Chrome útgáfa 98

Google hefur kynnt útgáfu Chrome 98 vefvafrans. Á sama tíma er stöðug útgáfa af ókeypis Chromium verkefninu, sem þjónar sem grunnur Chrome, fáanleg. Chrome vafrinn einkennist af notkun Google lógóa, tilvist kerfis til að senda tilkynningar ef hrun verður, einingar til að spila afritunarvarið myndbandsefni (DRM), kerfi til að setja upp uppfærslur sjálfkrafa og senda RLZ færibreytur þegar Leita. Næsta Chrome 99 útgáfa er áætluð 1. mars.

Helstu breytingar á Chrome 98:

• Vafrinn hefur sína eigin verslun með rótarvottorðum vottunaryfirvalda (Chrome Root Store), sem verða notuð í stað ytri verslana sem eru sértækar fyrir hvert stýrikerfi. Verslunin er útfærð á svipaðan hátt og sjálfstæða verslun rótarvottorðs í Firefox, sem er notuð sem fyrsti hlekkurinn til að athuga trausta keðju vottorðsins þegar vefsvæði eru opnuð í gegnum HTTPS. Nýja geymslan er ekki enn notuð sjálfgefið. Til að auðvelda umskipti á kerfisgeymslustillingum og til að tryggja færanleika verður umbreytingartímabil þar sem Chrome Root Store mun innihalda fullt úrval af vottorðum sem eru samþykkt á flestum studdum kerfum.
• Áætlunin um að efla vörn gegn árásum sem tengjast aðgangi að auðlindum á staðarnetinu eða á tölvu notandans (localhost) frá skriftum sem hlaðið er inn þegar vefsvæðið er opnað heldur áfram að innleiða. Slíkar beiðnir eru notaðar af árásarmönnum til að framkvæma CSRF árásir á beina, aðgangsstaði, prentara, fyrirtækjavefviðmót og önnur tæki og þjónustu sem taka aðeins við beiðnum frá staðarnetinu.

  Til að verjast slíkum árásum, ef aðgangur er að einhverjum undirtilföngum á innra netinu, mun vafrinn byrja að senda skýra beiðni um leyfi til að hlaða niður slíkum undirtilföngum. Beiðnin um heimildir er framkvæmd með því að senda CORS (Cross-Origin Resource Sharing) beiðni með hausnum „Access-Control-Request-Private-Network: true“ til aðalnetþjónsins áður en farið er inn á innra netið eða staðbundið hýsil. Þegar aðgerðin er staðfest sem svar við þessari beiðni verður þjónninn að skila „Access-Control-Allow-Private-Network: true“ hausnum. Í Chrome 98 er athugunin útfærð í prófunarham og ef engin staðfesting er til staðar birtist viðvörun í vefstjórnborðinu, en undirforðabeiðnin sjálf er ekki læst. Ekki er áætlað að kveikja á lokun fyrr en Chrome 101 kemur út.

• Reikningsstillingar samþætta verkfæri til að stjórna innlimun á aukinni öruggri vafra, sem virkjar viðbótareftirlit til að verjast vefveiðum, illgjarnri virkni og öðrum ógnum á vefnum. Þegar þú virkjar stillingu á Google reikningnum þínum verðurðu nú beðinn um að virkja stillinguna í Chrome.
• Bætti við líkani til að greina vefveiðartilraunir á biðlarahlið, útfært með því að nota TFLite vélnámsvettvanginn (TensorFlow Lite) og þarf ekki að senda gögn til að framkvæma sannprófun á Google hliðinni (í þessu tilviki er fjarmæling send með upplýsingum um gerð líkansins og reiknað vægi fyrir hvern flokk). Ef veiðitilraun greinist mun notandanum verða sýnd viðvörunarsíðu áður en hann opnar grunsamlega síðuna.
• Í Client Hints API, sem er verið að þróa í staðinn fyrir User-Agent hausinn og gerir þér kleift að senda valkvætt gögn um tilteknar vafra- og kerfisfæribreytur (útgáfu, vettvang osfrv.) eftir beiðni frá þjóninum, það er mögulegt að skipta út gerviheitum í listann yfir vafraauðkenni, í samræmi við hliðstæður við GREASE (Generate Random Extensions And Sustain Extensibility) vélbúnaðurinn sem notaður er í TLS. Til dæmis, auk '"Chrome"; v="98″' og '"Chromium"; v="98″' handahófskenndu auðkenni vafra sem ekki er til '"(Not; Browser"; v="12″' er hægt að bæta við listann. Slík skipting mun hjálpa til við að bera kennsl á vandamál við vinnslu auðkennis óþekktra vafra, sem leiða til þess að aðrir vafrar neyðast til að þykjast vera aðrir vinsælir vafrar til að komast framhjá athugun á lista yfir viðunandi vafra.
• Frá og með 17. janúar samþykkir Chrome Web Store ekki lengur viðbætur sem nota útgáfu 2023 af Chrome upplýsingaskránni. Nýjar viðbætur verða nú aðeins samþykktar með þriðju útgáfunni af upplýsingaskránni. Hönnuðir áður bættra viðbóta munu samt geta birt uppfærslur með annarri útgáfu upplýsingaskrárinnar. Stefnt er að því að afnema seinni útgáfu stefnuskrárinnar í janúar XNUMX.
• Bætti við stuðningi við litavektorleturgerðir á COLRv1 sniði (undirmengi af OpenType leturgerðum sem innihalda, til viðbótar við vektormerki, lag með litaupplýsingum), sem hægt er að nota til dæmis til að búa til marglita emoji. Ólíkt áður studdu COLRv0 sniðinu hefur COLRv1 nú getu til að nota halla, yfirlög og umbreytingar. Snið veitir einnig fyrirferðarlítið geymsluform, veitir skilvirka þjöppun og gerir kleift að endurnýta útlínur, sem gerir verulega minnkun á leturstærð. Til dæmis tekur Noto Color Emoji leturgerðin 9MB á rastersniði og 1MB á COLRv1.85 vektorsniði.
• Upprunaprófunarhamur (tilraunaeiginleikar sem krefjast sérstakrar virkjunar) útfærir Region Capture API, sem gerir þér kleift að klippa myndbandið sem var tekið. Til dæmis gæti verið þörf á klippingu í vefforritum sem taka myndskeið með innihaldi flipa þeirra, til að klippa út ákveðið efni áður en það er sent. Uppruni prufa felur í sér getu til að vinna með tilgreint API úr forritum sem hlaðið er niður frá localhost eða 127.0.0.1, eða eftir að hafa skráð og fengið sérstakan tákn sem gildir í takmarkaðan tíma fyrir tiltekna síðu.
• CSS-eiginleikinn „contain-intrinsic-size“ styður nú gildið „auto“, sem mun nota síðast munaða stærð frumefnisins (þegar hún er notuð með „content-visibility: auto“, þarf verktaki ekki að giska á myndstærð frumefnisins) .
• Bætti við eiginleikanum AudioContext.outputLatency, þar sem þú getur fundið upplýsingar um fyrirhugaða seinkun fyrir hljóðúttak (töfin milli hljóðbeiðni og upphafs að vinna móttekin gögn með hljóðúttakstækinu).
• CSS eign litakerfi, sem gerir það mögulegt að ákvarða í hvaða litasamsetningu þáttur má birta rétt („ljós“, „dökk“, „dagstilling“ og „næturstilling“), „eina“ færibreytunni hefur verið bætt við til að koma í veg fyrir þvinguð litabreytingaskemu fyrir einstaka HTML þætti. Til dæmis, ef þú tilgreinir „div { color-scheme: only light }“, þá verður aðeins ljósa þemað notað fyrir div þáttinn, jafnvel þótt vafrinn þvingi myrka þemað til að vera virkt.
• Bætti við stuðningi við „dynamic-range“ og „video-dynamic-range“ miðlunarfyrirspurnir við CSS til að ákvarða hvort skjár styður HDR (High Dynamic Range).
• Bætti möguleikanum á að velja hvort opna ætti tengil í nýjum flipa, nýjum glugga eða sprettiglugga við window.open() aðgerðina. Að auki skilar window.statusbar.visible eignin nú „false“ fyrir sprettiglugga og „true“ fyrir flipa og glugga. const sprettigluggi = window.open('_blank',",'popup=1′); // Opna í sprettiglugga const tab = window.open('_blank',,"'popup=0′); // Opna í flipa
• StrukturdClone() aðferðin hefur verið útfærð fyrir glugga og starfsmenn, sem gerir þér kleift að búa til endurkvæm afrit af hlutum sem innihalda ekki aðeins eiginleika tilgreinds hlutar heldur einnig allra annarra hluta sem núverandi hlutur vísar til.
• Web Authentication API hefur bætt við stuðningi við FIDO CTAP2 forskriftarviðbótina, sem gerir þér kleift að stilla lágmarks leyfilega PIN kóða stærð (minPinLength).
• Fyrir uppsett sjálfstæð vefforrit hefur Window Controls Overlay hluti verið bætt við, sem nær yfir skjásvæði forritsins í allan gluggann, þar með talið titilsvæðið, þar sem venjulegu gluggastýringarhnapparnir (loka, lágmarka, hámarka) ) eru lagðar ofan á. Vefforritið getur stjórnað flutningi og inntaksvinnslu í öllum glugganum, nema yfirlagsblokkinni með gluggastýringartökkum.
• Bætti merkjameðferðareiginleika við WritableStreamDefaultController sem skilar AbortSignal hlut, sem hægt er að nota til að stöðva strax skrif á WritableStream án þess að bíða eftir að þeim ljúki.
• WebRTC hefur fjarlægt stuðning við SDES lykilsamningskerfi, sem var afskrifað af IETF árið 2013 vegna öryggisástæðna.
• Sjálfgefið er að U2F (Cryptotoken) API er óvirkt, sem áður var úrelt og skipt út fyrir Web Authentication API. U2F API verður alveg fjarlægt í Chrome 104.
• Í API skránni hefur reiturinn installed_browser_version verið úreltur, skipt út fyrir nýjan pending_browser_version reit, sem er frábrugðinn að því leyti að hann inniheldur upplýsingar um vafraútgáfuna, að teknu tilliti til niðurhalaðra en ekki beittum uppfærslum (þ.e. útgáfunni sem mun gilda eftir að vafrinn er endurræstur).
• Fjarlægðir valkostir sem gerðu kleift að skila stuðningi fyrir TLS 1.0 og 1.1.
• Endurbætur hafa verið gerðar á verkfærum fyrir vefhönnuði. Búið er að bæta við flipa til að meta virkni afturáfram skyndiminni, sem veitir tafarlausa leiðsögn þegar hnapparnir Til baka og Áfram eru notaðir. Bætti við möguleikanum á að líkja eftir beiðnum um þvingaða liti. Bætti hnöppum við Flexbox ritilinn til að styðja við eiginleikana fyrir línur og dálka. „Breytingar“ flipinn tryggir að breytingar séu birtar eftir að kóðann hefur verið sniðinn, sem einfaldar þáttun smækkaðra síðna.

  Útfærsla á endurskoðunarspjaldinu um kóða hefur verið uppfærð í útgáfu CodeMirror 6 kóðaritilsins, sem bætir verulega afköst þess að vinna með mjög stórar skrár (WASM, JavaScript), leysir vandamál með handahófskenndum frávikum á leiðsögn og bætir ráðleggingar um sjálfvirka útfyllingarkerfið þegar kóða er breytt. Möguleikinn á að sía úttak eftir eignarheiti eða gildi hefur verið bætt við CSS eiginleikaspjaldið.

  

Til viðbótar við nýjungar og villuleiðréttingar, útrýma nýja útgáfan 27 veikleika. Margir af veikleikunum voru auðkenndir sem afleiðing af sjálfvirkum prófunum með AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL verkfærunum. Engin mikilvæg vandamál hafa fundist sem gera manni kleift að komast framhjá öllum stigum vafraverndar og keyra kóða á kerfinu utan sandkassaumhverfisins. Sem hluti af peningaverðlaunaáætluninni til að uppgötva veikleika fyrir núverandi útgáfu, greiddi Google 19 verðlaun að verðmæti $88 þúsund (tveir $20000 verðlaun, ein $12000 verðlaun, tvö $7500 verðlaun, fjögur $1000 verðlaun og ein hvert upp á $7000, $5000 og $3000.

Heimild: opennet.ru