Google release van de webbrowser . Tegelijkertijd stabiele release van een gratis project , dat dient als basis van Chrome. Chrome-browser het gebruik van Google-logo's, de aanwezigheid van een systeem voor het verzenden van meldingen bij een crash, de mogelijkheid om op verzoek een Flash-module te downloaden, modules voor het afspelen van beschermde video-inhoud (DRM), een systeem voor het automatisch installeren van updates en verzending tijdens het zoeken . De volgende release van Chrome 77 staat gepland voor 10 september.
:
- standaard de beschermingsmodus tegen de overdracht van cookies van derden, die, bij afwezigheid van het SameSite-attribuut in de Set-Cookie-header, standaard de waarde “SameSite=Lax” instelt, waardoor het verzenden van cookies voor invoegingen van sites van derden (maar sites kunnen de beperking nog steeds negeren door expliciet de waarde SameSite=None in te stellen bij het instellen van Cookie). Tot nu toe stuurde de browser een cookie bij elk verzoek naar een site waarvoor een cookie was ingesteld, zelfs als er in eerste instantie een andere site werd geopend, en werd het verzoek indirect gedaan door een afbeelding te laden of via een iframe. In de 'Lax'-modus wordt de overdracht van cookies alleen geblokkeerd voor subverzoeken tussen sites, zoals afbeeldingsverzoeken of het laden van iframe-inhoud, die vaak worden gebruikt om CSRF-aanvallen uit te voeren en gebruikersbewegingen tussen sites te volgen.
- Standaard gestopt met het afspelen van Flash-inhoud. Tot de release van Chrome 87, verwacht in december 2020, kan Flash-ondersteuning worden geretourneerd in de instellingen (Geavanceerd > Privacy en beveiliging > Site-instellingen), gevolgd door een expliciete bevestiging van de werking van het afspelen van Flash-inhoud voor elke site (de bevestiging is onthouden totdat de browser opnieuw wordt opgestart). De volledige verwijdering van code ter ondersteuning van Flash loopt synchroon met het eerder aangekondigde plan van Adobe om de ondersteuning voor Flash-technologie in 2020 te beëindigen;
- Voor bedrijven is de mogelijkheid om te zoeken naar bestanden in Google Drive-opslag toegevoegd aan de adresbalk;
- Gestart Ongepaste advertenties in Chrome die de perceptie van de inhoud verstoren en niet voldoen aan de criteria die zijn ontwikkeld door de Coalition for Better Advertising;
- Er is een adaptieve modus geïmplementeerd om naar een nieuwe pagina te schakelen, waarbij de huidige inhoud wordt gewist en een witte achtergrond niet onmiddellijk, maar na een korte vertraging wordt weergegeven. Voor snel ladende pagina's resulteert scraping alleen in flikkering en biedt het niet de mogelijkheid om de gebruiker te informeren dat er een nieuwe pagina wordt geladen. Als in de nieuwe release een pagina snel wordt geopend en er een kleine vertraging optreedt, wordt de nieuwe pagina op zijn plaats weergegeven, waarbij de vorige naadloos wordt vervangen (bijvoorbeeld handig bij het overschakelen naar andere pagina's van dezelfde site die qua ontwerp vergelijkbaar zijn en kleurenschema). Als het voor de gebruiker merkbaar enige tijd duurt voordat de pagina wordt weergegeven, wordt het scherm, net als voorheen, vooraf gewist;
- De criteria voor het bepalen van gebruikersactiviteit op een pagina zijn aangescherpt. Met Chrome kunt u alleen pop-upmeldingen weergeven en vervelende video-/audio-inhoud afspelen na gebruikersacties op de pagina. Met de nieuwe release worden het indrukken van Escape, het bewegen over een link en het aanraken van het scherm niet langer gezien als pagina-activerende interacties (waarvoor een expliciete klik, typen of scrollen vereist is);
- mediaquery “prefers-color-scheme”, waarmee sites kunnen bepalen of de browser een donker thema gebruikt en automatisch een donker thema inschakelen voor de site die wordt bekeken.
- Wanneer je het donkere thema in builds voor Linux inschakelt, wordt de adresbalk nu in een donkere kleur weergegeven;
- de mogelijkheid om het openen van een pagina in de incognitomodus te bepalen door middel van manipulaties met de FileSystem API, die eerder door sommige publicaties werd gebruikt om een betaald abonnement op te leggen in geval van onpersoonlijk openen van pagina's zonder cookies te onthouden (zodat gebruikers de privémodus niet gebruikten om het mechanisme voor het verstrekken van gratis proeftoegang te omzeilen). Voorheen blokkeerde de browser bij het werken in de incognitomodus de toegang tot de FileSystem API om te voorkomen dat gegevens tussen sessies doorzakken, waardoor JavaScript de mogelijkheid kon controleren om gegevens op te slaan via de FileSystem API en, in geval van een storing, de activiteit van incognito modus. Nu wordt de toegang tot de FileSystem API niet geblokkeerd en wordt de inhoud gewist nadat de sessie is beëindigd;
- nieuwe uitdagingen binnen
API-betalingsverzoek en betalingsverwerker. Er is een nieuwe methode changePaymentMethod() verschenen in het PaymentRequestEvent-object, en een nieuwe gebeurtenishandler paymentmethodchange is toegevoegd aan het PaymentRequest-object, waardoor de betalingsincassosite of webapplicatie kan reageren als de gebruiker de betalingsmethode wijzigt. De nieuwe release maakt het ook gemakkelijker voor betalings-API's om applicaties te testen met behulp van zelfondertekende certificaten. Om certificaatverificatiefouten tijdens de ontwikkeling te negeren, is een nieuwe opdrachtregeloptie “—ignore-certificate-errors” toegevoegd; - In de adresbalk naast de knop om toe te voegen aan bladwijzers voor webapplicaties die in Desktop Progressive Web Apps (PWA)-modus draaien, een snelkoppeling om een webapplicatie op het systeem te installeren, zodat deze als een afzonderlijk programma werkt;
- Voor mobiele apparaten is het mogelijk om de weergave van een minipaneel te bedienen met een uitnodiging om een applicatie aan het startscherm toe te voegen. Voor PWA-toepassingen (Progressive Web App) wordt de standaardminibar automatisch weergegeven wanneer u de site voor het eerst opent. De ontwikkelaar kan nu weigeren dit paneel weer te geven en zijn eigen installatieprompt implementeren, waarvoor hij een gebeurtenishandler kan installeren
beforeinstallprompt en voeg een aanroep toe aan preventieDefault();
- De frequentie van updatecontroles voor PWA-applicaties (Progressive Web App) geïnstalleerd in de Android-omgeving is verhoogd. WebAPK-updates worden nu één keer per dag gecontroleerd, en niet één keer per drie dagen zoals voorheen. Als een dergelijke controle een wijziging in ten minste één sleuteleigenschap in het manifest aan het licht brengt, zal de browser een nieuwe WebAPK downloaden en installeren;
- In API de mogelijkheid toegevoegd om afbeeldingen via het klembord programmatisch te lezen en te schrijven met behulp van de methoden navigator.clipboard.read() en navigator.clipboard.write();
- Ondersteuning geïmplementeerd voor een groep HTTP-headers (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site en Sec-Fetch-User), waardoor u aanvullende metagegevens kunt verzenden over de aard van het verzoek (cross-site verzoek, verzoek via img-tag, enz. .) voor acceptatie door servermaatregelen ter bescherming tegen bepaalde soorten aanvallen (het is bijvoorbeeld onwaarschijnlijk dat een link naar een handler voor het overboeken van geld wordt gespecificeerd via een img-tag, dus dergelijke verzoeken kunnen worden geblokkeerd zonder dat ze aan de applicatie worden doorgegeven );
- Functie toegevoegd , waarmee de programmatische indiening van formuliergegevens op dezelfde manier wordt gestart als wanneer u op de knop Verzenden klikt. De functie kan worden gebruikt bij het ontwikkelen van uw eigen formulierverzendknoppen, waarvoor het aanroepen van form.submit() niet voldoende is omdat het niet leidt tot interactieve verificatie van parameters, het genereren van de 'submit'-gebeurtenis en het verzenden van gegevens gebonden aan de verzendknop;
- Functie toegevoegd aan IndexedDB , waarmee u transacties kunt vastleggen die zijn gekoppeld aan een IDBTransaction-object zonder te wachten tot gebeurtenishandlers in alle gekoppelde verzoeken zijn voltooid. Door commit() te gebruiken, kunt u de doorvoer van schrijf- en leesverzoeken naar de opslag vergroten en expliciet de voltooiing van de transactie controleren;
- Opties toegevoegd aan Intl.DateTimeFormat-functies zoals formatToParts() en solveOptions() , waarmee u landspecifieke datum- en tijdweergavestijlen kunt aanvragen;
- De methode BigInt.prototype.toLocaleString() is aangepast om getallen op te maken op basis van de landinstelling, en de methode Intl.NumberFormat.prototype.format() en de functie formatToParts() zijn aangepast om BigInt-invoerwaarden te ondersteunen;
- API toegestaan in alle typen Web Workers, die kunnen worden gebruikt om de optimale parameters te selecteren bij het maken van een MediaStream van een worker;
- Methode toegevoegd , dat alleen vervulde of afgewezen beloften retourneert, met uitzondering van openstaande beloften;
- De optie “--disable-infobars” verwijderd, die voorheen kon worden gebruikt om pop-upwaarschuwingen in de Chrome-interface te verbergen (de regel CommandLineFlagSecurityWarningsEnabled is voorgesteld om beveiligingsgerelateerde waarschuwingen te verbergen);
- Naar de interface voor het werken met blobs methoden text(), arrayBuffer() en stream() voor het lezen van specifieke gegevenstypen;
- CSS-eigenschap "white-space:break-spaces" toegevoegd om te specificeren dat elke reeks witruimte die resulteert in regeloverloop moet worden verbroken;
- Er is begonnen met het schoonmaken van de vlaggen in chrome://flags, bijvoorbeeld flag om het ‘ping’-attribuut uit te schakelen, waarmee site-eigenaren klikken op links op hun pagina’s kunnen volgen. Als u een link volgt en er een “ping=URL”-attribuut in de “a href”-tag in de browser staat, kunt u nu het verzenden van een extra POST-verzoek naar de URL die in het attribuut is opgegeven met informatie over de transitie uitschakelen. De betekenis van het blokkeren van ping gaat sinds dit attribuut verloren in de HTML5-specificaties en er zijn veel oplossingen om dezelfde actie uit te voeren (bijvoorbeeld het passeren van een transitlink of het onderscheppen van klikken met JavaScript-handlers);
- De uitschakelvlag verwijderd , waarbij pagina's van verschillende hosts zich altijd in het geheugen van verschillende processen bevinden, die elk hun eigen sandbox gebruiken.
- De V8-engine heeft de prestaties van het scannen en parseren van het JSON-formaat aanzienlijk verbeterd. Voor populaire webpagina's verloopt de uitvoering van JSON.parse tot 2.7 keer sneller. De conversie van Unicode-strings is aanzienlijk versneld; de snelheid van oproepen naar String#localeCompare, String#normalize en enkele Intl API's is bijvoorbeeld bijna verdubbeld. De prestaties van bewerkingen met bevroren arrays zijn ook aanzienlijk geoptimaliseerd bij het gebruik van bewerkingen als frozen.indexOf(v), frozen.includes(v), fn(...frozen), fn(...[...frozen]) en fn.apply(dit, [... bevroren]).
Naast innovaties en bugfixes elimineert de nieuwe versie . Veel van de kwetsbaarheden zijn geïdentificeerd als resultaat van geautomatiseerd testen met tools , , , и . Er zijn geen kritieke problemen geïdentificeerd die het mogelijk zouden maken om alle niveaus van browserbeveiliging te omzeilen en code op het systeem uit te voeren buiten de sandbox-omgeving. Als onderdeel van het programma om contante beloningen uit te betalen voor het ontdekken van kwetsbaarheden voor de huidige release, heeft Google 16 beloningen uitgekeerd ter waarde van $ 23500 (één beloning van $ 10000, één beloning van $ 6000, twee beloningen van $ 3000 en drie beloningen van $ 500). De grootte van 9 beloningen is nog niet bepaald.
Bron: opennet.ru