ProHoster > blog > notizie internet > Chrome versione 104

Chrome versione 104

Google ha annunciato l'uscita del browser web Chrome 104. Allo stesso tempo è disponibile una versione stabile del progetto gratuito Chromium, che funge da base per Chrome. Il browser Chrome si differenzia da Chromium per l'utilizzo dei loghi di Google, per la presenza di un sistema per l'invio di notifiche in caso di crash, moduli per la riproduzione di contenuti video protetti da copia (DRM), un sistema per l'installazione automatica degli aggiornamenti, abilitazione permanente dell'isolamento Sandbox , fornendo chiavi all'API di Google e trasmettendo i parametri RLZ- durante la ricerca. Per coloro che necessitano di più tempo per l'aggiornamento, il ramo Extended Stable è supportato separatamente, seguito da 8 settimane. Il prossimo rilascio di Chrome 105 è previsto per il 30 agosto.

Modifiche principali in Chrome 104:

  • È stato introdotto un limite di durata dei cookie: tutti i cookie nuovi o aggiornati verranno automaticamente eliminati dopo 400 giorni di esistenza, anche se il tempo di scadenza impostato tramite gli attributi Expires e Max-Age supera i 400 giorni (per tali cookie, la durata sarà ridotta a 400 giorni). I cookie creati prima dell'implementazione della restrizione manterranno la loro durata, anche se supera i 400 giorni, ma saranno limitati se aggiornati. La modifica riflette i nuovi requisiti indicati nella bozza della nuova specifica.
  • Abilitato il blocco degli URL iframe che fanno riferimento al file system locale (“filesystem://”).
  • Per velocizzare il caricamento della pagina, è stata aggiunta una nuova ottimizzazione che garantisce che venga stabilita una connessione con l'host di destinazione nel momento in cui si fa clic su un collegamento, senza aspettare che si rilasci il pulsante o si tolga il dito dal touch screen.
  • Aggiunte impostazioni per la gestione dell'API “Topics & Interest Group”, promossa nell'ambito dell'iniziativa Privacy Sandbox, che consente di definire categorie di interessi degli utenti e utilizzarle al posto dei cookie di tracciamento per identificare gruppi di utenti con interessi simili senza identificare i singoli utenti . Inoltre, sono state aggiunte finestre di dialogo informative che vengono visualizzate una volta, spiegando all'utente l'essenza della tecnologia e offrendo di attivare il suo supporto nelle impostazioni.
  • Soglie aumentate per limitare le chiamate nidificate ai timer setTimeout e setInterval in esecuzione con un intervallo inferiore a 4 ms ("setTimeout(..., <4ms)"). Il limite totale di tali chiamate è stato aumentato da 5 a 100, il che consente di non ridurre in modo aggressivo le singole chiamate, ma allo stesso tempo di prevenire abusi che potrebbero influire sulle prestazioni del browser.
  • Abilitato invia una richiesta di conferma dell'autorizzazione CORS (Cross-Origin Resource Sharing) al server del sito principale con l'intestazione "Access-Control-Request-Private-Network: true" quando una pagina accede a una sottorisorsa sulla rete interna (192.168.xx , 10. xxx, 172.16-31.xx) o su localhost (127.xxx). Quando si conferma l'operazione in risposta a questa richiesta, il server deve restituire l'intestazione "Access-Control-Allow-Private-Network: true". Nella versione 104 di Chrome, il risultato della conferma non influisce ancora sull'elaborazione della richiesta: se non c'è conferma, viene visualizzato un avviso nella console web, ma la richiesta della risorsa secondaria stessa non viene bloccata. L'abilitazione del blocco senza riconoscimento non è prevista fino a Chrome 107. Per abilitare il blocco nelle versioni precedenti, puoi abilitare l'impostazione "chrome://flags/#private-network-access-respect-preflight-results".

    La verifica dell'autorità da parte del server è stata introdotta per rafforzare la protezione contro gli attacchi legati all'accesso alle risorse sulla rete locale o sul computer dell'utente (localhost) da script caricati all'apertura di un sito. Tali richieste vengono utilizzate dagli aggressori per effettuare attacchi CSRF su router, punti di accesso, stampanti, interfacce web aziendali e altri dispositivi e servizi che accettano richieste solo dalla rete locale. Per proteggersi da tali attacchi, se si accede a qualsiasi risorsa secondaria sulla rete interna, il browser invierà una richiesta esplicita di autorizzazione per caricare queste risorse secondarie.

  • È stato aggiunto un meccanismo di acquisizione della regione che consente di tagliare i contenuti non necessari da un video generato in base alla cattura dello schermo. Ad esempio, utilizzando l'API getDisplayMedia, un'applicazione Web può eseguire lo streaming video del contenuto di una scheda e Region Capture consente di ritagliare parte del contenuto che include i controlli della videoconferenza.
  • Aggiunto il supporto per la nuova sintassi delle media query definita nella specifica Media Queries Level 4, che determina la dimensione minima e massima dell'area visibile (viewport). La nuova sintassi consente di utilizzare operatori matematici di confronto comuni e operatori logici come "non", "o" e "e". Ad esempio, invece di “@media (min-width: 400px) { … }” ora puoi specificare “@media (width >= 400px) { … }”.
  • Diverse nuove API sono state aggiunte alla modalità Origin Trials (funzionalità sperimentali che richiedono un'attivazione separata). Origin Trial implica la possibilità di lavorare con l'API specificata dalle applicazioni scaricate da localhost o 127.0.0.1, o dopo la registrazione e la ricezione di un token speciale valido per un periodo di tempo limitato per un sito specifico.
    • Aggiunta una proprietà CSS "focusgroup" per migliorare la navigazione tra gli elementi utilizzando i tasti freccia sulla tastiera.
    • L'API di conferma del pagamento sicuro offre all'utente la possibilità di disabilitare l'archivio delle impostazioni della carta di credito. Per visualizzare una finestra di dialogo che consente di rifiutare di salvare i parametri della carta di credito, il costruttore PaymentRequest() fornisce il flag "showOptOut: true".
    • Aggiunta l'API Shared Element Transitions, che consente di organizzare una transizione graduale tra diverse visualizzazioni di contenuto in applicazioni Web a pagina singola.
  • Il supporto per le regole di speculazione è stato stabilizzato, consentendo agli autori di siti Web di fornire al browser informazioni sulle pagine più probabili a cui l'utente può accedere. Il browser utilizza queste informazioni per caricare e visualizzare in modo proattivo il contenuto della pagina.
  • Il meccanismo per confezionare le sottorisorse in pacchetti nel formato Web Bundle è stato stabilizzato, consentendo di aumentare l'efficienza nel caricamento di un gran numero di file di accompagnamento (stili CSS, JavaScript, immagini, iframe). A differenza dei pacchetti nel formato Webpack, il formato Web Bundle presenta i seguenti vantaggi: non è il pacchetto stesso ad essere archiviato nella cache HTTP, ma i suoi componenti; la compilazione e l'esecuzione di JavaScript inizia senza attendere il download completo del pacchetto; È consentito includere risorse aggiuntive come CSS e immagini, che nel webpack dovrebbero essere codificate sotto forma di stringhe JavaScript.
  • Aggiunta la proprietà CSS object-view-box, che permette di definire una parte dell'immagine che verrà visualizzata nell'area al posto di un determinato elemento, che può essere utilizzato, ad esempio, per aggiungere un bordo o un'ombra.
  • Aggiunta l'API di delega della capacità a schermo intero, che consente a un oggetto Finestra di delegare a un altro oggetto Finestra il diritto di chiamare requestFullscreen().
  • Aggiunta l'API della finestra Companion a schermo intero, che consente di posizionare contenuti e popup a schermo intero su un altro schermo dopo aver ricevuto la conferma dall'utente.
  • È stato aggiunto un attributo visual-box alla proprietà CSS overflow-clip-margin, che determina da dove iniziare a tagliare il contenuto che va oltre il bordo dell'area (può assumere i valori content-box, padding-box e border- scatola).
  • L'API Async Clipboard ha aggiunto la possibilità di definire formati specializzati per i dati trasferiti tramite gli appunti, diversi da testo, immagini e testo con markup.
  • WebGL fornisce supporto per specificare uno spazio colore per il buffer di rendering e trasformare durante l'importazione da una texture.
  • Il supporto per le piattaforme OS X 10.11 e macOS 10.12 è stato interrotto.
  • L'API U2F (Cryptotoken), precedentemente deprecata e disabilitata per impostazione predefinita, è stata interrotta. L'API U2F è stata sostituita dall'API di autenticazione Web.
  • Sono stati apportati miglioramenti agli strumenti per gli sviluppatori web. Il debugger ora ha la capacità di riavviare il codice dall'inizio di una funzione dopo aver raggiunto un punto di interruzione da qualche parte nel corpo della funzione. Aggiunto supporto per lo sviluppo di componenti aggiuntivi per il pannello Registratore. Al pannello di analisi delle prestazioni è stato aggiunto il supporto per la visualizzazione dei contrassegni impostati in un'applicazione Web tramite la chiamata al metodo performance.measure(). Consigli migliorati per il completamento automatico delle proprietà degli oggetti JavaScript. Durante il completamento automatico delle variabili CSS, vengono fornite anteprime dei valori non correlati ai colori.
    Chrome versione 104

Oltre alle innovazioni e alle correzioni di bug, la nuova versione elimina 27 vulnerabilità. Molte delle vulnerabilità sono state identificate come risultato di test automatizzati utilizzando gli strumenti AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Non sono stati identificati problemi critici che consentano di aggirare tutti i livelli di protezione del browser ed eseguire codice sul sistema al di fuori dell'ambiente sandbox. Nell'ambito del programma di ricompensa in denaro per la scoperta delle vulnerabilità della versione attuale, Google ha pagato 22 premi del valore di 84 dollari (un premio da 15000 dollari, un premio da 10000 dollari, un premio da 8000 dollari, un premio da 7000 dollari, quattro premi da 5000 dollari, un premio da 4000 dollari, tre premi da 3000 dollari , quattro premi da $ 2000 e tre premi da $ 1000). L'entità di una ricompensa non è stata ancora determinata.

Fonte: opennet.ru

Aggiungi un commento