Chrome 94 リリース

Google は Web ブラウザ Chrome 94 のリリースを発表し、同時に Chrome の基盤となる無料の Chromium プロジェクトの安定版リリースが利用可能になりました。 Chrome ブラウザは、Google ロゴの使用、クラッシュ時に通知を送信するシステムの存在、保護されたビデオ コンテンツ (DRM) を再生するモジュール、アップデートを自動的にインストールするシステム、および検索時の RLZ パラメータの送信によって区別されます。 Chrome 95 の次回リリースは 19 月 XNUMX 日に予定されています。

Chrome 94 のリリース以降、開発は新しいリリース サイクルに移行しました。 新しい重要なリリースは、4 週間ごとではなく 6 週間ごとに公開されるようになり、新機能をより迅速にユーザーに提供できるようになります。 リリース準備プロセスの最適化とテスト システムの改善により、品質を損なうことなくリリースをより頻繁に生成できるようになったことが注目されます。 企業や更新にさらに時間が必要な企業向けには、拡張安定版が 8 週間ごとに個別にリリースされます。これにより、4 週間に 8 回ではなく、XNUMX 週間に XNUMX 回新機能リリースに切り替えることができます。

Chrome 94 の主な変更点:

• HTTPS-First モードが追加されました。これは、Firefox に以前登場した HTTPS Only モードを彷彿とさせます。 設定でこのモードが有効になっている場合、HTTP 経由で暗号化せずにリソースを開こうとすると、ブラウザーはまず HTTPS 経由でサイトにアクセスしようとし、試行が失敗した場合は、暗号化されていないことに関する警告がユーザーに表示されます。 HTTPS がサポートされており、暗号化せずにサイトを開くように求められます。 将来的には、Google はすべてのユーザーに対してデフォルトで HTTPS-First を有効にし、HTTP 経由で開かれたページの一部の Web プラットフォーム機能へのアクセスを制限し、暗号化なしでサイトにアクセスするときに生じるリスクについてユーザーに通知する追加の警告を追加することを検討しています。 このモードは、「プライバシーとセキュリティ」 > 「セキュリティ」 > 「詳細」設定セクションで有効になります。
• HTTPS を使用せずに開かれたページの場合、ローカル URL (たとえば、「http://router.local」および localhost) および内部アドレス範囲 (127.0.0.0/8、192.168.0.0/16、10.0.0.0) にリクエスト (リソースのダウンロード) を送信します。 .8/1.2.3.4など）は禁止されています。 例外は、内部 IP を持つサーバーからダウンロードされたページのみです。 たとえば、サーバー 192.168.0.1 からロードされたページは、IP 127.0.0.1 または IP 192.168.1.1 にあるリソースにアクセスできませんが、サーバー XNUMX からロードされたページはアクセスできます。 この変更により、ローカル IP でリクエストを受け入れるハンドラーの脆弱性悪用に対する追加の保護層が導入され、DNS 再バインド攻撃からも保護されます。
• 現在のページへのリンクを他のユーザーと素早く共有できる「共有ハブ」機能を追加しました。 URL から QR コードを生成し、ページを保存し、ユーザー アカウントにリンクされた別のデバイスにリンクを送信し、Facebook、WhatsUp、Twitter、VK などのサードパーティ サイトにリンクを転送することができます。 この機能はまだすべてのユーザーが利用できるようにはなっていません。 メニューとアドレスバーの「共有」ボタンを強制するには、設定「chrome://flags/#sharing-hub-desktop-app-menu」と「chrome://flags/#sharing-hub-」を使用できます。デスクトップオムニボックス」。
• ブラウザ設定インターフェイスが再構築されました。 各設定セクションは、XNUMX つの共通ページではなく、別のページに表示されるようになりました。
• 発行および取り消された証明書のログの動的更新のサポート (証明書の透明性) が実装され、ブラウザーの更新を参照せずに更新されるようになりました。
• 新しいリリースでのユーザーに見える変更点の概要を記載したサービス ページ「chrome://whats-new」を追加しました。 このページは更新直後に自動的に表示されるか、[ヘルプ] メニューの [新機能] ボタンからアクセスできます。 このページには現在、タブ検索、プロファイルの分割機能、背景色の変更機能について言及されていますが、これらは Chrome 94 に固有のものではなく、過去のリリースで導入されていました。 ページの表示はまだすべてのユーザーに対して有効になっていません。アクティベーションを制御するには、設定「chrome://flags#chrome-whats-new-ui」および「chrome://flags#chrome-whats-new-in」を使用できます。 -メインメニュー-新しいバッジ」。
• サードパーティのサイト (iframe など) からロードされたコンテンツから WebSQL API を呼び出すことは非推奨になりました。 Chrome 94 では、サードパーティのスクリプトから WebSQL にアクセスしようとすると警告が表示されますが、Chrome 97 以降では、そのような呼び出しはブロックされます。 将来的には、使用状況に関係なく、WebSQL のサポートを段階的に完全に廃止する予定です。 WebSQL エンジンは SQLite コードに基づいており、攻撃者が SQLite の脆弱性を悪用するために使用する可能性があります。
• セキュリティ上の理由と悪意のあるアクティビティの防止のため、かつて Internet Explorer で使用され、Web アプリケーションが圧縮ファイルから情報を抽出できるようにしていたレガシー MK (URL:MK) プロトコルの使用がブロックされ始めています。
• 古いバージョンの Chrome (Chrome 48 以前) との同期のサポートは廃止されました。
• Permissions-Policy HTTP ヘッダーは、特定の機能を有効にし、API へのアクセスを制御するように設計されており、「display-capture」フラグのサポートが追加されました。これにより、ページ上のスクリーン キャプチャ API の使用を制御できるようになります (デフォルトでは、外部 iframe から画面コンテンツをキャプチャする機能はブロックされます)。
• いくつかの新しい API が Origin トライアル モードに追加されました (別途アクティベーションが必要な実験的な機能)。 オリジン トライアルとは、ローカルホストまたは 127.0.0.1 からダウンロードされたアプリケーションから、または特定のサイトで期間限定で有効な特別なトークンを登録して受信した後、指定された API を操作できる機能を意味します。
  • WebGPU API が追加されました。これは、WebGL API を置き換え、レンダリングやコンピューティングなどの GPU 操作を実行するためのツールを提供します。 概念的には、WebGPU は Vulkan、Metal、および Direct3D 12 API に似ています。概念的には、Vulkan グラフィックス API が OpenGL と異なるのとほぼ同じように、WebGPU は WebGL とは異なりますが、特定のグラフィックス API に基づいているのではなく、汎用的な API です。 Vulkan、Metal、Direct3D 12 で利用できる同じ低レベル プリミティブを使用するレイヤー。

    WebGPU は、JavaScript アプリケーションに、コマンドの編成、処理、GPU への送信に対する低レベルの制御を提供するとともに、関連するリソース、メモリ、バッファ、テクスチャ オブジェクト、およびコンパイルされたグラフィック シェーダを管理する機能を提供します。 このアプローチにより、オーバーヘッド コストが削減され、GPU での作業効率が向上するため、グラフィックス アプリケーションのパフォーマンスを向上させることができます。 この API を使用すると、スタンドアロン プログラムと同様に機能する、特定のプラットフォームに縛られない Web 用の複雑な 3D プロジェクトを作成することもできます。

  • スタンドアロン PWA アプリケーションは、URL ハンドラーとして登録できるようになりました。 たとえば、music.example.com アプリケーションは、それ自体を URL ハンドラー https://*.music.example.com として登録でき、インスタント メッセンジャーや電子メール クライアントなど、これらのリンクを使用する外部アプリケーションからのすべての遷移は、新しいブラウザ タブではなく、この PWA アプリケーションを開くことになります。
  • 新しい HTTP 応答コード - 103 のサポートが実装され、ヘッダーを事前に表示するために使用できます。 コード 103 を使用すると、サーバーがリクエストに関連するすべての操作を完了してコンテンツの提供を開始するのを待たずに、リクエストの直後に特定の HTTP ヘッダーの内容をクライアントに通知できます。 同様の方法で、提供されるページに関連するプリロード可能な要素に関するヒントを提供できます (たとえば、ページで使用される CSS や JavaScript へのリンクを提供できます)。 このようなリソースに関する情報を受信すると、ブラウザーはメイン ページのレンダリングが完了するのを待たずにリソースのダウンロードを開始するため、全体的なリクエストの処理時間を短縮できます。
• メディア ストリームの低レベル操作用の WebCodecs API を追加し、高レベルの HTMLMediaElement、メディア ソース拡張機能、WebAudio、MediaRecorder、および WebRTC API を補完します。 新しい API は、ゲーム ストリーミング、クライアント側の効果、ストリームのトランスコーディング、非標準のマルチメディア コンテナのサポートなどの分野で需要がある可能性があります。 JavaScript または WebAssembly で個々のコーデックを実装する代わりに、WebCodecs API は、ブラウザーに組み込まれた事前構築された高性能コンポーネントへのアクセスを提供します。 特に、WebCodecs API は、オーディオおよびビデオのデコーダとエンコーダ、画像デコーダ、および個々のビデオ フレームを低レベルで操作するための関数を提供します。
• Insertable Streams API が安定し、カメラやマイクのデータ、画面キャプチャの結果、中間コーデック デコード データなど、MediaStreamTrack API を通じて送信される生のメディア ストリームを操作できるようになりました。 WebCodec インターフェイスは生のフレームを表示するために使用され、WebRTC Insertable Streams API が RTCPeerConnections に基づいて生成するものと同様のストリームが生成されます。 実用面では、新しい API により、機械学習技術を適用してオブジェクトをリアルタイムで識別または注釈付けしたり、コーデックによるエンコード前またはデコード後に背景クリッピングなどの効果を追加したりする機能が可能になります。
• scheduler.postTask() メソッドが安定し、さまざまな優先レベルでタスク (JavaScript コールバック呼び出し) のスケジュールを制御できるようになりました。 1 つの優先順位レベルが提供されます。2- ユーザー操作がブロックされる可能性がある場合でも、最初に実行します。 3 - ユーザーに表示される変更は許可されます。 XNUMX - バックグラウンドで実行)。 TaskController オブジェクトを使用して、優先度を変更したり、タスクをキャンセルしたりできます。
• ユーザーの非アクティブ状態を検出するために、安定化され、Origin Trials API Idle Detection の外部に配布されるようになりました。 API を使用すると、ユーザーがキーボード/マウスを操作していないとき、スクリーン セーバーが実行されているとき、画面がロックされているとき、または別のモニターで作業を行っているときを検出できます。 非アクティブについてのアプリケーションへの通知は、指定された非アクティブしきい値に達した後に通知を送信することによって実行されます。
• CanvasRenderingContext2D オブジェクトと ImageData オブジェクトのカラー管理プロセスと、それらのオブジェクトでの sRGB カラー スペースの使用が形式化されました。 最新のモニターの高度な機能を活用するために、Display P2 などの sRGB 以外の色空間で CanvasRenderingContext3D および ImageData オブジェクトを作成する機能を提供します。
• 仮想キーボードを表示するか非表示にするかを制御し、表示される仮想キーボードのサイズに関する情報を取得するメソッドとプロパティを VirtualKeyboard API に追加しました。
• JavaScript では、クラスが静的初期化ブロックを使用して、クラスの処理時に一度実行されるコードをグループ化することができます。 class C { // ブロックはクラス自体の処理時に実行されます static { console.log("C's static block"); } }
• flex-basis プロパティと flex CSS プロパティは、content、min-content、max-content、および Fit-content キーワードを実装して、メインの Flexbox 領域のサイズをより柔軟に制御できます。
• スクロールバー用に画面スペースを予約する方法を制御するために、スクロールバー-ガッター CSS プロパティを追加しました。 たとえば、コンテンツをスクロールしたくない場合は、出力を拡張してスクロールバー領域を占めることができます。
• セルフ プロファイリング API はプロファイリング システムの実装とともに追加されました。これにより、Web 開発者向けのインターフェイスでの手動操作に頼ることなく、ユーザー側で JavaScript の実行時間を測定して、JavaScript コードのパフォーマンスの問題をデバッグできるようになります。
• Flash プラグインを削除した後、navigator.plugins プロパティと navigator.mimeTypes プロパティで空の値を返すことが決定されましたが、結局のところ、一部のアプリケーションは PDF ファイルを表示するためのプラグインの存在をチェックするために空の値を使用していたことが判明しました。 Chrome には PDF ビューアが組み込まれているため、navigator.plugins プロパティと navigator.mimeTypes プロパティは、標準 PDF ビューア プラグインと MIME タイプの固定リストを返すようになります - 「PDF Viewer、Chrome PDF Viewer、Chromium PDF Viewer、Microsoft Edge PDF Viewer」 WebKit 内蔵 PDF」。
• Web 開発者向けのツールが改善されました。 Nest Hub デバイスと Nest Hub Max デバイスが画面シミュレーション リストに追加されました。 ネットワーク アクティビティを検査するためのインターフェイスにフィルターを反転するボタンが追加されました (たとえば、「ステータス コード: 404」フィルターをインストールする場合、他のすべてのリクエストをすぐに表示できます)。また、元の値を表示する機能も提供されました。 Set-Cookie ヘッダーの (正規化時に削除される不正な値の存在を評価できます)。 Web コンソールのサイドバーは非推奨となり、将来のリリースでは削除される予定です。 [問題] タブで問題を非表示にする実験的な機能が追加されました。 設定にインターフェース言語を選択する機能が追加されました。

革新とバグ修正に加えて、新しいバージョンでは 19 件の脆弱性が排除されています。 脆弱性の多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer、および AFL ツールを使用した自動テストの結果として特定されました。 すべてのレベルのブラウザー保護をバイパスし、サンドボックス環境外のシステム上でコードを実行できるような重大な問題は確認されていません。 現在のリリースの脆弱性を発見した場合に現金で報奨金を支払うプログラムの一環として、Google は 17 ドル相当の 56500 件の賞を支払いました (15000 ドルの賞が 10000 件、7500 ドルの賞が 3000 件、1000 ドルの賞が 7 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件)。 XNUMXつの報酬の規模はまだ決定されていません。

出所： オープンネット.ru