Chrome 76 リリース

グーグル 提示 ウェブブラウザのリリース クローム76。 同時に 利用可能です 無料プロジェクトの安定リリース クロム、Chromeの基礎です。 Chromeブラウザ 異なる Google ロゴの使用、クラッシュ時に通知を送信するシステムの存在、リクエストに応じて Flash モジュールをダウンロードする機能、保護されたビデオ コンテンツ (DRM) を再生するモジュール、更新を自動的にインストールし、検索中に送信するシステム RLZパラメータ。 Chrome 77 の次回リリースは 10 月 XNUMX 日に予定されています。

メイン 変更 в クロム 76:

• アクティブ化 デフォルトでは、サードパーティ Cookie の転送に対する保護モード。Set-Cookie ヘッダーに SameSite 属性がない場合、デフォルトで値「SameSite=Lax」が設定され、からの挿入に対する Cookie の送信が制限されます。サードパーティのサイト (ただし、サイトは Cookie 値 SameSite=None を設定するときに明示的に設定することで制限をオーバーライドできます)。 これまで、ブラウザは、最初に別のサイトを開いた場合でも、Cookie が設定されているサイトへのリクエストに対して Cookie を送信し、リクエストは画像の読み込みや iframe 経由で間接的に行われました。 「Lax」モードでは、Cookie の送信は、CSRF 攻撃を開始したり、サイト間のユーザーの移動を追跡するためによく使用される画像リクエストや iframe コンテンツの読み込みなど、サイト間のサブリクエストに対してのみブロックされます。
• デフォルトで Flash コンテンツの再生を停止しました。 87 年 2020 月に予定されている Chrome 2020 のリリースまでは、設定 ([詳細設定] > [プライバシーとセキュリティ] > [サイト設定]) で Flash サポートを戻すことができ、その後、各サイトの Flash コンテンツの再生動作を明示的に確認することができます (確認はブラウザを再起動するまで記憶されます)。 Flash をサポートするコードの完全な削除は、Adobe が以前発表した XNUMX 年に Flash テクノロジーのサポートを終了する計画と同期しています。
• 企業向けには、Google ドライブ ストレージ内のファイルを検索する機能がアドレス バーに追加されました。
  

• 開始 大量ブロック コンテンツの認識を妨げ、Coalition for Better Advertising が策定した基準を満たさない Chrome での不適切な広告。
• 新しいページに切り替えるための適応モードが実装されています。このモードでは、現在のコンテンツがクリアされ、すぐには表示されず、少し遅れて白い背景が表示されます。 高速に読み込まれるページの場合、スクレイピングではちらつきが発生するだけで、新しいページが読み込まれることをユーザーに通知するペイロードは提供されません。 新しいリリースでは、ページがすぐに開いてわずかな遅延がある場合、新しいページが所定の位置に表示され、前のページがシームレスに置き換えられます (たとえば、デザインが似ている同じサイトの他のページに切り替える場合に便利です)と配色）。 ページを表示するのにユーザーが気づくまでに時間がかかる場合は、以前と同様に、画面が事前にクリアされます。
• ページ上のユーザー アクティビティを判断する基準が厳格化されました。 Chrome では、ページ上でユーザーがアクションを行った後にのみ、ポップアップ通知を表示したり、迷惑なビデオ/オーディオ コンテンツを再生したりすることができます。 新しいリリースでは、Esc キーを押すこと、リンク上にマウスを移動すること、画面にタッチすることは、ページをアクティブにする操作 (明示的なクリック、入力、またはスクロールが必要) として認識されなくなりました。
• 追加した メディア クエリ「prefers-color-scheme」。これにより、サイトがブラウザーがダーク テーマを使用しているかどうかを判断し、表示されているサイトでダーク テーマを自動的に有効にすることができます。
• Linux 用のビルドでダーク テーマを有効にすると、アドレス バーが暗い色で表示されるようになりました。
• ブロックされました FileSystem API を使用した操作を通じて、シークレット モードでページが開かれたかどうかを判断する機能。これは、Cookie を覚えずに非個人的にページを開いた場合に有料サブスクリプションを課すために一部の出版物で以前に使用されていました (ユーザーがプライベート モードを使用しないようにするため)無料トライアルアクセスを提供するメカニズムをバイパスするため）。 以前は、シークレット モードで作業している場合、ブラウザはセッション間でデータが滞ることを防ぐために FileSystem API へのアクセスをブロックしていました。これにより、JavaScript は FileSystem API を介してデータを保存できるかどうかを確認し、失敗した場合にはそのアクティビティを判断できました。シークレットモード。 FileSystem API へのアクセスはブロックされなくなり、セッション終了後にコンテンツがクリアされるようになりました。
• 追加した の新たな挑戦
  API 支払いリクエストと支払いハンドラー。 新しいメソッドchangePaymentMethod()がPaymentRequestEventオブジェクトに登場し、新しいイベントハンドラpaymentmethodchangeがPaymentRequestオブジェクトに追加されました。これにより、支払い収集サイトまたはWebアプリケーションは、ユーザーによる支払い方法の変更に応答できるようになります。 新しいリリースでは、決済 API が自己署名証明書を使用してアプリケーションをテストすることも容易になります。 開発中に証明書検証エラーを無視するために、新しいコマンド ライン オプション「-ignore-certificate-errors」が追加されました。

• デスクトップ プログレッシブ Web アプリ (PWA) モードで実行されている Web アプリケーションのブックマークに追加するボタンの横にあるアドレス バーで、 追加されました Web アプリケーションをシステムにインストールして別のプログラムとして動作させるためのショートカット。
  

• モバイル デバイスの場合、ホーム画面にアプリケーションを追加するよう促すミニパネルの表示を制御できます。 PWA (プログレッシブ Web アプリ) アプリケーションの場合、最初にサイトを開いたときにデフォルトのミニバーが自動的に表示されます。 開発者は、このパネルの表示を拒否し、独自のインストール プロンプトを実装して、イベント ハンドラーをインストールできるようになりました。
  beforeinstallprompt を実行し、preventDefault() への呼び出しをアタッチします。
  

• Android環境にインストールされているPWAアプリ(Progressive Web App)の更新チェック頻度が向上しました。 WebAPK アップデートは、以前のように XNUMX 日に XNUMX 回ではなく、XNUMX 日に XNUMX 回チェックされるようになりました。 このようなチェックにより、マニフェスト内の少なくとも XNUMX つの主要なプロパティの変更が明らかになった場合、ブラウザは新しい WebAPK をダウンロードしてインストールします。
• API内 非同期クリップボード navigator.clipboard.read() メソッドと navigator.clipboard.write() メソッドを使用して、クリップボード経由でプログラム的に画像を読み書きする機能を追加しました。
• HTTP ヘッダーのグループのサポートを実装しました。 メタデータのフェッチ (Sec-Fetch-Dest、Sec-Fetch-Mode、Sec-Fetch-Site、Sec-Fetch-User) を使用すると、リクエストの性質 (クロスサイトリクエスト、img タグ経由のリクエストなど) に関する追加のメタデータを送信できます。 .) サーバーによる受け入れのため 特定の種類の攻撃から保護するための措置 (たとえば、送金用のハンドラーへのリンクが img タグを介して指定される可能性は低いため、そのようなリクエストはアプリケーションに渡されることなくブロックできます) );
• 追加機能 form.requestSubmit()、送信ボタンをクリックするのと同じ方法で、プログラムによるフォーム データの送信を開始します。 この関数は、独自のフォーム送信ボタンを開発するときに使用できます。その場合、パラメータの対話型検証、「送信」イベントの生成、およびデータの送信につながらないため、form.submit() の呼び出しだけでは十分ではありません。送信ボタンにバインドされています。
• IndexedDBに機能を追加 コミット（）これにより、関連するすべてのリクエストのイベント ハンドラーが完了するのを待たずに、IDBTransaction オブジェクトに関連付けられたトランザクションをコミットできます。 commit() を使用すると、ストレージへの書き込みおよび読み取りリクエストのスループットを向上させ、トランザクションの完了を明示的に制御できます。
• formatToParts() やsolveOptions() などのオプションを Intl.DateTimeFormat 関数に追加しました。 dateStyle と timeStyle、ロケール固有の日付と時刻の表示スタイルをリクエストできます。
• BigInt.prototype.toLocaleString() メソッドはロケールに基づいて数値をフォーマットするように変更され、Intl.NumberFormat.prototype.format() メソッドと formatToParts() 関数は BigInt 入力値をサポートするように変更されました。
• 許可された API メディア機能 すべてのタイプの Web ワーカーで、ワーカーから MediaStream を作成するときに最適なパラメーターを選択するために使用できます。
• 追加されたメソッド Promise.allSettled()、保留中の Promise を含まず、履行または拒否された Promise のみを返します。
• 以前は Chrome インターフェイスでポップアップ警告を非表示にするために使用できた「--disable-infobars」オプションを削除しました (セキュリティ関連の警告を非表示にするために CommandLineFlagSecurityWarningsEnabled ルールが提案されています)。
• BLOB を操作するためのインターフェイスへ 追加した 特定のデータ型を読み取るためのメソッド text()、arrayBuffer()、および stream()。
• CSS プロパティ「white-space:break-spaces」を追加して、行オーバーフローを引き起こす一連の空白文字を分割することを指定しました。
• たとえば、chrome://flags 内のフラグをクリーンアップする作業が開始されました。 削除されました 「ping」属性を無効にするフラグ。これにより、サイト所有者がページからのリンクのクリックを追跡できるようになります。 リンクをたどり、ブラウザの「a href」タグに「ping=URL」属性がある場合、属性で指定された URL への遷移に関する情報を含む追加の POST リクエストの送信を無効にできるようになりました。 この属性があるため、ping をブロックする意味が失われます。 定義済み HTML5 仕様では、同じアクションを実行するための回避策が多数あります (たとえば、トランジット リンクを通過する、または JavaScript ハンドラーでクリックをインターセプトする)。
• 無効フラグを削除しました 厳格なサイト隔離体制、異なるホストからのページは常に異なるプロセスのメモリに配置され、それぞれが独自のサンドボックスを使用します。
• V8 エンジンにより、JSON 形式のスキャンと解析のパフォーマンスが大幅に向上しました。 人気のある Web ページの場合、JSON.parse の実行速度は最大 2.7 倍になります。 Unicode 文字列の変換は大幅に高速化され、たとえば、String#localeCompare、String#normalize、および一部の Intl API の呼び出し速度がほぼ XNUMX 倍になりました。 また、frozen.indexOf(v)、frozen.includes(v)、fn(...frozen)、fn(...[...frozen]) などの操作を使用する場合、凍結された配列を使用した操作のパフォーマンスも大幅に最適化されました。そして fn.apply(this, [... 凍結])。
  

新しいバージョンでは、革新とバグ修正に加えて、次のような問題が解消されています。 43 件の脆弱性。 脆弱性の多くは自動テストツールの結果として特定されました AddressSanitizer, メモリーサニタイザー, 制御フローの整合性, リブファザー и AFL。 すべてのレベルのブラウザー保護をバイパスし、サンドボックス環境外のシステム上でコードを実行できるような重大な問題は確認されていません。 現在のリリースの脆弱性の発見に対して賞金を支払うプログラムの一環として、Google は 16 件の賞に 23500 ドルを支払いました (10000 件の賞品は 6000 ドル、3000 件の賞品は 500 ドル、9 件の賞品は XNUMX ドル、XNUMX 件の賞品は XNUMX ドル)。 XNUMXつの報酬の規模はまだ決定されていません。

出所： オープンネット.ru