ProHoster > Blog > Internet Neiegkeeten > Chrome 90 Verëffentlechung

Chrome 90 Verëffentlechung

Google huet d'Verëffentlechung vum Chrome 90 Webbrowser enthüllt. Zur selwechter Zäit ass eng stabil Verëffentlechung vum gratis Chromium-Projet, deen als Basis vu Chrome déngt, verfügbar. De Chrome Browser ënnerscheet sech duerch d'Benotzung vu Google Logoen, d'Präsenz vun engem System fir Notifikatiounen am Fall vun engem Crash ze schécken, Moduler fir geschützte Videoinhalt (DRM) ze spillen, e System fir automatesch Updates z'installéieren an RLZ Parameteren ze vermëttelen wann Dir sicht. Déi nächst Verëffentlechung vu Chrome 91 ass geplangt fir de 25. Mee.

Grouss Ännerungen am Chrome 90:

  • All Benotzer sinn aktivéiert Siten iwwer HTTPS als Standard opzemaachen wann Dir Hostnamen an der Adressbar tippt. Zum Beispill, wann Dir den Host example.com agitt, gëtt de Site https://example.com als Standard opgemaach, a wa Problemer beim Ouverture entstinn, gëtt se op http://example.com zréckgezunn. Fir d'Benotzung vum Standard "https://" ze kontrolléieren, gëtt d'Astellung "chrome://flags#omnibox-default-typed-navigations-to-https" proposéiert.
  • Et ass elo méiglech verschidde Etiketten op Fënsteren ze ginn fir se visuell op der Desktop Panel ze trennen. Ënnerstëtzung fir de Fënsternumm z'änneren wäert d'Organisatioun vun der Aarbecht vereinfachen wann Dir separat Browserfenster fir verschidden Aufgaben benotzt, zum Beispill wann Dir separat Fënstere fir Aarbechtsaufgaben opmaacht, perséinlech Interessen, Ënnerhalung, ofgeschloss Materialien, asw. Den Numm gëtt geännert duerch den Element "Füügt Fënster Titel" am Kontextmenü deen erschéngt wann Dir op en eidele Gebitt an der Tabbar mat riets klickt. Nodeems Dir den Numm an der Applikatiounspanel geännert hutt, amplaz vum Sitenumm vun der aktiver Tab, gëtt de gewielten Numm ugewisen, wat nëtzlech ka sinn wann Dir déiselwecht Säiten a verschiddene Fënstere opmaacht, verbonne mat getrennten Konten. D'Verbindung gëtt tëscht Sessiounen erhale gelooss an no engem Neistart ginn d'Fënstere mat de gewielten Nimm restauréiert.
    Chrome 90 Verëffentlechung
  • D'Fäegkeet bäigefüügt fir d'"Lieslëscht" ze verstoppen ouni Astellungen an "chrome: // Flags" ze änneren ("chrome: // Flags#read-later"). Fir ze verstoppen, kënnt Dir elo d'Optioun "Lieslëscht weisen" um Enn vum Kontextmenü benotzen wann Dir op d'Lieszeichenbar klickt. Loosst eis Iech drun erënneren datt an der leschter Verëffentlechung, wann e puer Benotzer op d'Asterisk an der Adressbar klickt, nieft dem "Lieszeechen derbäi" Knäppchen, en zweete Knäppchen "Lieslëscht derbäisetzen" erschéngt, an an der rietser Ecke vum Lieszeechen Panel de Menü "Lieslëscht" erschéngt, deen all virdrun Säiten op d'Lëscht bäigefüügt. Wann Dir eng Säit aus der Lëscht opmaacht, gëtt se als gelies markéiert. Säiten an der Lëscht kënnen och manuell als gelies oder ongelies markéiert ginn, oder aus der Lëscht geläscht ginn.
  • Zousätzlech Ënnerstëtzung fir Netzwierksegmentatioun fir ze schützen géint Methoden fir Benotzerbewegungen tëscht Siten ze verfolgen baséiert op der Späichere vun Identifizéierer a Beräicher déi net fir permanent Späichere vun Informatioun geduecht sinn ("Supercookies"). Well cache Ressourcen an engem gemeinsame Nummraum gespäichert sinn, onofhängeg vun der Hierkonftsdomän, kann ee Site bestëmmen datt en anere Site Ressourcen luedt andeems Dir kontrolléiert ob dës Ressource am Cache ass. De Schutz baséiert op der Verwäertung vun der Netzsegmentéierung (Network Partitioning), d'Essenz vun deem ass fir de gemeinsame Cache zousätzlech Bindung vu Rekorder op d'Domain ze addéieren, aus deem d'Haaptsäit opgemaach ass, wat d'Cache-Ofdeckung nëmme fir Bewegungs Tracking Scripten limitéiert op déi aktuell Säit (e Skript vun engem iframe wäert net fäheg sinn ze kontrolléieren ob d'Ressource vun engem anere Site erofgeluede gouf). De Präis vun der Segmentatioun ass eng Ofsenkung vun der Cachingeffizienz, wat zu enger liichter Erhéijung vun der Säitlaaschtzäit féiert (maximal ëm 1.32%, awer fir 80% vun de Site ëm 0.09-0.75%).
  • Déi schwaarz Lëscht vun Netzwierkporten, fir déi d'Schécken vun HTTP-, HTTPS- a FTP-Ufroe blockéiert ass, gouf ersat fir géint NAT-Slipstreamingattacken ze schützen, wat et erlaabt, wann Dir eng Websäit opmaacht, déi speziell vum Ugräifer an engem Browser virbereet ass, en Netzwierk opzebauen. Verbindung vum Server vum Ugräifer op all UDP- oder TCP-Port am System vum Benotzer, trotz der Notzung vum internen Adressbereich (192.168.xx, 10.xxx). Dobäi 554 (RTSP Protokoll) an 10080 (benotzt am Amanda Backupsatellit an VMWare vCenter) op d'Lëscht vun verbueden Häfen. Virdrun goufen d'Ports 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061 an 6566 scho blockéiert.
  • Éischt Ënnerstëtzung bäigefüügt fir PDF Dokumenter mat XFA Formen am Browser opzemaachen.
  • Fir e puer Benotzer ass eng nei Astellungssektioun "Chrome Astellungen > Privatsphär a Sécherheet > Privatsphär Sandbox" aktivéiert ginn, wat Iech erlaabt d'Parameteren vun der FLoC API ze verwalten, fir d'Kategorie vun de Benotzerinteressen ze bestëmmen ouni individuell Identifikatioun an ouni Referenz op d'Geschicht vun besicht spezifesch Siten.
  • Eng méi kloer Notifikatioun mat enger Lëscht vun erlaabten Aktiounen gëtt elo ugewisen wann e Benotzer mat engem Profil verbënnt, fir deen zentraliséiert Gestioun aktivéiert ass.
  • Huet d'Permissiounen Ufro Interface manner opdrénglech gemaach. Ufroen, déi de Benotzer méiglecherweis net zoustëmmen, ginn elo automatesch gespaart mat engem entspriechende Indikator, deen an der Adressbar ugewise gëtt, mat deem de Benotzer op d'Interface ka goen fir d'Permissiounen op enger Per-Site Basis ze managen.
    Chrome 90 Verëffentlechung
  • Ënnerstëtzung fir Intel CET (Intel Control-Flow Enforcement Technology) Extensiounen ass abegraff fir Hardware Schutz géint Ausnotzen gebaut mat Retour-orientéierter Programméierung (ROP, Return-Oriented Programming) Techniken.
  • D'Aarbecht geet weider fir de Browser ëmzesetzen fir inklusiv Terminologie ze benotzen. D'"master_preferences" Datei gouf op "initial_preferences" ëmbenannt fir d'Gefiller vun de Benotzer ze vermeiden, déi d'Wuert "Master" als Hiweis iwwer déi fréier Sklaverei vun hire Virfueren gesinn. Fir d'Kompatibilitéit z'erhalen, bleift d'Ënnerstëtzung fir "master_preferences" fir eng Zäit am Browser. Virdrun huet de Browser d'Benotzung vun de Wierder "Whitelist", "Blacklist" an "Native" scho geläscht.
  • An der Android Versioun, wann de "Lite" Traffic spueren Modus aktivéiert ass, gëtt de Bitrate reduzéiert wann Dir Video eroflueden wann se duerch d'Netzwierker vu mobilen Opérateuren verbonne sinn, wat d'Käschte vun de Benotzer reduzéiert déi Traffic-baséiert Tariffer aktivéiert hunn. "Lite" Modus bitt och Kompressioun vu Biller, déi vun ëffentlech verfügbare Ressourcen ugefrot ginn (net Authentifikatioun erfuerderlech) iwwer HTTPS.
  • AV1 Videoformat Encoder bäigefüügt, speziell optimiséiert fir Videokonferenzen ze benotzen baséiert op dem WebRTC Protokoll. D'Benotzung vun AV1 an Videokonferenzen mécht et méiglech d'Kompressiounseffizienz ze erhéijen an d'Fäegkeet ze bidden op Kanäl mat enger Bandbreedung vun 30 kbit / sec.
  • Am JavaScript implementéieren d'Array-, String- an TypedArrays-Objeten d'at() Method, déi Iech erlaabt eng relativ Indexéierung ze benotzen (eng relativ Positioun gëtt als Array-Index uginn), inklusiv negativ Wäerter relativ zum Enn spezifizéieren (zum Beispill , "arr.at(-1)" wäert dat lescht Element vun der Array zréckginn).
  • JavaScript huet d'Eegeschaft ".indices" fir regulär Ausdréck bäigefüügt, déi eng Array enthält mat den Start- an Ennpositioune vu Gruppen vu Matcher. D'Eegeschafte gëtt nëmme gefëllt wann Dir de reguläre Ausdrock mam "/d" Fändel ausféiert. const re = /(a)(b)/d; const m = re.exec('ab'); console.log(m.indices[0]); // 0 - all passende Gruppen // → [0, 2] console.log(m.indices[1]); // 1 ass déi éischt Grupp vu Matcher // → [0, 1] console.log(m.indices[2]); // 2 - zweet Grupp vu Matcher // → [1, 2]
  • D'Performance vun "super" Eegeschaften (zum Beispill, super.x) fir déi den Inline Cache aktivéiert ass, gouf optimiséiert. D'Performance fir "super" ze benotzen ass elo no bei der Leeschtung vum Zougang zu reguläre Eegeschaften.
  • WebAssembly Funktiounen aus JavaScript ruffen ass wesentlech beschleunegt ginn wéinst der Benotzung vun der Inline Deployment. Dës Optimiséierung bleift experimentell fir de Moment a erfuerdert Lafen mam "-turbo-inline-js-wasm-calls" Fändel.
  • D'WebXR Depth Sensing API bäigefüügt, wat Iech erlaabt d'Distanz tëscht Objeten am Ëmfeld vum Benotzer an dem Benotzer säin Apparat ze bestëmmen, zum Beispill fir méi realistesch augmentéiert Realitéit Uwendungen ze kreéieren. Loosst eis Iech drun erënneren datt d'WebXR API Iech erlaabt d'Aarbecht mat verschiddene Klassen vu virtuelle Realitéit Geräter ze vereenegen, vu stationären 3D Helm bis Léisunge baséiert op mobilen Apparater.
  • D'WebXR AR Lighting Estimation Feature gouf stabiliséiert, wat WebXR AR Sessiounen erlaabt Ambientbeleuchtungsparameter ze bestëmmen fir Modeller e méi natierlecht Erscheinungsbild a besser Integratioun mat der Ëmwelt vum Benotzer ze ginn.
  • Origin Trials Modus (experimentell Fonctiounen déi separat Aktivéierung erfuerderen) füügt e puer nei APIen un, déi momentan op d'Android Plattform limitéiert sinn. Origin Trial implizéiert d'Fäegkeet fir mat der spezifizéierter API ze schaffen aus Uwendungen, déi vum localhost oder 127.0.0.1 erofgeluede ginn, oder nodeems Dir e speziellen Token registréiert an kritt hutt, dee fir eng limitéiert Zäit fir e spezifesche Site gëlteg ass.
    • D'getCurrentBrowsingContextMedia() Method, déi et méiglech mécht e MediaStream Videostream z'erreechen, deen den Inhalt vun der aktueller Tab reflektéiert. Am Géigesaz zu der ähnlecher getDisplayMedia () Method, wann Dir getCurrentBrowsingContextMedia () rufft, gëtt en einfachen Dialog dem Benotzer presentéiert fir d'Operatioun vum Transfert vum Video mam Inhalt vun der Tab ze bestätegen oder ze blockéieren.
    • Insertable Streams API, wat Iech erlaabt Matière Medienstreamen ze manipuléieren, déi iwwer d'MediaStreamTrack API iwwerdroen ginn, wéi Kamera- a Mikrofondaten, Bildschirmfangresultater oder Zwëschencodec-Dekodéierungsdaten. WebCodec Schnëttplazen gi benotzt fir rau Rummen ze presentéieren an e Stroum gëtt ähnlech generéiert wéi de WebRTC Insertable Streams API generéiert baséiert op RTCPeerConnections. Op der praktescher Säit erlaabt déi nei API Funktionalitéit wéi d'Applikatioun vun Maschinnléiertechniken fir Objekter an Echtzäit z'identifizéieren oder annotéieren, oder Effekter bäizefügen wéi Background Clipping virun der Kodéierung oder no der Decodéierung vun engem Codec.
    • D'Kapazitéit fir Ressourcen a Packagen ze packen (Web Bundle) fir méi effizient Luede vun enger grousser Unzuel vu Begleedungsdateien ze organiséieren (CSS Stiler, JavaScript, Biller, iframes). Ënnert de Mängel an der existéierender Ënnerstëtzung fir Packagen fir JavaScript Dateien (Webpack), déi de Web Bundle probéiert ze eliminéieren: de Package selwer, awer net seng Komponenten, kann am HTTP-Cache ophalen; D'Kompilatioun an d'Ausféierung kënnen nëmmen ufänken nodeems de Package komplett erofgeluede gouf; Zousätzlech Ressourcen wéi CSS a Biller mussen a Form vu JavaScript Saiten kodéiert ginn, wat d'Gréisst vergréissert an en anere Parsing Schrëtt erfuerdert.
    • Ënnerstëtzung fir Ausnam Handhabung an WebAssembly.
  • Stabiliséiert d'Declarative Shadow DOM API fir nei Rootzweige am Shadow DOM ze kreéieren, zum Beispill fir en importéierten Drëtt Partei Elementstil a seng assoziéiert DOM Ënnerbranch vum Haaptdokument ze trennen. Déi proposéiert deklarativ API erlaabt Iech nëmmen HTML ze benotzen fir DOM Filialen z'entdecken ouni JavaScript Code ze schreiwen.
  • D'Aspekt-Verhältnis CSS Eegeschafte, déi Iech erlaabt explizit den Aspekt Verhältnis un all Element ze binden (fir automatesch déi fehlend Gréisst ze berechnen wann Dir nëmmen d'Héicht oder d'Breet spezifizéiert), implementéiert d'Fäegkeet fir Wäerter während der Animatioun ze interpoléieren (glat Iwwergang vun engem Aspekt Verhältnis zu engem aneren).
  • D'Fäegkeet bäigefüügt fir den Zoustand vun personaliséierten HTML Elementer an CSS duerch d'Pseudo-Klass ": state ()" ze reflektéieren. D'Funktionalitéit gëtt op eng ähnlech Manéier ëmgesat wéi d'Fäegkeet vun Standard HTML Elementer fir hiren Zoustand ofhängeg vun der User Interaktioun z'änneren.
  • D'CSS-Eegeschaft "Erscheinung" ënnerstëtzt elo de Wäert 'auto', dee standardiséiert ass fir An , an op der Android Plattform zousätzlech fir , , , An .
  • Ënnerstëtzung fir de "Clip" Wäert ass op d'"Iwwerfluss" CSS-Eegeschaft bäigefüügt ginn, wann et gesat gëtt, gëtt Inhalt, deen iwwer de Block erstreckt, op d'Limite vum zulässlechen Iwwerfloss vum Block ofgeschnidden ouni d'Méiglechkeet ze scrollen. De Wäert dee bestëmmt wéi wäit Inhalt iwwer déi aktuell Grenz vun der Këscht erausstécht ier d'Ausschneiden ufänkt, gëtt iwwer déi nei CSS Eegeschafte "Iwwerflow-Clip-Margin" gesat. Am Verglach mam "Iwwerfluss: verstoppt", benotzt "Iwwerfluss: Clip" erlaabt eng besser Leeschtung.
    Chrome 90 VerëffentlechungChrome 90 Verëffentlechung
  • De Feature-Policy HTTP Header gouf duerch en neien Permissions-Policy Header ersat fir d'Delegatioun vun de Permissiounen ze kontrolléieren an d'Aktivatioun vun fortgeschratt Funktiounen, déi Ënnerstëtzung fir strukturéiert Feldwäerter enthält (zum Beispill, Dir kënnt elo "Permissions-Policy: Geolocation" spezifizéieren =()" amplaz "Feature- Policy: Geolocation 'none'").
  • Gestärkte Schutz géint d'Benotzung vu Protokollbuffer fir Attacke verursaacht duerch spekulativ Ausféierung vun Instruktioune bei Prozessoren. De Schutz gëtt implementéiert andeems de MIME-Typ "Applikatioun/x-protobuffer" op d'Lëscht vun ni gesnufften MIME-Typen bäigefüügt gëtt, déi duerch de Cross-Origin-Read-Blocking Mechanismus veraarbecht gëtt. Virdrun war de MIME Typ "Applikatioun / x-protobuf" schonn an enger ähnlecher Lëscht abegraff, awer "Applikatioun / x-protobuffer" gouf ausgelooss.
  • De File System Access API implementéiert d'Fäegkeet fir déi aktuell Positioun an enger Datei iwwer säin Enn ze verschwannen, déi resultéierend Lück mat Nullen ze fëllen wärend der spéider Schreiwen duerch den FileSystemWritableFileStream.write () Uruff. Dës Fonktioun erlaabt Iech spatzen Fichieren mat eidel Plazen ze schafen an däitlech vereinfacht d'Organisatioun vun Schreiwen zu engem Fichier Baachen mat unordered Arrivée vun Daten Spären (zum Beispill, ass dat am BitTorrent praktizéiert).
  • Zousätzlech StaticRange Konstruktor mat Implementatioun vu liichte Range Typen, déi net all assoziéiert Objete aktualiséieren all Kéier wann den DOM Bam ännert.
  • Implementéiert d'Fäegkeet fir Breet- an Héichparameter fir Elementer ze spezifizéieren am Element spezifizéiert . Dës Fonktioun erlaabt Iech den Aspekt Verhältnis fir Elementer ze berechnen , duerch Analogie mat wéi et gemaach gëtt fir , An .
  • Net-standardiséierter Ënnerstëtzung fir RTP Data Channels gouf aus WebRTC geläscht, an et ass recommandéiert SCTP-baséiert Datekanäl ze benotzen amplaz.
  • D'Eegeschafte navigator.plugins an navigator.mimeTypes ginn elo ëmmer en eidele Wäert zréck (nodeem d'Flash Support eriwwer ass, waren dës Eegeschafte net méi gebraucht).
  • E groussen Deel vu klenge Verbesserunge goufe fir d'Tools fir Webentwéckler gemaach an en neit CSS Debugging-Tool, flexbox, gouf bäigefüügt.
    Chrome 90 Verëffentlechung

Zousätzlech zu Innovatiounen a Bugfixes eliminéiert déi nei Versioun 37 Schwachstelle. Vill vun de Schwachstelle goufen identifizéiert als Resultat vun automatiséierter Tester mat AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer an AFL Tools. Keng kritesch Probleemer goufen identifizéiert, déi et erlaben, all Niveau vum Browserschutz z'iwwergoen an Code op de System ausserhalb vum Sandkëschtëmfeld auszeféieren. Als Deel vum Cash Belounungsprogramm fir Schwachstelle fir déi aktuell Verëffentlechung z'entdecken, huet Google 19 Auszeechnunge am Wäert vun $ 54000 bezuelt (een $ 20000 Präis, eng $ 10000 Auszeechnung, zwee $ 5000 Auszeechnunge, dräi $ 3000 Auszeechnunge, een $ 2000 Auszeechnung, eng $ 1000 Auszeechnung, a véier $ 500 Auszeechnunge. ). ). D'Gréisst vun de 6 Belounungen ass nach net festgeluecht.

Separat kann et bemierkt ginn datt gëschter, no der Bildung vun der Korrekturverëffentlechung 89.0.4389.128, awer virun der Verëffentlechung vu Chrome 90, en anere Exploit publizéiert gouf, deen eng nei 0-Deeg Schwachstelle benotzt huet, déi net am Chrome 89.0.4389.128 fixéiert gouf. . Et ass nach net kloer ob dëse Problem am Chrome 90 fixéiert gouf. Wéi am éischte Fall deckt den Ausbeutung nëmmen eng Schwachstelle an enthält kee Code fir d'Sandbox Isolatioun z'iwwergoen (wann Dir Chrome mam "--no-Sandbox" Fändel leeft , den Ausbeutung geschitt wann Dir eng Websäit op Windows Plattform opmaacht erlaabt Iech Notizblock ze lafen). D'Schwachheet verbonne mat der neier Exploit beaflosst WebAssembly Technologie.

Source: opennet.ru

Setzt e Commentaire