Chrome-versjon 80

Google presentert nettleserutgivelse Chrome 80... Samtidig tilgjengelig stabil utgivelse av et gratis prosjekt Chromium, som fungerer som grunnlaget for Chrome. Chrome-nettleser annerledes bruken av Google-logoer, tilstedeværelsen av et system for å sende varsler i tilfelle krasj, muligheten til å laste ned en Flash-modul på forespørsel, moduler for avspilling av beskyttet videoinnhold (DRM), et system for automatisk installasjon av oppdateringer og overføring under søk RLZ-parametere. Den neste utgivelsen av Chrome 81 er planlagt til 17. mars.

Den viktigste endringer в Chrome 80:

• For en liten prosentandel av brukerne tilbys en fanegrupperingsfunksjon, som lar deg kombinere flere faner med lignende formål til visuelt atskilte grupper. Hver gruppe kan tildeles sin egen farge og navn. Brukere som ikke var inkludert i den første aktiveringsbølgen kan aktivere grupperingsstøtte gjennom alternativet "chrome://flags/#tab-groups".
  

• Lagt til støtte for denne funksjonen Rull-til-tekst, som lar deg opprette lenker til individuelle ord eller uttrykk uten å spesifisere etiketter i dokumentet ved å bruke «et navn»-taggen eller «id»-egenskapen. Syntaksen til slike lenker er planlagt godkjent som nettstandard, som fortsatt er på stadiet utkast. Overgangsmasken (i hovedsak et rullesøk) er atskilt fra det vanlige ankeret med ":~:"-attributtet. For eksempel, når du åpner lenken "https://opennet.ru/52312/#:~:text=Chrome", vil siden flytte til posisjonen med den første omtalen av ordet "Chrome", og dette ordet vil bli uthevet .
• Anvendt En strengere begrensning på overføring av informasjonskapsler mellom nettsteder, for ikke-HTTPS-forespørsler, som forbyr behandling av tredjeparts informasjonskapsler som er angitt ved tilgang til andre nettsteder enn domenet til den gjeldende siden. Slike informasjonskapsler brukes til å spore brukerbevegelser mellom nettsteder i koden for annonsenettverk, widgets for sosiale nettverk og nettanalysesystemer. Husk at for å kontrollere overføringen av informasjonskapsler, brukes SameSite-attributtet spesifisert i Set-Cookie-overskriften, som nå er satt til verdien "SameSite=Lax", som begrenser sendingen av informasjonskapsler for underforespørsler på tvers av nettsteder , for eksempel en bildeforespørsel eller lasting av innhold gjennom en iframe fra et annet nettsted. Nettsteder kan overstyre standard SameSite-atferd ved å eksplisitt sette Cookie-innstillingen til SameSite=Ingen. Verdien SameSite=Ingen for informasjonskapsel kan imidlertid bare settes i sikker modus (gyldig for tilkoblinger via HTTPS). Endringen vil begynne i etapper søke om 17. februar, først for en liten prosentandel av brukerne, og deretter gradvis utvidelse av dekningen.
• La til beskyttelse mot irriterende varsler knyttet til bekreftelse av legitimasjon. Fordi aktivitet som spamming av pushvarslingsforespørsler avbryter brukeropplevelsen og distraherer oppmerksomheten fra bekreftelsesdialoger, i Chrome 80, i stedet for en separat dialogboks, kan det nå vises et informativt verktøytips i adresselinjen som advarer om at tillatelsesforespørselen er blokkert, som deretter den kollapser til en indikator med bildet av en bjelle med kryss. Ved å klikke på indikatoren kan du aktivere eller avvise den forespurte tillatelsen når som helst. Automatisk vil den nye modusen bli selektivt aktivert for brukere som tidligere vanligvis blokkerte slike forespørsler, samt for nettsteder som registrerer en stor prosentandel av avviste forespørsler. For å aktivere den nye modusen for alle forespørsler, er det lagt til et spesielt alternativ i innstillingene (chrome://flags/#quiet-notification-prompts).
  

• Forbudt vise popup-vinduer (kaller window.open()-metoden) og sende synkrone XMLHttpRequests i side close eller hide hendelsesbehandlere (unload, beforeunload, pagehide og visibilitychange);
• Foreslått initial Sikkerhet fra lasting av blandet multimedieinnhold (når ressurser lastes på en HTTPS-side via http://-protokollen). På sider som åpnes via HTTPS vil «http://»-lenker nå automatisk erstattes med «https://» i blokker knyttet til avspilling av lyd- og videofiler. Hvis en lyd- eller videoressurs ikke er tilgjengelig via https, blokkeres nedlastingen av den (du kan manuelt merke blokkeringen gjennom menyen som er tilgjengelig via hengelåssymbolet i adressefeltet).

  Bilder vil fortsette å lastes uendret (autokorrektur vil bli brukt i Chrome 81), men for å erstatte dem med https eller blokkere bilder, får nettstedutviklere CSP-egenskapene upgrade-insecure-requests og block-all-mixed-content. For skript og iframes er blokkering av blandet innhold allerede implementert tidligere.

• En gradvis frakobling FTP-støtte. Som standard er FTP-støtte fortsatt tilgjengelig, men vil holdt et eksperiment der FTP-støtte vil bli deaktivert for en viss prosentandel av brukerne (for å komme tilbake må du starte nettleseren med "-enable-ftp"-alternativet). La oss huske at i tidligere utgivelser var visningen i nettleservinduet av innholdet til ressurser lastet ned via "ftp://"-protokollen allerede deaktivert (for eksempel ble visning av HTML-dokumenter og README-filer stoppet), bruken av FTP var forbudt ved nedlasting av underressurser fra dokumenter, og proxy-støtte ble avviklet for FTP. Imidlertid var det fortsatt mulig å laste ned filer via direkte lenker og vise innholdet i kataloger.
• La til
  muligheten til å bruke vektor-SVG-bilder som et nettstedikon (favicon).

• Muligheten til å selektivt deaktivere visse typer data som overføres under synkronisering mellom nettlesere, er lagt til innstillingene.
• Det er lagt til en regel for sentralt administrerte bedriftsbrukere BlockExternalExtensions, som lar deg forhindre installasjon av eksterne tillegg på enheten.
• Implementert mulighet en engangssjekk av hele kjeden av egenskaper eller kall i JavaScript. For eksempel, ved tilgang til "db.user.name.length" var det tidligere nødvendig å sjekke definisjonen av alle komponentene trinn for trinn, for eksempel gjennom "if (db && db.user && db.user.name)". Bruker nå operasjonen "?." du kan få tilgang til verdien “db?.user?.name?.length” uten foreløpige kontroller og slik tilgang vil ikke føre til feil. I tilfelle problemer (hvis et element behandles som null eller udefinert)) vil utgangen være "udefinert".
• JavaScript introduserer en ny logisk sammenkoblingsoperator "??", som returnerer høyre operande hvis venstre operande er NULL eller udefinert, og omvendt. For eksempel, "const foo = bar ?? 'default string'" hvis bar er null, vil returnere verdien av bar ellers, inkludert når bar er 0 og ' ', i motsetning til "||"-operatoren.
• I Origin Trials-modus (eksperimentelle funksjoner som krever separate aktivering) foreslått API for innholdsindeksering. Origin Trial innebærer muligheten til å arbeide med spesifisert API fra applikasjoner lastet ned fra localhost eller 127.0.0.1, eller etter registrering og mottak av en spesiell token som er gyldig i en begrenset periode for et spesifikt nettsted. API Innholdsindeksering, gir metadata om innhold som tidligere ble bufret av nettapplikasjoner som kjører i Progressive Web Apps (PWS)-modus. Applikasjonen kan lagre ulike data på nettlesersiden, inkludert bilder, videoer og artikler, og når nettverkstilkoblingen er tapt, kan du bruke den ved å bruke Cache Storage og IndexedDB APIer. Content Indexing API gjør det mulig å legge til, finne og slette slike ressurser. I nettleseren brukes denne API-en allerede til å liste en liste over sider og multimediedata som er tilgjengelige for offline visning.
  

• Stabilisert og nå distribuert utenfor Origin Trials API Kontakt Picker, som lar brukeren velge oppføringer fra adresseboken og overføre visse detaljer om dem til nettstedet. Forespørselen spesifiserer en liste over egenskaper som må hentes. Disse egenskapene vises eksplisitt til brukeren, som bestemmer om de skal passere disse egenskapene eller ikke. API-en kan for eksempel brukes i en nettpostklient for å velge mottakere for et sendt brev, i en nettapplikasjon med VoIP-funksjonen for å starte et anrop til et spesifikt nummer, eller i et sosialt nettverk for å søke etter allerede registrerte venner . Samtidig, som en del av Origin-prøvene, tilbys noen nye Contact Picker-egenskaper: i tillegg til det tidligere tilgjengelige fullstendige navnet, e-postadressen og telefonnummeret, er muligheten til å overføre en e-postadresse og et bilde lagt til.
• I Web Workers foreslått en ny måte å laste ECMAScript-moduler på, som lar deg unngå å bruke importScripts()-funksjonen, som blokkerer arbeideren mens han behandler det importerte skriptet og kjører det i global kontekst. Den nye metoden innebærer å lage spesielle moduler for Web Workers som støtter standard JavaScript-importmekanismer og kan lastes inn dynamisk uten å blokkere arbeiderutførelse. For å laste moduler gir Worker-konstruktøren en ny ressurstype - 'modul':

  const worker = new Worker('worker.js', {
  type: 'modul'
  });

• Implementert JavaScripts innebygde evne til å behandle komprimerte strømmer uten å kreve bruk av eksterne biblioteker. APIer er lagt til for komprimering og dekompresjon CompressionStream og DecompressionStream. Komprimering ved hjelp av gzip og deflate-algoritmer støttes.

  const komprimeringReadableStream
  = inputReadableStream.pipeThrough(ny CompressionStream('gzip'));

• Lagt til CSS-egenskap "linjeskift: hvor som helst", som tillater brudd på nivået til ethvert typografisk tegn, inkludert brudd nær skilletegn forhåndsdefinert av mellomrom ( ) og midt i ordene. La også til CSS-egenskap "overløp-wrap: hvor som helst» lar deg bryte ubrutte sekvenser av tegn hvor som helst hvis en passende posisjon for bruddet ikke ble funnet i linjen.
• For mediakontekst behandlet i kryptert form er det implementert støtte for metoden MediaCapabilities.decodingInfo(), som gir informasjon om nettleserens muligheter for å dekode beskyttet innhold (denne metoden kan for eksempel brukes til å velge høykvalitets eller energieffektive dekodingsscenarier basert på tilgjengelig båndbredde og skjermstørrelse).
• Lagt til metode HTMLVideoElement.getVideoPlaybackQuality(), der du kan få informasjon om videoavspillingsytelse for å justere bithastighet, oppløsning og andre videoparametere.
• I API Betalingsbehandler, som forenkler integrasjon med eksisterende betalingssystemer, la til muligheten delegasjon behandling av adresse og kontaktinformasjon til en ekstern behandler av betalingssystemet (betalingssystemapplikasjonen kan ha mer nøyaktig informasjon enn nettleseren).
• Lagt til støtte for HTTP-header Sec-Fetch-Dest, som lar deg sende ytterligere metadata om typen innhold knyttet til forespørselen (for eksempel for en forespørsel via img-taggen er typen "image", for fonter - "font", for skript - "script", for stiler - "stil", etc. ). Basert på den angitte typen kan serveren iverksette tiltak for å beskytte mot visse typer angrep (det er for eksempel lite sannsynlig at en lenke til en behandler for en pengeoverføring vil spesifiseres via en img-tag, så slike forespørsler trenger ikke å bli behandlet).
• I JavaScript-motor V8 optimalisering utført lagring av pekere på haugen. I stedet for å lagre hele 64-biters verdi, lagres bare de unike nedre bitene til pekeren. Denne optimeringen gjorde det mulig å redusere minneforbruket med 40 %, til bekostning av en ytelsesstraff på 3-8 %.
  
  

• endringer i verktøy for nettutviklere:
  • Nettkonsollen har nå muligheten til å redefinere let- og klasseuttrykk.
    

  • Forbedrede WebAssembly-feilsøkingsverktøy. Lagt til støtte DVERG for trinn-for-trinn feilsøking, spesifisering av bruddpunkter og analyse av stabelspor i kildekoden som en WebAssembly-applikasjon er skrevet i.
    

  • Forbedret panel for å analysere nettverksaktivitet. Lagt til muligheten til å se kjeden av anrop av skript knyttet til forespørselsinitiering.
    

    Lagt til nye bane- og URL-kolonner som viser den absolutte banen og full URL for hver nettverksressurs. Sørger for at den valgte spørringen er uthevet i oversiktsdiagrammet.

    

  • I kategorien Nettverksbetingelser er det lagt til et alternativ for å endre parameteren User-Agent.
    

  • Et nytt grensesnitt er foreslått for konfigurering av revisjonspanelet.
    

  • I fanen Dekning gitt valget mellom å samle dekningsdata for hver funksjon eller for hver kodeblokk (mer detaljert statistikk, men krever mer ressurser).
    

• AppCache manifest handling (teknologi for å organisere driften av en nettapplikasjon i frakoblet modus) begrenset gjeldende katalog for nettstedet (hvis manifestet ble lastet ned fra www.example.com/foo/bar/, vil muligheten til å overstyre URL-en bare fungere innenfor /foo/bar/). AppCache-støtte er planlagt å fjernes fullstendig i Chrome 82. Årsaken som nevnes er ønsket om å bli kvitt en av vektorene for skriptangrep på tvers av nettsteder. Det anbefales å bruke API i stedet for AppCache Cache.
• Avviklet støtte for den eldre WebVR 1.1 API, som kan erstattes av API WebXR-enhet, som lar deg få tilgang til komponenter for å lage virtuell og utvidet virkelighet og forene arbeid med ulike klasser av enheter, fra stasjonære virtual reality-hjelmer til løsninger basert på mobile enheter.
• Protokollbehandlere koblet til via metodene registerProtocolHandler() og unregisterProtocolHandler() kan nå bare fungere i en sikker kontekst (når de åpnes via HTTPS).

I tillegg til innovasjoner og feilrettinger, eliminerer den nye versjonen 56 sårbarheter. Mange av sårbarhetene ble identifisert som et resultat av automatisert testing med verktøy AddressSanitisizer, Memory Sanitizer, Kontroller flytintegritet, LibFuzzer и AFL. Ingen kritiske problemer er identifisert som ville tillate en å omgå alle nivåer av nettleserbeskyttelse og kjøre kode på systemet utenfor sandkassemiljøet. Som en del av programmet for å betale kontantbelønninger for å oppdage sårbarheter for den nåværende utgivelsen, utbetalte Google 37 priser verdt 48 10000 USD (en pris på 5000 3000 USD, tre priser på 2000 1000 USD, tre priser på 500 17 USD, fire priser på XNUMX XNUMX USD, tre priser på XNUMX XNUMX USD og seks priser på XNUMX USD). Størrelsen på XNUMX belønninger er ennå ikke bestemt.

Kilde: opennet.ru