93 Chrome leidimas

„Google“ pristatė „Chrome 93“ žiniatinklio naršyklės leidimą. Tuo pačiu metu yra prieinama stabili nemokamo „Chromium“ projekto, kuris yra „Chrome“ pagrindas, leidimas. „Chrome“ naršyklė išsiskiria „Google“ logotipų naudojimu, pranešimų siuntimo gedimo atveju sistemos buvimu, apsaugoto vaizdo turinio atkūrimo moduliais (DRM), automatinio naujinimų diegimo sistema ir RLZ parametrų perdavimu ieškant. Kitas „Chrome 94“ leidimas numatytas rugsėjo 21 d. (kūrimas perkeltas į 4 savaičių išleidimo ciklą).

Pagrindiniai „Chrome 93“ pakeitimai:

• Modernizuotas bloko su puslapio informacija (puslapio info) dizainas, kuriame įdiegtas įdėtųjų blokų palaikymas, o išskleidžiamieji sąrašai su prieigos teisėmis pakeisti jungikliais. Sąrašai užtikrina, kad svarbiausia informacija būtų rodoma pirmiausia. Pakeitimas įgalintas ne visiems naudotojams; norėdami jį suaktyvinti, galite naudoti nustatymą „chrome://flags/#page-info-version-2-desktop“.
• Nedidelei vartotojų daliai eksperimento metu saugaus ryšio indikatorius adreso juostoje buvo pakeistas neutralesniu simboliu, nesukeliančiu dvigubo aiškinimo (užraktas pakeistas „V“ ženklu). Jei ryšiai užmegzti be šifravimo, toliau rodomas indikatorius „nesaugus“. Rodiklio pakeitimo priežastis yra ta, kad daugelis vartotojų spynos indikatorių sieja su faktu, kad svetainės turiniu galima pasitikėti, o ne laiko tai ženklu, kad ryšys užšifruotas. Sprendžiant iš „Google“ apklausos, tik 11% vartotojų supranta piktogramos su užraktu reikšmę.
• Neseniai uždarytų skirtukų sąraše dabar rodomas uždarų skirtukų grupių turinys (anksčiau sąraše tiesiog buvo rodomas grupės pavadinimas, nedetalizuojant turinio) su galimybe iš karto grąžinti visą grupę ir atskirus skirtukus iš grupės. Ši funkcija įgalinta ne visiems vartotojams, todėl gali reikėti pakeisti nustatymą „chrome://flags/#tab-restore-sub-menus“, kad ją įjungtumėte.
• Įmonėms įdiegti nauji nustatymai: DefaultJavaScriptJitSetting, JavaScriptJitAllowedForSites ir JavaScriptJitBlockedForSites, kurie leidžia valdyti JIT-less režimą, kuris išjungia JIT kompiliavimą vykdant JavaScript (naudojamas tik Ignition interpretatorius) ir neleidžia paskirstyti vykdomųjų. atmintis kodo vykdymo metu. JIT išjungimas gali būti naudingas siekiant pagerinti darbo su potencialiai pavojingomis žiniatinklio programomis saugą, nes „JavaScript“ vykdymo našumas sumažėja maždaug 17%. Pastebėtina, kad „Microsoft“ žengė dar toliau ir Edge naršyklėje įdiegė eksperimentinį „Super Duper Secure“ režimą, leidžiantį vartotojui išjungti JIT ir aktyvuoti su JIT nesuderinamus aparatinės įrangos saugumo mechanizmus CET (Controlflow-Enforcement Technology), ACG (Savavališka). Code Guard) ir CFG (Control Flow Guard), skirta žiniatinklio turinio apdorojimo procesams. Jei eksperimentas bus sėkmingas, galime tikėtis, kad jis bus perkeltas į pagrindinę „Chrome“ dalį.
• Naujo skirtuko puslapyje pateikiamas populiariausių „Google“ diske išsaugotų dokumentų sąrašas. Sąrašo turinys atitinka drive.google.com skiltį Prioritetas. Norėdami valdyti „Google“ disko turinio rodymą, galite naudoti nustatymus „chrome://flags/#ntp-modules“ ir „chrome://flags/#ntp-drive-module“.
• Naujos informacijos kortelės buvo įtrauktos į puslapį Atidaryti naują skirtuką, kad būtų lengviau rasti neseniai peržiūrėtą turinį ir susijusią informaciją. Kortelės sukurtos taip, kad būtų lengviau toliau dirbti su informacija, kurios peržiūra nutrūko, pavyzdžiui, kortelės padės rasti neseniai internete rasto, bet užvertus puslapį pamesto patiekalo receptą arba tęsti gaminimą. pirkinių parduotuvėse. Eksperimento metu vartotojams siūlomi du nauji žemėlapiai: „Receptai“ (chrome://flags/#ntp-recipe-tasks-module), skirti kulinarinių receptų paieškai ir neseniai žiūrėtų receptų rodymui; „Apsipirkimas“ (chrome://flags/#ntp-chrome-cart-module), skirtas priminimams apie internetinėse parduotuvėse pasirinktus produktus.
• „Android“ versijoje yra papildomas nuolatinės paieškos skydelio (chrome://flags/#continuous-search) palaikymas, kuris leidžia matyti naujausius „Google“ paieškos rezultatus (skydelyje rezultatai ir toliau rodomi perėjus į kitus puslapius).
• „Android“ versijoje (chrome://flags/#webnotes-stylize) buvo pridėtas eksperimentinis citatų dalijimosi režimas, leidžiantis išsaugoti pasirinktą puslapio fragmentą kaip citatą ir bendrinti jį su kitais vartotojais.
• Skelbiant naujus „Chrome“ internetinės parduotuvės priedus ar versijų naujinius, dabar reikalingas dviejų veiksnių kūrėjo patvirtinimas.
• „Google“ paskyros naudotojai turi galimybę išsaugoti mokėjimo informaciją savo „Google“ paskyroje.
• Inkognito režimu, jei suaktyvinta parinktis išvalyti naršymo duomenis, įdiegtas naujas operacijos patvirtinimo dialogo langas, paaiškinantis, kad išvalius duomenis bus uždarytas langas ir baigtos visos sesijos inkognito režimu.
• Dėl nustatytų nesuderinamumo su kai kurių įrenginių programine įranga, prie „Chrome 91“ pridėto naujo rakto susitarimo metodo palaikymas, atsparus spėjimui kvantiniuose kompiuteriuose, pagrįstas CECPQ1.3 (Combined Elliptic-Curve and Post-Quantum 2) plėtinio naudojimu. TLSv2, derinant klasikinį X25519 raktų mainų mechanizmą su HRSS schema, pagrįsta NTRU Prime algoritmu, sukurtu postkvantinėms kriptosistemoms.
• Prie draudžiamų tinklo prievadų skaičiaus buvo įtraukti 989 (ftps-data) ir 990 (ftps) prievadai, siekiant blokuoti ALPACA ataką. Anksčiau, siekiant apsisaugoti nuo NAT slydimo atakų, 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 ir 10080 prievadai jau buvo blokuojami.
• TLS nebepalaiko šifrų, pagrįstų 3DES algoritmu. Visų pirma, buvo pašalintas TLS_RSA_WITH_3DES_EDE_CBC_SHA šifrų rinkinys, kuris yra jautrus Sweet32 atakai.
• Ubuntu 16.04 palaikymas buvo nutrauktas.
• Galima naudoti WebOTP API tarp skirtingų įrenginių, prijungtų per bendrą „Google“ paskyrą. WebOTP leidžia žiniatinklio programai nuskaityti vienkartinius patvirtinimo kodus, išsiųstus SMS žinute. Siūlomas pakeitimas suteikia galimybę gauti patvirtinimo kodą mobiliajame įrenginyje, kuriame veikia „Chrome for Android“, ir pritaikyti jį stalinio kompiuterio sistemoje.
• „User-Agent Client Hints“ API buvo išplėsta, sukurta kaip „User-Agent“ antraštės pakaitalas. „User-Agent Client Hints“ leidžia organizuoti atrankinį duomenų apie konkrečius naršyklės ir sistemos parametrus (versiją, platformą ir kt.) pristatymą tik gavus serverio užklausą. Savo ruožtu vartotojas gali nuspręsti, kokią informaciją galima pateikti svetainės savininkams. Naudojant vartotojo agento kliento patarimus, naršyklės identifikatorius neperduodamas be aiškaus prašymo, o pagal nutylėjimą nurodomi tik pagrindiniai parametrai, todėl pasyvus identifikavimas apsunkinamas.

  Naujoji versija palaiko parametrą Sec-CH-UA-Bitness, kad būtų pateikti duomenys apie platformos bitumą, kuriuos galima naudoti optimizuotiems dvejetainiams failams aptarnauti. Pagal numatytuosius nustatymus parametras Sec-CH-UA-Platform siunčiamas kartu su bendra platformos informacija. UADataValues ​​reikšmė, grąžinta iškviečiant getHighEntropyValues(), yra įdiegta pagal numatytuosius nustatymus, kad būtų grąžinami apibendrinti parametrai, jei neįmanoma grąžinti išsamios parinkties. ToJSON metodas buvo pridėtas prie objekto NavigatorUAData, kuris leidžia naudoti tokias konstrukcijas kaip JSON.stringify(navigator.userAgentData).

• Galimybė supakuoti išteklius į paketus Web Bundle formatu, tinkančiu organizuoti efektyvesnį daugelio lydimųjų failų (CSS stilių, JavaScript, vaizdų, iframe) įkėlimą, buvo stabilizuota ir siūloma pagal numatytuosius nustatymus. Tarp esamo JavaScript failų paketų palaikymo (webpack) trūkumų, kuriuos Web Bundle bando pašalinti: pats paketas, bet ne jo sudedamosios dalys, gali patekti į HTTP talpyklą; kompiliavimas ir vykdymas gali prasidėti tik visiškai atsisiuntus paketą; Papildomi ištekliai, pvz., CSS ir vaizdai, turi būti užkoduoti „JavaScript“ eilučių forma, todėl padidėja dydis ir reikalingas kitas analizės veiksmas.
• Įtraukta WebXR Plane Detection API, teikianti informaciją apie plokštuminius paviršius virtualioje 3D aplinkoje. Nurodyta API leidžia išvengti daug išteklių reikalaujančio duomenų, gautų naudojant iškvietimą MediaDevices.getUserMedia(), apdorojimo, naudojant patentuotus kompiuterinio matymo algoritmų įgyvendinimus. Priminsime, kad WebXR API leidžia suvienodinti darbą su įvairių klasių virtualios realybės įrenginiais – nuo ​​stacionarių 3D šalmų iki sprendimų, pagrįstų mobiliaisiais įrenginiais.
• Prie „Origin Trials“ režimo buvo pridėtos kelios naujos API (eksperimentinės funkcijos, kurias reikia suaktyvinti atskirai). „Origin Trial“ reiškia galimybę dirbti su nurodyta API iš programų, atsisiųstų iš „localhost“ arba 127.0.0.1, arba užsiregistravus ir gavus specialų prieigos raktą, kuris galioja ribotą laiką konkrečioje svetainėje.
  • Pasiūlyta Multi-Screen Window Placement API, kuri leidžia dėti langus bet kuriame prie esamos sistemos prijungtame ekrane, taip pat išsaugoti lango padėtį ir, jei reikia, išplėsti langą iki viso ekrano. Pavyzdžiui, naudojant nurodytą API, žiniatinklio programa, skirta pateikti pristatymą, gali organizuoti skaidrių rodymą viename ekrane, o kitame – pateikti pastabą pranešėjui.
  • Antraštė Cross-Origin-Embedder-Policy, valdanti kryžminės kilmės izoliavimo režimą ir leidžianti apibrėžti saugaus naudojimo taisykles puslapyje Privilegijuotos operacijos, dabar palaiko parametrą „be kredencialų“, kad būtų išjungtas su kredencialais susijusios informacijos, pvz. Slapukai ir klientų sertifikatai.
  • Atskiroms žiniatinklio programoms (PWA, progresyviosioms žiniatinklio programoms), kurios valdo lango turinio atvaizdavimą ir tvarko įvestį, pateikiama perdanga su lango valdikliais, pvz., pavadinimo juosta ir išplėtimo / sutraukimo mygtukais. Perdanga išplečia redaguojamą sritį, kad apimtų visą langą, ir leidžia pridėti savo elementų į pavadinimo sritį.
  • Pridėta galimybė kurti PWA programas, kurios gali būti naudojamos kaip URL tvarkyklės. Pavyzdžiui, programa music.example.com gali užsiregistruoti kaip URL tvarkytoja https://*.music.example.com ir visi perėjimai iš išorinių programų naudojant šias nuorodas, pvz., iš momentinių pranešimų programų ir el. pašto programų iki šios PWA programų atidarymo, o ne naujo naršyklės skirtuko.
• CSS failus galima įkelti naudojant „import“ išraišką, panašiai kaip įkeliant JavaScript modulius, o tai patogu kuriant savo elementus ir leidžia apsieiti nepriskiriant stilių naudojant JavaScript kodą. importuoti lapą iš './styles.css' assert { type: 'css' }; document.adoptedStyleSheets = [lapas]; shadowRoot.adoptedStyleSheets = [lapas];
• Buvo pateiktas naujas statinis metodas AbortSignal.abort(), kuris grąžina AbortSignal objektą, kuris jau buvo nustatytas kaip nutrauktas. Vietoj kelių kodo eilučių, kad sukurtumėte AbortSignal objektą nutrauktoje būsenoje, dabar galite apsieiti su viena eilute „return AbortSignal.abort()“.
• „Flexbox“ elementas papildė pradžios, pabaigos, savaiminio pradžios, savaiminio pabaigos, kairiojo ir dešiniojo raktinių žodžių palaikymą, papildydamas centrinius, lanksčios pradžios ir lanksčios pabaigos raktinius žodžius įrankiais, skirtais supaprastinti lanksčių elementų padėties išlygiavimą.
• Error() konstruktorius įgyvendina naują pasirenkamą „priežasties“ ypatybę, kuri leidžia lengvai susieti klaidas viena su kita. const parentError = new Error('parent'); const error = new Error('parent', { priežastis: tėvų klaida }); console.log(error.cause === parentError); // → tiesa
• Prie HTMLMediaElement.controlsList nuosavybės pridėtas režimo noplaybackrate palaikymas, leidžiantis išjungti naršyklėje pateiktos sąsajos elementus, skirtus pakeisti daugialypės terpės turinio atkūrimo greitį.
• Pridėta antraštė Sec-CH-Prefers-Color-Scheme, kuri leidžia užklausos išsiuntimo etape perduoti duomenis apie vartotojo pageidaujamą spalvų schemą, naudojamą medijos užklausose „prefers-color-scheme“, kuri leis svetainei optimizuoti CSS, susieto su pasirinkta schema, įkėlimas ir išvengiama matomų perjungimų iš kitų schemų.
• Pridėta ypatybė Object.hasOwn, kuri yra supaprastinta Object.prototype.hasOwnProperty versija, įdiegta kaip statinis metodas. Object.hasOwn({ prop: 42 }, 'prop') // → tiesa
• Sukurtas labai greitam grubiam kompiliavimui, Sparkplug JIT kompiliatorius pridėjo paketinio vykdymo režimą, kad sumažintų atminties puslapių perjungimo tarp rašymo ir vykdymo režimų išlaidas. Dabar „Sparkplug“ vienu metu kompiliuoja kelias funkcijas ir vieną kartą iškviečia „mprotect“, kad pakeistų visos grupės leidimus. Siūlomas režimas žymiai sumažina kompiliavimo laiką (iki 44%), nedarant neigiamo poveikio JavaScript vykdymo našumui.
• „Android“ versija išjungia V8 variklio integruotą apsaugą nuo šoninių kanalų atakų, tokių kaip „Spectre“, kurios nėra laikomos tokiomis veiksmingomis kaip svetainių izoliavimas atskiruose procesuose. Staliniams kompiuteriams skirtoje versijoje šie mechanizmai buvo išjungti dar išleidžiant „Chrome 70“. Išjungus nereikalingus patikrinimus, našumas padidėjo 2–15%.
• Buvo patobulinti žiniatinklio kūrėjams skirti įrankiai. Stiliaus lapo tikrinimo režimu galima redaguoti užklausas, sugeneruotas naudojant @container išraišką. Tinklo tikrinimo režimu įgyvendinama išteklių peržiūra žiniatinklio paketo formatu. Žiniatinklio konsolėje į kontekstinį meniu buvo įtrauktos parinktys, leidžiančios kopijuoti eilutes JavaScript arba JSON raidžių pavidalu. Patobulintas su CORS (kryžminės kilmės išteklių bendrinimo) susijusių klaidų derinimas.

Be naujovių ir klaidų pataisymų, naujoji versija pašalina 27 pažeidžiamumus. Daugelis pažeidžiamumų buvo nustatyti atlikus automatinį testavimą naudojant AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ir AFL įrankius. Nenustatyta jokių kritinių problemų, kurios leistų apeiti visus naršyklės apsaugos lygius ir vykdyti kodą sistemoje ne smėlio dėžės aplinkoje. Vykdydama programą, skirtą mokėti piniginį atlygį už dabartinio leidimo pažeidžiamumą, „Google“ sumokėjo 19 apdovanojimų, kurių vertė – 136500 20000 USD (tris 15000 10000 USD apdovanojimus, vieną 7500 5000 USD apdovanojimą, tris 3000 5 USD apdovanojimus, vieną XNUMX XNUMX USD apdovanojimą, tris XNUMX XNUMX USD, XNUMX XNUMX USD apdovanojimus). XNUMX apdovanojimų dydis dar nenustatytas.

Šaltinis: opennet.ru