաձայն առաջարկություններ IETF (Internet Engineering Task Force): TLS 1.0/1.1-ի մերժման պատճառը ժամանակակից ծածկագրերի աջակցության բացակայությունն է (օրինակ՝ ECDHE և AEAD) և հին ծածկագրերին աջակցելու պահանջը, որոնց հուսալիությունը կասկածի տակ է դրվում հաշվողական տեխնոլոգիաների զարգացման ներկա փուլում (օրինակ. , անհրաժեշտ է աջակցություն TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA-ին, MD5 և SHA-1): Կարգավորումը, որը թույլ է տալիս վերադառնալ TLS 1.0/1.1, կպահպանվի մինչև 2021 թվականի հունվար:
• Ապահովված է արգելափակում անապահով կոշիկ (առանց գաղտնագրման) գործարկվող ֆայլերի և ավելացված զգուշացումներ արխիվները անապահով բեռնելիս: Ապագայում նախատեսվում է աստիճանաբար դադարեցնել ֆայլերի ներբեռնումը առանց գաղտնագրման: Արգելափակումն իրականացվում է, քանի որ առանց կոդավորման ֆայլերի ներբեռնումը կարող է օգտագործվել վնասակար գործողություններ կատարելու համար՝ փոխարինելով բովանդակությունը MITM հարձակումների ժամանակ:
• Ավելացված է նախնական աջակցություն նույնացուցիչ Հաճախորդի ակնարկներ, որը մշակվել է որպես օգտվող-գործակալ վերնագրի այլընտրանք։ Հաճախորդի ակնարկների մեխանիզմը առաջարկում է «Sec-CH-UA-*» վերնագրերի շարք՝ որպես օգտվող-գործակալի փոխարինում, որը թույլ է տալիս կազմակերպել տվյալների ընտրովի առաքում միայն բրաուզերի և համակարգի պարամետրերի (տարբերակ, հարթակ և այլն) վերաբերյալ: սերվերի խնդրանքից հետո: Օգտագործողը հնարավորություն է ստանում որոշել, թե որ պարամետրերն են ընդունելի առաքման համար և ընտրողաբար նման տեղեկատվություն տրամադրել կայքի սեփականատերերին: Հաճախորդի ակնարկներ օգտագործելիս նույնացուցիչը լռելյայն չի փոխանցվում առանց բացահայտ հարցման, ինչը անհնար է դարձնում պասիվ նույնականացումը (լռելյայն նշվում է միայն դիտարկիչի անունը): Աշխատել մասին Օգտագործող-գործակալ միավորում հետաձգվել է մինչև հաջորդ տարի։
• Շարունակություն ակտիվացում
  ավելի խիստ սահմանափակումներ Cookie-ների փոխանցում կայքերի միջև, ինչը եղել է չեղյալ է հայտարարվել COVID-19-ի պատճառով։ Ոչ HTTPS հարցումների դեպքում արգելվում է մշակել երրորդ կողմի քուքիները, որոնք սահմանված են ընթացիկ էջի տիրույթից բացի այլ կայքեր մուտք գործելիս: Նման թխուկներն օգտագործվում են գովազդային ցանցերի կոդի, սոցիալական ցանցերի վիդջեթների և վեբ վերլուծական համակարգերի կայքերի միջև օգտատերերի շարժումներին հետևելու համար:

  Հիշեցնենք, որ Cookie-ների փոխանցումը վերահսկելու համար օգտագործվում է Set-Cookie վերնագրում նշված SameSite հատկանիշը, որը լռելյայն կսահմանվի «SameSite=Lax» արժեքը, որը սահմանափակում է «Cookie» ֆայլերի ուղարկումը միջկայքային ենթակետերի համար: , օրինակ՝ պատկերի հարցում կամ այլ կայքից iframe-ի միջոցով բովանդակություն բեռնելը: Կայքերը կարող են անտեսել լռելյայն SameSite-ի վարքագիծը՝ բացահայտորեն դնելով «Cookie»-ի կարգավորումը SameSite=Ոչ: Ավելին, «Cookie»-ի համար SameSite=None արժեքը կարող է սահմանվել միայն «Secure» ռեժիմում (վավեր է HTTPS-ի միջոցով միացումների համար): Փոփոխությունը կներկայացվի փուլերով՝ սկսած օգտատերերի փոքր տոկոսից, այնուհետև աստիճանաբար ընդլայնելով իր հասանելիությունը:

• Ավելացվեց փորձարարական իրականացում ռեսուրսների ինտենսիվ գովազդի արգելափակում, որը կարելի է միացնել՝ օգտագործելով «chrome://flags/#enable-heavy-ad-intervention» պարամետրը: Արգելափակիչը թույլ է տալիս ավտոմատ կերպով անջատել iframe-ի գովազդային բլոկները երթևեկության և պրոցեսորի բեռնվածության շեմերը գերազանցելուց հետո: Արգելափակումը կգործարկվի, եթե հիմնական շարանը սպառել է ավելի քան 60 վայրկյան պրոցեսորի ժամանակն ընդհանուր առմամբ կամ 15 վայրկյան 30 վայրկյան ընդմիջումով (ռեսուրսների 50%-ը սպառում է ավելի քան 30 վայրկյան), ինչպես նաև երբ 4 ՄԲ-ից ավելի է: տվյալները ներբեռնվել են ցանցով:

  Արգելափակումը կաշխատի միայն այն դեպքում, եթե մինչև սահմանների գերազանցումը օգտատերը չի շփվել գովազդային միավորի հետ (օրինակ՝ չի սեղմել դրա վրա), ինչը, հաշվի առնելով երթևեկության սահմանափակումները, թույլ կտա ավտոմատ վերարտադրել մեծ գովազդի տեսանյութերը պետք է արգելափակվեն առանց օգտագործողի կողմից բացահայտորեն ակտիվացնելու նվագարկումը: Առաջարկվող միջոցները կփրկեն օգտվողներին գովազդից անարդյունավետ կոդի ներդրմամբ կամ կանխամտածված մակաբուծական գործունեությունից (օրինակ՝ մայնինգ): Ըստ Google-ի վիճակագրության՝ արգելափակման չափանիշներին համապատասխանող գովազդը կազմում է բոլոր գովազդային միավորների միայն 0.30%-ը, սակայն, միևնույն ժամանակ, նման գովազդային ներդիրները սպառում են պրոցեսորի ռեսուրսների 28%-ը և գովազդի ընդհանուր ծավալի տրաֆիկի 27%-ը։

• Աշխատանքներ են տարվել պրոցեսորի ռեսուրսների սպառումը նվազեցնելու ուղղությամբ, երբ բրաուզերի պատուհանը օգտատիրոջ տեսադաշտում չէ: Chrome-ն այժմ ստուգում է, թե արդյոք դիտարկիչի պատուհանը համընկնում է այլ պատուհանների հետ և թույլ չի տալիս պիքսելներ նկարել համընկնման վայրերում: Նոր գործառույթը կգործարկվի աստիճանաբար. որոշ օգտատերերի համար օպտիմիզացումը ընտրովի կերպով միացված կլինի Chrome 84-ում, իսկ մյուսների համար՝ Chrome 85-ում:
• Պաշտպանությունը լռելյայն միացված է նյարդայնացնող ծանուցումներ, օրինակ, սպամ՝ push ծանուցումներ ստանալու հարցումներով: Քանի որ նման հարցումներն ընդհատում են օգտատիրոջ աշխատանքը և շեղում ուշադրությունը հաստատման երկխոսության գործողություններից, հասցեագոտում առանձին երկխոսության փոխարեն, կցուցադրվի տեղեկատվական հուշում, որը օգտատիրոջից գործողություն չի պահանջում՝ զգուշացնելով, որ թույլտվությունների հարցումն արգելափակված է։ , որն ավտոմատ կերպով նվազագույնի է հասցվում ցուցիչի՝ խաչած զանգի պատկերով: Ցուցանիշի վրա սեղմելով՝ կարող եք ցանկացած հարմար պահի ակտիվացնել կամ մերժել պահանջվող թույլտվությունը:
  

• Օգտատիրոջ ընտրությունը հիշվում է արտաքին արձանագրությունների համար մշակիչներ բացելիս. օգտատերը կարող է ընտրել «միշտ թույլատրել այս կայքը» կոնկրետ մշակողի համար, և զննարկիչը կհիշի այս որոշումը ընթացիկ կայքի հետ կապված:
• Ավելացվեց պաշտպանություն առանց բացահայտ համաձայնության օգտատիրոջ կարգավորումները փոխելու դեմ: Եթե ​​հավելումը փոխում է կանխադրված որոնման համակարգը կամ էջը, որը ցուցադրվում է նոր ներդիրի համար, զննարկիչն այժմ կցուցադրի երկխոսություն՝ խնդրելով հաստատել նշված գործողությունը կամ չեղարկել փոփոխությունը:
• Շարունակություն խառը մուլտիմեդիա բովանդակության բեռնումից պաշտպանության իրականացում (երբ ռեսուրսները բեռնվում են HTTPS էջում http:// արձանագրության միջոցով): HTTPS-ի միջոցով բացված էջերում «http://» հղումներն այժմ ավտոմատ կերպով կփոխարինվեն «https://»-ով պատկերների բեռնման հետ կապված բլոկներում (սկրիպտներն ու iframe-ները նախկինում փոխարինվել են, աուդիո և վիդեո ռեսուրսների ավտոմատ փոխարինում է սպասվում: հաջորդ թողարկումը): Եթե ​​պատկերը հասանելի չէ https-ի միջոցով, ապա դրա ներբեռնումն արգելափակված է (դուք կարող եք ձեռքով նշել արգելափակումը մենյուի միջոցով, որը հասանելի է կողպեքի նշանի միջոցով հասցեի տողում):
• Ավելացված է API-ի աջակցություն Վեբ OTP (մշակված է որպես SMS ստացողի API), որը թույլ է տալիս կազմակերպել մեկանգամյա գաղտնաբառի մուտքագրումը վեբ էջում՝ SMS հաղորդագրություն ստանալուց հետո՝ հաստատման կոդով, որն ուղարկվել է օգտագործողի Android սմարթֆոնին, որի վրա աշխատում է զննարկիչը: SMS հաստատումը, օրինակ, կարող է օգտագործվել գրանցման ժամանակ օգտագործողի կողմից նշված հեռախոսահամարը ստուգելու համար: Եթե ​​նախկինում օգտատերը ստիպված էր բացել SMS հավելվածը, պատճենել կոդը դրանից clipboard, վերադառնալ զննարկիչ և տեղադրել այս կոդը, ապա նոր API-ն հնարավորություն է տալիս ավտոմատացնել այս գործընթացը և նվազեցնել այն մեկ հպումով:
• API-ն ընդլայնվել է Վեբ անիմացիաներ
  վերահսկել վեբ անիմացիայի նվագարկումը: Նոր թողարկումն ավելացնում է կոմպոզիցիոն գործողությունների աջակցություն՝ թույլ տալով վերահսկել, թե ինչպես են էֆեկտները համակցվում և տրամադրում է նոր մշակիչներ, որոնք կանչվում են, երբ տեղի են ունենում բովանդակության փոխարինման իրադարձություններ: Web Animations API-ն այժմ նաև աջակցում է Promise-ին` սահմանելու անիմացիաների ցուցադրման հերթականությունը և ավելի լավ վերահսկելու, թե ինչպես են անիմացիաները փոխազդում հավելվածի այլ գործառույթների հետ:

• Մի քանի նոր API-ներ ավելացվել են Origin Trials ռեժիմին (փորձարարական առանձնահատկություններ, որոնք պահանջում են առանձին ակտիվացում): Origin Trial-ը ենթադրում է նշված API-ի հետ աշխատելու հնարավորություն՝ localhost-ից կամ 127.0.0.1-ից ներբեռնված հավելվածներից, կամ գրանցվելուց և հատուկ նշան ստանալուց հետո, որը վավեր է որոշակի կայքի համար սահմանափակ ժամանակով:
  • API Cookie Store Ծառայության աշխատողին HTTP թխուկներ մուտք գործելու համար՝ ծառայելով որպես document.cookie-ի օգտագործման ասինխրոն այլընտրանք:
  • API Անգործության հայտնաբերում օգտատիրոջ անգործությունը հայտնաբերելու համար, որը թույլ է տալիս հայտնաբերել այն ժամանակը, երբ օգտատերը չի շփվում ստեղնաշարի/մկնիկի հետ, էկրանապահիչը աշխատում է, էկրանը կողպված է կամ աշխատանք է կատարվում մեկ այլ մոնիտորի վրա: Անգործության մասին հայտին տեղեկացնելն իրականացվում է ծանուցում ուղարկելով նշված անգործության շեմին հասնելուց հետո:
  • Ռեժիմը Ծագման մեկուսացում, թույլ է տալիս ծրագրավորողին օգտագործել բովանդակության մշակման ավելի ամբողջական մեկուսացում առանձին գործընթացում՝ կապված աղբյուրի հետ (ծագում - տիրույթ + նավահանգիստ + արձանագրություն), այլ ոչ թե կայքը՝ որոշ ժառանգական գործառույթների, օրինակ՝ համաժամանակյա աջակցությունը դադարեցնելու գնով։ սկրիպտների կատարում՝ օգտագործելով document.domain և կանչելով postMessage()՝ WebAssembly.Module-ի օրինակներին հաղորդագրություններ տեղադրելու համար: Այլ կերպ ասած, Origin Isolation-ը թույլ է տալիս կազմակերպել տարանջատում տարբեր պրոցեսների միջև՝ հիմնվելով ռեսուրսի տիրույթի վրա, և ոչ թե կայքը՝ էջերի բոլոր ավելորդ ընդգրկումներով:
  • API WebAssembly SIMD WebAssembly ձևաչափով հավելվածներում վեկտորային SIMD հրահանգներ օգտագործելու համար: Պլատֆորմի անկախությունն ապահովելու համար այն առաջարկում է 128-բիթանոց նոր տեսակ, որը կարող է ներկայացնել փաթեթավորված տվյալների տարբեր տեսակներ և մի քանի հիմնական վեկտորային գործողություններ՝ փաթեթավորված տվյալների մշակման համար: SIMD-ը թույլ է տալիս բարձրացնել արտադրողականությունը՝ զուգահեռացնելով տվյալների մշակումը և օգտակար կլինի տեղական ծածկագիրը WebAssembly-ում հավաքելիս: SIMD-ի աջակցությունը միացնելու համար կարող եք օգտագործել «chrome://flags/#enable-webassembly-simd» կարգավորումը:
• Կայունացված և այժմ բաշխված է Origin Trials-ից դուրս
  API Բովանդակության ինդեքսավորում, որը տրամադրում է մետատվյալներ այն բովանդակության մասին, որը նախկինում պահվել է Պրոգրեսիվ վեբ հավելվածների (PWS) ռեժիմով աշխատող վեբ հավելվածների կողմից: Հավելվածը կարող է պահպանել տարբեր տվյալներ դիտարկիչի կողմից, ներառյալ պատկերներ, տեսանյութեր և հոդվածներ, և երբ ցանցային կապը կորչում է, օգտագործեք այն՝ օգտագործելով Cache Storage և IndexedDB API-ները: Content Indexing API-ն հնարավորություն է տալիս ավելացնել, գտնել և ջնջել այդպիսի ռեսուրսներ: Բրաուզերում այս API-ն արդեն օգտագործվում է անցանց դիտման համար հասանելի էջերի և մուլտիմեդիա տվյալների ցանկը ցուցակագրելու համար:

• API-ի տարբերակը կայունացել է Wake lock հիմնված է Promise մեխանիզմի վրա, որն ապահովում է ավելի անվտանգ միջոց՝ վերահսկելու ավտոմատ կողպման էկրանների անջատումը և սարքերը էներգախնայողության ռեժիմների անցնելը:
• Android պլատֆորմի համար նախատեսված տարբերակում ավելացրել է հավելվածի դյուրանցումների աջակցություն, որը թույլ է տալիս արագ մուտք գործել հավելվածի հայտնի բնորոշ գործողություններին: Դյուրանցումներ ստեղծելու համար պարզապես տարրեր ավելացրեք վեբ հավելվածի մանիֆեստին PWA (Progressive Web Apps) ձևաչափով:
  

• Web Worker-ին թույլատրվում է օգտագործել API ReportingObserver, որը թույլ է տալիս սահմանել հաշվետվության ստեղծման կարգավորիչ, որը կոչվում է հնացած հնարավորություններ մուտք գործելու ժամանակ: Ստեղծված հաշվետվությունը կարող է պահպանվել, ուղարկվել սերվերին կամ մշակվել JavaScript սկրիպտի միջոցով՝ օգտվողի հայեցողությամբ:
• API-ն թարմացվել է Չափափոխել դիտորդը, որը թույլ է տալիս միացնել մշակիչ, որին կուղարկվեն էջի նշված տարրերի չափի փոփոխության մասին ծանուցումներ։ ResizeObserverEntry-ին ավելացվել են երեք նոր հատկություններ՝ contentBoxSize, borderBoxSize և devicePixelContentBoxSize՝ ավելի մանրամասն տեղեկատվություն տրամադրելու համար, որոնք վերադարձվել են ResizeObserverSize օբյեկտների զանգվածի տեսքով:
• Ավելացված հիմնաբառ "վերադառնալ» տարրի ոճը իր նախնական արժեքին վերականգնելու համար:
• Հեռացվել է «-webkit-appearance» և «-webkit-ruby-position» CSS հատկությունների նախածանցը, որոնք այժմ հասանելի են որպես «հայտնվելը"Եւ"ruby-դիրք»:
• JavaScript-ում իրականացվել է Աջակցություն դասի մեթոդներն ու հատկությունները որպես մասնավոր նշելու համար, որից հետո դրանց մուտքը բաց կլինի միայն դասի ներսում (նախկինում միայն դաշտերը կարող էին մասնավոր լինել): Մեթոդներն ու հատկությունները մասնավոր նշելու համար՝ նշել դաշտի անվան առաջ կա «#» նշանը:
• JavaScript-ում ավելացրել է աջակցություն թույլ օղակներ (թույլ հղում) JavaScript-ի օբյեկտներին, որոնք թույլ են տալիս պահպանել հղումը օբյեկտին, բայց չեն արգելափակում աղբահանողին ջնջել կապված օբյեկտը: Ավելացվել է նաև վերջնական սարքերի աջակցությունը, ինչը հնարավորություն է տալիս սահմանել մշակող, որը կանչվում է նշված օբյեկտի աղբահանության ավարտից հետո:
• WebAssembly-ում հավելվածների գործարկումն արագացվել է՝ նախնական (բազային) Liftoff կոմպիլյատորում ներդրման շնորհիվ։ ատոմային հրահանգներ и խմբաքանակի հիշողության գործողություններ. Բարելավվել են WebAssembly-ի վրիպազերծման գործիքները, վրիպազերծման կատարումը զգալիորեն բարելավվել է ընդմիջման կետերի օգտագործման ժամանակ (նախկինում վրիպազերծման համար օգտագործվում էր թարգմանիչը, իսկ այժմ՝ Liftoff կոմպիլյատորը)։
• Վեբ ծրագրավորողների գործիքներում pphttps://developers.google.com/web/updates/2020/05/devtools, կատարողականի վերլուծության վահանակը թարմացվել է: Ավելացվեց ընդհանուր տեղեկություններ չափման մասին ԱՏԽ (Արգելափակման ընդհանուր ժամանակը), որը ցույց է տալիս, թե որքան ժամանակ է էջը թվում հասանելի, բայց իրականում հասանելի չէ (այսինքն՝ էջն արդեն ներկայացվել է, բայց հիմնական թեմայի կատարումը դեռ արգելափակված է, և տվյալների մուտքագրումը հնարավոր չէ): Ավելացվեց նոր Փորձի բաժին՝ չափումների վերլուծության համար CLS (Cumulative Layout Shift), որն արտացոլում է բովանդակության տեսողական կայունությունը: CSS ոճերի ստուգման վահանակը տրամադրում է «background-image» հատկության միջոցով նշված պատկերների նախադիտում:

Բացի նորամուծություններից և սխալների շտկումից, նոր տարբերակը վերացնում է 38 խոցելիություն. Խոցելիություններից շատերը հայտնաբերվել են գործիքներով ավտոմատացված փորձարկման արդյունքում Հասցե Սանիտար, Հիշողության ախտահանիչ, Վերահսկել հոսքի ամբողջականությունը, LibFuzzer и AFL. Մեկ խնդիր (CVE-2020-6510, բուֆերային արտահոսք առբերման ֆոնային մշակիչում) նշվում է որպես կրիտիկական, այսինքն. թույլ է տալիս շրջանցել բրաուզերի պաշտպանության բոլոր մակարդակները և համակարգում կոդ գործարկել sandbox միջավայրից դուրս: Որպես ընթացիկ թողարկման համար խոցելիություններ հայտնաբերելու համար դրամական պարգևներ վճարելու ծրագրի մաս՝ Google-ը վճարել է 26 պարգև՝ 21500 դոլար արժողությամբ (երկու 5000 ԱՄՆ դոլար, երկու՝ 3000 դոլար, մեկ՝ 2000 ԱՄՆ դոլար, երկու՝ 1000 ԱՄՆ դոլար և երեք՝ 500 ԱՄՆ դոլար մրցանակ): 16 պարգևների չափը դեռ որոշված ​​չէ։

Source: opennet.ru