ProHoster > Blog > berita internet > Keluaran Chrome 104

Keluaran Chrome 104

Google telah melancarkan keluaran pelayar web Chrome 104. Pada masa yang sama, keluaran stabil projek Chromium percuma, yang berfungsi sebagai asas Chrome, tersedia. Penyemak imbas Chrome berbeza daripada Chromium dalam penggunaan logo Google, kehadiran sistem untuk menghantar pemberitahuan sekiranya berlaku ranap sistem, modul untuk memainkan kandungan video yang dilindungi salinan (DRM), sistem untuk memasang kemas kini secara automatik, mendayakan pengasingan Kotak Pasir secara kekal , membekalkan kunci kepada API Google dan menghantar parameter RLZ- apabila mencari. Bagi mereka yang memerlukan lebih banyak masa untuk mengemas kini, cawangan Extended Stable disokong secara berasingan, diikuti dengan 8 minggu. Keluaran seterusnya Chrome 105 dijadualkan pada 30 Ogos.

Perubahan utama dalam Chrome 104:

  • Had seumur hidup kuki telah diperkenalkan - semua Kuki baharu atau dikemas kini akan dipadamkan secara automatik selepas 400 hari kewujudan, walaupun jika masa tamat tempoh yang ditetapkan melalui atribut Tamat Tempoh dan Umur Maks melebihi 400 hari (untuk Kuki tersebut, jangka hayat akan dikurangkan hingga 400 hari). Kuki yang dibuat sebelum pelaksanaan sekatan akan mengekalkan hayatnya, walaupun melebihi 400 hari, tetapi akan dihadkan jika dikemas kini. Perubahan itu mencerminkan keperluan baharu yang dinyatakan dalam draf spesifikasi baharu.
  • Mendayakan penyekatan URL iframe yang merujuk kepada sistem fail setempat (β€œsistem fail://”).
  • Untuk mempercepatkan pemuatan halaman, pengoptimuman baharu telah ditambahkan yang memastikan sambungan kepada hos sasaran diwujudkan sebaik sahaja anda mengklik pada pautan, tanpa menunggu anda melepaskan butang atau mengeluarkan jari anda daripada skrin sentuh.
  • Menambahkan tetapan untuk mengurus API "Topik & Kumpulan Minat", yang dipromosikan sebagai sebahagian daripada inisiatif Kotak Pasir Privasi, yang membolehkan anda mentakrifkan kategori minat pengguna dan menggunakannya dan bukannya menjejaki Kuki untuk mengenal pasti kumpulan pengguna yang mempunyai minat yang sama tanpa mengenal pasti pengguna individu . Di samping itu, dialog maklumat yang ditunjukkan sekali telah ditambah, menerangkan kepada pengguna intipati teknologi dan menawarkan untuk mengaktifkan sokongannya dalam tetapan.
  • Peningkatan ambang untuk mengehadkan panggilan bersarang kepada setTimeout dan setInterval pemasa berjalan dengan selang kurang daripada 4ms ("setTimeout(..., <4ms)"). Jumlah had pada panggilan sedemikian telah dinaikkan daripada 5 kepada 100, yang memungkinkan untuk tidak mengurangkan panggilan individu secara agresif, tetapi pada masa yang sama menghalang penyalahgunaan yang boleh menjejaskan prestasi penyemak imbas.
  • Enabled sedang menghantar permintaan pengesahan keizinan CORS (Cross-Origin Resource Sharing) ke pelayan tapak utama dengan pengepala "Access-Control-Request-Private-Network: true" apabila halaman mengakses subsumber pada rangkaian dalaman (192.168.xx , 10. xxx, 172.16-31.xx) atau ke localhost (127.xxx). Apabila mengesahkan operasi sebagai tindak balas kepada permintaan ini, pelayan mesti mengembalikan pengepala "Access-Control-Allow-Private-Network: true". Dalam Chrome versi 104, hasil pengesahan belum lagi menjejaskan pemprosesan permintaan - jika tiada pengesahan, amaran dipaparkan dalam konsol web, tetapi permintaan subsumber itu sendiri tidak disekat. Mendayakan sekatan tanpa pengakuan tidak dijangka sehingga Chrome 107. Untuk mendayakan sekatan dalam keluaran terdahulu, anda boleh mendayakan tetapan "chrome://flags/#private-network-access-respect-preflight-results".

    Pengesahan kuasa oleh pelayan telah diperkenalkan untuk mengukuhkan perlindungan terhadap serangan yang berkaitan dengan mengakses sumber pada rangkaian tempatan atau pada komputer pengguna (localhost) daripada skrip yang dimuatkan semasa membuka tapak. Permintaan sedemikian digunakan oleh penyerang untuk menjalankan serangan CSRF pada penghala, titik capaian, pencetak, antara muka web korporat dan peranti serta perkhidmatan lain yang hanya menerima permintaan daripada rangkaian tempatan. Untuk melindungi daripada serangan sedemikian, jika mana-mana sub-sumber diakses pada rangkaian dalaman, penyemak imbas akan menghantar permintaan eksplisit untuk kebenaran untuk memuatkan sub-sumber ini.

  • Mekanisme Tangkapan Wilayah telah ditambahkan yang membolehkan anda memangkas kandungan yang tidak diperlukan daripada video yang dijana berdasarkan tangkapan skrin. Contohnya, menggunakan API getDisplayMedia, aplikasi web boleh menstrim video kandungan tab dan Tangkapan Wilayah membolehkan anda memotong sebahagian daripada kandungan yang termasuk kawalan persidangan video.
  • Sokongan tambahan untuk sintaks pertanyaan media baharu yang ditakrifkan dalam spesifikasi Tahap 4 Pertanyaan Media, yang menentukan saiz minimum dan maksimum kawasan yang boleh dilihat (port pandang). Sintaks baharu membolehkan anda menggunakan operator perbandingan matematik biasa dan operator logik seperti "tidak", "atau" dan "dan". Sebagai contoh, bukannya β€œ@media (lebar min: 400px) { … }” anda kini boleh menentukan β€œ@media (lebar >= 400px) { … }”.
  • Beberapa API baharu telah ditambahkan pada mod Percubaan Asal (ciri eksperimen yang memerlukan pengaktifan berasingan). Percubaan Asal membayangkan keupayaan untuk bekerja dengan API yang ditentukan daripada aplikasi yang dimuat turun daripada localhost atau 127.0.0.1, atau selepas mendaftar dan menerima token khas yang sah untuk masa terhad untuk tapak tertentu.
    • Menambahkan "kumpulan fokus" sifat CSS untuk meningkatkan navigasi melalui elemen menggunakan kekunci anak panah pada papan kekunci.
    • API Pengesahan Pembayaran Selamat menyediakan keupayaan untuk pengguna melumpuhkan kedai tetapan kad kredit. Untuk memaparkan dialog yang membolehkan anda menolak untuk menyimpan parameter kad kredit, pembina PaymentRequest() menyediakan bendera "showOptOut: true".
    • Menambahkan Shared Element Transitions API, yang membolehkan anda mengatur peralihan yang lancar antara paparan kandungan yang berbeza dalam aplikasi web satu halaman.
  • Sokongan untuk peraturan Spekulasi telah distabilkan, membolehkan pengarang tapak web memberikan penyemak imbas maklumat tentang halaman yang paling berkemungkinan yang boleh dikunjungi pengguna. Penyemak imbas menggunakan maklumat ini untuk memuatkan dan memaparkan kandungan halaman secara proaktif.
  • Mekanisme untuk membungkus sub-sumber ke dalam pakej dalam format Web Bundle telah distabilkan, membolehkan untuk meningkatkan kecekapan memuatkan sejumlah besar fail yang disertakan (gaya CSS, JavaScript, imej, iframe). Tidak seperti pakej dalam format Webpack, format Web Bundle mempunyai kelebihan berikut: bukan pakej itu sendiri yang disimpan dalam cache HTTP, tetapi bahagian komponennya; penyusunan dan pelaksanaan JavaScript bermula tanpa menunggu pakej dimuat turun sepenuhnya; Ia dibenarkan untuk memasukkan sumber tambahan seperti CSS dan imej, yang dalam pek web perlu dikodkan dalam bentuk rentetan JavaScript.
  • Menambahkan sifat CSS kotak paparan objek, yang membolehkan anda menentukan sebahagian daripada imej yang akan dipaparkan di kawasan itu dan bukannya elemen tertentu, yang boleh digunakan, sebagai contoh, untuk menambah sempadan atau bayang-bayang.
  • Menambahkan API Delegasi Keupayaan Skrin Penuh, membenarkan satu objek Window mewakilkan kepada objek Window lain hak untuk memanggil requestFullscreen().
  • Menambahkan API Tetingkap Rakan Skrin Penuh, membenarkan kandungan skrin penuh dan pop timbul diletakkan pada skrin lain selepas menerima pengesahan daripada pengguna.
  • Atribut kotak visual telah ditambahkan pada sifat CSS limpahan-klip-margin, yang menentukan tempat untuk mula memangkas kandungan yang melampaui sempadan kawasan (boleh mengambil nilai-kotak kandungan, kotak padding dan sempadan- kotak).
  • API Papan Klip Async telah menambahkan keupayaan untuk mentakrifkan format khusus untuk data yang dipindahkan melalui papan keratan, selain daripada teks, imej dan teks dengan penanda.
  • WebGL menyediakan sokongan untuk menentukan ruang warna untuk penimbal pemaparan dan berubah apabila mengimport daripada tekstur.
  • Sokongan untuk platform OS X 10.11 dan macOS 10.12 telah dihentikan.
  • API U2F (Cryptotoken), yang sebelum ini ditamatkan dan dilumpuhkan secara lalai, telah dihentikan. API U2F telah digantikan oleh API Pengesahan Web.
  • Penambahbaikan telah dibuat pada alatan untuk pembangun web. Penyahpepijat kini mempunyai keupayaan untuk memulakan semula kod dari permulaan fungsi selepas mencapai titik putus di suatu tempat dalam badan fungsi. Menambah sokongan untuk membangunkan alat tambah untuk panel Perakam. Sokongan untuk menggambarkan tanda yang ditetapkan dalam aplikasi web melalui panggilan kaedah performance.measure() telah ditambahkan pada panel analisis prestasi. Pengesyoran yang dipertingkatkan untuk autolengkap sifat objek JavaScript. Apabila autolengkap pembolehubah CSS, pratonton nilai yang tidak berkaitan dengan warna disediakan.
    Keluaran Chrome 104

Sebagai tambahan kepada inovasi dan pembetulan pepijat, versi baharu menghapuskan 27 kelemahan. Banyak kelemahan telah dikenal pasti hasil daripada ujian automatik menggunakan alat AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer dan AFL. Tiada masalah kritikal telah dikenal pasti yang membolehkan seseorang memintas semua peringkat perlindungan penyemak imbas dan melaksanakan kod pada sistem di luar persekitaran kotak pasir. Sebagai sebahagian daripada program ganjaran tunai untuk menemui kelemahan untuk keluaran semasa, Google membayar 22 anugerah bernilai $84 ribu (satu anugerah $15000, satu anugerah $10000, satu anugerah $8000, satu anugerah $7000, empat anugerah $5000, satu anugerah $4000, tiga anugerah $3000 , empat anugerah $2000, dan tiga anugerah $1000). Saiz satu ganjaran masih belum ditentukan.

Sumber: opennet.ru

Tambah komen