Google nettleserutgivelse ... Samtidig stabil utgivelse av et gratis prosjekt , som fungerer som grunnlaget for Chrome. Chrome-nettleser bruken av Google-logoer, tilstedeværelsen av et system for å sende varsler i tilfelle krasj, muligheten til å laste ned en Flash-modul på forespørsel, moduler for avspilling av beskyttet videoinnhold (DRM), et system for automatisk installasjon av oppdateringer og overføring under søk . Den neste utgivelsen av Chrome 77 er planlagt til 10. september.
:
- som standard, beskyttelsesmodusen mot overføring av tredjeparts informasjonskapsler, som, i fravær av SameSite-attributtet i Set-Cookie-overskriften, setter verdien "SameSite=Lax" som standard, og begrenser sendingen av informasjonskapsler for innlegg fra tredjeparts nettsteder (men nettsteder vil fortsatt kunne overstyre begrensningen ved å angi eksplisitt ved innstilling av informasjonskapselverdi SameSite=Ingen). Inntil nå har nettleseren sendt en informasjonskapsel til enhver forespørsel til et nettsted som det er satt en informasjonskapsel for, selv om et annet nettsted opprinnelig ble åpnet, og forespørselen ble gjort indirekte ved å laste et bilde eller gjennom en iframe. I "Lax"-modus blokkeres overføring av informasjonskapsler bare for underforespørsler på tvers av nettsteder, for eksempel bildeforespørsler eller innlasting av iframe-innhold, som ofte brukes til å starte CSRF-angrep og spore brukerbevegelser mellom nettsteder.
- Sluttet å spille av Flash-innhold som standard. Frem til utgivelsen av Chrome 87, forventet i desember 2020, kan Flash-støtte returneres i innstillingene (Avansert > Personvern og sikkerhet > Nettstedinnstillinger), etterfulgt av en eksplisitt bekreftelse på driften av å spille av Flash-innhold for hvert nettsted (bekreftelsen er huskes til nettleseren startes på nytt). Den fullstendige fjerningen av kode for å støtte Flash er synkronisert med Adobes tidligere annonserte plan om å avslutte støtte for Flash-teknologi i 2020;
- For bedrifter er muligheten til å søke etter filer i Google Disk-lagring lagt til i adressefeltet;
- Startet Upassende annonsering i Chrome som forstyrrer oppfatningen av innhold og som ikke oppfyller kriteriene utviklet av Coalition for Better Advertising;
- En adaptiv modus for å bytte til en ny side er implementert, der gjeldende innhold slettes og en hvit bakgrunn vises ikke umiddelbart, men etter en kort forsinkelse. For hurtiglastende sider resulterer skraping bare i flimring og gir ikke nyttelasten til å informere brukeren om at en ny side er i ferd med å lastes. I den nye utgivelsen, hvis en side åpnes raskt og det er en liten forsinkelse, vises den nye siden på plass, og erstatter sømløst den forrige (for eksempel praktisk når du bytter til andre sider på samme nettsted som har lignende design og fargevalg). Hvis det tar litt tid merkbart for brukeren å vise siden, vil skjermen, som før, bli forhåndsryddet;
- Kriteriene for å fastslå brukeraktivitet på en side er strammet inn. Chrome lar deg vise popup-varsler og spille av irriterende video-/lydinnhold bare etter brukerhandlinger på siden. Med den nye utgivelsen oppfattes ikke lenger å trykke Escape, holde musepekeren over en lenke og berøre skjermen som sideaktiverende interaksjoner (krever et eksplisitt klikk, skriving eller rulling);
- mediesøk "prefers-color-scheme", som lar nettsteder bestemme om nettleseren bruker et mørkt tema og automatisk aktivere mørkt tema for nettstedet som vises.
- Når du aktiverer det mørke temaet i builds for Linux, vises adresselinjen nå i en mørk farge;
- muligheten til å bestemme åpningen av en side i inkognitomodus gjennom manipulasjoner med FileSystem API, som tidligere ble brukt av noen publikasjoner for å pålegge et betalt abonnement i tilfelle upersonlig åpning av sider uten å huske informasjonskapsler (slik at brukerne ikke brukte privat modus å omgå mekanismen for å gi gratis prøvetilgang). Tidligere, når du jobbet i inkognitomodus, blokkerte nettleseren tilgangen til FileSystem API for å forhindre at data sakte mellom økter, noe som gjorde at JavaScript kunne sjekke muligheten til å lagre data gjennom FileSystem API og, i tilfelle feil, bedømme aktiviteten til inkognitomodus. Nå er ikke tilgangen til FileSystem API blokkert, og innholdet slettes etter at økten avsluttes;
- nye utfordringer i
API-betalingsforespørsel og betalingsbehandler. En ny metode changePaymentMethod() har dukket opp i PaymentRequestEvent-objektet, og en ny hendelsesbehandler betalingsmetode-endring er lagt til PaymentRequest-objektet, som lar betalingsinnkrevingsstedet eller nettapplikasjonen svare på at brukeren endrer betalingsmetoden. Den nye utgivelsen gjør det også enklere for betalings-APIer å teste applikasjoner ved hjelp av selvsignerte sertifikater. For å ignorere sertifikatbekreftelsesfeil under utvikling, har et nytt kommandolinjealternativ "—ignore-certificate-errors" blitt lagt til; - I adressefeltet ved siden av knappen for å legge til bokmerker for nettapplikasjoner som kjører i Desktop Progressive Web Apps (PWA)-modus, en snarvei for å installere en webapplikasjon på systemet for å fungere som et eget program;
- For mobile enheter er det mulig å kontrollere visningen av et minipanel med en invitasjon til å legge til en applikasjon på startskjermen. For PWA-applikasjoner (Progressive Web App) vises standard minibar automatisk når du åpner siden for første gang. Utvikleren kan nå nekte å vise dette panelet og implementere sin egen installasjonsforespørsel, som han kan installere en hendelsesbehandler for
beforeinstallprompt og legg ved et kall til preventDefault();
- Frekvensen av oppdateringssjekker for PWA-applikasjoner (Progressive Web App) installert i Android-miljøet er økt. WebAPK-oppdateringer sjekkes nå en gang om dagen, og ikke en gang hver tredje dag som før. Hvis en slik sjekk avslører en endring i minst én nøkkelegenskap i manifestet, vil nettleseren laste ned og installere en ny WebAPK;
- I API lagt til muligheten til å programmatisk lese og skrive bilder via utklippstavlen ved å bruke metodene navigator.clipboard.read() og navigator.clipboard.write();
- Implementert støtte for en gruppe HTTP-hoder (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site og Sec-Fetch-User), slik at du kan sende ytterligere metadata om forespørselens art (forespørsel på tvers av nettsteder, forespørsel via img-tag, etc. .) for aksept av servertiltak for å beskytte mot visse typer angrep (det er for eksempel lite sannsynlig at en lenke til en behandler for overføring av penger vil spesifiseres via en img-tag, slik at slike forespørsler kan blokkeres uten å bli sendt til applikasjonen );
- Lagt til funksjon , som starter programmatisk innsending av skjemadata på samme måte som å klikke på send-knappen. Funksjonen kan brukes når du utvikler dine egne skjemainnsendingsknapper, som ikke er nok å kalle form.submit() på grunn av det faktum at det ikke fører til interaktiv verifisering av parametere, generering av 'send'-hendelsen og overføring av data bundet til send-knappen;
- Lagt til funksjon til IndexedDB , som lar deg utføre transaksjoner knyttet til et IDBTransaction-objekt uten å vente på at hendelsesbehandlere i alle tilknyttede forespørsler skal fullføres. Ved å bruke commit() kan du øke gjennomstrømningen av skrive- og leseforespørsler til lagringen og eksplisitt kontrollere fullføringen av transaksjonen;
- Lagt til alternativer til Intl.DateTimeFormat-funksjoner som formatToParts() og resolveOptions() , som lar deg be om stedsspesifikke dato- og klokkeslettvisningsstiler;
- BigInt.prototype.toLocaleString()-metoden har blitt modifisert for å formatere tall basert på lokaliteten, og Intl.NumberFormat.prototype.format()-metoden og formatToParts()-funksjonen har blitt modifisert for å støtte BigInt-inndataverdier;
- API tillatt i alle typer Web Workers, som kan brukes til å velge de optimale parameterne når du oppretter en MediaStream fra en arbeider;
- Lagt til metode , som bare returnerer oppfylte eller avviste løfter, ikke inkludert ventende løfter;
- Fjernet «--disable-infobars»-alternativet, som tidligere kunne brukes til å skjule popup-advarsler i Chrome-grensesnittet (CommandLineFlagSecurityWarningsEnabled-regelen er foreslått for å skjule sikkerhetsrelaterte advarsler);
- Til grensesnittet for arbeid med blobs metoder text(), arrayBuffer() og stream() for å lese spesifikke datatyper;
- Lagt til CSS-egenskapen "white-space:break-spaces" for å spesifisere at enhver sekvens av mellomrom som resulterer i linjeoverflyt skal brytes;
- Arbeidet har startet med å rense flaggene i chrome://flags, for eksempel, flagg for å deaktivere «ping»-attributtet, som lar nettstedeiere spore klikk på lenker fra sidene deres. Hvis du følger en lenke og det er et "ping=URL"-attributt i "a href"-taggen i nettleseren, kan du nå deaktivere sending av en ekstra POST-forespørsel til URL-en spesifisert i attributtet med informasjon om overgangen. Betydningen av å blokkere ping går tapt siden denne attributten i HTML5-spesifikasjonene, og det er mange løsninger for å utføre den samme handlingen (for eksempel å gå gjennom en transittkobling eller avskjære klikk med JavaScript-behandlere);
- Fjernet deaktiveringsflagget , der sider fra forskjellige verter alltid er plassert i minnet til forskjellige prosesser, som hver bruker sin egen sandkasse.
- V8-motoren har økt ytelsen til skanning og parsing av JSON-format betydelig. For populære nettsider har JSON.parse-utførelseshastigheter opptil 2.7 ganger. Konverteringen av unicode-strenger har blitt betydelig akselerert, for eksempel har hastigheten på kall til String#localeCompare, String#normalize, samt noen Intl APIer, nesten doblet seg. Ytelsen til operasjoner med frosne matriser har også blitt betydelig optimalisert ved bruk av operasjoner som frozen.indexOf(v), frozen.includes(v), fn(...frozen), fn(...[...frozen]) og fn.apply(this, [... frozen]).
I tillegg til innovasjoner og feilrettinger, eliminerer den nye versjonen . Mange av sårbarhetene ble identifisert som et resultat av automatisert testing med verktøy , , , и . Ingen kritiske problemer er identifisert som ville tillate en å omgå alle nivåer av nettleserbeskyttelse og kjøre kode på systemet utenfor sandkassemiljøet. Som en del av programmet for å betale kontantbelønninger for å oppdage sårbarheter for den nåværende utgivelsen, utbetalte Google 16 priser på $23500 10000 (en pris på $6000 3000, en utmerkelse på $500 9, to priser på $XNUMX og tre utmerkelser på $XNUMX). Størrelsen på XNUMX belønninger er ennå ikke bestemt.
Kilde: opennet.ru