Chrome 80. izlaidums

Google uzrādīts tīmekļa pārlūkprogrammas izlaidums Chrome 80... Vienlaicīgi pieejams bezmaksas projekta stabila izlaišana Hroms, kas ir pārlūka Chrome pamatā. Chrome pārlūks atšķirīgs Google logotipu izmantošana, sistēmas klātbūtne paziņojumu nosūtīšanai avārijas gadījumā, iespēja lejupielādēt Flash moduli pēc pieprasījuma, moduļi aizsargāta video satura atskaņošanai (DRM), sistēma automātiskai atjauninājumu instalēšanai un pārraidei meklēšanas laikā RLZ parametriNākamā versija, Chrome 81, ir paredzēta 17. martā.

Galvenais izmaiņas в hroms 80:

• Nelielai daļai lietotāju ir ieviesta ciļņu grupēšanas funkcija. Tā ļauj apvienot vairākas cilnes ar līdzīgām funkcijām vizuāli atšķirīgās grupās. Katrai grupai var piešķirt krāsu un nosaukumu. Lietotāji, kas nav iekļauti pirmajā aktivizācijas kārtā, var iespējot grupēšanas atbalstu, izmantojot opciju "chrome://flags/#tab-groups".
  
• Pievienots atbalsts funkcijai Ritināšana līdz tekstam, kas ļauj izveidot saites uz atsevišķiem vārdiem vai frāzēm, nenorādot dokumentā tieši tagus, izmantojot tagu "a name" vai īpašību "id". Šādu saišu sintaksi ir plānots apstiprināt kā tīmekļa standartu, kas pašlaik atrodas izstrādes stadijā. melnrakstsPārejas maska ​​(būtībā ritinoša meklēšana) ir atdalīta no parastā enkura ar rakstzīmi ":~:". Piemēram, atverot saiti "https://opennet.ru/52312/#:~:text=Chrome", lapa pārvietosies uz pozīciju, kurā ir pirmais vārda "Chrome" pieminējums, un šis vārds tiks iezīmēts.
• Pielietots Stingrāks sīkfailu pārsūtīšanas ierobežojums starp vietnēm, kas aizliedz trešo pušu sīkfailu apstrādi pieprasījumiem, kas nav HTTPS pieprasījumi un tiek iestatīti, piekļūstot vietnēm, kas nav pašreizējās lapas domēns. Šie sīkfaili tiek izmantoti, lai izsekotu lietotāju pārvietošanos starp vietnēm reklāmas tīklu kodā, sociālo mediju logrīkos un tīmekļa analīzes sistēmās. Atgādinām, ka SameSite atribūts, kas norādīts Set-Cookie galvenē, tiek izmantots sīkfailu pārsūtīšanas kontrolei. Pēc noklusējuma šis atribūts tagad ir iestatīts uz "SameSite=Lax", kas ierobežo sīkfailu sūtīšanu starpvietņu apakšpieprasījumiem, piemēram, attēlu pieprasījumiem vai satura ielādei, izmantojot iframe no citas vietnes. Vietnes var ignorēt noklusējuma SameSite režīmu, skaidri iestatot SameSite=None, iestatot sīkfailus. Tomēr SameSite=None var iestatīt tikai sīkfailiem drošajā režīmā (derīgs HTTPS savienojumiem). Izmaiņas tiks ieviestas pakāpeniski. pieteikties 17. februārī, sākotnēji nelielai lietotāju daļai, un pēc tam pakāpeniski paplašinot pārklājumu.
• Pievienots Aizsardzība pret kaitinošiem paziņojumiem, kas saistīti ar atļauju apstiprināšanu. Tā kā šāda darbība, piemēram, surogātpasta push paziņojumu pieprasījumi, pārtrauc lietotāja darbu un novērš uzmanību no darbībām apstiprināšanas dialoglodziņos, pārlūkprogrammā Chrome 80 tagad adreses joslā tiek parādīts brīdinājuma rīka padoms, nevis atsevišķs dialoglodziņš, kas brīdina, ka atļaujas pieprasījums ir bloķēts. Šis rīka padoms pēc tam sabrūk indikatorā ar pārsvītrotu zvaniņa ikonu. Noklikšķinot uz indikatora, pieprasīto atļauju var jebkurā laikā aktivizēt vai noraidīt. Jaunais režīms tiks automātiski iespējots selektīvi lietotājiem, kuri iepriekš ir bloķējuši šādus pieprasījumus, kā arī vietnēm ar augstu pieprasījumu noraidīšanas līmeni. Iestatījumiem ir pievienota īpaša opcija (chrome://flags/#quiet-notification-prompts), lai iespējotu jauno režīmu visiem pieprasījumiem.
  
• Aizliegts uznirstošo logu attēlošana (izsaucot metodi window.open()) un sinhronu XMLHttpRequest pieprasījumu nosūtīšana lapas aizvēršanas vai paslēpšanas notikumu apstrādātājos (unload, beforeunload, pagehide un visibilitychange);
• Sākotnējais ieteikums aizsardzība Jaukta multivides satura ielāde (kad resursi tiek ielādēti HTTPS lapā, izmantojot protokolu http://) tagad tiks automātiski aizstāta ar saitēm "https://" audio un video atskaņošanas blokos lapās, kas atvērtas, izmantojot protokolu HTTPS. Ja audio vai video resurss nav pieejams, izmantojot protokolu https, tā ielāde tiks bloķēta (to var manuāli bloķēt, izmantojot izvēlni, kurai var piekļūt, izmantojot slēdzenes simbolu adreses joslā).

  Attēli turpinās ielādēt nemainīti (automātiskā aizstāšana tiks ieviesta versijā Chrome 81), taču tīmekļa vietņu izstrādātājiem ir nodrošinātas CSP īpašības upgrade-insecure-requests un block-all-mixed-content, lai tos aizstātu ar https vai bloķētu attēlus. Jaukta satura bloķēšana jau ir ieviesta skriptiem un iframe ietvariem.

• Sākās pakāpeniskas pārmaiņas izslēgšana FTP atbalsts. FTP atbalsts joprojām tiek saglabāts pēc noklusējuma, bet tiks Izpildīts Eksperiments, kurā noteiktam lietotāju skaitam tiks atspējots FTP atbalsts (lai to atkārtoti aktivizētu, pārlūkprogramma būs jāpalaiž ar opciju "--enable-ftp"). Atgādinām, ka iepriekšējās versijās jau ir atspējota pārlūkprogrammas logā resursu satura attēlošana, kas lejupielādēti, izmantojot protokolu "ftp://" (piemēram, HTML dokumenti un README faili vairs netika attēloti), ir aizliegts izmantot FTP, lejupielādējot apakšresursus no dokumentiem, un ir pārtraukts atbalsts FTP starpniekserveriem. Tomēr failu lejupielāde, izmantojot tiešās saites, un direktoriju satura attēlošana joprojām ir iespējama.
• Pievienots
  iespēja izmantot vektoru SVG attēlus kā vietnes ikonu (favicon).
• Iestatījumos tagad ir iekļauta iespēja selektīvi atspējot noteikta veida datus, kas tiek pārsūtīti sinhronizācijas laikā starp pārlūkprogrammām.
• Centralizēti administrētiem korporatīvajiem lietotājiem ir pievienots noteikums. Bloķēt ārējos paplašinājumus, kas ļauj aizliegt ārēju pievienojumprogrammu instalēšanu ierīcē.
• Īstenots iespēja Vienreizēja visa īpašību ķēdes vai izsaukumu pārbaude JavaScript valodā. Piemēram, lai piekļūtu "db.user.name.length", iepriekš bija nepieciešams pakāpeniski pārbaudīt visu komponentu definīcijas, piemēram, izmantojot "if (db && db.user && db.user.name)". Tagad, izmantojot operatoru "?", varat piekļūt vērtībai "db?.user?.name?.length" bez iepriekšējām pārbaudēm, un šāda piekļuve neradīs kļūdu. Problēmu gadījumā (ja kāds elements tiek uzskatīts par nulli vai nedefinētu), tiks atgriezta vērtība "undefined".
• JavaScript ievieš jaunu loģisko apvienošanas operatoru "??", kas atgriež labo operandu, ja kreisais operands ir nulle vai nedefinēts, un otrādi. Piemēram, "const foo = bar ?? 'default string'" atgriezīs bar virkni vai vērtību, ja bar ir nulle, ieskaitot gadījumus, kad bar ir 0 un ' ', atšķirībā no operatora "||".
• Origin Trials režīmā (eksperimentālas funkcijas, kurām nepieciešamas atsevišķas aktivizēšana) Tiek piedāvāta satura indeksēšanas API. Origin izmēģinājuma versija ļauj piekļūt šim API no lietojumprogrammām, kas ielādētas no localhost vai 127.0.0.1, vai pēc reģistrēšanās un īpaša marķiera saņemšanas, kas ir derīgs ierobežotu laiku konkrētai API vietnei. Satura indeksēšana, nodrošina metadatus par saturu, ko iepriekš kešatmiņā saglabājušas tīmekļa lietojumprogrammas, kas darbojas progresīvo tīmekļa lietotņu (PWS) režīmā. Lietojumprogramma var saglabāt dažādus datus, tostarp attēlus, videoklipus un rakstus, pārlūkprogrammā un piekļūt tiem, kad tiek pārtraukts tīkla savienojums, izmantojot kešatmiņas krātuves un IndexedDB API. Satura indeksēšanas API ļauj pievienot, atrast un noņemt šādus resursus. Pārlūkprogrammā šis API jau tiek izmantots, lai uzskaitītu lapas un multividi, kas ir pieejami skatīšanai bezsaistē.
  
• API ir stabilizēts un tagad tiek izplatīts ārpus Origin Trials. Sazinieties ar atlasītāju, ļaujot lietotājam atlasīt ierakstus no savas adrešu grāmatas un nosūtīt noteiktu informāciju par tiem uz tīmekļa vietni. Pieprasījumā ir norādīts izgūstamo rekvizītu saraksts. Šie rekvizīti tiek skaidri parādīti lietotājam, kurš pēc tam izlemj, vai tos nosūtīt. API var izmantot, piemēram, tīmekļa pasta klientā, lai atlasītu izejošā e-pasta adresātus, tīmekļa lietojumprogrammā ar VoIP funkcionalitāti, lai sāktu zvanu uz konkrētu numuru, vai sociālajā tīklā, lai meklētu esošos draugus. Turklāt Origin Trials ieviesa vairākas jaunas kontaktu atlasītāja rekvizītus: papildus iepriekš pieejamajam pilnam vārdam, e-pasta adresei un tālruņa numuram ir pievienota iespēja nosūtīt pasta adresi un attēlu.
• Tīmekļa darbinieku sadaļā ierosināts Jauna ECMAScript moduļu ielādes metode novērš nepieciešamību pēc funkcijas importScripts(), kas bloķē darbinieku importētā skripta apstrādes laikā un izpilda to globālā kontekstā. Jaunā metode ietver īpašu moduļu izveidi tīmekļa darbiniekiem, kas atbalsta standarta JavaScript importēšanas mehānismus un kurus var ielādēt dinamiski, nebloķējot darbinieku. Darbinieka konstruktorā moduļu ielādei ir nodrošināts jauns resursa tips “modulis”:

  const darbinieks = new Darbinieks('darbinieks.js', {
  tips: 'modulis'
  });

• Īstenots Iebūvēta saspiestu straumju JavaScript apstrāde, kas novērš nepieciešamību pēc ārējām bibliotēkām. Saspiešanai un dekompresijai ir pievienotas API. CompressionStream un DecompressionStreamTiek atbalstīta saspiešana, izmantojot gzip un deflate algoritmus.

  konstanta saspiešanaReadableStream
  = inputReadableStream.pipeThrough(new CompressionStream('gzip'));

• Pievienots CSS īpašums "rindiņas pārtraukums: jebkur", atļaujot pārtraukumus jebkuras tipogrāfiskas rakstzīmes līmenī, tostarp pārtraukumus blakus pieturzīmēm, iepriekš definētas atstarpes ( ) un vārdu vidū. CSS īpašība "pārpildes ietīšana: jebkur» ļauj pārtraukt nesaraujamas rakstzīmju virknes jebkurā vietā, ja virknē nevar atrast piemērotu pozīciju pārtraukumam.
• Šifrētā veidā apstrādātam multivides saturam ir ieviests metodes atbalsts. MediaCapabilities.decodingInfo(), kas sniedz informāciju par pārlūkprogrammas iespējām, kas saistītas ar aizsargāta satura dekodēšanu (piemēram, šo metodi var izmantot, lai atlasītu augstas kvalitātes vai enerģijas taupīšanas dekodēšanas scenārijus, pamatojoties uz pieejamo joslas platumu un ekrāna izmēru).
• Pievienota metode HTMLVideoElement.getVideoPlaybackQuality(), caur kuru var iegūt informāciju par video atskaņošanas veiktspēju, lai pielāgotu bitu pārraides ātrumu, izšķirtspēju un citus video parametrus.
• API Maksājumu apstrādātājs, kas vienkāršo integrāciju ar esošajām maksājumu sistēmām, ir pievienota iespēja delegācija adreses un kontaktinformācijas apstrāde, ko veic ārējs maksājumu sistēmas apstrādātājs (maksājumu sistēmas lietojumprogrammai var būt precīzāka informācija nekā pārlūkprogrammai).
• Pievienots HTTP galvenes atbalsts Sec-Fetch-Destinator, kas ļauj nosūtīt papildu metadatus par ar pieprasījumu saistītā satura veidu (piemēram, pieprasījumam, izmantojot img tagu, veids ir norādīts kā "image", fontiem - "font", skriptiem - "script", stiliem - "style" utt.). Pamatojoties uz norādīto veidu, serveris var veikt pasākumus, lai aizsargātu pret noteikta veida uzbrukumiem (piemēram, maz ticams, ka saite uz naudas pārskaitījumu apstrādātāju tiks norādīta, izmantojot img tagu, tāpēc šādi pieprasījumi nav jāapstrādā).
• JavaScript dzinējā V8 tika veikta optimizācija Kaudzes rādītāja glabāšana. Tā vietā, lai glabātu pilnu 64 bitu vērtību, tiek glabāti tikai rādītāja unikālie apakšējie biti. Šī optimizācija samazināja kaudzes atmiņas patēriņu par 40%, bet veiktspējas sodu — par 3–8%.
  
  
• Izmaiņas tīmekļa izstrādātāju rīkos:
  • Tīmekļa konsole tagad atbalsta let un class izteiksmju atkārtotu definēšanu.
    
  • Uzlaboti WebAssembly atkļūdošanas rīki. Pievienots atbalsts. PUNKURIS lai pakāpeniski veiktu atkļūdošanu, iestatītu pārtraukumpunktus un analizētu kaudzes pēdas pirmkodā, kurā ir rakstīta WebAssembly lietojumprogramma.
    
  • Tīkla aktivitātes analīzes panelis ir uzlabots. Pievienota iespēja skatīt ar pieprasījuma uzsākšanu saistīto skripta izsaukuma ķēdi.
    

    Pievienotas jaunas ceļa un URL kolonnas, kurās katram tīkla resursam tiek parādīts absolūtais ceļš un pilns URL. Atlasītais pieprasījums tagad ir iezīmēts pārskata diagrammā.

    
  • Cilnei “Tīkla nosacījumi” ir pievienota opcija mainīt lietotāja aģenta parametru.
    
  • Ir ieviesta jauna saskarne audita paneļa pielāgošanai.
    
  • Cilnē Pārklājums Varat izvēlēties apkopot pārklājuma datus katrai funkcijai vai katram koda blokam (detalizētāka statistika, bet prasa vairāk resursu).
    
• AppCache manifesta darbība (tehnoloģija tīmekļa lietojumprogrammas darbības organizēšanai bezsaistes režīmā) ierobežota pašreizējā vietnes direktorijā (ja manifests tika ielādēts no www.example.com/foo/bar/, tad URL pārrakstīšanas funkcija darbosies tikai /foo/bar/ ietvaros). Pārlūkprogrammā Chrome 82 ir plānots pilnībā noņemt AppCache atbalstu. Norādītais iemesls ir likvidēt vienu no uzbrukuma vektoriem, kas saistīti ar starpvietņu skriptēšanu. Ieteicams izmantot API, nevis AppCache. Kešatmiņa.
• Pārtraukts atbalsts mantotajai WebVR 1.1 API, ko var aizstāt ar WebXR ierīce, kas ļauj piekļūt komponentiem virtuālās un paplašinātās realitātes veidošanai un unificēt darbu ar dažādu klašu ierīcēm, sākot no stacionārām virtuālās realitātes ķiverēm līdz risinājumiem, kuru pamatā ir mobilās ierīces.
• Protokolu apstrādātāji, kas savienoti, izmantojot registerProtocolHandler() un unregisterProtocolHandler() metodes, tagad var darboties tikai drošā kontekstā (ja tiem piekļūst, izmantojot HTTPS).

Papildus jauninājumiem un kļūdu labojumiem jaunā versija novērš 56 ievainojamības. Daudzas ievainojamības tika identificētas automatizētu testēšanas rīku rezultātā AdreseSanitizer, Atmiņas sanitizer, Kontrolējiet plūsmas integritāti, LibFuzzer и AFLNav konstatētas kritiskas problēmas, kas varētu ļaut apiet visus pārlūkprogrammas aizsardzības slāņus un izpildīt kodu ārpus smilškastes vides. Pašreizējās versijas ievainojamību atlīdzību programmas ietvaros Google ir piešķīris 37 atlīdzības 48 000 ASV dolāru apmērā (vienu 10 000 ASV dolāru atlīdzību, trīs 5000 ASV dolāru atlīdzību, trīs 3000 ASV dolāru atlīdzību, četras 2000 ASV dolāru atlīdzību, trīs 1000 ASV dolāru atlīdzību un sešas 500 ASV dolāru atlīdzību). 17 atlīdzību summa vēl nav noteikta.

Avots: opennet.ru