Rilascio di Chrome 89

Google ha presentato il rilascio del browser web Chrome 89. È disponibile anche una versione stabile del progetto open-source Chromium, che funge da base per Chrome. Il browser Chrome si distingue per l'uso dei loghi Google, per un sistema di invio di notifiche in caso di crash, per moduli necessari alla riproduzione di contenuti video protetti (DRM), per un sistema di aggiornamenti automatici e per la trasmissione dei parametri RLZ durante le ricerche. Il prossimo rilascio, Chrome 90, è previsto per il 13 aprile.

Le principali novità in Chrome 89:

  • La versione di Chrome per Android potrà essere eseguita solo su dispositivi certificati da Play Protect. In macchine virtuali i simulatori Chrome per Android potrà essere utilizzato se viene emulato un dispositivo valido o se il simulatore è sviluppato da Google. È possibile verificare se un dispositivo è certificato nell'app Google Play nella sezione impostazioni (nella pagina delle impostazioni in fondo è mostrato lo stato "Play Protect certification"). Per i dispositivi non certificati, ad esempio utilizzando firmware di terze parti, agli utenti viene offerta la possibilità di registrare i propri dispositivi per eseguire Chrome.
  • Per una piccola percentuale di utenti, l'apertura dei siti è predefinita tramite HTTPS quando si inseriscono nomi di host nella barra degli indirizzi. Ad esempio, inserendo l'host example.com, verrà aperto per impostazione predefinita il sito https://example.com, e se si verificano problemi durante l'apertura, verrà effettuato il rollback su http://example.com. Per gestire l'utilizzo predefinito di «https://» è stata proposta l'impostazione «chrome://flags#omnibox-default-typed-navigations-to-https».
  • È attivato il supporto per i profili, che permette a utenti diversi di condividere i propri account mentre utilizzano lo stesso browser. Ad esempio, attraverso i profili, è possibile organizzare l'accesso per i membri della famiglia o separare le sessioni utilizzate per motivi di lavoro e interessi personali. L'utente può creare un nuovo profilo Chrome e configurarlo per attivarsi quando si connette a un determinato account Google, consentendo a diversi utenti di condividere segnalibri, impostazioni e cronologia di navigazione. Quando si tenta di accedere a un account associato a un altro profilo, all'utente verrà chiesto di passare a quel profilo. Se un utente è associato a più profili, avrà la possibilità di scegliere il profilo desiderato. È anche possibile associare diverse schemi di colori ai profili per una distinzione visiva tra gli utenti.
    Rilascio di Chrome 89
  • È abilitata la visualizzazione delle anteprime del contenuto al passaggio del mouse sulle schede nella barra superiore. In precedenza, l'anteprima del contenuto delle schede era disabilitata per impostazione predefinita e richiedeva la modifica dell'impostazione "chrome://flags/#tab-hover-cards".
    Rilascio di Chrome 89
  • Per alcuni utenti, è attivata la funzione "Lista di lettura" (Reading List, "chrome://flags#read-later"), la quale, una volta attivata, aggiunge un secondo pulsante "Aggiungi alla lista di lettura" insieme al pulsante "Aggiungi ai segnalibri" quando si clicca sulla stella nella barra degli indirizzi. Inoltre, nell'angolo destro della barra dei segnalibri appare un menu "Lista di lettura", che elenca tutte le pagine aggiunte in precedenza alla lista. Quando si apre una pagina dalla lista, questa viene contrassegnata come letta. Le pagine nella lista possono anche essere contrassegnate manualmente come lette o non lette, oppure rimosse dalla lista.
    Rilascio di Chrome 89
  • Per gli utenti che accedono con un account Google, senza attivare Chrome Sync, è fornito l'accesso ai metodi di pagamento e alle password salvate nell'account Google. Questa possibilità è attivata per alcuni utenti e sarà gradualmente estesa a tutti.
  • È attivato il supporto per la ricerca rapida delle schede, che precedentemente richiedeva l'attivazione tramite il flag "chrome://flags/#enable-tab-search". L'utente può visualizzare un elenco di tutte le schede aperte e filtrare rapidamente quella desiderata, indipendentemente dal fatto che si trovi nella finestra attuale o in un'altra.
    Rilascio di Chrome 89
  • Per tutti gli utenti, l'elaborazione dell'immissione di singole parole nella barra degli indirizzi come tentativi di apertura di siti interni è stata interrotta. In precedenza, nel caso di immissione di una sola parola nella barra degli indirizzi, il browser cercava inizialmente di determinare presso il DNS l'esistenza di un host con quel nome, presumendo che l'utente volesse aprire un sottodominio, per poi reindirizzare la richiesta al motore di ricerca. In questo modo, il proprietario del server DNS indicato nelle impostazioni dell'utente otteneva informazioni sulle ricerche composte da una sola parola, il che era considerato una violazione della privacy. Per le aziende che utilizzano host internet senza sottodominio (ad esempio, "https://helpdesk/"), è stata fornita un'opzione per ripristinare il comportamento precedente.
  • È stata introdotta l'opzione per fissare la versione di un'estensione o di un'applicazione. Ad esempio, per l'utilizzo in azienda solo di estensioni verificate, l'amministratore può configurare Chrome tramite la nuova politica ExtensionSettings per utilizzare un proprio URL per il caricamento degli aggiornamenti, invece dell'URL specificato nel manifesto dell'estensione.
  • Sui sistemi x86, per il funzionamento del browser, è ora obbligatoria la supporto per le istruzioni SSE3 da parte del processore, supportate dai processori Intel a partire dal 2003 e da AMD dal 2005.
  • Aggiunti ulteriori API, mirati a fornire funzionalità in grado di sostituire i cookie di terze parti, utilizzati per tracciare i movimenti degli utenti tra i siti nel codice delle reti pubblicitarie, dei widget dei social media e dei sistemi di analisi web. Sono proposti per il test i seguenti API:
    • Trust Token per la separazione degli utenti senza utilizzare identificatori intersiti.
    • First party sets — consente ai domini correlati di dichiararsi primari, in modo che il browser possa considerare questo legame durante le richieste intersiti.
    • Schemeful Same-Site per estendere il concetto di same-site a diverse schemi di URL, cioè http://website.example e https://website.example saranno trattati come un unico sito nelle richieste intersiti.
    • Floc per identificare la categoria di interessi dell'utente senza effettuare identificazioni individuali e senza legami con la cronologia di navigazione di siti specifici.
    • Conversion Measurement per valutare l'attività dell'utente dopo aver cliccato su una pubblicità.
    • User-Agent Client Hints per la sostituzione di User-Agent e per la restituzione selettiva dei dati riguardanti specifici parametri del browser e del sistema (versione, piattaforma, ecc.).
  • Aggiunto l'API Serial, che consente ai siti di leggere e scrivere dati tramite la porta seriale. Questa API è stata introdotta per consentire la creazione di web-app per il controllo diretto di dispositivi come microcontrollori e stampanti 3D. Per accedere al dispositivo periferico, è necessaria l'autorizzazione esplicita da parte dell'utente.
  • Aggiunto l'API WebHID per l'accesso a basso livello ai dispositivi HID (Human Interface Device, tastiere, mouse, joystick, touchpad), che consente di implementare la logica di funzionamento con il dispositivo HID in JavaScript per gestire dispositivi HID rari senza la necessità di driver specifici nel sistema. Questo nuovo API è principalmente focalizzato sul supporto dei joystick.
  • È stato aggiunto l'API Web NFC, che consente alle web app di leggere e scrivere tag NFC. Tra gli esempi di utilizzo di questo nuovo API nelle web app si evidenziano la fornitura di informazioni sugli oggetti esposti nei musei, la gestione dell'inventario, la raccolta di informazioni dai badge dei partecipanti a conferenze, e così via. L'invio e la scansione dei tag avviene tramite gli oggetti NDEFWriter e NDEFReader.
  • L'API Web Share (oggetto navigator.share) è stata estesa oltre i dispositivi mobili ed è ora disponibile per gli utenti di browser desktop (attualmente solo per Windows e Chrome OS). L'API Web Share fornisce strumenti per la condivisione di informazioni sui social network, consentendo ad esempio di generare un pulsante unificato per la pubblicazione sui social media utilizzati dal visitatore o di organizzare l'invio di dati ad altre app.
  • Nelle versioni per Android e nel componente WebView è stata aggiunta la supporto per la decodifica del formato immagine AVIF (AV1 Image Format), che utilizza tecnologie di compressione intra-frame dal formato di codifica video AV1 (nel desktop, il supporto per AVIF è stato incluso fin dalla versione 85 di Chrome). Il contenitore per la distribuzione dei dati compressi in AVIF è completamente analogo a HEIF. AVIF supporta immagini in HDR (High Dynamic Range) e nello spazio colore Wide-gamut, così come in un intervallo dinamico standard (SDR).
  • È stata introdotta una nuova API di reporting per ottenere informazioni sulle violazioni delle regole di utilizzo sicuro nella pagina delle operazioni privilegiate, stabilite tramite l'intestazione COOP (Cross-Origin-Opener-Policy), che consente anche di mettere COOP in modalità di debug, funzionante senza bloccare le violazioni delle normative.
  • È stata aggiunta la funzione performance.measureUserAgentSpecificMemory(), che determina la quantità di memoria utilizzata durante l'elaborazione della pagina.
  • Per conformarsi agli standard web, tutti gli URL «data:» sono ora trattati come potenzialmente fidati, cioè fanno parte di un contesto protetto.
  • Nell'API Streams è stata aggiunta la supporto per i flussi di byte (Byte Streams), ottimizzati specificamente per la trasmissione efficiente di наборов di byte arbitrari e per minimizzare il numero di operazioni di copia sui dati. L'output del flusso può essere registrato in primitivi come stringhe o ArrayBuffer.
  • Negli elementi SVG è stata implementata la supporto per la sintassi completa della proprietà «filter», che consente di applicare contemporaneamente a elementi SVG e non SVG funzioni di filtraggio come blur(), sepia() e grayscale().
  • In CSS è stato realizzato il pseudo-elemento «::target-text», che può essere utilizzato per evidenziare il frammento a cui si è passati tramite il testo (scroll-to-text) con uno stile diverso da quello utilizzato dal browser per evidenziare i risultati trovati.
  • Aggiunti proprietà CSS per gestire l'arrotondamento degli angoli: border-start-start-radius, border-start-end-radius, border-end-start-radius, border-end-end-radius.
  • Aggiunta la proprietà CSS forced-colors per definire se il browser applica sulla pagina una palette di colori limitata dall'utente.
  • Aggiunta la proprietà CSS forced-color-adjust per disattivare la limitazione forzata dei colori per singoli elementi, mantenendo per essi la piena possibilità di gestione dei colori tramite CSS.
  • In JavaScript, the use of the await keyword is allowed at the top level in modules, enabling a smoother integration of asynchronous calls into the module loading process without needing to wrap them in an ‘async function’. For example, instead of (async function() { await Promise.resolve(console.log('test')); }()); one can now simply write await Promise.resolve(console.log('test'));
  • In the JavaScript V8 engine, function calls have been optimized when the number of arguments passed does not match those defined in the function parameters. In scenarios where the argument count differs, performance increased by 11.2% in non-JIT mode and by 40% when using JIT TurboFan.
  • A significant number of small improvements have been made to the tools for web developers.

Oltre alle nuove funzionalità e ai bug fix, nella nuova versione sono state risolte 47 vulnerabilità. Molte di queste vulnerabilità sono state scoperte grazie a test automatizzati effettuati con strumenti come AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Non sono state rilevate problematiche critiche che consentano di bypassare tutti i livelli di protezione del browser ed eseguire codice nel sistema al di fuori dell'ambiente sandbox. È importante notare che una delle vulnerabilità corrette (CVE-2021-21166), relativa al ciclo di vita degli oggetti nel sottosistema audio, ha caratteristiche da vulnerabilità 0-day e prima della correzione era utilizzata in uno degli exploit. Nell'ambito del programma di ricompensa per la scoperta di vulnerabilità per la versione attuale, Google ha assegnato 33 premi per un totale di 61.000 dollari (due premi da 10.000 dollari, due premi da 7.500 dollari, tre premi da 5.000 dollari, due premi da 3.000 dollari, quattro da 1.000 dollari e due premi da 500 dollari). L'importo di 18 premi non è ancora stato determinato.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster