ProHoster > Log > Internett-nyheter > Chrome-versjon 105

Chrome-versjon 105

Google har avduket utgivelsen av nettleseren Chrome 105. Samtidig er en stabil utgivelse av det gratis Chromium-prosjektet, som fungerer som grunnlaget for Chrome, tilgjengelig. Chrome-nettleseren skiller seg fra Chromium ved bruk av Google-logoer, tilstedeværelsen av et system for å sende varsler i tilfelle krasj, moduler for avspilling av kopibeskyttet videoinnhold (DRM), et system for automatisk installasjon av oppdateringer, som permanent aktiverer Sandbox-isolasjon , leverer nøkler til Google API og sender RLZ- når du søker etter parametere. For de som trenger mer tid til å oppdatere, støttes Extended Stable-grenen separat, etterfulgt av 8 uker. Den neste utgivelsen av Chrome 106 er planlagt til 27. september.

Viktige endringer i Chrome 105:

  • Støtte for spesialiserte nettapplikasjoner Chrome Apps har blitt avviklet, erstattet av frittstående nettapplikasjoner basert på Progressive Web Apps (PWA)-teknologi og standard web-APIer. Google kunngjorde opprinnelig sin intensjon om å forlate Chrome Apps tilbake i 2016 og planla å slutte å støtte dem til 2018, men utsatte deretter denne planen. I Chrome 105, når du prøver å installere Chrome Apps, vil du motta en advarsel om at de ikke lenger vil bli støttet, men appene vil fortsette å kjøre. I Chrome 109 vil muligheten til å kjøre Chrome-apper være deaktivert.
  • Gir ekstra isolasjon for gjengivelsesprosessen, som er ansvarlig for gjengivelsen. Denne prosessen utføres nå i en ekstra beholder (App Container), implementert på toppen av det eksisterende sandkasseisolasjonssystemet. Hvis en sårbarhet i gjengivelseskoden utnyttes, vil de ekstra begrensningene hindre angriperen i å få tilgang til nettverket ved å hindre tilgang til systemanrop relatert til nettverksfunksjoner.
  • Implementerte sin egen enhetlige lagring av rotsertifikater fra sertifiseringsmyndighetene (Chrome Root Store). Den nye butikken er ennå ikke aktivert som standard, og inntil implementeringen er fullført, vil sertifikater fortsette å bli verifisert ved å bruke en butikk som er spesifikk for hvert operativsystem. Løsningen som testes minner om Mozillas tilnærming, som opprettholder en egen uavhengig rotsertifikatbutikk for Firefox, brukt som den første lenken for å sjekke sertifikattillitskjeden når du åpner nettsteder over HTTPS.
  • Forberedelsene har begynt for avviklingen av Web SQL API, som er ustandardisert, stort sett ubrukt og krever redesign for å møte moderne sikkerhetskrav. Chrome 105 forhindrer tilgang til Web SQL fra kode som lastes inn uten bruk av HTTPS, og legger også til en advarsel om avskaffelse til DevTools. Web SQL API skal etter planen fjernes i 2023. For utviklere som trenger slik funksjonalitet, vil det utarbeides en erstatning basert på WebAssembly.
  • Chrome-synkronisering støtter ikke lenger synkronisering med Chrome 73 og tidligere utgivelser.
  • For macOS- og Windows-plattformene er den innebygde sertifikatvisningen aktivert, som erstatter oppringing av grensesnittet fra operativsystemet. Tidligere ble den innebygde visningen bare brukt i versjoner for Linux og ChromeOS.
  • Android-versjonen legger til innstillinger for å administrere emne- og interessegruppe-API, fremmet som en del av Privacy Sandbox-initiativet, som lar deg definere kategorier av brukerinteresser og bruke dem i stedet for å spore informasjonskapsler for å identifisere grupper av brukere med lignende interesser uten å identifisere individuelle brukere. I den siste utgivelsen ble lignende innstillinger lagt til versjoner for Linux, ChromeOS, macOS og Windows.
  • Når du aktiverer avansert nettleserbeskyttelse (Safe Browsing > Forbedret beskyttelse), samles telemetri om installerte tillegg, tilgang til API og tilkoblinger til eksterne nettsteder. Disse dataene brukes på Googles servere for å oppdage ondsinnet aktivitet og brudd på regler av nettlesertillegg.
  • Avviklet og vil blokkere bruken av ikke-ASCII-tegn i domener spesifisert i informasjonskapseloverskriften i Chrome 106 (for IDN-domener må domener være i punycode-format). Endringen vil bringe nettleseren i samsvar med RFC 6265bis og virkemåten implementert i Firefox.
  • Et tilpasset høydepunkt-API har blitt foreslått, designet for å vilkårlig endre stilen til utvalgte tekstområder og lar deg ikke begrenses av den faste stilen som tilbys av nettleseren for uthevede områder (::selection, ::inactive-selection) og utheving av syntaksfeil (::stavefeil, ::grammatikkfeil). Den første versjonen av API ga støtte for å endre tekst- og bakgrunnsfarger ved å bruke farge- og bakgrunnsfarge-pseudo-elementene, men andre stilalternativer vil bli lagt til i fremtiden.

    Som eksempel på oppgavene som kan løses ved hjelp av det nye API-et nevnes å legge til nettrammeverk som gir verktøy for tekstredigering, egne tekstvalgmekanismer, ulik utheving for samtidig felles redigering av flere brukere, søk i virtualiserte dokumenter , og flagging av feil ved stavekontroll . Hvis tidligere, å lage en ikke-standard markering krevde komplekse manipulasjoner med DOM-treet, gir Custom Highlight API ferdige operasjoner for å legge til og fjerne utheving som ikke påvirker DOM-strukturen og bruker stiler i forhold til Range-objekter.

  • Lagt til "@container"-spørring til CSS, slik at elementer kan styles basert på størrelsen på det overordnede elementet. "@container" ligner på "@media"-spørringer, men brukes ikke på størrelsen på hele det synlige området, men på størrelsen på blokken (beholderen) som elementet er plassert i, som lar deg angi din egen stilvalglogikk for underordnede elementer, uavhengig av hvor nøyaktig på siden elementet er plassert.
    Chrome-versjon 105
  • Lagt til CSS-pseudoklasse ":has()" for å sjekke om det er et underordnet element i det overordnede elementet. For eksempel, "p:has(span)" dekker elementene , inni som det er et element .
  • Lagt til HTML Sanitizer API, som lar deg kutte ut elementer fra innholdet som påvirker visning og kjøring under utdata via setHTML()-metoden. API-en kan være nyttig for å rense eksterne data for å fjerne HTML-tagger som kan brukes til å utføre XSS-angrep.
  • Det er mulig å bruke Streams API (ReadableStream) for å sende hentingsforespørsler før svarteksten lastes, dvs. du kan begynne å sende data uten å vente på at sidegenereringen skal fullføres.
  • For installerte frittstående nettapplikasjoner (PWA, Progressive Web App), er det mulig å endre utformingen av vindustittelområdet ved å bruke Window Controls Overlay-komponentene, som utvider skjermområdet til webapplikasjonen til hele vinduet og gjøre det mulig å gi nettapplikasjonen utseendet til en vanlig skrivebordsapplikasjon. En nettapplikasjon kan kontrollere gjengivelsen og behandlingen av input i hele vinduet, med unntak av overleggsblokken med standard vinduskontrollknapper (lukk, minimer, maksimer).
    Chrome-versjon 105
  • Muligheten til å få tilgang til Media Source Extensions fra dedikerte arbeidere (i DedicatedWorker-konteksten) er stabilisert, som for eksempel kan brukes til å forbedre ytelsen til bufret avspilling av multimediedata ved å opprette et MediaSource-objekt i en separat arbeider og kringkaste resultater av sitt arbeid til HTMLMediaElement i hovedtråden.
  • I Client Hints API, som utvikles for å erstatte User-Agent-overskriften og lar deg selektivt gi data om spesifikke nettleser- og systemparametere (versjon, plattform osv.) etter en forespørsel fra serveren, støtte for Sec. -CH-Viewport-Heigh-egenskapen er lagt til, slik at du kan få informasjon om høyden på det synlige området. Markup-formatet for å angi klienthint-parametere for eksterne ressurser i "meta"-koden er endret: Tidligere: Ble til:
  • Lagt til muligheten til å lage globale onbeforeinput hendelsesbehandlere (document.documentElement.onbeforeinput), med hvilke nettapplikasjoner kan overstyre atferden ved redigering av tekst i blokker , og andre elementer med "contenteditable"-attributtet satt, før nettleseren endrer elementets innhold og DOM-tre.
  • Mulighetene til Navigation API har blitt utvidet, slik at nettapplikasjoner kan fange opp navigasjonsoperasjoner i et vindu, starte en overgang og analysere handlingshistorikken med applikasjonen. Lagt til nye metoder intercept() for å avskjære en overgang og scroll() for å bla til en gitt posisjon.
  • Lagt til den statiske metoden Response.json(), som lar deg generere en svartekst basert på data av JSON-typen.
  • Det er gjort forbedringer av verktøy for webutviklere. I feilsøkeren, når et bruddpunkt utløses, er redigering av toppfunksjonene i stabelen tillatt, uten å avbryte feilsøkingsøkten. Opptaker-panelet, som lar deg ta opp, spille av og analysere brukerhandlinger på en side, støtter bruddpunkter, trinnvis avspilling og opptak av hendelser med musepeker.

    LCP (Largest Contentful Paint)-beregninger er lagt til ytelsesdashbordet for å identifisere forsinkelser ved gjengivelse av store (brukersynlige) elementer i det synlige området, for eksempel bilder, videoer og blokkelementer. I Elements-panelet er de øverste lagene som vises på toppen av annet innhold merket med et spesielt ikon. WebAssembly har nå muligheten til å laste feilsøkingsdata i DWARF-format.

I tillegg til innovasjoner og feilrettinger, eliminerer den nye versjonen 24 sårbarheter. Mange av sårbarhetene ble identifisert som et resultat av automatisert testing ved bruk av AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL-verktøyene. Ingen kritiske problemer er identifisert som ville tillate en å omgå alle nivåer av nettleserbeskyttelse og kjøre kode på systemet utenfor sandkassemiljøet. Som en del av programmet for å betale kontantbelønninger for å oppdage sårbarheter for den nåværende utgivelsen, utbetalte Google 21 priser verdt $60500 (en pris på $10000, en pris på $9000, en pris på $7500, en pris på $7000, to priser på $5000, fire priser på $3000, to priser. $2000 og en $1000 bonus). Størrelsen på de syv belønningene er ennå ikke bestemt.

Kilde: opennet.ru

Legg til en kommentar