Chrome 93. izlaidums

Google ir atklājis tīmekļa pārlūkprogrammas Chrome 93 izlaidumu. Tajā pašā laikā ir pieejams bezmaksas Chromium projekta stabils laidiens, kas kalpo par Chrome pamatu. Pārlūks Chrome izceļas ar Google logotipu izmantošanu, paziņojumu nosūtīšanas sistēmas klātbūtni avārijas gadījumā, moduļiem aizsargāta video satura atskaņošanai (DRM), sistēmu automātiskai atjauninājumu instalēšanai un RLZ parametru pārsūtīšanu, meklējot. Nākamais Chrome 94 laidiens ir paredzēts 21. septembrī (izstrāde ir pārcelta uz 4 nedēļu izlaišanas ciklu).

Galvenās izmaiņas pārlūkā Chrome 93:

• Modernizēts bloka ar lapas informāciju (lapas info) dizains, kurā ieviests ligzdoto bloku atbalsts un nolaižamie saraksti ar piekļuves tiesībām aizstāti ar slēdžiem. Saraksti nodrošina, ka vissvarīgākā informācija tiek parādīta vispirms. Izmaiņas nav iespējotas visiem lietotājiem; lai tās aktivizētu, varat izmantot iestatījumu “chrome://flags/#page-info-version-2-desktop”.
• Nelielai daļai lietotāju eksperimenta kārtā drošā savienojuma indikators adreses joslā tika aizstāts ar neitrālāku simbolu, kas neizraisa dubultu interpretāciju (slēdzene tika aizstāta ar “V” zīmi). Savienojumiem, kas izveidoti bez šifrēšanas, joprojām tiek rādīts indikators “nav drošs”. Indikatora aizstāšanas iemesls ir tas, ka daudzi lietotāji piekaramās slēdzenes indikatoru saista ar faktu, ka vietnes saturam var uzticēties, nevis uzskata to par zīmi, ka savienojums ir šifrēts. Spriežot pēc Google aptaujas, tikai 11% lietotāju saprot ikonas ar slēdzeni nozīmi.
• Nesen aizvērto ciļņu sarakstā tagad tiek parādīts slēgto ciļņu grupu saturs (iepriekš sarakstā vienkārši tika rādīts grupas nosaukums, neprecizējot saturu) ar iespēju uzreiz atgriezt gan visu grupu, gan atsevišķas cilnes no grupas. Funkcija nav iespējota visiem lietotājiem, tāpēc, iespējams, būs jāmaina iestatījums "chrome://flags/#tab-restore-sub-menus", lai to iespējotu.
• Uzņēmumiem ir ieviesti jauni iestatījumi: DefaultJavaScriptJitSetting, JavaScriptJitAllowedForSites un JavaScriptJitBlockedForSites, kas ļauj kontrolēt bez JIT režīmu, kas atspējo JIT kompilācijas izmantošanu, izpildot JavaScript (tiek izmantots tikai Ignition tulks) un aizliedz izpildāmo failu piešķiršanu. atmiņa koda izpildes laikā. JIT atspējošana var būt noderīga, lai uzlabotu drošību darbā ar potenciāli bīstamām tīmekļa lietojumprogrammām, samazinot JavaScript izpildes veiktspēju par aptuveni 17%. Zīmīgi, ka Microsoft ir gājis vēl tālāk un Edge pārlūkprogrammā ieviesis eksperimentālu “Super Duper Secure” režīmu, kas ļauj lietotājam atspējot JIT un aktivizēt ar JIT nesaderīgus aparatūras drošības mehānismus CET (Controlflow-Enforcement Technology), ACG (patvaļīgs). Code Guard) un CFG (Control Flow Guard) tīmekļa satura apstrādes procesiem. Ja eksperiments izrādīsies veiksmīgs, tad varam sagaidīt, ka tas tiks pārsūtīts uz Chrome galveno daļu.
• Jaunās cilnes lapā ir sniegts populārāko Google diskā saglabāto dokumentu saraksts. Saraksta saturs atbilst sadaļai Prioritāte vietnē drive.google.com. Lai kontrolētu Google diska satura attēlošanu, varat izmantot iestatījumus “chrome://flags/#ntp-modules” un “chrome://flags/#ntp-drive-module”.
• Lapai Atvērt jaunu cilni ir pievienotas jaunas informācijas kartītes, lai palīdzētu atrast nesen skatīto saturu un saistīto informāciju. Kartes veidotas tā, lai būtu vieglāk turpināt darbu ar informāciju, kuras skatīšanās tika pārtraukta, piemēram, kartītes palīdzēs atrast recepti kādam ēdienam, kas nesen atrasts internetā, bet pazaudēts pēc lapas aizvēršanas vai turpināt gatavot pirkumi veikalos. Eksperimenta kārtā lietotājiem tiek piedāvātas divas jaunas kartes: “Receptes” (chrome://flags/#ntp-recipe-tasks-module) kulinārijas recepšu meklēšanai un nesen skatīto recepšu parādīšanai; “Iepirkšanās” (chrome://flags/#ntp-chrome-cart-module), lai atgādinātu par tiešsaistes veikalos atlasītajiem produktiem.
• Android versijā ir pievienots papildu atbalsts nepārtrauktās meklēšanas panelim (chrome://flags/#continuous-search), kas ļauj saglabāt redzamus jaunākos Google meklēšanas rezultātus (panelis turpina rādīt rezultātus arī pēc pārejas uz citām lapām).
• Android versijai ir pievienots eksperimentāls citātu koplietošanas režīms (chrome://flags/#webnotes-stylize), kas ļauj saglabāt atlasīto lapas fragmentu kā citātu un kopīgot to ar citiem lietotājiem.
• Publicējot jaunus papildinājumus vai versiju atjauninājumus Chrome interneta veikalā, tagad ir nepieciešama divu faktoru izstrādātāja verifikācija.
• Google konta lietotājiem ir iespēja saglabāt maksājumu informāciju savā Google kontā.
• Inkognito režīmā, ja ir aktivizēta iespēja notīrīt navigācijas datus, ir ieviests jauns darbības apstiprinājuma dialoglodziņš, kurā paskaidrots, ka datu dzēšana aizvērs logu un beigs visas sesijas inkognito režīmā.
• Sakarā ar konstatēto nesaderību ar dažu ierīču programmaparatūru, Chrome 91 ir pievienots atbalsts jaunajai atslēgu vienošanās metodei, kas ir izturīga pret minēšanu kvantu datoros, pamatojoties uz paplašinājuma CECPQ1.3 (kombinētā elliptiskā līkne un post-kvanta 2) izmantošanu. TLSv2, apvienojot klasisko X25519 atslēgu apmaiņas mehānismu ar HRSS shēmu, kuras pamatā ir NTRU Prime algoritms, kas paredzēts pēckvantu kriptosistēmām.
• Porti 989 (ftps-data) un 990 (ftps) ir pievienoti aizliegto tīkla portu skaitam, lai bloķētu ALPACA uzbrukumu. Iepriekš, lai aizsargātos pret NAT slipstreaming uzbrukumiem, porti 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 un 10080 jau bija bloķēti.
• TLS vairs neatbalsta šifrus, kuru pamatā ir 3DES algoritms. Jo īpaši ir noņemts TLS_RSA_WITH_3DES_EDE_CBC_SHA šifru komplekts, kas ir jutīgs pret Sweet32 uzbrukumu.
• Ubuntu 16.04 atbalsts ir pārtraukts.
• Ir iespējams izmantot WebOTP API starp dažādām ierīcēm, kas savienotas, izmantojot kopīgu Google kontu. WebOTP ļauj tīmekļa lietojumprogrammai nolasīt vienreizējos verifikācijas kodus, kas nosūtīti ar SMS. Ierosinātās izmaiņas ļauj saņemt verifikācijas kodu mobilajā ierīcē, kurā darbojas Chrome Android ierīcēm, un lietot to galddatora sistēmā.
• User-Agent Client Hints API ir paplašināta, izstrādāta kā User-Agent galvenes aizstājējs. User-Agent Client Hints ļauj organizēt selektīvu datu piegādi par konkrētiem pārlūkprogrammas un sistēmas parametriem (versiju, platformu utt.) tikai pēc servera pieprasījuma. Lietotājs savukārt var noteikt, kādu informāciju var sniegt vietnes īpašniekiem. Izmantojot User-Agent Client Hints, pārlūkprogrammas identifikators netiek pārsūtīts bez skaidra pieprasījuma, un pēc noklusējuma tiek norādīti tikai pamata parametri, kas apgrūtina pasīvo identifikāciju.

  Jaunā versija atbalsta parametru Sec-CH-UA-Bitness, lai atgrieztu datus par platformas bitumu, ko var izmantot optimizētu bināro failu apkalpošanai. Pēc noklusējuma parametrs Sec-CH-UA-Platform tiek nosūtīts kopā ar vispārīgu platformas informāciju. Vērtība UADataValues, kas tiek atgriezta, izsaucot getHighEntropyValues(), tiek ieviesta pēc noklusējuma, lai atgrieztu vispārinātus parametrus, ja nav iespējams atgriezt detalizētu opciju. Objektam NavigatorUAData ir pievienota metode toJSON, kas ļauj izmantot tādas konstrukcijas kā JSON.stringify(navigator.userAgentData).

• Iespēja iepakot resursus pakotnēs Web Bundle formātā, kas piemērota daudzu pavadošo failu (CSS stilu, JavaScript, attēlu, iframe) efektīvākas ielādes organizēšanai, ir stabilizēta un piedāvāta pēc noklusējuma. Starp nepilnībām esošajā JavaScript failu pakotņu atbalstā (webpack), ko Web Bundle cenšas novērst: pati pakotne, bet ne tās sastāvdaļas, var nonākt HTTP kešatmiņā; kompilāciju un izpildi var sākt tikai pēc pakotnes pilnīgas lejupielādes; Papildu resursi, piemēram, CSS un attēli, ir jākodē JavaScript virkņu veidā, kas palielina izmēru un prasa vēl vienu parsēšanas darbību.
• Iekļauts WebXR Plane Detection API, kas sniedz informāciju par plakanām virsmām virtuālā 3D vidē. Norādītā API ļauj izvairīties no resursietilpīgas datu apstrādes, kas iegūti, izmantojot izsaukumu MediaDevices.getUserMedia(), izmantojot patentētas datorredzes algoritmu implementācijas. Atgādinām, ka WebXR API ļauj unificēt darbu ar dažādu klašu virtuālās realitātes ierīcēm, sākot no stacionārām 3D ķiverēm līdz risinājumiem, kuru pamatā ir mobilās ierīces.
• Origin Trials režīmam ir pievienotas vairākas jaunas API (eksperimentālas funkcijas, kurām nepieciešama atsevišķa aktivizēšana). Sākotnējā izmēģinājuma versija nozīmē iespēju strādāt ar norādīto API no lietojumprogrammām, kas lejupielādētas no localhost vai 127.0.0.1, vai pēc reģistrēšanās un īpaša marķiera saņemšanas, kas ir derīgs noteiktai vietnei ierobežotu laiku.
  • Ir piedāvāta Multi-Screen Window Placement API, kas ļauj izvietot logus uz jebkura displeja, kas ir pieslēgts pašreizējai sistēmai, kā arī saglabāt loga pozīciju un nepieciešamības gadījumā paplašināt logu līdz pilnam ekrānam. Piemēram, izmantojot norādīto API, tīmekļa lietojumprogramma prezentācijas parādīšanai var organizēt slaidu rādīšanu vienā ekrānā un parādīt piezīmi prezentētājam citā ekrānā.
  • Cross-Origin-Embedder-Policy galvene, kas kontrolē Cross-Origin izolācijas režīmu un ļauj definēt drošas lietošanas noteikumus lapā Priviliģētās darbības, tagad atbalsta parametru "bez akreditācijas datiem", lai atspējotu ar akreditācijas datiem saistītas informācijas pārsūtīšanu, piemēram, Sīkdatnes un klientu sertifikāti.
  • Atsevišķām tīmekļa lietojumprogrammām (PWA, Progressive Web Apps), kas kontrolē loga satura atveidi un apstrādā ievadi, ir nodrošināts pārklājums ar loga vadīklām, piemēram, virsrakstjoslu un izvēršanas/sakļaut pogām. Pārklājums paplašina rediģējamo apgabalu, lai aptvertu visu logu, un ļauj virsraksta apgabalam pievienot savus elementus.
  • Pievienota iespēja izveidot PWA lietojumprogrammas, kuras var izmantot kā URL apstrādātājus. Piemēram, lietojumprogramma music.example.com var reģistrēties kā URL apstrādātājs https://*.music.example.com, un visas pārejas no ārējām lietojumprogrammām, izmantojot šīs saites, piemēram, no tūlītējās ziņojumapmaiņas un e-pasta klientiem, novedīs pie līdz šīs PWA lietojumprogrammu atvēršanai, nevis jaunai pārlūkprogrammas cilnei.
• CSS failus ir iespējams ielādēt, izmantojot izteiksmi “import”, līdzīgi kā JavaScript moduļu ielāde, kas ir ērti, veidojot savus elementus un ļauj iztikt bez stilu piešķiršanas, izmantojot JavaScript kodu. importēt lapu no './styles.css' assert { type: 'css' }; document.adoptedStyleSheets = [lapa]; shadowRoot.adoptedStyleSheets = [lapa];
• Ir nodrošināta jauna statiska metode AbortSignal.abort(), kas atgriež AbortSignal objektu, kas jau ir iestatīts kā pārtraukts. Vairāku koda rindiņu vietā, lai izveidotu AbortSignal objektu pārtrauktā stāvoklī, tagad varat iztikt ar vienu “return AbortSignal.abort()” rindiņu.
• Flexbox elements ir pievienojis sākuma, beigu, pašsākšanas, pašbeiguma, kreisās un labās puses atslēgvārdu atbalstu, papildinot centra, flex-start un flex-end atslēgvārdus ar rīkiem elastīgu elementu pozīcijas vienkāršotai izlīdzināšanai.
• Error() konstruktors ievieš jaunu neobligātu "cause" rekvizītu, kas ļauj viegli saistīt kļūdas savā starpā. const parentError = new Error('parent'); const error = new Error('parent', { cēlonis: vecāku kļūda }); console.log(error.cause === vecāku kļūda); // → taisnība
• Īpašumam HTMLMediaElement.controlsList ir pievienots noplaybackrate režīma atbalsts, kas ļauj atspējot pārlūkprogrammā nodrošinātās saskarnes elementus, lai mainītu multivides satura atskaņošanas ātrumu.
• Pievienota Sec-CH-Prefers-Color-Scheme galvene, kas pieprasījuma nosūtīšanas posmā ļauj pārsūtīt datus par lietotāja vēlamo krāsu shēmu, kas tiek izmantota multivides vaicājumos “prefers-color-scheme”, kas ļaus vietnei optimizēt CSS ielāde, kas saistīta ar atlasīto shēmu, un izvairītos no redzamiem slēdžiem no citām shēmām.
• Pievienots rekvizīts Object.hasOwn, kas ir vienkāršota Object.prototype.hasOwnProperty versija, kas ieviesta kā statiska metode. Object.hasOwn({ prop: 42 }, 'prop') // → true
• Sparkplug JIT kompilators, kas paredzēts ļoti ātrai rupja spēka kompilācijai, ir pievienojis pakešu izpildes režīmu, lai samazinātu atmiņas lapu pārslēgšanu starp rakstīšanas un izpildes režīmu. Sparkplug tagad apkopo vairākas funkcijas vienlaikus un vienreiz izsauc mprotect, lai mainītu visas grupas atļaujas. Piedāvātais režīms ievērojami samazina kompilācijas laiku (līdz 44%), negatīvi neietekmējot JavaScript izpildes veiktspēju.
• Android versija atspējo V8 dzinēja iebūvēto aizsardzību pret sānu kanālu uzbrukumiem, piemēram, Spectre, kas netiek uzskatīti par tik efektīviem kā vietņu izolēšana atsevišķos procesos. Darbvirsmas versijā šie mehānismi tika atspējoti jau pārlūkprogrammas Chrome 70 laidienā. Nevajadzīgo pārbaužu atspējošana ļāva palielināt veiktspēju par 2–15%.
• Ir veikti tīmekļa izstrādātāju rīku uzlabojumi. Stila lapas pārbaudes režīmā ir iespējams rediģēt vaicājumus, kas ģenerēti, izmantojot @container izteiksmi. Tīkla pārbaudes režīmā tiek ieviests resursu priekšskatījums Web komplekta formātā. Tīmekļa konsolē konteksta izvēlnei ir pievienotas opcijas virkņu kopēšanai JavaScript vai JSON burtu formā. Uzlabota ar CORS (Cross-Origin Resource Sharing) saistīto kļūdu atkļūdošana.

Papildus jauninājumiem un kļūdu labojumiem jaunā versija novērš 27 ievainojamības. Daudzas ievainojamības tika identificētas automatizētas testēšanas rezultātā, izmantojot AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer un AFL rīkus. Nav konstatētas nekādas kritiskas problēmas, kas ļautu apiet visus pārlūkprogrammas aizsardzības līmeņus un izpildīt kodu sistēmā ārpus smilškastes vides. Kā daļu no programmas, lai izmaksātu naudas atlīdzību par pašreizējā laidiena ievainojamību atklāšanu, Google samaksāja 19 balvas 136500 20000 USD vērtībā (trīs 15000 10000 USD, vienu 7500 5000 USD, trīs 3000 5 USD, vienu XNUMX XNUMX USD, trīs XNUMX XNUMX USD un XNUMX USD XNUMX). XNUMX atlīdzības lielums vēl nav noteikts.

Avots: opennet.ru