ProHoster > Blogs > interneta ziņas > Chrome 90. izlaidums

Chrome 90. izlaidums

Google ir prezentējis tÄ«mekļa pārlÅ«kprogrammas Chrome 90 izlaidumu. Tajā paŔā laikā ir pieejams bezmaksas Chromium projekta stabils laidiens, kas kalpo par Chrome pamatu. PārlÅ«ks Chrome izceļas ar Google logotipu izmantoÅ”anu, paziņojumu nosÅ«tÄ«Å”anas sistēmas klātbÅ«tni avārijas gadÄ«jumā, moduļiem aizsargāta video satura atskaņoÅ”anai (DRM), sistēmu automātiskai atjauninājumu instalÄ“Å”anai un RLZ parametru pārsÅ«tÄ«Å”anu, meklējot. Nākamais Chrome 91 laidiens ir paredzēts 25. maijā.

Galvenās izmaiņas pārlÅ«kā Chrome 90:

  • Visiem lietotājiem pēc noklusējuma ir iespējota vietņu atvērÅ”ana, izmantojot HTTPS, ievadot resursdatora nosaukumus adreses joslā. Piemēram, ievadot resursdatoru example.com, vietne https://example.com tiks atvērta pēc noklusējuma, un, ja atvērÅ”anas laikā rodas problēmas, tā tiks atgriezta atpakaļ uz http://example.com. Lai kontrolētu noklusējuma ā€œhttps://ā€ izmantoÅ”anu, tiek piedāvāts iestatÄ«jums ā€œchrome://flags#omnibox-default-typed-navigations-to-httpsā€.
  • Tagad logiem ir iespējams pieŔķirt dažādas etiÄ·etes, lai tās vizuāli atdalÄ«tu darbvirsmas panelÄ«. Atbalsts loga nosaukuma maiņai vienkārÅ”os darba organizāciju, izmantojot atseviŔķus pārlÅ«kprogrammas logus dažādiem uzdevumiem, piemēram, atverot atseviŔķus logus darba uzdevumiem, personÄ«gajām interesēm, izklaidei, atliktajiem materiāliem u.c. Nosaukums tiek mainÄ«ts, izmantojot vienumu ā€œPievienot loga nosaukumuā€ konteksta izvēlnē, kas tiek parādÄ«ta, ar peles labo pogu noklikŔķinot uz tukÅ”a apgabala ciļņu joslā. Pēc nosaukuma maiņas lietojumprogrammas panelÄ« vietnes nosaukuma vietā no aktÄ«vās cilnes tiek parādÄ«ts atlasÄ«tais nosaukums, kas var bÅ«t noderÄ«gs, atverot vienas un tās paÅ”as vietnes dažādos logos, kas saistÄ«ti ar atseviŔķiem kontiem. SaistÄ«Å”ana tiek uzturēta starp sesijām, un pēc restartÄ“Å”anas logi tiks atjaunoti ar atlasÄ«tajiem nosaukumiem.
    Chrome 90. izlaidums
  • Pievienota iespēja paslēpt ā€œlasÄ«Å”anas sarakstuā€, nemainot iestatÄ«jumus sadaļā ā€œchrome://flagsā€ (ā€œchrome://flags#read-laterā€). Lai paslēptu, tagad varat izmantot opciju ā€œRādÄ«t lasÄ«Å”anas sarakstuā€ konteksta izvēlnes apakŔā, kas tiek parādÄ«ta, ar peles labo pogu noklikŔķinot uz grāmatzÄ«mju joslas. Atgādināsim, ka pēdējā laidienā, kad daži lietotāji adreses joslā noklikŔķina uz zvaigznÄ«tes, papildus pogai ā€œPievienot grāmatzÄ«miā€ tiek parādÄ«ta otra poga ā€œPievienot lasÄ«Å”anas sarakstamā€ un labajā stÅ«rÄ« grāmatzÄ«mju panelÄ« tiek parādÄ«ta izvēlne ā€œLasÄ«Å”anas sarakstsā€, kurā ir uzskaitÄ«tas visas sarakstam iepriekÅ” pievienotās lapas. Atverot lapu no saraksta, tā tiek atzÄ«mēta kā lasÄ«ta. Sarakstā esoŔās lapas var arÄ« manuāli atzÄ«mēt kā lasÄ«tas vai nelasÄ«tas vai noņemt no saraksta.
  • Pievienots tÄ«kla segmentācijas atbalsts, lai aizsargātu pret metodēm, kā izsekot lietotāju kustÄ«bām starp vietnēm, pamatojoties uz identifikatoru glabāŔanu vietās, kas nav paredzētas pastāvÄ«gai informācijas glabāŔanai (ā€œsupersÄ«kfailiā€). Tā kā keÅ”atmiņā saglabātie resursi tiek glabāti kopējā nosaukumvietā neatkarÄ«gi no sākotnējā domēna, viena vietne var noteikt, ka cita vietne ielādē resursus, pārbaudot, vai Å”is resurss atrodas keÅ”atmiņā. AizsardzÄ«bas pamatā ir tÄ«kla segmentācijas (Network Partitioning) izmantoÅ”ana, kuras bÅ«tÄ«ba ir pievienot koplietotajām keÅ”atmiņām papildu ierakstu saistÄ«Å”anu ar domēnu, no kura tiek atvērta galvenā lapa, kas ierobežo keÅ”atmiņas pārklājumu tikai kustÄ«bas izsekoÅ”anas skriptiem. uz paÅ”reizējo vietni (skripts no iframe nevarēs pārbaudÄ«t, vai resurss ir lejupielādēts no citas vietnes). Segmentācijas cena ir keÅ”atmiņas efektivitātes samazināŔanās, kas rada nelielu lapas ielādes laika pieaugumu (maksimums par 1.32%, bet 80% vietņu par 0.09-0.75%).
  • TÄ«kla portu melnais saraksts, kuriem ir bloķēta HTTP, HTTPS un FTP pieprasÄ«jumu sÅ«tÄ«Å”ana, ir papildināts, lai aizsargātos pret NAT slipstreaming uzbrukumiem, kas ļauj, pārlÅ«kprogrammā atverot uzbrucēja speciāli sagatavotu tÄ«mekļa lapu, izveidot tÄ«klu. savienojums no uzbrucēja servera ar jebkuru lietotāja sistēmas UDP vai TCP portu, neskatoties uz to, ka tiek izmantots iekŔējais adreÅ”u diapazons (192.168.x.x, 10.x.x.x). Aizliegto portu sarakstam pievienots 554 (RTSP protokols) un 10080 (izmantots Amanda dublējumkopijā un VMWare vCenter). IepriekÅ” jau bija bloķēti 69., 137., 161., 554., 1719., 1720., 1723., 5060., 5061. un 6566. porti.
  • Pievienots sākotnējais atbalsts PDF dokumentu atvērÅ”anai ar XFA veidlapām pārlÅ«kprogrammā.
  • Dažiem lietotājiem ir aktivizēta jauna iestatÄ«jumu sadaļa ā€œChrome iestatÄ«jumi > Privātums un droŔība > Privātuma smilÅ”kasteā€, kas ļauj pārvaldÄ«t FLoC API parametrus, kuru mērÄ·is ir noteikt lietotāja intereÅ”u kategoriju bez individuālas identifikācijas un bez atsauces uz konkrētu vietu apmeklÄ“Å”anas vēsture.
  • Kad lietotājs izveido savienojumu ar profilu, kuram ir iespējota centralizētā pārvaldÄ«ba, tagad tiek parādÄ«ts skaidrāks paziņojums ar atļauto darbÄ«bu sarakstu.
  • PadarÄ«ja atļauju pieprasÄ«juma saskarni mazāk traucējoÅ”u. PieprasÄ«jumi, kurus lietotājs, visticamāk, noraidÄ«s, tagad tiek automātiski bloķēti, un adreses joslā tiek parādÄ«ts atbilstoÅ”s indikators, ar kuru lietotājs var pāriet uz saskarni, lai pārvaldÄ«tu atļaujas katrai vietnei.
    Chrome 90. izlaidums
  • Ir iekļauts atbalsts Intel CET (Intel Control-flow Enforcement Technology) paplaÅ”inājumiem, lai nodroÅ”inātu aparatÅ«ras aizsardzÄ«bu pret ļaunprātÄ«gām darbÄ«bām, kas izveidotas, izmantojot uz atgrieÅ”anos orientētas programmÄ“Å”anas (ROP, Return-Oriented Programming) metodes.
  • Turpinās darbs pie pārlÅ«kprogrammas pārejas uz iekļaujoÅ”u terminoloÄ£iju. Fails "master_preferences" ir pārdēvēts par "initial_preferences", lai neaizvainotu to lietotāju jÅ«tas, kuri vārdu "master" uztver kā mājienu par savu senču kādreizējo verdzÄ«bu. Lai saglabātu saderÄ«bu, ā€œmaster_preferencesā€ atbalsts kādu laiku paliks pārlÅ«kprogrammā. IepriekÅ” pārlÅ«kprogramma jau bija atbrÄ«vojusies no vārdu ā€œbaltais sarakstsā€, ā€œmelnais sarakstsā€ un ā€œnativeā€ lietoÅ”anas.
  • Android versijā, kad ir iespējots trafika taupÄ«Å”anas režīms ā€œLiteā€, tiek samazināts bitu pārraides ātrums, lejupielādējot video, kad ir izveidots savienojums caur mobilo sakaru operatoru tÄ«kliem, kas samazinās to lietotāju izmaksas, kuriem ir iespējoti trafika tarifi. ā€œVienkārÅ”aisā€ režīms nodroÅ”ina arÄ« to attēlu saspieÅ”anu, kas pieprasÄ«ti no publiski pieejamiem resursiem (nav nepiecieÅ”ama autentifikācija), izmantojot HTTPS.
  • Pievienots AV1 video formāta kodētājs, kas Ä«paÅ”i optimizēts lietoÅ”anai video konferencēs, pamatojoties uz WebRTC protokolu. AV1 izmantoÅ”ana video konferencēs ļauj palielināt saspieÅ”anas efektivitāti un nodroÅ”ināt iespēju pārraidÄ«t kanālos ar joslas platumu 30 kbit/sek.
  • JavaScript objektos Array, String un TypedArrays tiek ieviesta metode at(), kas ļauj izmantot relatÄ«vo indeksÄ“Å”anu (relatÄ«vā pozÄ«cija ir norādÄ«ta kā masÄ«va indekss), tostarp norādot negatÄ«vas vērtÄ«bas attiecÄ«bā pret beigām (piemēram, "arr.at(-1)" atgriezÄ«s pēdējo masÄ«va elementu).
  • JavaScript ir pievienojis regulāro izteiksmju rekvizÄ«tu ā€œ.indicesā€, kas satur masÄ«vu ar atbilstÄ«bas grupu sākuma un beigu pozÄ«cijām. RekvizÄ«ts tiek aizpildÄ«ts tikai izpildot regulāro izteiksmi ar karogu "/d". const re = /(a)(b)/d; const m = re.exec('ab'); console.log(m.indices[0]); // 0 ā€” visas atbilstÄ«bas grupas // ā†’ [0, 2] console.log(m.indices[1]); // 1 ir pirmā atbilstÄ«bas grupa // ā†’ [0, 1] console.log(m.indices[2]); // 2 ā€” otrā spēļu grupa // ā†’ [1, 2]
  • Ir optimizēta to ā€œsuperā€ rekvizÄ«tu (piemēram, super.x) veiktspēja, kuriem ir iespējota iekļautā keÅ”atmiņa. "Super" izmantoÅ”anas veiktspēja tagad ir tuvu parastajiem Ä«paÅ”umiem.
  • WebAssembly funkciju izsaukÅ”ana no JavaScript ir ievērojami paātrināta, jo tiek izmantota iekļautā izvietoÅ”ana. Å Ä« optimizācija pagaidām ir eksperimentāla, un tai ir jādarbojas ar karogu ā€œ-turbo-inline-js-wasm-callsā€.
  • Pievienota WebXR Depth Sensing API, kas ļauj noteikt attālumu starp objektiem lietotāja vidē un lietotāja ierÄ«ci, piemēram, lai izveidotu reālistiskākas paplaÅ”inātās realitātes aplikācijas. Atgādinām, ka WebXR API ļauj unificēt darbu ar dažādu klaÅ”u virtuālās realitātes ierÄ«cēm, sākot no stacionārām 3D Ä·iverēm lÄ«dz risinājumiem, kuru pamatā ir mobilās ierÄ«ces.
  • WebXR AR apgaismojuma novērtÄ“Å”anas funkcija ir stabilizēta, ļaujot WebXR AR sesijām noteikt apkārtējā apgaismojuma parametrus, lai pieŔķirtu modeļiem dabiskāku izskatu un labāku integrāciju ar lietotāja vidi.
  • Origin Trials režīms (eksperimentālās funkcijas, kurām nepiecieÅ”ama atseviŔķa aktivizÄ“Å”ana) pievieno vairākus jaunus API, kas paÅ”laik ir ierobežoti Android platformā. Sākotnējā izmēģinājuma versija nozÄ«mē iespēju strādāt ar norādÄ«to API no lietojumprogrammām, kas lejupielādētas no localhost vai 127.0.0.1, vai pēc reÄ£istrÄ“Å”anās un Ä«paÅ”a marÄ·iera saņemÅ”anas, kas ir derÄ«gs noteiktai vietnei ierobežotu laiku.
    • GetCurrentBrowsingContextMedia() metode, kas ļauj uzņemt MediaStream video straumi, kas atspoguļo paÅ”reizējās cilnes saturu. AtŔķirÄ«bā no lÄ«dzÄ«gās getDisplayMedia() metodes, izsaucot getCurrentBrowsingContextMedia(), lietotājam tiek parādÄ«ts vienkārÅ”s dialoglodziņŔ, lai apstiprinātu vai bloķētu video pārsÅ«tÄ«Å”anas darbÄ«bu ar cilnes saturu.
    • Insertable Streams API, kas ļauj manipulēt ar neapstrādātām multivides straumēm, kas tiek pārraidÄ«tas, izmantojot MediaStreamTrack API, piemēram, kameras un mikrofona datus, ekrāna tverÅ”anas rezultātus vai starpposma kodeku dekodÄ“Å”anas datus. WebCodec saskarnes tiek izmantotas, lai parādÄ«tu neapstrādātus kadrus, un tiek Ä£enerēta straume, kas ir lÄ«dzÄ«ga tai, ko Ä£enerē WebRTC Insertable Streams API, pamatojoties uz RTCPeerConnections. No praktiskās puses jaunais API nodroÅ”ina tādas funkcionalitātes kā maŔīnmācÄ«Å”anās metožu pielietoÅ”ana, lai reāllaikā identificētu vai anotētu objektus, vai pievienotu tādus efektus kā fona izgrieÅ”ana pirms kodÄ“Å”anas vai pēc kodeka dekodÄ“Å”anas.
    • Iespēja iepakot resursus pakotnēs (Web Bundle), lai organizētu daudzu pavadoÅ”o failu efektÄ«vāku ielādi (CSS stili, JavaScript, attēli, iframe). Starp nepilnÄ«bām esoÅ”ajā JavaScript failu pakotņu atbalstā (webpack), ko Web Bundle cenÅ”as novērst: pati pakotne, bet ne tās sastāvdaļas, var nonākt HTTP keÅ”atmiņā; kompilāciju un izpildi var sākt tikai pēc pakotnes pilnÄ«gas lejupielādes; Papildu resursi, piemēram, CSS un attēli, ir jākodē JavaScript virkņu veidā, kas palielina izmēru un prasa vēl vienu parsÄ“Å”anas darbÄ«bu.
    • Atbalsts izņēmumu apstrādei WebAssembly.
  • Stabilizēta Declarative Shadow DOM API, lai izveidotu jaunus saknes zarus Ēnu DOM, piemēram, lai no galvenā dokumenta atdalÄ«tu importēto treŔās puses elementa stilu un ar to saistÄ«to DOM apakÅ”nozari. Piedāvātā deklaratÄ«vā API ļauj izmantot tikai HTML, lai atspraustu DOM zarus, nerakstot JavaScript kodu.
  • Aspect-ratio CSS rekvizÄ«ts, kas ļauj skaidri saistÄ«t malu attiecÄ«bu ar jebkuru elementu (lai automātiski aprēķinātu trÅ«kstoÅ”o izmēru, norādot tikai augstumu vai platumu), ievieÅ” iespēju interpolēt vērtÄ«bas animācijas laikā (vienmērÄ«ga pāreja no viena malu attiecÄ«ba pret citu).
  • Pievienota iespēja atspoguļot pielāgoto HTML elementu stāvokli CSS, izmantojot pseidoklasi ā€œ:state()ā€. Funkcionalitāte tiek Ä«stenota pēc analoÄ£ijas ar standarta HTML elementu spēju mainÄ«t savu stāvokli atkarÄ«bā no lietotāja mijiedarbÄ«bas.
  • CSS rekvizÄ«ts ā€œappearanceā€ tagad atbalsta vērtÄ«bu ā€œautoā€, kas pēc noklusējuma ir iestatÄ«ta parametriem un , savukārt Android platformā papildus tiek iestatÄ«ta vērtÄ«ba , , , and .
  • CSS rekvizÄ«tam ā€œoverflowā€ ir pievienots atbalsts ā€œclipā€ vērtÄ«bai, kad tas ir iestatÄ«ts, saturs, kas pārsniedz bloku, tiek apgriezts lÄ«dz bloka pieļaujamās pārplÅ«des robežai bez iespējas ritināt. VērtÄ«ba, kas nosaka, cik tālu saturs var pārsniegt lodziņa faktisko robežu pirms izgrieÅ”anas sākuma, tiek iestatÄ«ta, izmantojot jauno CSS rekvizÄ«tu "overflow-clip-margin". SalÄ«dzinot ar ā€œpārpilde: paslēptsā€, ā€œpārpilde: klipsā€ izmantoÅ”ana nodroÅ”ina labāku veiktspēju.
    Chrome 90. izlaidumsChrome 90. izlaidums
  • Feature-Policy HTTP galvene ir aizstāta ar jaunu Atļauju politikas galveni, lai kontrolētu atļauju deleģēŔanu un papildu funkciju iespējoÅ”anu, kas ietver atbalstu strukturētām lauku vērtÄ«bām (piemēram, tagad varat norādÄ«t "Permissions-Policy: geolokācija =()" vietā "Feature- Policy: geolocation 'none'").
  • Pastiprināta aizsardzÄ«ba pret protokolu buferu izmantoÅ”anu uzbrukumiem, ko izraisa spekulatÄ«va instrukciju izpilde procesoros. AizsardzÄ«ba tiek Ä«stenota, pievienojot MIME tipu ā€œapplication/x-protobufferā€ nekad nenojaukto MIME tipu sarakstam, kas tiek apstrādāts, izmantojot Cross-Origin-Read-Blocking mehānismu. IepriekÅ” MIME tips ā€œapplication/x-protobufā€ jau bija iekļauts lÄ«dzÄ«gā sarakstā, bet ā€œapplication/x-protobufferā€ tika atstāts ārpusē.
  • Failu sistēmas piekļuves API ievieÅ” iespēju pārvietot paÅ”reizējo pozÄ«ciju failā ārpus tā beigām, aizpildot iegÅ«to atstarpi ar nullēm turpmākās rakstÄ«Å”anas laikā, izmantojot izsaukumu FileSystemWritableFileStream.write(). Å Ä« funkcija ļauj izveidot retus failus ar tukŔām vietām un ievērojami vienkārÅ”o rakstÄ«Å”anas organizÄ“Å”anu faila straumēs ar nesakārtotu datu bloku ieraÅ”anos (piemēram, tas tiek praktizēts BitTorrent).
  • Pievienots StaticRange konstruktors ar vieglo diapazona tipu ievieÅ”anu, kuriem nav jāatjaunina visi saistÄ«tie objekti katru reizi, kad mainās DOM koks.
  • Ieviesta iespēja norādÄ«t platuma un augstuma parametrus elementiem, kas norādÄ«ti elementā . Å Ä« funkcija ļauj aprēķināt elementu malu attiecÄ«bu, lÄ«dzÄ«gi kā tas tiek darÄ«ts , un .
  • Nestandartizētais atbalsts RTP datu kanāliem ir noņemts no WebRTC, un tā vietā ieteicams izmantot uz SCTP balstÄ«tus datu kanālus.
  • RekvizÄ«ti navigator.plugins un navigator.mimeTypes tagad vienmēr atgriež tukÅ”u vērtÄ«bu (pēc Flash atbalsta beigām Å”ie rekvizÄ«ti vairs nebija nepiecieÅ”ami).
  • TÄ«mekļa izstrādātājiem paredzētajos rÄ«kos ir veikta liela daļa nelielu uzlabojumu, un ir pievienots jauns CSS atkļūdoÅ”anas rÄ«ks flexbox.
    Chrome 90. izlaidums

Papildus jauninājumiem un kļūdu labojumiem jaunā versija novērÅ” 37 ievainojamÄ«bas. Daudzas ievainojamÄ«bas tika identificētas automatizētas testÄ“Å”anas rezultātā, izmantojot AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer un AFL rÄ«kus. Nav konstatētas nekādas kritiskas problēmas, kas ļautu apiet visus pārlÅ«kprogrammas aizsardzÄ«bas lÄ«meņus un izpildÄ«t kodu sistēmā ārpus smilÅ”kastes vides. Kā daļu no naudas atlÄ«dzÄ«bas programmas par paÅ”reizējā laidiena ievainojamÄ«bu atklāŔanu Google izmaksāja 19 balvas 54000 20000 USD vērtÄ«bā (viena 10000 5000 USD balva, viena 3000 2000 USD balva, divas 1000 500 USD balvas, trÄ«s 6 XNUMX USD balvas, viena XNUMX USD balva, XNUMX XNUMX USD XNUMX balva ).) XNUMX balvu lielums vēl nav noteikts.

AtseviŔķi var atzÄ«mēt, ka vakar, pēc koriģējoŔā laidiena 89.0.4389.128 izveidoÅ”anas, bet pirms Chrome 90 izlaiÅ”anas tika publicēts vēl viens exploit, kurā tika izmantota jauna 0 dienu ievainojamÄ«ba, kas netika novērsta pārlÅ«kā Chrome 89.0.4389.128. . Pagaidām nav skaidrs, vai Ŕī problēma ir novērsta pārlÅ«kprogrammā Chrome 90. Tāpat kā pirmajā gadÄ«jumā, ļaunprātÄ«ga izmantoÅ”ana aptver tikai vienu ievainojamÄ«bu un nesatur kodu, lai apietu smilÅ”kastes izolāciju (ja palaižat pārlÅ«ku Chrome ar karogu ā€œ--no-sandboxā€ , izmantoÅ”ana notiek, atverot tÄ«mekļa lapu Windows platformā, ļauj palaist Notepad). Ar jauno izmantoÅ”anu saistÄ«tā ievainojamÄ«ba ietekmē WebAssembly tehnoloÄ£iju.

Avots: opennet.ru

Pievieno komentāru