ProHoster > Log > Internett-nyheter > Chrome-versjon 104

Chrome-versjon 104

Google har avduket utgivelsen av nettleseren Chrome 104. Samtidig er en stabil utgivelse av det gratis Chromium-prosjektet, som fungerer som grunnlaget for Chrome, tilgjengelig. Chrome-nettleseren skiller seg fra Chromium ved bruk av Google-logoer, tilstedeværelsen av et system for å sende varsler i tilfelle krasj, moduler for avspilling av kopibeskyttet videoinnhold (DRM), et system for automatisk installasjon av oppdateringer, som permanent aktiverer Sandbox-isolasjon , leverer nøkler til Google API og sender RLZ- når du søker etter parametere. For de som trenger mer tid til å oppdatere, støttes Extended Stable-grenen separat, etterfulgt av 8 uker. Den neste utgivelsen av Chrome 105 er planlagt til 30. august.

Viktige endringer i Chrome 104:

  • En levetidsgrense for informasjonskapsler er innført - alle nye eller oppdaterte informasjonskapsler vil automatisk bli slettet etter 400 dagers eksistens, selv om utløpstiden som er angitt gjennom attributtene Expires og Max-Age overstiger 400 dager (for slike informasjonskapsler vil levetiden reduseres til 400 dager). Informasjonskapsler opprettet før implementeringen av begrensningen vil beholde levetiden, selv om den overstiger 400 dager, men vil være begrenset hvis de oppdateres. Endringen reflekterer nye krav notert i utkastet til ny spesifikasjon.
  • Aktivert blokkering av iframe-URL-er som refererer til det lokale filsystemet ("filsystem://").
  • For å få fart på sideinnlastingen er det lagt til en ny optimalisering som sikrer at en tilkobling til målverten opprettes i det øyeblikket du klikker på en lenke, uten å vente på at du slipper knappen eller fjerner fingeren fra berøringsskjermen.
  • Lagt til innstillinger for å administrere "Emner og interessegruppe" API, promotert som en del av Privacy Sandbox-initiativet, som lar deg definere kategorier av brukerinteresser og bruke dem i stedet for å spore informasjonskapsler for å identifisere grupper av brukere med lignende interesser uten å identifisere individuelle brukere . I tillegg er informasjonsdialoger som vises én gang lagt til, som forklarer brukeren essensen av teknologien og tilbyr å aktivere støtten i innstillingene.
  • Økte terskler for å begrense nestede anrop til setTimeout og setInterval-timere som kjører med et intervall på mindre enn 4ms ("setTimeout(..., <4ms)"). Totalgrensen på slike samtaler er økt fra 5 til 100, noe som gjør det mulig å ikke aggressivt kutte ned enkeltsamtaler, men samtidig forhindre misbruk som kan påvirke nettleserens ytelse.
  • Enabled sender en CORS-godkjenningsforespørsel (Cross-Origin Resource Sharing) til hovedsideserveren med overskriften "Access-Control-Request-Private-Network: true" når en side får tilgang til en underressurs på det interne nettverket (192.168.xx) , 10. xxx, 172.16-31.xx) eller til localhost (127.xxx). Når du bekrefter operasjonen som svar på denne forespørselen, må serveren returnere "Access-Control-Allow-Private-Network: true"-overskriften. I Chrome versjon 104 påvirker bekreftelsesresultatet ennå ikke behandlingen av forespørselen - hvis det ikke er noen bekreftelse, vises en advarsel i nettkonsollen, men selve subressursforespørselen er ikke blokkert. Aktivering av blokkering uten bekreftelse forventes ikke før Chrome 107. For å aktivere blokkering i tidligere utgivelser, kan du aktivere "chrome://flags/#private-network-access-respect-preflight-results"-innstillingen.

    Verifikasjon av autoritet av serveren ble introdusert for å styrke beskyttelsen mot angrep relatert til tilgang til ressurser på det lokale nettverket eller på brukerens datamaskin (localhost) fra skript lastet når du åpner et nettsted. Slike forespørsler brukes av angripere til å utføre CSRF-angrep på rutere, tilgangspunkter, skrivere, bedriftens webgrensesnitt og andre enheter og tjenester som kun aksepterer forespørsler fra det lokale nettverket. For å beskytte mot slike angrep, vil nettleseren sende en eksplisitt forespørsel om tillatelse til å laste disse underressursene hvis noen underressurser er tilgjengelig på det interne nettverket.

  • En Region Capture-mekanisme er lagt til som lar deg trimme unødvendig innhold fra en video generert basert på skjermopptak. For eksempel, ved å bruke getDisplayMedia API, kan en nettapplikasjon streame video av innholdet i en fane, og Region Capture lar deg kutte ut deler av innholdet som inkluderer videokonferansekontroller.
  • Lagt til støtte for den nye mediespørringssyntaksen definert i Media Queries Level 4-spesifikasjonen, som bestemmer minimums- og maksimumsstørrelsen på det synlige området (viewport). Den nye syntaksen lar deg bruke vanlige matematiske sammenligningsoperatorer og logiske operatorer som "ikke", "eller" og "og". For eksempel, i stedet for “@media (min-width: 400px) { … }” kan du nå spesifisere “@media (width >= 400px) { … }”.
  • Flere nye API-er er lagt til Origin Trials-modusen (eksperimentelle funksjoner som krever separat aktivering). Origin Trial innebærer muligheten til å arbeide med spesifisert API fra applikasjoner lastet ned fra localhost eller 127.0.0.1, eller etter registrering og mottak av en spesiell token som er gyldig i en begrenset periode for et spesifikt nettsted.
    • Lagt til en CSS-egenskap "fokusgruppe" for å forbedre navigasjonen gjennom elementer ved hjelp av piltastene på tastaturet.
    • Secure Payment Confirmation API gir brukeren muligheten til å deaktivere kredittkortinnstillingslageret. For å vise en dialogboks som lar deg nekte å lagre kredittkortparametere, gir PaymentRequest()-konstruktøren "showOptOut: true"-flagget.
    • Lagt til Shared Element Transitions API, som lar deg organisere en jevn overgang mellom forskjellige innholdsvisninger i enkeltside-nettapplikasjoner.
  • Støtte for spekulasjonsregler har blitt stabilisert, slik at forfattere av nettstedet kan gi nettleseren informasjon om de mest sannsynlige sidene brukeren kan gå til. Nettleseren bruker denne informasjonen til proaktivt å laste og gjengi sideinnhold.
  • Mekanismen for å pakke underressurser inn i pakker i Web Bundle-formatet har blitt stabilisert, noe som gjør det mulig å øke effektiviteten ved å laste et stort antall medfølgende filer (CSS-stiler, JavaScript, bilder, iframes). I motsetning til pakker i Webpack-formatet har Web Bundle-formatet følgende fordeler: det er ikke selve pakken som er lagret i HTTP-cachen, men dens komponentdeler; kompilering og utførelse av JavaScript begynner uten å vente på at pakken skal lastes ned; Det er tillatt å inkludere tilleggsressurser som CSS og bilder, som i webpack må kodes i form av JavaScript-strenger.
  • Lagt til egenskapen object-view-box CSS, som lar deg definere en del av bildet som skal vises i området i stedet for et gitt element, som for eksempel kan brukes til å legge til en kantlinje eller skygge.
  • Lagt til Fullscreen Capability Delegation API, slik at ett Window-objekt kan delegere til et annet Window-objekt retten til å kalle requestFullscreen().
  • Lagt til Fullscreen Companion Window API, slik at fullskjerminnhold og popup-vinduer kan plasseres på en annen skjerm etter å ha mottatt bekreftelse fra brukeren.
  • Et visual-box-attributt er lagt til overflow-clip-margin CSS-egenskapen, som bestemmer hvor du skal begynne å trimme innhold som går utover grensen til området (kan ta verdiene content-box, padding-box og border- eske).
  • Async Clipboard API har lagt til muligheten til å definere spesialiserte formater for data som overføres via utklippstavlen, annet enn tekst, bilder og tekst med markering.
  • WebGL gir støtte for å spesifisere et fargerom for gjengivelsesbufferen og transformasjonen ved import fra en tekstur.
  • Støtte for OS X 10.11- og macOS 10.12-plattformene er avviklet.
  • U2F (Cryptotoken) API, som tidligere ble avviklet og deaktivert som standard, har blitt avviklet. U2F API er erstattet av Web Authentication API.
  • Det er gjort forbedringer av verktøy for webutviklere. Debuggeren har nå muligheten til å starte koden på nytt fra begynnelsen av en funksjon etter å ha truffet et bruddpunkt et sted i funksjonskroppen. Lagt til støtte for utvikling av tillegg for opptakerpanelet. Støtte for å visualisere merker satt i en nettapplikasjon ved å kalle performance.measure()-metoden er lagt til ytelsesanalysepanelet. Forbedrede anbefalinger for autofullføring av JavaScript-objektegenskaper. Ved autofullføring av CSS-variabler gis forhåndsvisninger av verdier som ikke er relatert til farger.
    Chrome-versjon 104

I tillegg til innovasjoner og feilrettinger, eliminerer den nye versjonen 27 sårbarheter. Mange av sårbarhetene ble identifisert som et resultat av automatisert testing ved bruk av AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL-verktøyene. Ingen kritiske problemer er identifisert som ville tillate en å omgå alle nivåer av nettleserbeskyttelse og kjøre kode på systemet utenfor sandkassemiljøet. Som en del av kontantbelønningsprogrammet for å oppdage sårbarheter for den nåværende utgivelsen, utbetalte Google 22 priser verdt $84 tusen (en pris på $15000 10000, en pris på $8000 7000, en pris på $5000 4000, en pris på $3000 2000, fire priser på $1000 XNUMX, en pris på $XNUMX XNUMX, tre utmerkelser på $XNUMX XNUMX , fire priser på $XNUMX og tre priser på $XNUMX). Størrelsen på én belønning er ennå ikke bestemt.

Kilde: opennet.ru

Legg til en kommentar