Google nettleserutgivelse ... Samtidig stabil utgivelse av et gratis prosjekt , som fungerer som grunnlaget for Chrome. Chrome-nettleser bruken av Google-logoer, tilstedeværelsen av et system for å sende varsler i tilfelle krasj, muligheten til å laste ned en Flash-modul på forespørsel, moduler for avspilling av beskyttet videoinnhold (DRM), et system for automatisk installasjon av oppdateringer og overføring under søk . Den neste utgivelsen av Chrome 85 er planlagt til 25. august.
:
- støtte for TLS 1.0- og TLS 1.1-protokoller. For å få tilgang til nettsteder over en sikker kommunikasjonskanal, må serveren gi støtte for minst TLS 1.2, ellers vil nettleseren nå vise en feil. I følge Google fortsetter for øyeblikket omtrent 0.5 % av nedlastingene av nettsider med utdaterte versjoner av TLS. Stengingen ble utført iht IETF (Internet Engineering Task Force). Årsaken til å avvise TLS 1.0/1.1 er mangelen på støtte for moderne chiffer (for eksempel ECDHE og AEAD) og kravet om å støtte gamle chiffer, hvis pålitelighet stilles spørsmålstegn ved det nåværende utviklingsstadiet av datateknologi (for eksempel , støtte for TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA kreves, MD5 og SHA-1). Innstillingen som tillater retur til TLS 1.0/1.1, beholdes til januar 2021.
- Blokkering gitt (uten kryptering) av kjørbare filer og lagt til advarsler ved lasting av arkiver på en usikker måte. I fremtiden er det planlagt å gradvis slutte å støtte filopplasting uten kryptering. Blokkeringen er implementert fordi nedlasting av filer uten kryptering kan brukes til å utføre ondsinnede handlinger ved å erstatte innholdet under MITM-angrep.
- førstegangsstøtte , utviklet som et alternativ til User-Agent-overskriften. Klienthint-mekanismen tilbyr en serie "Sec-CH-UA-*"-overskrifter som erstatning for User-Agent, som lar deg organisere selektiv levering av data om spesifikke nettleser- og systemparametere (versjon, plattform osv.) etter en forespørsel fra serveren. Brukeren får muligheten til å bestemme hvilke parametere som er akseptable for levering og selektivt gi slik informasjon til nettstedseiere. Når du bruker klienttips, overføres ikke identifikatoren som standard uten en eksplisitt forespørsel, noe som gjør passiv identifikasjon umulig (som standard er bare nettlesernavnet angitt). på til neste år.
- aktivering
strengere overføring av informasjonskapsler mellom nettsteder, som var på grunn av covid-19. For ikke-HTTPS-forespørsler er det forbudt å behandle tredjeparts informasjonskapsler ved tilgang til andre nettsteder enn domenet til den gjeldende siden. Slike informasjonskapsler brukes til å spore brukerbevegelser mellom nettsteder i koden for annonsenettverk, widgets for sosiale nettverk og nettanalysesystemer.Husk at for å kontrollere overføringen av informasjonskapsler, brukes SameSite-attributtet spesifisert i Set-Cookie-overskriften, som som standard vil bli satt til verdien "SameSite=Lax", som begrenser sendingen av informasjonskapsler for underforespørsler på tvers av nettsteder , for eksempel en bildeforespørsel eller lasting av innhold via en iframe fra et annet nettsted. Nettsteder kan overstyre standard SameSite-atferd ved å eksplisitt sette Cookie-innstillingen til SameSite=Ingen. Dessuten kan verdien SameSite=Ingen for informasjonskapsel kun settes i sikker modus (gyldig for tilkoblinger via HTTPS). Endringen rulles ut i etapper, starter med en liten prosentandel av brukerne og utvider deretter rekkevidden gradvis.
- Eksperimentell implementering lagt til , som kan aktiveres ved å bruke «chrome://flags/#enable-heavy-ad-intervention»-innstillingen. Blokkeren lar deg automatisk deaktivere iframe-annonseringsblokker etter at terskler for trafikk og CPU-belastning er overskredet. Blokkeringen utløses hvis hovedtråden har forbrukt mer enn 60 sekunder med CPU-tid totalt eller 15 sekunder i et 30-sekunders intervall (forbruker 50 % av ressursene i mer enn 30 sekunder), samt når mer enn 4 MB av data er lastet ned over nettverket.
Blokkeringen vil bare fungere hvis brukeren før grensene ble overskredet ikke samhandlet med annonseenheten (for eksempel ikke klikket på den), som, tatt i betraktning trafikkrestriksjonene, vil tillate automatisk avspilling av store videoer i reklame skal blokkeres uten at brukeren eksplisitt aktiverer avspilling. De foreslåtte tiltakene vil spare brukere fra annonsering med ineffektiv kodeimplementering eller bevisst parasittisk aktivitet (for eksempel gruvedrift). I følge Googles statistikk utgjør annonsering som oppfyller blokkeringskriteriene bare 0.30 % av alle annonseenheter, men samtidig bruker slike annonseinnlegg 28 % av CPU-ressurser og 27 % av trafikken fra det totale reklamevolumet.
- Det er jobbet med å redusere CPU-ressursforbruket når nettleservinduet ikke er i brukerens synsfelt. Chrome sjekker nå om nettleservinduet overlappes av andre vinduer og forhindrer tegning av piksler i områder med overlapping. Den nye funksjonen vil bli rullet ut gradvis: optimering vil bli selektivt aktivert for noen brukere i Chrome 84, og for andre i Chrome 85.
- Beskyttelse er aktivert som standard , for eksempel spamming forespørsler om å motta push-varsler. Siden slike forespørsler avbryter brukerens arbeid og avleder oppmerksomheten til handlinger i bekreftelsesdialogene, vil det i stedet for en egen dialog i adressefeltet vises et informasjonsverktøytips som ikke krever brukerhandling, som advarer om blokkering av forespørselen om tillatelser, som automatisk kollapser til en indikator med en gjennomstrekende bjelle. Ved å klikke på indikatoren kan du aktivere eller avvise den forespurte tillatelsen når som helst.
- Brukerens valg huskes ved åpning av behandlere for eksterne protokoller - brukeren kan velge "tillat alltid dette nettstedet" for en spesifikk behandler, og nettleseren vil huske denne avgjørelsen i forhold til gjeldende nettsted.
- Lagt til beskyttelse mot endring av brukerinnstillinger uten uttrykkelig samtykke. Hvis tillegget endrer standard søkemotor eller side som vises for en ny fane, vil nettleseren nå vise en dialogboks som ber deg bekrefte den angitte operasjonen eller avbryte endringen.
- implementering av beskyttelse mot lasting av blandet multimedieinnhold (når ressurser lastes inn på en HTTPS-side via http://-protokollen). På sider som åpnes via HTTPS vil "http://"-lenker nå automatisk erstattes med "https://" i blokker knyttet til lasting av bilder (skript og iframes ble tidligere erstattet, automatisk erstatning av lyd- og videoressurser forventes i neste utgivelse). Hvis et bilde ikke er tilgjengelig via https, blokkeres nedlastingen av det (du kan manuelt merke blokkeringen gjennom menyen som er tilgjengelig via hengelåssymbolet i adressefeltet).
- Lagt til API-støtte (utviklet som SMS Receiver API), som lar deg organisere inntastingen av et engangspassord på en nettside etter å ha mottatt en SMS-melding med en bekreftelseskode levert til brukerens Android-smarttelefon som nettleseren kjører på. SMS-bekreftelse kan for eksempel brukes til å bekrefte telefonnummeret som er spesifisert av brukeren under registreringen. Hvis brukeren tidligere måtte åpne SMS-applikasjonen, kopiere koden fra den til utklippstavlen, gå tilbake til nettleseren og lime inn denne koden, så gjør den nye API-en det mulig å automatisere denne prosessen og redusere den med ett trykk.
- API utvidet
for å kontrollere avspillingen av nettanimasjon. Den nye utgivelsen legger til støtte for komposisjonsoperasjoner, slik at du kan kontrollere hvordan effekter kombineres og gir nye behandlere som kalles når innholdserstatningshendelser oppstår. Web Animations API støtter nå også Promise for å definere rekkefølgen som animasjoner vises i og bedre kontrollere hvordan animasjoner samhandler med andre applikasjonsfunksjoner. - Flere nye API-er er lagt til Origin Trials-modusen (eksperimentelle funksjoner som krever separat aktivering). Origin Trial innebærer muligheten til å arbeide med spesifisert API fra applikasjoner lastet ned fra localhost eller 127.0.0.1, eller etter registrering og mottak av en spesiell token som er gyldig i en begrenset periode for et spesifikt nettsted.
- API for tjenestearbeidertilgang til HTTP-informasjonskapsler, som fungerer som et asynkront alternativ til å bruke document.cookie.
- API for å oppdage brukerinaktivitet, slik at du kan oppdage tidspunktet når brukeren ikke samhandler med tastaturet/musen, skjermspareren kjører, skjermen er låst eller det arbeides på en annen skjerm. Å informere applikasjonen om inaktivitet utføres ved å sende et varsel etter å ha nådd en spesifisert inaktivitetsterskel.
- regime , lar utvikleren bruke mer fullstendig isolasjon av innholdsbehandling i en separat prosess i forhold til kilden (opprinnelse - domene + port + protokoll), i stedet for nettstedet, på bekostning av å avslutte støtte for noen eldre funksjoner, for eksempel synkron utførelse av skript ved å bruke document.domain og kalle postMessage() for å legge inn meldinger til WebAssembly.Module-forekomster. Med andre ord lar Origin Isolation deg organisere separasjon mellom ulike prosesser basert på domenet til ressursen, og ikke nettstedet med alle de fremmede inkluderingene på sidene.
- API for bruk av vektor SIMD-instruksjoner i applikasjoner i WebAssembly-format. For å sikre plattformuavhengighet tilbyr den en ny 128-bits type som kan representere ulike typer pakket data, og flere grunnleggende vektoroperasjoner for behandling av pakket data. SIMD lar deg øke produktiviteten ved å parallellisere databehandling og vil være nyttig når du kompilerer innfødt kode i WebAssembly. For å aktivere SIMD-støtte kan du bruke "chrome://flags/#enable-webassembly-simd"-innstillingen.
- Stabilisert og nå distribuert utenfor Origin Trials
API , som gir metadata om innhold som tidligere ble bufret av nettapplikasjoner som kjører i Progressive Web Apps (PWS)-modus. Applikasjonen kan lagre ulike data på nettlesersiden, inkludert bilder, videoer og artikler, og når nettverkstilkoblingen er tapt, kan du bruke den ved å bruke Cache Storage og IndexedDB APIer. Content Indexing API gjør det mulig å legge til, finne og slette slike ressurser. I nettleseren brukes denne API-en allerede til å liste en liste over sider og multimediedata som er tilgjengelige for offline visning. - API-versjon stabilisert basert på Promise-mekanismen, som gir en sikrere måte å kontrollere deaktivering av autolåseskjermer og bytte enheter til strømsparende moduser.
- I versjonen for Android-plattformen støtte for applikasjonssnarveier, slik at du kan gi rask tilgang til populære typiske handlinger i applikasjonen. For å lage snarveier, legg bare til elementer i nettapplikasjonsmanifestet i PWA-format (Progressive Web Apps).
- Web Worker har lov til å bruke API , som lar deg definere en behandler for å generere en rapport, kalt når du får tilgang til utdaterte funksjoner. Den genererte rapporten kan lagres, sendes til serveren eller behandles av et JavaScript-skript etter brukerens skjønn.
- API oppdatert , som lar deg koble til en behandler som varsler om endringer i størrelsen på de angitte elementene på siden vil bli sendt til. Tre nye egenskaper er lagt til ResizeObserverEntry: contentBoxSize, borderBoxSize og devicePixelContentBoxSize for å gi mer detaljert informasjon, returnert som en rekke ResizeObserverSize-objekter.
- Lagt til søkeord "» for å tilbakestille elementstilen til standardverdien.
- Fjernet prefikset for CSS-egenskapene "-webkit-appearance" og "-webkit-ruby-position", som nå er tilgjengelige som ""Og"".
- I JavaScript støtte for å merke metoder og egenskaper til en klasse som private, hvoretter tilgangen til dem vil være åpen kun innenfor klassen (tidligere kunne bare felt være private). Slik merker du metoder og egenskaper som private: før feltnavnet er det et "#"-tegn.
- I JavaScript støtte (svak referanse) til JavaScript-objekter som lar deg beholde en referanse til objektet, men som ikke blokkerer søppelsamleren fra å slette det tilknyttede objektet. Støtte for sluttbehandlere er også lagt til, noe som gjør det mulig å definere en behandler som kalles opp etter at søppelinnsamling av det angitte objektet er fullført.
- Lanseringen av applikasjoner på WebAssembly har blitt akselerert, takket være implementeringen i den første (grunnlinje) Liftoff-kompilatoren и . Verktøy for feilsøking av WebAssembly har blitt forbedret, feilsøkingsytelse er betydelig forbedret ved bruk av bruddpunkter (tidligere ble tolken brukt til feilsøking, og nå Liftoff-kompilatoren).
- I verktøy for nettutviklere pphttps://developers.google.com/web/updates/2020/05/devtools er panelet for ytelsesanalyse oppdatert. Lagt til generell informasjon om beregningen (Total blokkeringstid), viser hvor lenge siden ser ut til å være tilgjengelig, men er faktisk ikke tilgjengelig (dvs. siden har allerede blitt gjengitt, men kjøringen av hovedtråden er fortsatt blokkert og datainntasting er ikke mulig). Lagt til en ny erfaringsseksjon for metrikkanalyse (Kumulert layoutskift), som gjenspeiler den visuelle stabiliteten til innholdet. Inspeksjonspanelet for CSS-stiler gir en forhåndsvisning av bilder spesifisert gjennom egenskapen "bakgrunnsbilde".
I tillegg til innovasjoner og feilrettinger, eliminerer den nye versjonen . Mange av sårbarhetene ble identifisert som et resultat av automatisert testing med verktøy , , , и . Ett problem (CVE-2020-6510, bufferoverløp i hentebakgrunnsbehandleren) er merket som kritisk, dvs. lar deg omgå alle nivåer av nettleserbeskyttelse og kjøre kode på systemet utenfor sandkassemiljøet. Som en del av programmet for å betale kontantbelønninger for å oppdage sårbarheter for den nåværende utgivelsen, utbetalte Google 26 priser verdt $21500 5000 (to $3000 2000-priser, to $1000-priser, en $500-pris, to $16-priser og tre $XNUMX-priser). Størrelsen på de XNUMX belønningene er ennå ikke bestemt.
Kilde: opennet.ru