ProHoster > Dienoraštis > interneto naujienos > 90 Chrome leidimas

90 Chrome leidimas

„Google“ pristatė „Chrome 90“ žiniatinklio naršyklės leidimą. Tuo pat metu yra prieinama stabili nemokamo „Chromium“ projekto, kuris yra „Chrome“ pagrindas, leidimas. „Chrome“ naršyklė išsiskiria „Google“ logotipų naudojimu, pranešimų siuntimo gedimo atveju sistemos buvimu, apsaugoto vaizdo turinio atkūrimo moduliais (DRM), automatinio naujinimų diegimo sistema ir RLZ parametrų perdavimu ieškant. Kitas „Chrome 91“ leidimas planuojamas gegužės 25 d.

Pagrindiniai „Chrome 90“ pakeitimai:

  • Pagal numatytuosius nustatymus visi vartotojai gali atidaryti svetaines per HTTPS, kai adreso juostoje įveda pagrindinio kompiuterio pavadinimus. Pavyzdžiui, kai įvesite pagrindinį adresą example.com, svetainė https://example.com bus atidaryta pagal numatytuosius nustatymus, o jei atidarant kiltų problemų, ji bus grąžinta į http://example.com. Norint valdyti numatytojo „https://“ naudojimą, siūlomas nustatymas „chrome://flags#omnibox-default-typed-navigations-to-https“.
  • Dabar langams galima priskirti skirtingas etiketes, kad būtų galima juos vizualiai atskirti darbalaukio skydelyje. Lango pavadinimo keitimo palaikymas supaprastins darbo organizavimą naudojant atskirus naršyklės langus skirtingoms užduotims, pavyzdžiui, atidarant atskirus langus darbo užduotims, asmeniniams pomėgiams, pramogoms, atidėtai medžiagai ir pan. Pavadinimas keičiamas naudojant elementą „Pridėti lango pavadinimą“, esantį kontekstiniame meniu, kuris pasirodo dešiniuoju pelės mygtuku spustelėjus tuščią skirtukų juostos sritį. Pakeitus pavadinimą programų skydelyje, vietoj svetainės pavadinimo iš aktyvaus skirtuko rodomas pasirinktas pavadinimas, kuris gali būti naudingas atidarant tas pačias svetaines skirtinguose languose, susietuose su atskiromis paskyromis. Susiejimas palaikomas tarp seansų ir po pakartotinio paleidimo langai bus atkurti pasirinktais pavadinimais.
    90 Chrome leidimas
  • Pridėta galimybė paslėpti „Skaitymų sąrašą“ nekeičiant nustatymų „chrome://flags“ („chrome://flags#read-later“). Norėdami paslėpti, dabar galite naudoti parinktį „Rodyti skaitymo sąrašą“, esančią kontekstinio meniu, rodomo dešiniuoju pelės klavišu spustelėjus žymių juostą, apačioje. Primename, kad paskutiniame leidime kai kuriems vartotojams spustelėjus žvaigždutę adreso juostoje, be mygtuko „Pridėti žymę“, pasirodo antras mygtukas „Pridėti prie skaitinių sąrašo“, o dešiniajame žymių skydelyje pasirodo meniu „Skaitymų sąrašas“, kuriame pateikiami visi anksčiau į sąrašą įtraukti puslapiai. Kai atidarote puslapį iš sąrašo, jis pažymimas kaip skaitytas. Sąrašo puslapiai taip pat gali būti rankiniu būdu pažymėti kaip skaityti arba neskaityti arba pašalinti iš sąrašo.
  • Pridėtas tinklo segmentavimo palaikymas, siekiant apsaugoti nuo vartotojų judėjimo tarp svetainių stebėjimo metodų, pagrįstų identifikatorių saugojimu srityse, kurios nėra skirtos nuolatiniam informacijos saugojimui („superslapukai“). Kadangi talpykloje saugomi ištekliai yra saugomi bendroje vardų erdvėje, neatsižvelgiant į pradinį domeną, viena svetainė gali nustatyti, kad kita svetainė įkelia išteklius, patikrindama, ar tie ištekliai yra talpykloje. Apsauga pagrįsta tinklo segmentavimo (Network Partitioning) naudojimu, kurio esmė yra pridėti prie bendrų talpyklų papildomo įrašų susiejimo su domenu, iš kurio atidaromas pagrindinis puslapis, o tai riboja talpyklos aprėptį tik judėjimo sekimo scenarijuose. į dabartinę svetainę (scenarijus iš iframe negalės patikrinti, ar išteklius atsisiųstas iš kitos svetainės). Segmentavimo kaina yra talpyklos efektyvumo sumažėjimas, dėl kurio šiek tiek pailgėja puslapio įkėlimo laikas (maksimaliai 1.32%, bet 80% svetainių 0.09–0.75%).
  • Papildytas juodasis tinklo prievadų, kuriems blokuojamas HTTP, HTTPS ir FTP užklausų siuntimas, sąrašas, siekiant apsisaugoti nuo NAT slydimo atakų, leidžiančių naršyklėje atidarius specialiai užpuoliko paruoštą tinklalapį, užmegzti tinklą. prisijungimas nuo užpuoliko serverio prie bet kurio vartotojo sistemos UDP arba TCP prievado, nepaisant to, kad naudojamas vidinis adresų diapazonas (192.168.x.x, 10.x.x.x). Į draudžiamų prievadų sąrašą įtrauktas 554 (RTSP protokolas) ir 10080 (naudojamas Amanda atsarginėje kopijoje ir VMWare vCenter). Anksčiau 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061 ir 6566 prievadai jau buvo užblokuoti.
  • Pridėtas pradinis palaikymas atidarant PDF dokumentus naudojant XFA formas naršyklėje.
  • Kai kuriems vartotojams suaktyvinta nauja nustatymų skiltis „Chrome“ nustatymai > Privatumas ir sauga > Privatumo smėlio dėžė, leidžianti valdyti FLoC API parametrus, skirtus nustatyti vartotojo interesų kategoriją be individualaus identifikavimo ir nenurodant lankymosi konkrečiose vietose istorija.
  • Vartotojui prisijungus prie profilio, kuriam įjungtas centralizuotas valdymas, dabar rodomas aiškesnis pranešimas su leidžiamų veiksmų sąrašu.
  • Leidimų užklausos sąsaja tapo mažiau įkyri. Užklausos, kurių vartotojas greičiausiai nepatvirtins, dabar blokuojamos automatiškai, adreso juostoje rodomas atitinkamas indikatorius, su kuriuo vartotojas gali pereiti į kiekvienos svetainės leidimų valdymo sąsają.
    90 Chrome leidimas
  • Įtrauktas Intel CET (Intel Control-flow Enforcement Technology) plėtinių palaikymas, skirtas aparatinės įrangos apsaugai nuo išnaudojimų, sukurtų naudojant į grąžinimą orientuoto programavimo (ROP, Return-Oriented Programming) metodus.
  • Tęsiamas darbas, siekiant naršyklėje naudoti įtraukiąją terminiją. Failas „master_preferences“ buvo pervadintas į „initial_preferences“, kad nepakenktų vartotojų, kurie žodį „master“ suvokia kaip užuominą apie buvusią savo protėvių vergiją, jausmus. Siekiant išlaikyti suderinamumą, „master_preferences“ palaikymas kurį laiką išliks naršyklėje. Anksčiau naršyklė jau buvo atsikračiusi žodžių „baltasis sąrašas“, „juodasis sąrašas“ ir „vietinis“.
  • „Android“ versijoje, kai įjungtas „Lite“ srauto taupymo režimas, atsisiunčiant vaizdo įrašą, prisijungus per mobiliojo ryšio operatorių tinklus, bitų perdavimo sparta sumažinama, o tai sumažins vartotojų, turinčių įjungtus srautu pagrįstus tarifus, išlaidas. „Supaprastintas“ režimas taip pat suteikia vaizdų, kurių prašoma iš viešai prieinamų išteklių (nereikalaujant autentifikavimo), glaudinimą per HTTPS.
  • Pridėtas AV1 vaizdo formato kodavimo įrenginys, specialiai optimizuotas naudoti vaizdo konferencijose pagal WebRTC protokolą. AV1 naudojimas vaizdo konferencijose leidžia padidinti glaudinimo efektyvumą ir suteikti galimybę transliuoti kanalais, kurių pralaidumas yra 30 kbit/sek.
  • JavaScript, objektai Array, String ir TypedArrays įgyvendina at() metodą, kuris leidžia naudoti santykinį indeksavimą (santykinė padėtis nurodoma kaip masyvo indeksas), įskaitant neigiamų verčių nurodymą, palyginti su pabaiga (pvz. , „arr.at(-1)“ grąžins paskutinį masyvo elementą).
  • „JavaScript“ pridėjo reguliariųjų reiškinių ypatybę „.indexes“, kurioje yra masyvas su atitikčių grupių pradžios ir pabaigos pozicijomis. Savybė užpildoma tik vykdant reguliariąją išraišką su vėliava "/d". const re = /(a)(b)/d; const m = re.exec('ab'); console.log(m.indexes[0]); // 0 — visos atitikties grupės // → [0, 2] console.log(m.indices[1]); // 1 yra pirmoji atitikmenų grupė // → [0, 1] console.log(m.indices[2]); // 2 - antra atitikmenų grupė // → [1, 2]
  • „Super“ ypatybių (pavyzdžiui, super.x), kurioms įjungta tiesioginė talpykla, veikimas buvo optimizuotas. „Super“ naudojimo našumas dabar yra artimas įprastų ypatybių prieigos našumui.
  • „WebAssembly“ funkcijų iškvietimas iš „JavaScript“ buvo žymiai paspartintas, nes naudojamas tiesioginis diegimas. Šis optimizavimas kol kas išlieka eksperimentinis ir jį reikia paleisti su vėliava „-turbo-inline-js-wasm-calls“.
  • Pridėta „WebXR Depth Sensing“ API, leidžianti nustatyti atstumą tarp naudotojo aplinkoje esančių objektų ir vartotojo įrenginio, pavyzdžiui, kuriant tikroviškesnes papildytos realybės programas. Priminsime, kad WebXR API leidžia suvienodinti darbą su įvairių klasių virtualios realybės įrenginiais – nuo ​​stacionarių 3D šalmų iki sprendimų, pagrįstų mobiliaisiais įrenginiais.
  • „WebXR AR“ apšvietimo įvertinimo funkcija buvo stabilizuota, todėl WebXR AR seansai gali nustatyti aplinkos apšvietimo parametrus, kad modeliai atrodytų natūralesni ir geriau integruotųsi į vartotojo aplinką.
  • „Origin Trials“ režimas (eksperimentinės funkcijos, kurias reikia suaktyvinti) prideda keletą naujų API, kurios šiuo metu apsiriboja „Android“ platforma. „Origin Trial“ reiškia galimybę dirbti su nurodyta API iš programų, atsisiųstų iš „localhost“ arba 127.0.0.1, arba užsiregistravus ir gavus specialų prieigos raktą, kuris galioja ribotą laiką konkrečioje svetainėje.
    • GetCurrentBrowsingContextMedia() metodas, leidžiantis užfiksuoti MediaStream vaizdo srautą, atspindintį dabartinio skirtuko turinį. Skirtingai nuo panašaus getDisplayMedia() metodo, iškviečiant getCurrentBrowsingContextMedia(), vartotojui pateikiamas paprastas dialogo langas, patvirtinantis arba blokuojantis vaizdo įrašo perkėlimą su skirtuko turiniu.
    • Insertable Streams API, leidžianti valdyti neapdorotus medijos srautus, perduodamus per MediaStreamTrack API, pvz., kameros ir mikrofono duomenis, ekrano užfiksavimo rezultatus arba tarpinius kodeko dekodavimo duomenis. „WebCodec“ sąsajos naudojamos neapdorotiems kadrams pateikti, o srautas generuojamas panašiai kaip WebRTC Insertable Streams API generuoja pagal RTCPeerConnections. Kalbant apie praktinę pusę, naujoji API leidžia naudoti tokias funkcijas, kaip mašininio mokymosi metodų taikymas objektams identifikuoti arba komentuoti realiuoju laiku arba pridėti efektus, pvz., fono iškirpimą prieš kodavimą arba iššifravus kodeku.
    • Galimybė supakuoti išteklius į paketus (Web Bundle), kad būtų galima organizuoti efektyvesnį daugelio pridedamų failų (CSS stilių, JavaScript, vaizdų, iframe) įkėlimą. Tarp esamo JavaScript failų paketų palaikymo (webpack) trūkumų, kuriuos Web Bundle bando pašalinti: pats paketas, bet ne jo sudedamosios dalys, gali patekti į HTTP talpyklą; kompiliavimas ir vykdymas gali prasidėti tik visiškai atsisiuntus paketą; Papildomi ištekliai, pvz., CSS ir vaizdai, turi būti užkoduoti „JavaScript“ eilučių forma, todėl padidėja dydis ir reikalingas kitas analizės veiksmas.
    • Išimčių tvarkymo palaikymas WebAssembly.
  • Stabilizuota Declarative Shadow DOM API, kad būtų sukurtos naujos šakninės šakos šešėliniame DOM, pavyzdžiui, atskirti importuotą trečiosios šalies elemento stilių ir su juo susijusį DOM pošakį nuo pagrindinio dokumento. Siūloma deklaratyvioji API leidžia naudoti tik HTML, kad atsegtumėte DOM šakas, nereikia rašyti JavaScript kodo.
  • Kraštinių santykio CSS ypatybė, leidžianti aiškiai susieti formato santykį su bet kuriuo elementu (automatiškai apskaičiuoti trūkstamą dydį, kai nurodomas tik aukštis arba plotis), įgyvendina galimybę interpoliuoti reikšmes animacijos metu (tolygus perėjimas iš vieno elemento). formato santykis su kitu).
  • Pridėta galimybė atspindėti pasirinktinių HTML elementų būseną CSS naudojant pseudoklasę „:state()“. Funkcionalumas įgyvendinamas pagal analogiją su standartinių HTML elementų galimybe keisti savo būseną priklausomai nuo vartotojo sąveikos.
  • CSS ypatybė „appearance“ dabar palaiko reikšmę „auto“, kuri pagal numatytuosius nustatymus nustatyta ir , o „Android“ platformoje papildomai – , , , ir .
  • „Clip“ vertės palaikymas buvo pridėtas prie „perpildymo“ CSS ypatybės, kai nustatyta, turinys, esantis už bloko ribų, yra nukirptas iki leistino bloko perpildymo ribos be galimybės slinkti. Vertė, kuri nustato, kiek turinys gali tęstis už tikrosios dėžutės ribos prieš pradedant iškirpimą, nustatoma naudojant naują CSS ypatybę „overflow-clip-margin“. Palyginti su „perpildymas: paslėptas“, naudojant „perpildymas: klipas“ užtikrinamas geresnis našumas.
    90 Chrome leidimas90 Chrome leidimas
  • Funkcijų politikos HTTP antraštė buvo pakeista nauja leidimų politikos antrašte, skirta valdyti leidimų delegavimą ir išplėstinių funkcijų įgalinimą, įskaitant struktūrinių laukų reikšmių palaikymą (pavyzdžiui, dabar galite nurodyti „Leidimai-politika: geografinė vieta =()" vietoj "Feature- Policy: geolocation "nėra").
  • Sustiprinta apsauga nuo protokolų buferių naudojimo atakoms, kurias sukelia spekuliatyvus instrukcijų vykdymas procesoriuose. Apsauga įgyvendinama įtraukiant MIME tipą „application/x-protobuffer“ į niekada neužuostų MIME tipų sąrašą, kuris apdorojamas naudojant Cross-Origin-Read-Blocking mechanizmą. Anksčiau MIME tipas „application/x-protobuf“ jau buvo įtrauktas į panašų sąrašą, tačiau „application/x-protobuffer“ buvo paliktas.
  • Failų sistemos prieigos API įgyvendina galimybę perkelti esamą failo vietą už jo pabaigos, užpildydama susidariusią spragą nuliais vėlesnio rašymo metu naudojant FileSystemWritableFileStream.write() iškvietimą. Ši funkcija leidžia sukurti negausius failus su tuščiomis erdvėmis ir žymiai supaprastina rašymo į failų srautus organizavimą, kai duomenų blokai gaunami netvarkingai (pavyzdžiui, tai praktikuojama BitTorrent).
  • Pridėtas StaticRange konstruktorius su lengvų diapazono tipų įgyvendinimu, kuriam nereikia atnaujinti visų susijusių objektų kiekvieną kartą, kai keičiasi DOM medis.
  • Įdiegta galimybė nurodyti elementų, nurodytų elemente , pločio ir aukščio parametrus. Ši funkcija leidžia apskaičiuoti elementų formato santykį, panašiai kaip tai daroma , ir .
  • Nestandartizuotas RTP duomenų kanalų palaikymas buvo pašalintas iš WebRTC, todėl rekomenduojama naudoti SCTP pagrįstus duomenų kanalus.
  • Dabar ypatybės navigator.plugins ir navigator.mimeTypes visada grąžina tuščią reikšmę (nubaigus „Flash“ palaikymą, šių ypatybių nebereikėjo).
  • Buvo atlikta daug nedidelių žiniatinklio kūrėjų įrankių patobulinimų ir pridėtas naujas CSS derinimo įrankis „flexbox“.
    90 Chrome leidimas

Be naujovių ir klaidų pataisymų, naujoji versija pašalina 37 pažeidžiamumus. Daugelis pažeidžiamumų buvo nustatyti atlikus automatinį testavimą naudojant AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ir AFL įrankius. Nenustatyta jokių kritinių problemų, kurios leistų apeiti visus naršyklės apsaugos lygius ir vykdyti kodą sistemoje ne smėlio dėžės aplinkoje. Vykdydama piniginio atlygio už dabartinio leidimo spragų atradimą, „Google“ sumokėjo 19 apdovanojimų už 54000 20000 USD (vieną 10000 5000 USD apdovanojimą, vieną 3000 2000 USD apdovanojimą, du 1000 500 USD apdovanojimus, tris 6 XNUMX USD apdovanojimus, vieną XNUMX XNUMX USD apdovanojimą, XNUMX XNUMX XNUMX USD apdovanojimą, XNUMX ).). XNUMX apdovanojimų dydis dar nenustatytas.

Atskirai galima pastebėti, kad vakar, suformavus korekcinį leidimą 89.0.4389.128, bet prieš išleidžiant Chrome 90, buvo paskelbtas kitas išnaudojimas, kuriame buvo panaudotas naujas 0 dienų pažeidžiamumas, kuris nebuvo ištaisytas Chrome 89.0.4389.128. . Dar neaišku, ar ši problema išspręsta naudojant „Chrome 90“. Kaip ir pirmuoju atveju, išnaudojimas apima tik vieną pažeidžiamumą ir jame nėra kodo, leidžiančio apeiti smėlio dėžės izoliaciją (kai paleisite „Chrome“ su žyma „--no-sandbox“ , išnaudojimas įvyksta atidarius tinklalapį Windows platformoje leidžia paleisti Notepad). Pažeidžiamumas, susijęs su nauju išnaudojimu, turi įtakos WebAssembly technologijai.

Šaltinis: opennet.ru

Добавить комментарий