ProHoster > blog > internetnieuws > Chrome 93-versie

Chrome 93-versie

Google heeft de release onthuld van de webbrowser Chrome 93. Tegelijkertijd is er een stabiele release beschikbaar van het gratis Chromium-project, dat als basis dient voor Chrome. De Chrome-browser onderscheidt zich door het gebruik van Google-logo's, de aanwezigheid van een systeem voor het verzenden van meldingen bij een crash, modules voor het afspelen van beschermde video-inhoud (DRM), een systeem voor het automatisch installeren van updates en het verzenden van RLZ-parameters tijdens het zoeken. De volgende release van Chrome 94 staat gepland voor 21 september (de ontwikkeling is verplaatst naar een releasecyclus van vier weken).

Belangrijkste wijzigingen in Chrome 93:

  • Het ontwerp van het blok met pagina-informatie (pagina-info) is gemoderniseerd, waarbij ondersteuning voor geneste blokken is geïmplementeerd en vervolgkeuzelijsten met toegangsrechten zijn vervangen door schakelaars. De lijsten zorgen ervoor dat de belangrijkste informatie als eerste wordt weergegeven. De wijziging is niet voor alle gebruikers ingeschakeld; om deze te activeren kunt u de instelling “chrome://flags/#page-info-version-2-desktop” gebruiken.
    Chrome 93-versie
  • Voor een klein percentage van de gebruikers werd bij wijze van experiment de indicator voor een beveiligde verbinding in de adresbalk vervangen door een neutraler symbool dat geen dubbele interpretatie veroorzaakt (het slotje werd vervangen door een “V”-teken). Voor verbindingen die zonder codering tot stand zijn gebracht, blijft de indicator ‘niet veilig’ weergegeven. De reden die wordt aangevoerd voor het vervangen van de indicator is dat veel gebruikers de hangslotindicator associëren met het feit dat de inhoud van de site kan worden vertrouwd, in plaats van dit te zien als een teken dat de verbinding is gecodeerd. Volgens een Google-enquête begrijpt slechts 11% van de gebruikers de betekenis van het pictogram met een slotje.
    Chrome 93-versie
  • De lijst met onlangs gesloten tabbladen toont nu de inhoud van gesloten groepen tabbladen (voorheen toonde de lijst eenvoudigweg de naam van de groep zonder de inhoud te specificeren) met de mogelijkheid om zowel de hele groep als individuele tabbladen uit de groep in één keer terug te sturen. De functie is niet voor alle gebruikers ingeschakeld, dus u moet mogelijk de instelling 'chrome://flags/#tab-restore-sub-menus' wijzigen om deze in te schakelen.
    Chrome 93-versie
  • Voor ondernemingen zijn nieuwe instellingen geïmplementeerd: DefaultJavaScriptJitSetting, JavaScriptJitAllowedForSites en JavaScriptJitBlockedForSites, waarmee u de JIT-loze modus kunt beheren, die het gebruik van JIT-compilatie bij het uitvoeren van JavaScript uitschakelt (alleen de Ignition-interpreter wordt gebruikt) en de toewijzing van uitvoerbare bestanden verbiedt geheugen tijdens het uitvoeren van code. Het uitschakelen van JIT kan nuttig zijn om de veiligheid van het werken met potentieel gevaarlijke webapplicaties te verbeteren, ten koste van een vermindering van de uitvoeringsprestaties van JavaScript met ongeveer 17%. Het is opmerkelijk dat Microsoft nog verder is gegaan en een experimentele “Super Duper Secure”-modus in de Edge-browser heeft geïmplementeerd, waardoor de gebruiker JIT kan uitschakelen en niet-JIT-compatibele hardwarebeveiligingsmechanismen kan activeren CET (Controlflow-Enforcement Technology), ACG (Arbitrary Code Guard) en CFG (Control Flow Guard) voor processen die webinhoud verwerken. Als het experiment succesvol blijkt, kunnen we verwachten dat het wordt overgezet naar het hoofdgedeelte van Chrome.
  • De nieuwe tabbladpagina biedt een lijst met de populairste documenten die zijn opgeslagen in Google Drive. De inhoud van de lijst komt overeen met het gedeelte Prioriteit in drive.google.com. Om de weergave van Google Drive-inhoud te regelen, kunt u de instellingen “chrome://flags/#ntp-modules” en “chrome://flags/#ntp-drive-module” gebruiken.
    Chrome 93-versie
  • Er zijn nieuwe informatiekaarten toegevoegd aan de pagina 'Nieuw tabblad openen', zodat u onlangs bekeken inhoud en gerelateerde informatie kunt vinden. De kaarten zijn ontworpen om het gemakkelijker te maken om verder te werken met informatie waarvan het bekijken is onderbroken. De kaarten helpen u bijvoorbeeld bij het vinden van een recept voor een gerecht dat onlangs online is gevonden maar verloren is gegaan na het sluiten van de pagina, of om door te gaan met het maken van aankopen in winkels. Als experiment krijgen gebruikers twee nieuwe kaarten aangeboden: “Recepten” (chrome://flags/#ntp-recipe-tasks-module) voor het zoeken naar culinaire recepten en het tonen van recent bekeken recepten; “Winkelen” (chrome://flags/#ntp-chrome-cart-module) voor herinneringen over producten die in online winkels zijn geselecteerd.
  • De Android-versie voegt optionele ondersteuning toe voor een doorlopend zoekpaneel (chrome://flags/#continuous-search), waarmee u recente Google-zoekresultaten zichtbaar kunt houden (het paneel blijft resultaten weergeven nadat u naar andere pagina's bent gegaan).
    Chrome 93-versie
  • Aan de Android-versie is een experimentele modus voor het delen van offertes toegevoegd (chrome://flags/#webnotes-stylize), waarmee u een geselecteerd fragment van een pagina als offerte kunt opslaan en met andere gebruikers kunt delen.
  • Bij het publiceren van nieuwe toevoegingen of versie-updates in de Chrome Web Store is nu tweeledige ontwikkelaarsverificatie vereist.
  • Gebruikers van Google-accounts hebben de mogelijkheid betalingsgegevens op te slaan in hun Google-account.
  • Als in de incognitomodus de optie om navigatiegegevens te wissen is geactiveerd, is er een nieuw bevestigingsvenster voor de bewerking geïmplementeerd, waarin wordt uitgelegd dat het wissen van gegevens het venster zal sluiten en alle sessies in de incognitomodus zal beëindigen.
  • Vanwege geïdentificeerde incompatibiliteit met de firmware van sommige apparaten is ondersteuning voor de nieuwe sleutelovereenkomstmethode toegevoegd aan Chrome 91, bestand tegen gissen op kwantumcomputers, gebaseerd op het gebruik van de CECPQ1.3-extensie (Combined Elliptic-Curve and Post-Quantum 2) in TLSv2, dat een klassiek X25519-sleuteluitwisselingsmechanisme combineert met een HRSS-schema gebaseerd op het NTRU Prime-algoritme, ontworpen voor post-kwantumcryptosystemen.
  • Poorten 989 (ftps-data) en 990 (ftps) zijn toegevoegd aan het aantal verboden netwerkpoorten om de ALPACA-aanval te blokkeren. Ter bescherming tegen NAT-slipstreaming-aanvallen waren voorheen de poorten 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 en 10080 al geblokkeerd.
  • TLS ondersteunt niet langer cijfers op basis van het 3DES-algoritme. In het bijzonder is de coderingssuite TLS_RSA_WITH_3DES_EDE_CBC_SHA, die gevoelig is voor de Sweet32-aanval, verwijderd.
  • Ondersteuning voor Ubuntu 16.04 is stopgezet.
  • Het is mogelijk om de WebOTP API te gebruiken tussen verschillende apparaten die zijn verbonden via een gemeenschappelijk Google-account. Met WebOTP kan een webapplicatie eenmalige verificatiecodes lezen die via sms zijn verzonden. De voorgestelde wijziging maakt het mogelijk om een ​​verificatiecode te ontvangen op een mobiel apparaat met Chrome voor Android, en deze toe te passen op een desktopsysteem.
  • De User-Agent Client Hints API is uitgebreid en ontwikkeld als vervanging voor de User-Agent header. Met User-Agent Client Hints kunt u de selectieve levering van gegevens over specifieke browser- en systeemparameters (versie, platform, enz.) alleen organiseren na een verzoek van de server. De gebruiker kan op zijn beurt bepalen welke informatie aan site-eigenaren kan worden verstrekt. Bij het gebruik van User-Agent Client Hints wordt de browser-ID niet verzonden zonder expliciet verzoek, en worden standaard alleen basisparameters opgegeven, wat passieve identificatie moeilijk maakt.

    De nieuwe versie ondersteunt de parameter Sec-CH-UA-Bitness om gegevens over de bitheid van het platform te retourneren, die kunnen worden gebruikt om geoptimaliseerde binaire bestanden aan te bieden. Standaard wordt de parameter Sec-CH-UA-Platform verzonden met algemene platforminformatie. De UADataValues-waarde die wordt geretourneerd bij het aanroepen van getHighEntropyValues() wordt standaard geïmplementeerd om gegeneraliseerde parameters te retourneren als het onmogelijk is om een ​​gedetailleerde optie te retourneren. De toJSON-methode is toegevoegd aan het NavigatorUAData-object, waardoor u constructies als JSON.stringify(navigator.userAgentData) kunt gebruiken.

  • De mogelijkheid om bronnen te verpakken in pakketten in het Web Bundle-formaat, geschikt voor het efficiënter laden van een groot aantal begeleidende bestanden (CSS-stijlen, JavaScript, afbeeldingen, iframes), is gestabiliseerd en standaard aangeboden. Een van de tekortkomingen in de bestaande ondersteuning voor pakketten voor JavaScript-bestanden (webpack), die de Web Bundle probeert te elimineren: het pakket zelf, maar niet de samenstellende delen ervan, kan in de HTTP-cache terechtkomen; Het compileren en uitvoeren kan pas beginnen nadat het pakket volledig is gedownload; Extra bronnen zoals CSS en afbeeldingen moeten worden gecodeerd in de vorm van JavaScript-tekenreeksen, waardoor de omvang groter wordt en een nieuwe parseerstap vereist.
  • De WebXR Plane Detection API is inbegrepen en biedt informatie over vlakke oppervlakken in een virtuele 3D-omgeving. De gespecificeerde API maakt het mogelijk om resource-intensieve verwerking van gegevens verkregen via de aanroep MediaDevices.getUserMedia() te vermijden, met behulp van eigen implementaties van computer vision-algoritmen. Laten we u eraan herinneren dat u met de WebXR API het werk kunt verenigen met verschillende klassen virtual reality-apparaten, van stationaire 3D-helmen tot oplossingen op basis van mobiele apparaten.
  • Er zijn verschillende nieuwe API's toegevoegd aan de Origin Trials-modus (experimentele functies die afzonderlijk moeten worden geactiveerd). Origin Trial impliceert de mogelijkheid om met de gespecificeerde API te werken vanuit applicaties die zijn gedownload van localhost of 127.0.0.1, of na registratie en ontvangst van een speciaal token dat voor een beperkte tijd geldig is voor een specifieke site.
    • Er is de Multi-Screen Window Placement API voorgesteld, waarmee u vensters op elk beeldscherm kunt plaatsen dat op het huidige systeem is aangesloten, de vensterpositie kunt opslaan en, indien nodig, het venster kunt uitbreiden naar het volledige scherm. Met behulp van de opgegeven API kan een webapplicatie voor het weergeven van een presentatie bijvoorbeeld de weergave van dia's op het ene scherm organiseren en op een ander scherm een ​​notitie voor de presentator weergeven.
    • De Cross-Origin-Embedder-Policy-header, die de Cross-Origin-isolatiemodus bestuurt en u in staat stelt veilige gebruiksregels te definiëren op de pagina Privileged Operations, ondersteunt nu een parameter 'credentialless' om de overdracht van referentiegerelateerde informatie uit te schakelen, zoals Cookies en klantcertificaten.
    • Voor stand-alone webapplicaties (PWA, Progressive Web Apps) die de weergave van vensterinhoud regelen en de invoer afhandelen, is een overlay met vensterbesturingselementen, zoals een titelbalk en knoppen voor uitvouwen/samenvouwen, beschikbaar. Een overlay breidt het bewerkbare gebied uit tot het hele venster en stelt u in staat uw eigen elementen aan het titelgebied toe te voegen.
      Chrome 93-versie
    • De mogelijkheid toegevoegd om PWA-applicaties te maken die kunnen worden gebruikt als URL-handlers. De applicatie music.example.com kan zichzelf bijvoorbeeld registreren als URL-handler https://*.music.example.com en alle overgangen van externe applicaties die deze links gebruiken, bijvoorbeeld van instant messengers en e-mailclients, zullen leiden naar de opening van deze PWA-applicaties, niet naar een nieuw browsertabblad.
  • Het is mogelijk om CSS-bestanden te laden met behulp van de “import”-expressie, vergelijkbaar met het laden van JavaScript-modules, wat handig is bij het maken van uw eigen elementen en waarmee u het kunt doen zonder stijlen toe te wijzen met behulp van JavaScript-code. importblad uit './styles.css' assert {type: 'css' }; document.adoptedStyleSheets = [blad]; shadowRoot.adoptedStyleSheets = [blad];
  • Er is een nieuwe statische methode, AbortSignal.abort(), beschikbaar die een AbortSignal-object retourneert dat al is ingesteld op afgebroken. In plaats van meerdere regels code om een ​​AbortSignal-object in de afgebroken status te maken, kunt u nu rondkomen met een enkele regel "return AbortSignal.abort()".
  • Het Flexbox-element heeft ondersteuning toegevoegd voor de trefwoorden start, end, self-start, self-end, left en right, waarbij de trefwoorden center, flex-start en flex-end worden aangevuld met tools voor een vereenvoudigde uitlijning van de positie van flex-elementen.
  • De constructor Error() implementeert een nieuwe optionele eigenschap ‘cause’, waarmee u fouten eenvoudig met elkaar kunt associëren. const parentError = nieuwe fout('ouder'); const error = new Error('parent', {oorzaak: parentError }); console.log(fout.oorzaak === parentError); // → waar
  • Ondersteuning toegevoegd voor de noplaybackrate-modus aan de eigenschap HTMLMediaElement.controlsList, waarmee u elementen van de interface in de browser kunt uitschakelen voor het wijzigen van de afspeelsnelheid van multimedia-inhoud.
  • De Sec-CH-Prefers-Color-Scheme-header toegevoegd, waarmee tijdens de verzendfase van het verzoek gegevens kunnen worden verzonden over het voorkeurskleurenschema van de gebruiker dat wordt gebruikt in "prefers-color-scheme"-mediaquery's, waardoor de site kan optimaliseren het laden van CSS die aan het geselecteerde schema is gekoppeld en vermijd zichtbare schakelaars van andere schema's.
  • De eigenschap Object.hasOwn is toegevoegd. Dit is een vereenvoudigde versie van Object.prototype.hasOwnProperty, geïmplementeerd als een statische methode. Object.hasOwn({ prop: 42 }, 'prop') // → waar
  • De JIT-compiler van Sparkplug is ontworpen voor zeer snelle brute-force-compilatie en heeft een batch-uitvoeringsmodus toegevoegd om de overhead van het schakelen tussen geheugenpagina's tussen schrijf- en uitvoermodi te verminderen. Sparkplug compileert nu meerdere functies tegelijk en roept mprotect één keer aan om de rechten van de hele groep te wijzigen. De voorgestelde modus verkort de compilatietijd aanzienlijk (tot 44%) zonder de uitvoeringsprestaties van JavaScript negatief te beïnvloeden.
    Chrome 93-versie
  • De Android-versie schakelt de ingebouwde bescherming van de V8-engine uit tegen zijkanaalaanvallen zoals Spectre, die niet zo effectief worden geacht als het isoleren van sites in afzonderlijke processen. In de desktopversie waren deze mechanismen uitgeschakeld in de release van Chrome 70. Door onnodige controles uit te schakelen, konden de prestaties met 2-15% worden verbeterd.
    Chrome 93-versie
  • Er zijn verbeteringen aangebracht in tools voor webontwikkelaars. In de stijlbladinspectiemodus is het mogelijk om query's te bewerken die zijn gegenereerd met de @container-expressie. In de netwerkinspectiemodus wordt een voorbeeld van bronnen in het webbundelformaat geïmplementeerd. In de webconsole zijn opties voor het kopiëren van tekenreeksen in de vorm van JavaScript- of JSON-literals toegevoegd aan het contextmenu. Verbeterde foutopsporing van CORS-gerelateerde fouten (Cross-Origin Resource Sharing).
    Chrome 93-versie

Naast innovaties en bugfixes elimineert de nieuwe versie 27 kwetsbaarheden. Veel van de kwetsbaarheden zijn geïdentificeerd als resultaat van geautomatiseerd testen met behulp van de tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL. Er zijn geen kritieke problemen geïdentificeerd die het mogelijk zouden maken om alle niveaus van browserbeveiliging te omzeilen en code op het systeem uit te voeren buiten de sandbox-omgeving. Als onderdeel van het programma om contante beloningen te betalen voor het ontdekken van kwetsbaarheden voor de huidige release, betaalde Google 19 beloningen ter waarde van $136500 (drie beloningen van $20000, één beloning van $15000, drie beloningen van $10000, één beloning van $7500, drie beloningen van $5000 en drie beloningen van $3000). De omvang van de 5 beloningen is nog niet vastgesteld.

Bron: opennet.ru

Voeg een reactie