ProHoster > blog > internetnieuws > Chrome 104-versie

Chrome 104-versie

Google heeft de release onthuld van de webbrowser Chrome 104. Tegelijkertijd is er een stabiele release beschikbaar van het gratis Chromium-project, dat als basis dient voor Chrome. De Chrome-browser verschilt van Chromium in het gebruik van Google-logo's, de aanwezigheid van een systeem voor het verzenden van meldingen bij een crash, modules voor het afspelen van tegen kopiëren beveiligde videocontent (DRM), een systeem voor het automatisch installeren van updates, waardoor Sandbox-isolatie permanent mogelijk wordt gemaakt , het leveren van sleutels aan de Google API en het verzenden van RLZ- tijdens het zoeken.parameters. Voor degenen die meer tijd nodig hebben om te updaten, wordt de Extended Stable-tak afzonderlijk ondersteund, gevolgd door 8 weken. De volgende release van Chrome 105 staat gepland voor 30 augustus.

Belangrijkste wijzigingen in Chrome 104:

  • Er is een levensduurlimiet voor cookies geïntroduceerd: alle nieuwe of bijgewerkte cookies worden automatisch verwijderd nadat ze 400 dagen bestaan, zelfs als de vervaltijd die is ingesteld via de kenmerken Expires en Max-Age langer is dan 400 dagen (voor dergelijke cookies wordt de levensduur verkort tot 400 dagen). Cookies die vóór de implementatie van de beperking zijn aangemaakt, behouden hun levensduur, zelfs als deze langer is dan 400 dagen, maar zullen beperkt zijn als ze worden bijgewerkt. De wijziging weerspiegelt de nieuwe vereisten die zijn vermeld in het ontwerp van de nieuwe specificatie.
  • Blokkering ingeschakeld van iframe-URL's die verwijzen naar het lokale bestandssysteem (“bestandssysteem://”).
  • Om het laden van pagina's te versnellen, is er een nieuwe optimalisatie toegevoegd die ervoor zorgt dat er een verbinding met de doelhost tot stand wordt gebracht op het moment dat u op een link klikt, zonder te wachten tot u de knop loslaat of uw vinger van het aanraakscherm haalt.
  • Instellingen toegevoegd voor het beheer van de “Topics & Interest Group” API, gepromoot als onderdeel van het Privacy Sandbox-initiatief, waarmee u categorieën van gebruikersinteresses kunt definiëren en deze kunt gebruiken in plaats van trackingcookies om groepen gebruikers met vergelijkbare interesses te identificeren zonder individuele gebruikers te identificeren . Daarnaast zijn er informatieve dialogen toegevoegd die één keer worden getoond, waarin de gebruiker de essentie van de technologie wordt uitgelegd en wordt aangeboden om de ondersteuning ervan in de instellingen te activeren.
  • Verhoogde drempels om geneste aanroepen van setTimeout- en setInterval-timers te beperken die worden uitgevoerd met een interval van minder dan 4 ms ("setTimeout(..., <4ms)"). De totale limiet voor dergelijke oproepen is verhoogd van 5 naar 100, wat het mogelijk maakt om individuele oproepen niet agressief te verminderen, maar tegelijkertijd misbruik te voorkomen dat de browserprestaties zou kunnen beïnvloeden.
  • Ingeschakeld is het verzenden van een CORS-autorisatieverzoek (Cross-Origin Resource Sharing) naar de hoofdsiteserver met de header 'Access-Control-Request-Private-Network: true' wanneer een pagina toegang krijgt tot een subresource op het interne netwerk (192.168.xx , 10. xxx, 172.16-31.xx) of naar localhost (127.xxx). Bij het bevestigen van de bewerking als reactie op dit verzoek moet de server de header “Access-Control-Allow-Private-Network: true” retourneren. In Chrome versie 104 heeft het bevestigingsresultaat nog geen invloed op de verwerking van het verzoek. Als er geen bevestiging is, wordt er een waarschuwing weergegeven in de webconsole, maar wordt het subresourceverzoek zelf niet geblokkeerd. Het inschakelen van blokkering zonder bevestiging wordt pas verwacht in Chrome 107. Als u blokkering in eerdere releases wilt inschakelen, kunt u de instelling 'chrome://flags/#private-network-access-respect-preflight-results' inschakelen.

    Verificatie van de autoriteit door de server werd geïntroduceerd om de bescherming te versterken tegen aanvallen die verband houden met de toegang tot bronnen op het lokale netwerk of op de computer van de gebruiker (localhost) via scripts die worden geladen bij het openen van een site. Dergelijke verzoeken worden door aanvallers gebruikt om CSRF-aanvallen uit te voeren op routers, toegangspunten, printers, bedrijfswebinterfaces en andere apparaten en diensten die alleen verzoeken van het lokale netwerk accepteren. Ter bescherming tegen dergelijke aanvallen zal de browser, als er toegang wordt verkregen tot subbronnen op het interne netwerk, een expliciet verzoek om toestemming sturen om deze subbronnen te laden.

  • Er is een Region Capture-mechanisme toegevoegd waarmee u onnodige inhoud kunt bijsnijden uit een video die is gegenereerd op basis van schermopname. Met behulp van de getDisplayMedia API kan een webapplicatie bijvoorbeeld video van de inhoud van een tabblad streamen, en met Region Capture kunt u een deel van de inhoud verwijderen dat bedieningselementen voor videoconferenties bevat.
  • Ondersteuning toegevoegd voor de nieuwe mediaquery-syntaxis gedefinieerd in de Media Queries Level 4-specificatie, die de minimale en maximale grootte van het zichtbare gebied (viewport) bepaalt. Met de nieuwe syntaxis kunt u algemene wiskundige vergelijkingsoperatoren en logische operatoren zoals "niet", "of" en "en" gebruiken. In plaats van “@media (min-width: 400px) { … }” kunt u nu bijvoorbeeld “@media (width >= 400px) { … }” opgeven.
  • Er zijn verschillende nieuwe API's toegevoegd aan de Origin Trials-modus (experimentele functies die afzonderlijk moeten worden geactiveerd). Origin Trial impliceert de mogelijkheid om met de gespecificeerde API te werken vanuit applicaties die zijn gedownload van localhost of 127.0.0.1, of na registratie en ontvangst van een speciaal token dat voor een beperkte tijd geldig is voor een specifieke site.
    • Een CSS-eigenschap “focusgroup” toegevoegd om de navigatie door elementen te verbeteren met behulp van de pijltjestoetsen op het toetsenbord.
    • De Secure Payment Confirmation API biedt de gebruiker de mogelijkheid om de opslag van creditcardinstellingen uit te schakelen. Om een ​​dialoogvenster weer te geven waarmee u kunt weigeren creditcardparameters op te slaan, biedt de constructor PaymentRequest() de vlag “showOptOut: true”.
    • De Shared Element Transitions API is toegevoegd, waarmee u een soepele overgang tussen verschillende inhoudsweergaven in webapplicaties met één pagina kunt organiseren.
  • De ondersteuning voor speculatieregels is gestabiliseerd, waardoor auteurs van websites de browser informatie kunnen geven over de meest waarschijnlijke pagina's waar de gebruiker naartoe kan gaan. De browser gebruikt deze informatie om pagina-inhoud proactief te laden en weer te geven.
  • Het mechanisme voor het verpakken van subbronnen in pakketten in het Web Bundle-formaat is gestabiliseerd, waardoor de efficiëntie van het laden van een groot aantal begeleidende bestanden (CSS-stijlen, JavaScript, afbeeldingen, iframes) kan worden verhoogd. In tegenstelling tot pakketten in het Webpack-formaat heeft het Web Bundle-formaat de volgende voordelen: niet het pakket zelf wordt opgeslagen in de HTTP-cache, maar de samenstellende delen ervan; het compileren en uitvoeren van JavaScript begint zonder te wachten tot het pakket volledig is gedownload; Het is toegestaan ​​om aanvullende bronnen op te nemen, zoals CSS en afbeeldingen, die in webpack gecodeerd zouden moeten worden in de vorm van JavaScript-strings.
  • De CSS-eigenschap object-view-box toegevoegd, waarmee u een deel van de afbeelding kunt definiëren dat in het gebied wordt weergegeven in plaats van een bepaald element, dat bijvoorbeeld kan worden gebruikt om een ​​rand of schaduw toe te voegen.
  • De API voor het delegeren van volledig schermmogelijkheden toegevoegd, waardoor een Window-object het recht kan delegeren aan een ander Window-object om requestFullscreen() aan te roepen.
  • Companion Window API voor volledig scherm toegevoegd, waardoor inhoud en pop-ups op volledig scherm op een ander scherm kunnen worden geplaatst na ontvangst van bevestiging van de gebruiker.
  • Er is een visual-box attribuut toegevoegd aan de CSS-eigenschap overflow-clip-margin, die bepaalt waar moet worden begonnen met het bijsnijden van inhoud die buiten de rand van het gebied valt (kan de waarden content-box, opvulling-box en border- doos).
  • De Async Clipboard API heeft de mogelijkheid toegevoegd om gespecialiseerde formaten te definiëren voor gegevens die via het klembord worden overgedragen, met uitzondering van tekst, afbeeldingen en tekst met opmaak.
  • WebGL biedt ondersteuning voor het specificeren van een kleurruimte voor de renderbuffer en transformatie bij het importeren vanuit een textuur.
  • Ondersteuning voor OS X 10.11- en macOS 10.12-platforms is stopgezet.
  • De U2F (Cryptotoken) API, die voorheen verouderd en standaard uitgeschakeld was, is stopgezet. De U2F API is vervangen door de Web Authentication API.
  • Er zijn verbeteringen aangebracht in tools voor webontwikkelaars. De debugger heeft nu de mogelijkheid om code opnieuw te starten vanaf het begin van een functie nadat hij ergens in de hoofdtekst van de functie een breekpunt heeft bereikt. Ondersteuning toegevoegd voor het ontwikkelen van add-ons voor het Recorder-paneel. Ondersteuning voor het visualiseren van markeringen die in een webtoepassing zijn ingesteld door het aanroepen van de methode performance.measure() is toegevoegd aan het prestatieanalysepaneel. Verbeterde aanbevelingen voor het automatisch aanvullen van JavaScript-objecteigenschappen. Bij het automatisch aanvullen van CSS-variabelen worden voorbeelden gegeven van waarden die geen verband houden met kleuren.
    Chrome 104-versie

Naast innovaties en bugfixes elimineert de nieuwe versie 27 kwetsbaarheden. Veel van de kwetsbaarheden zijn geïdentificeerd als resultaat van geautomatiseerd testen met behulp van de tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL. Er zijn geen kritieke problemen geïdentificeerd die het mogelijk zouden maken om alle niveaus van browserbeveiliging te omzeilen en code op het systeem uit te voeren buiten de sandbox-omgeving. Als onderdeel van het geldbeloningsprogramma voor het ontdekken van kwetsbaarheden voor de huidige release heeft Google 22 beloningen uitgekeerd ter waarde van $84 (een beloning van $15000, een beloning van $10000, een beloning van $8000, een beloning van $7000, vier beloningen van $5000, een beloning van $4000, drie beloningen van $3000). , vier prijzen van $ 2000 en drie prijzen van $ 1000). De omvang van één beloning is nog niet vastgesteld.

Bron: opennet.ru

Voeg een reactie