Chrome 93 リリース

Google は Web ブラウザ Chrome 93 のリリースを発表し、同時に Chrome の基盤となる無料の Chromium プロジェクトの安定版リリースが利用可能になりました。 Chrome ブラウザは、Google ロゴの使用、クラッシュ時に通知を送信するシステムの存在、保護されたビデオ コンテンツ (DRM) を再生するモジュール、アップデートを自動的にインストールするシステム、および検索時の RLZ パラメータの送信によって区別されます。 Chrome 94 の次のリリースは 21 月 4 日に予定されています (開発は XNUMX 週間のリリース サイクルに移行されました)。

Chrome 93 の主な変更点:

• ページ情報 (ページ情報) を含むブロックの設計が最新化され、ネストされたブロックのサポートが実装され、アクセス権のあるドロップダウン リストがスイッチに置き換えられました。 リストにより、最も重要な情報が最初に表示されます。 この変更はすべてのユーザーに対して有効ではありません。有効にするには、「chrome://flags/#page-info-version-2-desktop」設定を使用します。
• 少数のユーザーを対象に、実験として、アドレス バーの安全な接続インジケーターが二重解釈を引き起こさない、より中立的な記号に置き換えられました (ロックは「V」記号に置き換えられました)。 暗号化せずに確立された接続の場合、「安全ではありません」インジケーターが表示され続けます。 インジケーターを置き換える理由として挙げられているのは、多くのユーザーが南京錠インジケーターを、接続が暗号化されていることを示すものではなく、サイトのコンテンツが信頼できるという事実と関連付けているためです。 Google の調査によると、鍵の付いたアイコンの意味を理解しているユーザーは 11% のみです。
• 最近閉じたタブのリストには、閉じたタブのグループの内容が表示されるようになりました (以前のリストでは、内容の詳細は示されず、単にグループの名前が表示されていました)。グループ全体とグループから個々のタブの両方を一度に返すことができます。 この機能はすべてのユーザーに対して有効になっているわけではないため、有効にするには「chrome://flags/#tab-restore-sub-menus」設定を変更する必要がある場合があります。
• エンタープライズ向けに、新しい設定: DefaultJavaScriptJitSetting、JavaScriptJitAllowedForSites、および JavaScriptJitBlockedForSites が実装されました。これにより、JIT レス モードを制御できるようになります。これにより、JavaScript の実行時に JIT コンパイルの使用が無効になり (Ignition インタープリターのみが使用されます)、実行可能ファイルの割り当てが禁止されます。コード実行中のメモリ。 JIT を無効にすると、JavaScript の実行パフォーマンスが約 17% 低下する代わりに、潜在的に危険な Web アプリケーションを操作する際のセキュリティを向上させることができます。 注目に値するのは、Microsoft がさらに進んで、Edge ブラウザに実験的な「Super Duper Secure」モードを実装し、ユーザーが JIT を無効にし、JIT と互換性のないハードウェア セキュリティ メカニズム CET (Controlflow-Enforcement Technology)、ACG (Arbitrary) を有効化できるようにしたことです。 Web コンテンツを処理するプロセス用の Code Guard) と CFG (Control Flow Guard)。 実験が成功した場合は、Chrome の本体に転送されることが期待できます。
• 新しいタブ ページには、Google ドライブに保存されている最も人気のあるドキュメントのリストが表示されます。 リストの内容は、drive.google.com の優先度セクションに対応します。 Google ドライブのコンテンツの表示を制御するには、「chrome://flags/#ntp-modules」および「chrome://flags/#ntp-drive-module」設定を使用できます。
• 最近表示したコンテンツや関連情報を見つけるのに役立つ新しい情報カードが [新しいタブを開く] ページに追加されました。 カードは、閲覧が中断された情報の継続作業を容易にするように設計されています。たとえば、カードは、最近オンラインで見つけたが、ページを閉じた後に紛失した料理のレシピを見つけたり、作り続けたりするのに役立ちます。店舗での購入。 実験として、ユーザーには XNUMX つの新しいマップが提供されます。「レシピ」(chrome://flags/#ntp-recipe-tasks-module) は料理レシピを検索し、最近閲覧したレシピを表示します。 「ショッピング」(chrome://flags/#ntp-chrome-cart-module) オンライン ストアで選択した商品に関するリマインダーを提供します。
• Android バージョンでは、継続検索パネル (chrome://flags/#continuous-search) のオプションのサポートが追加されており、これにより、最近の Google 検索結果を表示したままにすることができます (パネルは、他のページに移動した後も結果を表示し続けます)。
• 実験的な引用共有モードが Android バージョン (chrome://flags/#webnotes-stylize) に追加されました。これにより、ページの選択した部分を引用として保存し、他のユーザーと共有できるようになります。
• 新しい追加またはバージョンの更新を Chrome ウェブストアに公開する場合、XNUMX 要素の開発者認証が必須になりました。
• Google アカウント ユーザーには、お支払い情報を Google アカウントに保存するオプションがあります。
• シークレット モードでは、ナビゲーション データをクリアするオプションが有効になっている場合、新しい操作確認ダイアログが実装され、データをクリアするとウィンドウが閉じられ、シークレット モードでのすべてのセッションが終了することが説明されています。
• 一部のデバイスのファームウェアとの非互換性が確認されたため、Chrome 91 には、CECPQ1.3 (Combined Elliptic-Curve and Post-Quantum 2) 拡張機能の使用に基づいて、量子コンピュータでの推測に耐性のある新しい鍵共有方式のサポートが追加されました。 TLSv2 は、古典的な X25519 キー交換メカニズムと、ポスト量子暗号システム用に設計された NTRU Prime アルゴリズムに基づく HRSS スキームを組み合わせたものです。
• ALPACA 攻撃をブロックするために、ポート 989 (ftps-data) と 990 (ftps) が禁止されたネットワーク ポートの数に追加されました。 以前は、NAT スリップストリーミング攻撃から保護するために、ポート 69、137、161、554、1719、1720、1723、5060、5061、6566、および 10080 がすでにブロックされていました。
• TLS は、3DES アルゴリズムに基づく暗号をサポートしなくなりました。 特に、Sweet3 攻撃の影響を受けやすい TLS_RSA_WITH_32DES_EDE_CBC_SHA 暗号スイートは削除されました。
• Ubuntu 16.04のサポートは終了しました。
• 共通のGoogleアカウントで接続された異なるデバイス間でWebOTP APIを利用することが可能です。 WebOTP を使用すると、Web アプリケーションで SMS 経由で送信されたワンタイム認証コードを読み取ることができます。 提案されている変更により、Chrome for Android を実行しているモバイル デバイスで確認コードを受信し、それをデスクトップ システムに適用できるようになります。
• User-Agent Client Hints API が拡張され、User-Agent ヘッダーの置き換えとして開発されました。 ユーザー エージェント クライアント ヒントを使用すると、サーバーからのリクエスト後にのみ、特定のブラウザーおよびシステム パラメーター (バージョン、プラットフォームなど) に関するデータを選択的に配信することができます。 ユーザーは、サイト所有者にどのような情報を提供できるかを決定できます。 ユーザー エージェント クライアント ヒントを使用する場合、ブラウザ識別子は明示的な要求なしに送信されず、デフォルトでは基本パラメータのみが指定されるため、受動的識別が困難になります。

  新しいバージョンでは、最適化されたバイナリ ファイルを提供するために使用できる、プラットフォームのビット数に関するデータを返す Sec-CH-UA-Bitness パラメーターがサポートされています。 デフォルトでは、Sec-CH-UA-Platform パラメーターは一般的なプラットフォーム情報とともに送信されます。 getHighEntropyValues() を呼び出したときに返される UADataValues 値は、詳細なオプションを返すことができない場合に一般化されたパラメーターを返すようにデフォルトで実装されています。 toJSON メソッドが NavigatorUAData オブジェクトに追加され、JSON.stringify(navigator.userAgentData) のような構造を使用できるようになりました。

• リソースを Web バンドル形式のパッケージにパッケージ化する機能は、多数の付随ファイル (CSS スタイル、JavaScript、画像、iframe) のより効率的な読み込みを整理するのに適しており、安定化され、デフォルトで提供されます。 JavaScript ファイル用パッケージ (webpack) の既存のサポートの欠点の中には、Web バンドルが解消しようとしているものもあります。パッケージ自体は、そのコンポーネント部分ではなく、HTTP キャッシュに残る可能性があります。 コンパイルと実行は、パッケージが完全にダウンロードされた後にのみ開始できます。 CSS や画像などの追加リソースは JavaScript 文字列の形式でエンコードする必要があるため、サイズが増加し、別の解析手順が必要になります。
• WebXR 平面検出 API が含まれており、仮想 3D 環境の平面に関する情報を提供します。 指定された API により、コンピューター ビジョン アルゴリズムの独自の実装を使用して、MediaDevices.getUserMedia() 呼び出しを通じて取得されたデータのリソースを大量に消費する処理を回避できます。 WebXR API を使用すると、固定 3D ヘルメットからモバイル デバイスに基づくソリューションに至るまで、さまざまなクラスの仮想現実デバイスとの作業を統合できることを思い出してください。
• いくつかの新しい API が Origin トライアル モードに追加されました (別途アクティベーションが必要な実験的な機能)。 オリジン トライアルとは、ローカルホストまたは 127.0.0.1 からダウンロードされたアプリケーションから、または特定のサイトで期間限定で有効な特別なトークンを登録して受信した後、指定された API を操作できる機能を意味します。
  • マルチスクリーン ウィンドウ配置 API が提案されています。この API を使用すると、現在のシステムに接続されている任意のディスプレイにウィンドウを配置できるだけでなく、ウィンドウの位置を保存したり、必要に応じてウィンドウを全画面に拡張したりすることができます。 たとえば、指定された API を使用すると、プレゼンテーションを表示する Web アプリケーションは、ある画面でスライドの表示を整理し、別の画面で発表者向けのメモを表示できます。
  • Cross-Origin-Embedder-Policy ヘッダーは、Cross-Origin 分離モードを制御し、[Privileged Operations] ページで安全な使用ルールを定義できるようにします。次のような資格情報関連情報の送信を無効にする「credentialless」パラメーターをサポートするようになりました。 Cookie とクライアント証明書。
  • ウィンドウ コンテンツのレンダリングを制御し、入力を処理するスタンドアロン Web アプリケーション (PWA、プログレッシブ Web アプリ) の場合、タイトル バーや展開/折りたたみボタンなどのウィンドウ コントロールを備えたオーバーレイが提供されます。 オーバーレイは編集可能領域を拡張してウィンドウ全体をカバーし、タイトル領域に独自の要素を追加できるようにします。
  • URL ハンドラーとして使用できる PWA アプリケーションを作成する機能が追加されました。 たとえば、music.example.com アプリケーションは、それ自体を URL ハンドラー https://*.music.example.com として登録でき、インスタント メッセンジャーや電子メール クライアントなど、これらのリンクを使用する外部アプリケーションからのすべての遷移は、新しいブラウザ タブではなく、この PWA アプリケーションを開くことになります。
• JavaScript モジュールをロードするのと同様に、「import」式を使用して CSS ファイルをロードすることができます。これは、独自の要素を作成するときに便利で、JavaScript コードを使用してスタイルを割り当てることなく実行できます。 './styles.css' からシートをインポートします。assert { type: 'css' }; document.adoptedStyleSheets = [シート]; shadowRoot.adoptedStyleSheets = [シート];
• 新しい静的メソッド AbortSignal.abort() が提供され、すでに中止設定されている AbortSignal オブジェクトを返します。 中止状態の AbortSignal オブジェクトを作成するための数行のコードの代わりに、XNUMX 行の「return AbortSignal.abort()」で済むようになりました。
• Flexbox 要素には、start、end、self-start、self-end、left、right キーワードのサポートが追加され、flex 要素の位置を簡単に揃えるためのツールで center、flex-start、flex-end キーワードを補完します。
• Error() コンストラクターは、新しいオプションの「原因」プロパティを実装します。これにより、エラーを簡単に相互に関連付けることができます。 constparentError = new Error('parent'); const error = new Error('parent', { 原因:parentError }); console.log(error.cause ===parentError); // → true
• noplaybackrate モードのサポートが HTMLMediaElement.controlsList プロパティに追加されました。これにより、マルチメディア コンテンツの再生速度を変更するためにブラウザーに提供されるインターフェイスの要素を無効にすることができます。
• Sec-CH-Prefers-Color-Scheme ヘッダーを追加しました。これにより、リクエスト送信段階で、「prefers-color-scheme」メディア クエリで使用されるユーザーの好みのカラー スキームに関するデータを送信できるようになり、サイトの最適化が可能になります。選択したスキームに関連付けられた CSS をロードし、他のスキームからの目に見える切り替えを回避します。
• Object.prototype.hasOwnProperty の簡易バージョンであり、静的メソッドとして実装された Object.hasOwn プロパティが追加されました。 Object.hasOwn({ prop: 42 }, 'prop') // → true
• 非常に高速なブルート フォース コンパイル用に設計された Sparkplug の JIT コンパイラには、書き込みモードと実行モードの間でメモリ ページを切り替えるオーバーヘッドを削減するバッチ実行モードが追加されました。 Sparkplug は、複数の関数を一度にコンパイルし、mprotect を 44 回呼び出してグループ全体の権限を変更するようになりました。 提案されたモードは、JavaScript の実行パフォーマンスに悪影響を与えることなく、コンパイル時間を大幅に (最大 XNUMX%) 短縮します。
• Android バージョンでは、Spectre などのサイドチャネル攻撃に対する V8 エンジンの組み込み保護が無効になります。この攻撃は、サイトを別のプロセスに分離するほど効果的ではないと考えられています。 デスクトップ バージョンでは、これらのメカニズムは Chrome 70 のリリースで無効になっていました。不要なチェックを無効にすることで、パフォーマンスが 2 ～ 15% 向上しました。
• Web 開発者向けのツールが改善されました。 スタイルシート検査モードでは、@container 式を使用して生成されたクエリを編集できます。 ネットワーク検査モードでは、Web バンドル形式のリソースのプレビューが実装されます。 Web コンソールでは、JavaScript または JSON リテラルの形式で文字列をコピーするためのオプションがコンテキスト メニューに追加されました。 CORS (Cross-Origin Resource Sharing) 関連エラーのデバッグが改善されました。

技術革新とバグ修正に加えて、新しいバージョンでは 27 件の脆弱性が排除されています。 脆弱性の多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer、および AFL ツールを使用した自動テストの結果として特定されました。 すべてのレベルのブラウザー保護をバイパスし、サンドボックス環境外のシステム上でコードを実行できるような重大な問題は確認されていません。 現在のリリースの脆弱性を発見した場合に現金で報奨金を支払うプログラムの一環として、Google は 19 ドル相当の 136500 件の賞を支払った (20000 ドルの賞が 15000 件、10000 ドルの賞が 7500 件、5000 ドルの賞が 3000 件、5 ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件)。 XNUMXつの報酬の規模はまだ決定されていません。

出所： オープンネット.ru