Chrome 105 リリース

Google は Web ブラウザ Chrome 105 のリリースを発表し、同時に Chrome の基盤となる無料の Chromium プロジェクトの安定版リリースが利用可能になりました。 Chrome ブラウザは、Google ロゴの使用、クラッシュ時に通知を送信するシステムの存在、コピー保護されたビデオ コンテンツ (DRM) を再生するモジュール、アップデートを自動的にインストールするシステム、サンドボックス分離を永続的に有効にする点で Chromium とは異なります。 、Google API にキーを提供し、検索時に RLZ- パラメータを送信します。更新にさらに時間が必要な場合は、Extended Stable ブランチが別途サポートされ、その後 8 週間サポートされます。 Chrome 106 の次回リリースは 27 月 XNUMX 日に予定されています。

Chrome 105 の主な変更点:

• 特殊な Web アプリケーションのサポート Chrome Apps は廃止され、Progressive Web Apps (PWA) テクノロジーと標準 Web API に基づくスタンドアロン Web アプリケーションに置き換えられました。 Googleは当初、2016年にChromeアプリを廃止する意向を発表し、2018年までサポートを停止する予定だったが、その後この計画を延期した。 Chrome 105 では、Chrome アプリをインストールしようとすると、サポートされなくなるという警告が表示されますが、アプリは引き続き実行されます。 Chrome 109 では、Chrome アプリを実行する機能が無効になります。
• レンダリングを担当するレンダラー プロセスに追加の分離を提供しました。このプロセスは、既存のサンドボックス分離システムの上に実装された追加のコンテナー (アプリ コンテナー) で実行されるようになりました。レンダリング コードの脆弱性が悪用された場合、追加された制限により、ネットワーク機能に関連するシステム コールへのアクセスが阻止され、攻撃者がネットワークにアクセスできなくなります。
• 認証局のルート証明書を独自に統合ストレージ（Chrome Root Store）を実装。新しいストアはデフォルトではまだ有効になっていないため、実装が完了するまで、証明書は各オペレーティング システムに固有のストアを使用して検証され続けます。テストされているソリューションは、Firefox 用に独立したルート証明書ストアを維持し、HTTPS 経由でサイトを開くときに証明書の信頼チェーンをチェックする最初のリンクとして使用される Mozilla のアプローチを彷彿とさせます。
• Web SQL API の非推奨に向けた準備が始まっていますが、これは標準化されておらず、ほとんど使用されておらず、最新のセキュリティ要件を満たすために再設計が必要です。 Chrome 105 では、HTTPS を使用せずにロードされたコードから Web SQL にアクセスできなくなり、DevTools に非推奨の警告が追加されます。 Web SQL API は 2023 年に削除される予定です。このような機能を必要とする開発者のために、WebAssembly に基づく代替機能が用意されます。
• Chrome 同期は、Chrome 73 以前のリリースとの同期をサポートしなくなりました。
• macOS および Windows プラットフォームの場合、組み込みの証明書ビューアが有効になり、オペレーティング システムが提供するインターフェイスの呼び出しが置き換えられます。以前は、組み込みビューアは Linux および ChromeOS のビルドでのみ使用されていました。
• Android バージョンでは、プライバシー サンドボックス イニシアチブの一環として推進されているトピックとインタレスト グループ API を管理するための設定が追加されています。これにより、ユーザーの興味のカテゴリを定義し、Cookie を追跡する代わりにそれを使用して、個人を特定せずに同様の興味を持つユーザーのグループを識別できます。ユーザー。前回のリリースでは、同様の設定が Linux、ChromeOS、macOS、Windows のバージョンに追加されました。
• 強化されたブラウザー保護を有効にすると (セーフ ブラウジング > 強化された保護)、インストールされたアドオン、API へのアクセス、外部サイトへの接続に関するテレメトリが収集されます。このデータは、ブラウザ アドオンによる悪意のあるアクティビティやルール違反を検出するために Google サーバーで使用されます。
• 非推奨となり、Chrome 106 の Cookie ヘッダーで指定されたドメインでの非 ASCII 文字の使用がブロックされます (IDN ドメインの場合、ドメインは Punycode 形式である必要があります)。この変更により、ブラウザは RFC 6265bis および Firefox に実装された動作に準拠するようになります。
• カスタム ハイライト API が提案されており、テキストの選択された領域のスタイルを任意に変更するように設計されており、ハイライト領域 (::selection、::inactive-selection) およびハイライトに対してブラウザーによって提供される固定スタイルに制限されないようにすることができます。構文エラー (::スペル エラー、::文法エラー)。 API の最初のバージョンでは、color および background-color 擬似要素を使用してテキストと背景色の変更がサポートされていましたが、将来的には他のスタイル オプションも追加される予定です。

  新しい API を使用して解決できるタスクの例として、テキスト編集用のツール、独自のテキスト選択メカニズム、複数のユーザーによる同時共同編集のためのさまざまな強調表示、仮想化されたドキュメントでの検索を提供する Web フレームワークへの追加が挙げられます。およびスペルチェック時のエラーのフラグ付け。以前は、非標準のハイライトの作成に DOM ツリーを使用した複雑な操作が必要であった場合、カスタム ハイライト API は、DOM 構造に影響を与えず、Range オブジェクトに関連してスタイルを適用するハイライトの追加と削除のための既製の操作を提供します。

• CSS に「@container」クエリが追加され、親要素のサイズに基づいて要素のスタイルを設定できるようになりました。 「@container」は「@media」クエリに似ていますが、表示領域全体のサイズではなく、要素が配置されているブロック（コンテナ）のサイズに適用されるため、独自のサイズを設定できます。要素がページ上のどこに正確に配置されているかに関係なく、子要素のスタイル選択ロジック。
• 親要素内に子要素が存在するかどうかをチェックするCSS疑似クラス「:has()」を追加しました。たとえば、「p:has(span)」は、内部に 要素を持つ 要素をカバーします。
• HTML Sanitizer API が追加されました。これにより、setHTML() メソッドを介して出力中に表示および実行に影響を与える要素をコンテンツから切り取ることができます。この API は、外部データをクリーニングして、XSS 攻撃の実行に使用される可能性のある HTML タグを削除するのに役立ちます。
• Streams API (ReadableStream) を使用して、応答本文がロードされる前にフェッチ リクエストを送信することができます。ページの生成が完了するのを待たずにデータの送信を開始できます。
• インストールされたスタンドアロン Web アプリケーション (PWA、プログレッシブ Web アプリ) の場合、Web アプリケーションの画面領域をウィンドウ全体に拡張し、ウィンドウ コントロール オーバーレイ コンポーネントを使用してウィンドウ タイトル領域のデザインを変更することができます。 Web アプリケーションに通常のデスクトップ アプリケーションの外観を与えることができます。 Web アプリケーションは、標準のウィンドウ コントロール ボタン (閉じる、最小化、最大化) を備えたオーバーレイ ブロックを除き、ウィンドウ全体で入力のレンダリングと処理を制御できます。
• 専用ワーカー (D dedicatedWorker コンテキスト内) からメディア ソース拡張機能にアクセスする機能が安定しました。これを使用すると、たとえば、別のワーカーで MediaSource オブジェクトを作成し、作業結果はメインスレッドの HTMLMediaElement に送信されます。
• User-Agent ヘッダーを置き換えるために開発されている Client Hints API では、サーバーからのリクエスト後にのみ、特定のブラウザーおよびシステム パラメーター (バージョン、プラットフォームなど) に関するデータを選択的に提供できるようになります。 -CH-Viewport-Heigh プロパティが追加され、表示領域の高さに関する情報を取得できるようになりました。 「meta」タグで外部リソースのクライアント ヒント パラメーターを指定するためのマークアップ形式が変更されました。 以前: 現在:
• グローバル onbeforeinput イベント ハンドラー (document.documentElement.onbeforeinput) を作成する機能を追加しました。この機能を使用すると、、 ブロック内のテキスト、および「contenteditable」属性が設定されたその他の要素を編集する際の動作を Web アプリケーションでオーバーライドできます。 , 要素の内容やDOMツリーのブラウザを変更する前の段階です。
• Navigation API の機能が拡張され、Web アプリケーションがウィンドウ内のナビゲーション操作をインターセプトし、遷移を開始し、アプリケーションでのアクションの履歴を分析できるようになりました。遷移をインターセプトする新しいメソッド intercept() と、指定された位置までスクロールするためのscroll() を追加しました。
• 静的メソッド Response.json() が追加されました。これにより、JSON タイプのデータに基づいて応答本文を生成できます。
• Web 開発者向けのツールが改善されました。デバッガーでは、ブレークポイントがトリガーされると、デバッグ セッションを中断することなく、スタック内の最上位関数を編集できます。 [レコーダー] パネルでは、ページ上のユーザー アクションを記録、再生、分析でき、ブレークポイント、ステップごとの再生、およびマウスオーバー イベントの記録がサポートされています。

  LCP (Largest Contentful Paint) メトリクスがパフォーマンス ダッシュボードに追加され、画像、ビデオ、ブロック要素など、表示領域内の大きな (ユーザーに表示される) 要素をレンダリングする際の遅延を特定します。 [要素] パネルでは、他のコンテンツの上に表示される最上位レイヤーは特別なアイコンでマークされます。 WebAssembly には、DWARF 形式でデバッグ データをロードできる機能が追加されました。

技術革新とバグ修正に加えて、新しいバージョンでは 24 件の脆弱性が排除されています。脆弱性の多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer、および AFL ツールを使用した自動テストの結果として特定されました。すべてのレベルのブラウザー保護をバイパスし、サンドボックス環境外のシステム上でコードを実行できるような重大な問題は確認されていません。現在のリリースの脆弱性の発見に対して賞金を支払うプログラムの一環として、Google は 21 ドル相当の 60500 件の賞を支払った (10000 ドルの賞が 9000 件、7500 ドルの賞が 7000 件、5000 ドルの賞が 3000 件、2000 ドルの賞が 1000 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件、賞が XNUMX 件) )。XNUMX ドルと XNUMX ドルのボーナス XNUMX つ)。 XNUMXつの報酬の規模はまだ決定されていません。

出所： オープンネット.ru