Chrome 104 リリース

Google は Web ブラウザ Chrome 104 のリリースを発表し、同時に Chrome の基盤となる無料の Chromium プロジェクトの安定版リリースが利用可能になりました。 Chrome ブラウザは、Google ロゴの使用、クラッシュ時に通知を送信するシステムの存在、コピー保護されたビデオ コンテンツ (DRM) を再生するモジュール、アップデートを自動的にインストールするシステム、サンドボックス分離を永続的に有効にする点で Chromium とは異なります。 、Google API にキーを提供し、検索時に RLZ- パラメータを送信します。更新にさらに時間が必要な場合は、Extended Stable ブランチが別途サポートされ、その後 8 週間サポートされます。 Chrome 105 の次回リリースは 30 月 XNUMX 日に予定されています。

Chrome 104 の主な変更点:

• Cookie の有効期間制限が導入されました。すべての新規または更新された Cookie は、Expires および Max-Age 属性で設定された有効期限が 400 日を超えていたとしても、存在してから 400 日後に自動的に削除されます (そのような Cookie の場合、有効期間は短縮されます)。から 400 日まで）。制限が適用される前に作成された Cookie は、400 日を超えた場合でも有効期間を保持しますが、更新されると制限されます。この変更は、新しい仕様草案に記載されている新しい要件を反映しています。
• ローカル ファイル システム (「filesystem://」) を参照する iframe URL のブロックを有効にしました。
• ページの読み込みを高速化するために、ボタンを放したりタッチ スクリーンから指を離したりすることなく、リンクをクリックした瞬間にターゲット ホストへの接続が確実に確立されるようにする新しい最適化が追加されました。
• プライバシー サンドボックス イニシアチブの一環として推進されている「トピックとインタレスト グループ」API を管理するための設定を追加しました。これにより、ユーザーの興味のカテゴリを定義し、Cookie を追跡する代わりにそれを使用して、個々のユーザーを特定することなく、同様の興味を持つユーザーのグループを識別できます。 。さらに、一度表示される情報ダイアログが追加され、ユーザーにテクノロジーの本質を説明し、設定でそのサポートを有効にするよう提案されます。
• しきい値を増やして、4 ミリ秒未満の間隔で実行される setTimeout および setInterval タイマーへのネストされた呼び出し (「setTimeout(..., <4ms)」) を制限しました。このような呼び出しの合計制限は 5 から 100 に増加しました。これにより、個々の呼び出しを積極的に削減することなく、同時にブラウザーのパフォーマンスに影響を与える可能性のある悪用を防ぐことができます。
• 有効にすると、ページが内部ネットワーク (192.168.x.x) 上のサブリソースにアクセスするときに、ヘッダー「Access-Control-Request-Private-Network: true」を持つ CORS (Cross-Origin Resource Sharing) 権限確認リクエストがメイン サイト サーバーに送信されます。 、10.x.x.x、172.16-31.x.x）またはローカルホスト（127.x.x.x）に送信します。このリクエストに対する動作を確認する場合、サーバーは「Access-Control-Allow-Private-Network: true」ヘッダーを返す必要があります。 Chrome バージョン 104 では、確認結果はリクエストの処理にまだ影響しません。確認がない場合、Web コンソールに警告が表示されますが、サブリソース リクエスト自体はブロックされません。 Chrome 107 までは no-acknowledge ブロックを有効にすることは期待されていません。以前のリリースでブロックを有効にするには、「chrome://flags/#private-network-access- respect-preflight-results」設定を有効にすることができます。

  サーバーによる権限の検証は、サイトを開くときに読み込まれるスクリプトによる、ローカル ネットワークまたはユーザーのコンピューター (localhost) 上のリソースへのアクセスに関連する攻撃に対する保護を強化するために導入されました。 このようなリクエストは、ルーター、アクセス ポイント、プリンター、企業 Web インターフェイス、およびローカル ネットワークからのみリクエストを受け入れるその他のデバイスやサービスに対して CSRF 攻撃を実行するために攻撃者によって使用されます。 このような攻撃から保護するために、内部ネットワーク上のサブリソースにアクセスすると、ブラウザはこれらのサブリソースをロードする許可を求める明示的なリクエストを送信します。

• 画面キャプチャに基づいて生成されたビデオから不要なコンテンツをトリミングできる領域キャプチャ メカニズムが追加されました。たとえば、getDisplayMedia API を使用すると、Web アプリケーションはタブのコンテンツのビデオをストリーミングでき、領域キャプチャを使用すると、ビデオ会議コントロールを含むコンテンツの一部を切り取ることができます。
• メディア クエリ レベル 4 仕様で定義されている新しいメディア クエリ構文のサポートが追加されました。これは、表示領域 (ビューポート) の最小サイズと最大サイズを決定します。新しい構文では、一般的な数学的比較演算子や、「not」、「or」、「and」などの論理演算子を使用できます。たとえば、「@media (min-width: 400px) { … }」の代わりに「@media (width >= 400px) { … }」を指定できるようになりました。
• いくつかの新しい API が Origin トライアル モードに追加されました (別途アクティベーションが必要な実験的な機能)。 オリジン トライアルとは、ローカルホストまたは 127.0.0.1 からダウンロードされたアプリケーションから、または特定のサイトで期間限定で有効な特別なトークンを登録して受信した後、指定された API を操作できる機能を意味します。
  • キーボードの矢印キーを使用した要素間のナビゲーションを改善するために、CSS プロパティ「focusgroup」を追加しました。
  • 安全な支払い確認 API は、ユーザーがクレジット カード設定ストアを無効にする機能を提供します。クレジット カード パラメータの保存を拒否できるダイアログを表示するために、PaymentRequest() コンストラクターは「showOptOut: true」フラグを提供します。
  • Shared Element Transitions API が追加されました。これにより、単一ページ Web アプリケーションのさまざまなコンテンツ ビュー間のスムーズな移行を整理できます。
• 投機ルールのサポートが安定化し、Web サイト作成者は、ユーザーがアクセスできる可能性が最も高いページに関する情報をブラウザーに提供できるようになりました。ブラウザーはこの情報を使用して、ページ コンテンツをプロアクティブに読み込み、レンダリングします。
• サブリソースを Web バンドル形式のパッケージにパッケージ化するメカニズムが安定し、多数の付随ファイル (CSS スタイル、JavaScript、画像、iframe) のロード効率が向上しました。 Webpack 形式のパッケージとは異なり、Web バンドル形式には次の利点があります。HTTP キャッシュに格納されるのはパッケージ自体ではなく、そのコンポーネント部分です。 JavaScript のコンパイルと実行は、パッケージが完全にダウンロードされるのを待たずに開始されます。 CSS や画像などの追加リソースを含めることができますが、Webpack では JavaScript 文字列の形式でエンコードする必要があります。
• object-view-box CSS プロパティを追加しました。これにより、特定の要素の代わりに領域に表示される画像の一部を定義できます。たとえば、境界線や影を追加するために使用できます。
• フルスクリーン機能委任 API が追加されました。これにより、1 つの Window オブジェクトが requestFullscreen() を呼び出す権利を別の Window オブジェクトに委任できるようになります。
• フルスクリーン コンパニオン ウィンドウ API を追加しました。これにより、ユーザーからの確認を受け取った後にフルスクリーン コンテンツとポップアップを別の画面に配置できるようになります。
• CSS プロパティの overflow-clip-margin に Visual-box 属性が追加されました。これは、領域の境界線を越えるコンテンツのトリミングを開始する位置を決定します (content-box、padding-box、border- の値を取ることができます)。箱）。
• Async Clipboard API には、テキスト、画像、マークアップ付きテキスト以外の、クリップボード経由で転送されるデータの特殊な形式を定義する機能が追加されました。
• WebGL は、テクスチャからインポートするときにレンダー バッファーと変換のカラー スペースを指定するためのサポートを提供します。
• OS X 10.11 および macOS 10.12 プラットフォームのサポートは終了しました。
• 以前に非推奨となり、デフォルトで無効になっていた U2F (Cryptotoken) API は廃止されました。 U2F API は Web 認証 API に置き換えられました。
• Web 開発者向けのツールが改善されました。デバッガーは、関数本体のどこかでブレークポイントに到達した後、関数の先頭からコードを再開できるようになりました。 Recorder パネルのアドオン開発のサポートが追加されました。 Performance.measure() メソッドの呼び出しによる Web アプリケーションに設定されたマークの視覚化のサポートがパフォーマンス分析パネルに追加されました。 JavaScript オブジェクト プロパティのオートコンプリートに関する推奨事項が改善されました。 CSS 変数を自動補完する場合、色に関連しない値のプレビューが提供されます。

技術革新とバグ修正に加えて、新しいバージョンでは 27 件の脆弱性が排除されています。脆弱性の多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer、および AFL ツールを使用した自動テストの結果として特定されました。すべてのレベルのブラウザー保護をバイパスし、サンドボックス環境外のシステム上でコードを実行できるような重大な問題は確認されていません。現在のリリースの脆弱性発見に対する賞金プログラムの一環として、Google は 22 ドル相当の 84 件の賞を支払った (15000 ドルの賞が 10000 件、8000 ドルの賞が 7000 件、5000 ドルの賞が 4000 件、3000 ドルの賞が 2000 件、1000 ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件) 、XNUMX ドルの賞が XNUMX つ、XNUMX ドルの賞が XNUMX つ）。 XNUMX回の報酬の規模はまだ決まっていません。

出所： オープンネット.ru