Google versione del browser web ... Contemporaneamente rilascio stabile di un progetto gratuito , che funge da base per Chrome. Browser Chrome l'uso dei loghi di Google, la presenza di un sistema per l'invio di notifiche in caso di crash, la possibilità di scaricare un modulo Flash su richiesta, moduli per la riproduzione di contenuti video protetti (DRM), un sistema per l'installazione automatica degli aggiornamenti e la trasmissione durante la ricerca . La prossima release di Chrome 77 è prevista per il 10 settembre.
:
- è attiva di default la modalità di protezione contro la cessione di Cookie di terze parti, che, in assenza dell'attributo SameSite nell'header Set-Cookie, imposta di default il valore “SameSite=Lax”, limitando l'invio di Cookie per inserimenti da siti di terze parti (ma i siti saranno comunque in grado di ignorare la restrizione impostando esplicitamente il valore del cookie SameSite=None). Fino ad ora il browser inviava un Cookie ad ogni richiesta ad un sito per il quale era stato impostato un Cookie, anche se inizialmente veniva aperto un altro sito, e la richiesta veniva effettuata indirettamente caricando un'immagine o tramite un iframe. Nella modalità "Lax", la trasmissione dei cookie viene bloccata solo per richieste secondarie tra siti, come richieste di immagini o caricamento di contenuti iframe, che vengono spesso utilizzati per lanciare attacchi CSRF e tracciare i movimenti dell'utente tra i siti.
- Riproduzione di contenuti Flash interrotta per impostazione predefinita. Fino al rilascio di Chrome 87, previsto per dicembre 2020, il supporto Flash può essere restituito nelle impostazioni (Avanzate > Privacy e sicurezza > Impostazioni sito), seguito da una conferma esplicita dell'operazione di riproduzione dei contenuti Flash per ciascun sito (la conferma è ricordato fino al riavvio del browser). La rimozione completa del codice per supportare Flash è in linea con il piano precedentemente annunciato da Adobe di terminare il supporto per la tecnologia Flash nel 2020;
- Per le aziende, è stata aggiunta alla barra degli indirizzi la possibilità di cercare file nello spazio di archiviazione di Google Drive;
- Iniziato Pubblicità inappropriata in Chrome che interferisce con la percezione dei contenuti e non soddisfa i criteri sviluppati dalla Coalition for Better Advertising;
- È stata implementata una modalità adattiva per passare a una nuova pagina, in cui il contenuto corrente viene cancellato e uno sfondo bianco viene visualizzato non immediatamente, ma dopo un breve ritardo. Per le pagine a caricamento rapido, lo scraping provoca solo uno sfarfallio e non fornisce il carico utile di informare l'utente che una nuova pagina sta per essere caricata. Nella nuova versione, se una pagina si apre rapidamente e c'è un leggero ritardo, la nuova pagina viene visualizzata al suo posto, sostituendo perfettamente la precedente (ad esempio, utile quando si passa ad altre pagine dello stesso sito che sono simili nel design e combinazione di colori). Se l'utente impiega del tempo per visualizzare la pagina, allora, come prima, lo schermo verrà pre-pulito;
- I criteri per determinare l'attività dell'utente su una pagina sono stati resi più severi. Chrome ti consente di visualizzare notifiche popup e riprodurre fastidiosi contenuti video/audio solo dopo le azioni dell'utente sulla pagina. Con la nuova versione, premere Esc, passare con il mouse su un collegamento e toccare lo schermo non sono più percepiti come interazioni che attivano la pagina (richiedendo un clic, una digitazione o uno scorrimento espliciti);
- media query “prefers-color-scheme”, che consente ai siti di determinare se il browser utilizza un tema scuro e di abilitare automaticamente il tema scuro per il sito visualizzato.
- Quando abiliti il tema scuro nelle build per Linux, la barra degli indirizzi viene ora visualizzata in colore scuro;
- la possibilità di determinare l'apertura di una pagina in modalità di navigazione in incognito attraverso manipolazioni con l'API FileSystem, precedentemente utilizzata da alcune pubblicazioni per imporre un abbonamento a pagamento in caso di apertura impersonale di pagine senza ricordare i cookie (in modo che gli utenti non utilizzassero la modalità privata per aggirare il meccanismo di fornitura dell'accesso di prova gratuito). In precedenza, quando si lavorava in modalità di navigazione in incognito, il browser bloccava l'accesso all'API FileSystem per evitare che i dati si allentassero tra le sessioni, consentendo a JavaScript di verificare la capacità di salvare i dati tramite l'API FileSystem e, in caso di errore, di giudicare l'attività di Modalità incognito. Ora l'accesso all'API FileSystem non è bloccato e il contenuto viene cancellato al termine della sessione;
- nuove sfide in
Richiesta di pagamento API e gestore dei pagamenti. Un nuovo metodo changePaymentMethod() è apparso nell'oggetto PaymentRequestEvent e un nuovo gestore eventi paymentmethodchange è stato aggiunto all'oggetto PaymentRequest, che consente al sito di riscossione dei pagamenti o all'applicazione web di rispondere all'utente che modifica il metodo di pagamento. La nuova versione rende inoltre più semplice per le API di pagamento testare le applicazioni utilizzando certificati autofirmati. Per ignorare gli errori di verifica del certificato durante lo sviluppo, è stata aggiunta una nuova opzione della riga di comando “—ignore-certificate-errors”; - Nella barra degli indirizzi accanto al pulsante per aggiungere ai segnalibri le applicazioni Web in esecuzione in modalità Desktop Progressive Web Apps (PWA), una scorciatoia per installare un'applicazione web sul sistema in modo che funzioni come un programma separato;
- Per i dispositivi mobili è possibile controllare la visualizzazione di un mini-pannello con l'invito ad aggiungere un'applicazione nella schermata iniziale. Per le applicazioni PWA (Progressive Web App), la mini-bar predefinita viene visualizzata automaticamente quando si apre il sito per la prima volta. Lo sviluppatore può ora rifiutarsi di visualizzare questo pannello e implementare la propria richiesta di installazione, per la quale può installare un gestore eventi
beforeinstallprompt e allegare una chiamata a preventDefault();
- È stata aumentata la frequenza dei controlli di aggiornamento delle applicazioni PWA (Progressive Web App) installate in ambiente Android. Gli aggiornamenti WebAPK ora vengono controllati una volta al giorno e non una volta ogni tre giorni come prima. Se tale controllo rivela una modifica in almeno una proprietà chiave nel manifest, il browser scaricherà e installerà un nuovo WebAPK;
- Nell'API aggiunta la possibilità di leggere e scrivere a livello di codice immagini tramite gli appunti utilizzando i metodi navigator.clipboard.read() e navigator.clipboard.write();
- Supporto implementato per un gruppo di intestazioni HTTP (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site e Sec-Fetch-User), consentendo di inviare metadati aggiuntivi sulla natura della richiesta (richiesta cross-site, richiesta tramite tag img, ecc.) .) per l'accettazione da parte del server di misure di protezione contro determinati tipi di attacchi (ad esempio, è improbabile che un collegamento a un gestore per il trasferimento di denaro venga specificato tramite un tag img, quindi tali richieste possono essere bloccate senza essere trasmesse all'applicazione );
- Funzione aggiunta , che avvia l'invio programmatico dei dati del modulo nello stesso modo in cui si fa clic sul pulsante di invio. La funzione può essere utilizzata quando si sviluppano i propri pulsanti di invio del modulo, per i quali la chiamata form.submit() non è sufficiente poiché non porta alla verifica interattiva dei parametri, alla generazione dell'evento 'submit' e alla trasmissione dei dati legato al pulsante di invio;
- Aggiunta funzione a IndexedDB , che consente di eseguire il commit delle transazioni associate a un oggetto IDBTransaction senza attendere il completamento dei gestori eventi in tutte le richieste associate. L'utilizzo di commit() consente di aumentare il throughput delle richieste di scrittura e lettura nello spazio di archiviazione e di controllare esplicitamente il completamento della transazione;
- Aggiunte opzioni alle funzioni Intl.DateTimeFormat come formatToParts() e risolvereOptions() , che consentono di richiedere stili di visualizzazione di data e ora specifici per le impostazioni locali;
- Il metodo BigInt.prototype.toLocaleString() è stato modificato per formattare i numeri in base alle impostazioni locali, mentre il metodo Intl.NumberFormat.prototype.format() e la funzione formatToParts() sono stati modificati per supportare i valori di input BigInt;
- API consentita in tutti i tipi di Web Worker, che possono essere utilizzati per selezionare i parametri ottimali durante la creazione di un MediaStream da un lavoratore;
- Metodo aggiunto , che restituisce solo le promesse soddisfatte o rifiutate, escluse le promesse pendenti;
- Rimossa l'opzione “--disable-infobars”, che in precedenza poteva essere utilizzata per nascondere gli avvisi pop-up nell'interfaccia di Chrome (è stata proposta la regola CommandLineFlagSecurityWarningsEnabled per nascondere gli avvisi relativi alla sicurezza);
- All'interfaccia per lavorare con i BLOB metodi text(), arrayBuffer() e stream() per leggere tipi di dati specifici;
- Aggiunta la proprietà CSS "white-space:break-spaces" per specificare che qualsiasi sequenza di spazi bianchi che provoca un overflow della riga deve essere interrotta;
- È iniziato il lavoro sulla pulizia dei flag in chrome://flags, ad esempio, flag per disabilitare l'attributo "ping", che consente ai proprietari dei siti di tenere traccia dei clic sui collegamenti dalle loro pagine. Se segui un collegamento e nel browser è presente un attributo "ping=URL" nel tag "a href", ora puoi disattivare l'invio di una richiesta POST aggiuntiva all'URL specificato nell'attributo con informazioni sulla transizione. Il significato di bloccare il ping viene perso a causa di questo attributo nelle specifiche HTML5 ed esistono molti workaround per eseguire la stessa azione (ad esempio, passare attraverso un link di transito o intercettare i click con gestori JavaScript);
- Rimosso il flag di disabilitazione , in cui le pagine di host diversi si trovano sempre nella memoria di processi diversi, ognuno dei quali utilizza la propria sandbox.
- Il motore V8 ha aumentato significativamente le prestazioni di scansione e analisi del formato JSON. Per le pagine Web più diffuse, l'esecuzione di JSON.parse accelera fino a 2.7 volte. La conversione delle stringhe Unicode è stata notevolmente accelerata, ad esempio la velocità delle chiamate a String#localeCompare, String#normalize e ad alcune API Intl è quasi raddoppiata. Anche le prestazioni delle operazioni con array congelati sono state notevolmente ottimizzate quando si utilizzano operazioni come frozen.indexOf(v), frozen.includes(v), fn(...frozen), fn(...[...frozen]) e fn.apply(questo, [... congelato]).
Oltre alle innovazioni e alle correzioni di bug, la nuova versione elimina . Molte delle vulnerabilità sono state identificate come risultato di test automatizzati con strumenti , , , и . Non sono stati identificati problemi critici che consentano di aggirare tutti i livelli di protezione del browser ed eseguire codice sul sistema al di fuori dell'ambiente sandbox. Nell'ambito del programma di pagamento di premi in denaro per la scoperta di vulnerabilità per la versione attuale, Google ha pagato 16 premi per un importo di 23500 dollari (un premio di 10000 dollari, un premio di 6000 dollari, due premi di 3000 dollari e tre premi di 500 dollari). La dimensione di 9 premi non è stata ancora determinata.
Fonte: opennet.ru