Chrome 104. izlaidums

Google ir prezentējis tīmekļa pārlūkprogrammas Chrome 104 izlaidumu. Tajā pašā laikā ir pieejams stabils bezmaksas Chromium projekta izlaidums, kas ir Chrome pamatā. Pārlūkprogramma Chrome atšķiras no Chromium ar Google logotipu izmantošanu, sistēmas klātbūtni paziņojumu nosūtīšanai avārijas gadījumā, moduļus pret kopēšanu aizsargāta video satura atskaņošanai, automātisko atjaunināšanas sistēmu, pastāvīgu smilškastes izolācijas iekļaušanu. , Google API atslēgu piegāde un pārraide, meklējot RLZ- parametrus. Tiem, kam ir nepieciešams vairāk laika, lai atjauninātu, paplašinātā stabilā filiāle tiek atbalstīta atsevišķi, kam seko 8 nedēļas. Nākamais Chrome 105 laidiens ir paredzēts 30. augustā.

Galvenās izmaiņas pārlūkā Chrome 104:

• Ir ieviests sīkfailu kalpošanas laika ierobežojums — visi jaunie vai atjauninātie sīkfaili tiks automātiski dzēsti pēc 400 dienām, pat ja derīguma termiņš, kas iestatīts, izmantojot atribūtus Expires un Max-Age, pārsniedz 400 dienas (šādiem sīkfailiem kalpošanas laiks tiks samazināts līdz 400 dienām). Sīkdatnes, kas izveidotas pirms ierobežojuma ieviešanas, saglabās savu kalpošanas laiku, pat ja tas pārsniedz 400 dienas, bet tiks ierobežotas, ja tās tiks atjauninātas. Izmaiņas atspoguļo jaunās prasības, kas norādītas jaunās specifikācijas projektā.
• Ir iespējota iframe vietrāžu URL bloķēšana, kas atsaucas uz vietējo failu sistēmu (“filesystem://”).
• Lai paātrinātu lapas ielādi, ir pievienota jauna optimizācija, kas nodrošina, ka savienojums ar mērķa resursdatoru tiek izveidots brīdī, kad noklikšķināt uz saites, negaidot, kamēr atlaidīsit pogu vai noņemsit pirkstu no skārienekrāna.
• Pievienoti iestatījumi API “Tēmu un interešu grupas” pārvaldībai, kas tiek reklamēta kā daļa no iniciatīvas Privacy Sandbox, kas ļauj definēt lietotāju interešu kategorijas un izmantot tās, nevis izsekot sīkfailus, lai identificētu lietotāju grupas ar līdzīgām interesēm, neidentificējot atsevišķus lietotājus. . Papildus ir pievienoti vienreiz redzami informatīvie dialoglodziņi, kas lietotājam izskaidro tehnoloģijas būtību un piedāvā iestatījumos aktivizēt tās atbalstu.
• Paaugstināti sliekšņi, lai ierobežotu ligzdotos zvanus setTimeout un setInterval taimeriem, kas darbojas ar intervālu, kas mazāks par 4 ms (“setTimeout(..., <4ms)”). Kopējais šādu zvanu limits ir palielināts no 5 uz 100, kas ļauj agresīvi nesamazināt atsevišķus zvanus, bet tajā pašā laikā novērst ļaunprātīgu izmantošanu, kas varētu ietekmēt pārlūkprogrammas veiktspēju.
• Iespējots, nosūta CORS (Cross-Origin Resource Sharing) autorizācijas apstiprinājuma pieprasījumu uz galveno vietnes serveri ar galveni “Piekļuve-kontrole-Pieprasījums-Privātais tīkls: patiess”, kad lapa piekļūst apakšresursam iekšējā tīklā (192.168.xx). , 10. xxx, 172.16-31.xx) vai uz localhost (127.xxx). Apstiprinot darbību, atbildot uz šo pieprasījumu, serverim ir jāatgriež galvene “Access-Control-Allow-Private-Network: true”. Chrome versijā 104 apstiprinājuma rezultāts vēl neietekmē pieprasījuma apstrādi – ja apstiprinājuma nav, tīmekļa konsolē tiek parādīts brīdinājums, bet pats apakšresursa pieprasījums netiek bloķēts. Bloķēšana bez apstiprinājuma ir jāiespējo tikai pārlūkprogrammā Chrome 107. Lai iespējotu bloķēšanu iepriekšējos laidienos, varat iespējot iestatījumu “chrome://flags/#private-network-access-respect-preflight-results”.

  Servera pilnvaru pārbaude tika ieviesta, lai stiprinātu aizsardzību pret uzbrukumiem, kas saistīti ar piekļuvi resursiem lokālajā tīklā vai lietotāja datorā (localhost) no skriptiem, kas ielādēti, atverot vietni. Šādus pieprasījumus uzbrucēji izmanto, lai veiktu CSRF uzbrukumus maršrutētājiem, piekļuves punktiem, printeriem, uzņēmuma tīmekļa saskarnēm un citām ierīcēm un pakalpojumiem, kas pieņem pieprasījumus tikai no lokālā tīkla. Lai aizsargātu pret šādiem uzbrukumiem, ja iekšējā tīklā tiek piekļūts kādiem apakšresursiem, pārlūkprogramma nosūtīs skaidru pieprasījumu atļaujai ielādēt šos apakšresursus.

• Ir pievienots reģiona tveršanas mehānisms, kas ļauj izgriezt nevajadzīgu saturu no video, kas ģenerēts, pamatojoties uz ekrāna tveršanu. Piemēram, izmantojot getDisplayMedia API, tīmekļa lietojumprogramma var straumēt video no cilnes satura, un Region Capture ļauj izgriezt daļu satura, kas ietver videokonferences vadīklas.
• Pievienots atbalsts jaunajai multivides vaicājumu sintaksei, kas definēta Media Queries 4. līmeņa specifikācijā, kas nosaka redzamā apgabala (skata porta) minimālo un maksimālo izmēru. Jaunā sintakse ļauj izmantot parastos matemātiskos salīdzināšanas operatorus un loģiskos operatorus, piemēram, "not", "or" un "un". Piemēram, “@media (min-width: 400px) { … }” vietā tagad varat norādīt “@media (width >= 400px) { … }”.
• Origin Trials režīmam ir pievienotas vairākas jaunas API (eksperimentālas funkcijas, kurām nepieciešama atsevišķa aktivizēšana). Sākotnējā izmēģinājuma versija nozīmē iespēju strādāt ar norādīto API no lietojumprogrammām, kas lejupielādētas no localhost vai 127.0.0.1, vai pēc reģistrēšanās un īpaša marķiera saņemšanas, kas ir derīgs noteiktai vietnei ierobežotu laiku.
  • Pievienots CSS rekvizīts “focusgroup”, lai uzlabotu navigāciju pa elementiem, izmantojot tastatūras bulttaustiņus.
  • Secure Payment Confirmation API nodrošina lietotājam iespēju atspējot kredītkartes iestatījumu veikalu. Lai parādītu dialoglodziņu, kas ļauj atteikties saglabāt kredītkartes parametrus, PaymentRequest() konstruktors nodrošina karodziņu “showOptOut: true”.
  • Pievienota Shared Element Transitions API, kas ļauj organizēt vienmērīgu pāreju starp dažādiem satura skatiem vienas lapas tīmekļa lietojumprogrammās.
• Ir stabilizēts Spekulācijas noteikumu atbalsts, ļaujot vietņu autoriem sniegt pārlūkprogrammai informāciju par visticamākajām lapām, kuras lietotājs var apmeklēt. Pārlūkprogramma izmanto šo informāciju, lai proaktīvi ielādētu un renderētu lapas saturu.
• Mehānisms apakšresursu iesaiņošanai pakotnēs Web Bundle formātā ir stabilizēts, ļaujot palielināt liela skaita pavadfailu (CSS stilu, JavaScript, attēlu, iframe) ielādes efektivitāti. Atšķirībā no Webpack formāta pakotnēm Web Bundle formātam ir šādas priekšrocības: HTTP kešatmiņā tiek saglabāta nevis pati pakotne, bet gan tās sastāvdaļas; JavaScript kompilācija un izpilde sākas, negaidot pakotnes pilnīgu lejupielādi; Ir atļauts iekļaut papildu resursus, piemēram, CSS un attēlus, kas tīmekļa pakotnē būtu jāiekodē JavaScript virkņu veidā.
• Pievienots objekts-skats-box CSS rekvizīts, kas ļauj definēt attēla daļu, kas tiks attēlota apgabalā, nevis dotā elementa, ko var izmantot, piemēram, lai pievienotu apmali vai ēnu.
• Pievienots Fullscreen Capability Delegation API, ļaujot vienam Window objektam deleģēt citam Window objektam tiesības izsaukt requestFullscreen().
• Pievienots Fullscreen Companion Window API, kas ļauj pilnekrāna saturu un uznirstošos logus ievietot citā ekrānā pēc apstiprinājuma saņemšanas no lietotāja.
• CSS rekvizītam overflow-clip-margin ir pievienots atribūts visual-box, kas nosaka, kur sākt apgriezt saturu, kas pārsniedz apgabala robežu (var ņemt vērtības content-box, padding-box un border- kaste).
• Async Clipboard API ir pievienojusi iespēju definēt specializētus formātus datiem, kas tiek pārsūtīti, izmantojot starpliktuvi, izņemot tekstu, attēlus un tekstu ar marķējumu.
• WebGL nodrošina atbalstu krāsu telpas norādīšanai renderēšanas buferim un pārveidošanai, importējot no tekstūras.
• Atbalsts OS X 10.11 un macOS 10.12 platformām ir pārtraukts.
• U2F (Cryptotoken) API, kas iepriekš bija novecojusi un pēc noklusējuma atspējota, ir pārtraukta. U2F API ir aizstāts ar tīmekļa autentifikācijas API.
• Ir veikti tīmekļa izstrādātāju rīku uzlabojumi. Atkļūdotājam tagad ir iespēja restartēt kodu no funkcijas sākuma pēc tam, kad kaut kur funkcijas pamattekstā ir sasniegts pārtraukuma punkts. Pievienots atbalsts ierakstīšanas paneļa papildinājumu izstrādei. Veiktspējas analīzes panelim ir pievienots atbalsts tīmekļa lietojumprogrammā iestatīto atzīmju vizualizēšanai, izsaucot metodi performance.measure(). Uzlaboti ieteikumi JavaScript objekta rekvizītu automātiskai pabeigšanai. Automātiski aizpildot CSS mainīgos, tiek nodrošināti ar krāsām nesaistītu vērtību priekšskatījumi.

Papildus jauninājumiem un kļūdu labojumiem jaunā versija novērš 27 ievainojamības. Daudzas ievainojamības tika identificētas automatizētas testēšanas rezultātā, izmantojot AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer un AFL rīkus. Nav konstatētas nekādas kritiskas problēmas, kas ļautu apiet visus pārlūkprogrammas aizsardzības līmeņus un izpildīt kodu sistēmā ārpus smilškastes vides. Kā daļu no naudas atlīdzības programmas par pašreizējā laidiena ievainojamību atklāšanu Google izmaksāja 22 balvas 84 tūkstošu USD vērtībā (vienu 15000 10000 USD balvu, vienu 8000 7000 USD balvu, vienu 5000 4000 USD balvu, vienu 3000 2000 USD balvu, četras 1000 XNUMX USD balvas, vienu XNUMX XNUMX USD balvu , četras XNUMX USD balvas un trīs XNUMX USD balvas). Vienas atlīdzības lielums vēl nav noteikts.

Avots: opennet.ru