Chrome-versjon 93

Google har avduket utgivelsen av nettleseren Chrome 93. Samtidig er en stabil utgivelse av det gratis Chromium-prosjektet, som fungerer som grunnlaget for Chrome, tilgjengelig. Chrome-nettleseren utmerker seg ved bruk av Google-logoer, tilstedeværelsen av et system for å sende varsler i tilfelle krasj, moduler for avspilling av beskyttet videoinnhold (DRM), et system for automatisk installasjon av oppdateringer og overføring av RLZ-parametere ved søk. Den neste utgivelsen av Chrome 94 er planlagt til 21. september (utviklingen er flyttet til en 4-ukers utgivelsessyklus).

Viktige endringer i Chrome 93:

• Utformingen av blokken med sideinformasjon (sideinfo) er modernisert, hvor støtte for nestede blokker er implementert, og nedtrekkslister med tilgangsrettigheter er erstattet med brytere. Listene sikrer at den viktigste informasjonen vises først. Endringen er ikke aktivert for alle brukere; for å aktivere den kan du bruke "chrome://flags/#page-info-version-2-desktop"-innstillingen.
• For en liten prosentandel av brukerne, som et eksperiment, ble den sikre tilkoblingsindikatoren i adresselinjen erstattet med et mer nøytralt symbol som ikke forårsaker dobbelttolkning (låsen ble erstattet med et "V"-tegn). For tilkoblinger opprettet uten kryptering, fortsetter "ikke sikker"-indikatoren å vises. Grunnen til å bytte ut indikatoren er at mange brukere forbinder hengelåsindikatoren med det faktum at nettstedets innhold kan stoles på, i stedet for å se det som et tegn på at forbindelsen er kryptert. Etter en Google-undersøkelse å dømme, forstår bare 11 % av brukerne betydningen av ikonet med lås.
• Listen over nylig lukkede faner viser nå innholdet i lukkede grupper av faner (tidligere viste listen ganske enkelt navnet på gruppen uten å detaljere innholdet) med muligheten til å returnere både hele gruppen og individuelle faner fra gruppen samtidig. Funksjonen er ikke aktivert for alle brukere, så du må kanskje endre "chrome://flags/#tab-restore-sub-menus"-innstillingen for å aktivere den.
• For bedrifter er nye innstillinger implementert: DefaultJavaScriptJitSetting, JavaScriptJitAllowedForSites og JavaScriptJitBlockedForSites, som lar deg kontrollere den JIT-løse modusen, som deaktiverer bruken av JIT-kompilering ved utføring av JavaScript (kun Ignition-tolken brukes) og forbyr allokering av kjørbar minne under kjøring av kode. Deaktivering av JIT kan være nyttig for å forbedre sikkerheten ved arbeid med potensielt farlige nettapplikasjoner på bekostning av å redusere JavaScript-utførelsesytelsen med omtrent 17 %. Det er bemerkelsesverdig at Microsoft har gått enda lenger og implementert en eksperimentell "Super Duper Secure"-modus i Edge-nettleseren, som lar brukeren deaktivere JIT og aktivere ikke-JIT-kompatible maskinvaresikkerhetsmekanismer CET (Controlflow-Enforcement Technology), ACG (Arbitrary). Code Guard) og CFG (Control Flow Guard) for prosesser som behandler webinnhold. Hvis eksperimentet viser seg å være vellykket, kan vi forvente at det overføres til hoveddelen av Chrome.
• Den nye fanesiden gir en liste over de mest populære dokumentene som er lagret i Google Disk. Innholdet i listen tilsvarer delen Prioritet på drive.google.com. For å kontrollere visningen av Google Disk-innhold kan du bruke innstillingene "chrome://flags/#ntp-modules" og "chrome://flags/#ntp-drive-module".
• Nye informasjonskort er lagt til på Åpne ny fane-siden for å hjelpe deg med å finne nylig sett innhold og relatert informasjon. Kortene er laget for å gjøre det lettere å fortsette å jobbe med informasjon som visningen ble avbrutt, for eksempel vil kortene hjelpe deg med å finne en oppskrift på en rett som nylig ble funnet på nettet, men som ble tapt etter at du lukket siden, eller fortsette å lage kjøp i butikker. Som et eksperiment tilbys brukere to nye kart: «Recipes» (chrome://flags/#ntp-recipe-tasks-module) for å søke etter kulinariske oppskrifter og vise nylig viste oppskrifter; "Shopping" (chrome://flags/#ntp-chrome-cart-module) for påminnelser om produkter valgt i nettbutikker.
• Android-versjonen legger til valgfri støtte for et kontinuerlig søkepanel (chrome://flags/#continuous-search), som lar deg holde nylige Google-søkeresultater synlige (panelet fortsetter å vise resultater etter å ha flyttet til andre sider).
• En eksperimentell sitatdelingsmodus er lagt til Android-versjonen (chrome://flags/#webnotes-stylize), som lar deg lagre et valgt fragment av en side som et sitat og dele det med andre brukere.
• Når du publiserer nye tillegg eller versjonsoppdateringer til Chrome Nettmarked, kreves det nå to-faktor utviklerverifisering.
• Google-kontobrukere har muligheten til å lagre betalingsinformasjon på Google-kontoen sin.
• I inkognitomodus, hvis alternativet for å slette navigasjonsdata er aktivert, har en ny operasjonsbekreftelsesdialog blitt implementert, som forklarer at sletting av data vil lukke vinduet og avslutte alle økter i inkognitomodus.
• På grunn av identifiserte inkompatibiliteter med fastvaren til enkelte enheter, ble støtte for den nye nøkkelavtalemetoden lagt til Chrome 91, motstandsdyktig mot gjetting på kvantedatamaskiner, basert på bruken av CECPQ1.3 (Combined Elliptic-Curve and Post-Quantum 2)-utvidelsen i TLSv2, som kombinerer en klassisk X25519 nøkkelutvekslingsmekanisme med et HRSS-skjema basert på NTRU Prime-algoritmen designet for post-kvantekryptosystemer.
• Portene 989 (ftps-data) og 990 (ftps) er lagt til antallet forbudte nettverksporter for å blokkere ALPACA-angrepet. Tidligere, for å beskytte mot NAT slipstreaming-angrep, var portene 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 og 10080 allerede blokkert.
• TLS støtter ikke lenger chiffer basert på 3DES-algoritmen. Spesielt er TLS_RSA_WITH_3DES_EDE_CBC_SHA-chifferpakken, som er mottakelig for Sweet32-angrepet, fjernet.
• Støtte for Ubuntu 16.04 er avviklet.
• Det er mulig å bruke WebOTP API mellom ulike enheter koblet til via en felles Google-konto. WebOTP lar en nettapplikasjon lese engangsverifiseringskoder sendt via SMS. Den foreslåtte endringen gjør det mulig å motta en bekreftelseskode på en mobilenhet som kjører Chrome for Android, og bruke den på et skrivebordssystem.
• User-Agent Client Hints API har blitt utvidet, utviklet som en erstatning for User-Agent-overskriften. User-Agent Client Hints lar deg organisere selektiv levering av data om spesifikke nettleser- og systemparametere (versjon, plattform osv.) bare etter en forespørsel fra serveren. Brukeren kan på sin side bestemme hvilken informasjon som kan gis til nettstedseiere. Når du bruker User-Agent Client Hints, overføres ikke nettleseridentifikatoren uten en eksplisitt forespørsel, og som standard spesifiseres kun grunnleggende parametere, noe som gjør passiv identifikasjon vanskelig.

  Den nye versjonen støtter Sec-CH-UA-Bitness-parameteren for å returnere data om plattformbitheten, som kan brukes til å betjene optimaliserte binære filer. Som standard sendes Sec-CH-UA-Platform-parameteren med generell plattforminformasjon. UADataValues-verdien som returneres når du kaller getHighEntropyValues() er implementert som standard for å returnere generaliserte parametere hvis det er umulig å returnere et detaljert alternativ. ToJSON-metoden er lagt til NavigatorUAData-objektet, som lar deg bruke konstruksjoner som JSON.stringify(navigator.userAgentData).

• Muligheten til å pakke ressurser inn i pakker i Web Bundle-formatet, egnet for å organisere mer effektiv lasting av et stort antall medfølgende filer (CSS-stiler, JavaScript, bilder, iframes), har blitt stabilisert og tilbudt som standard. Blant manglene i den eksisterende støtten for pakker for JavaScript-filer (webpack), som Web Bundle prøver å eliminere: selve pakken, men ikke dens komponentdeler, kan havne i HTTP-cachen; kompilering og utførelse kan begynne først etter at pakken er fullstendig lastet ned; Ytterligere ressurser som CSS og bilder må kodes i form av JavaScript-strenger, noe som øker størrelsen og krever et nytt parsingstrinn.
• WebXR Plane Detection API er inkludert, og gir informasjon om plane overflater i et virtuelt 3D-miljø. Det spesifiserte API-et gjør det mulig å unngå ressurskrevende behandling av data innhentet gjennom kallet MediaDevices.getUserMedia(), ved bruk av proprietære implementeringer av datasynsalgoritmer. La oss minne deg på at WebXR API lar deg forene arbeid med ulike klasser av virtuell virkelighet-enheter, fra stasjonære 3D-hjelmer til løsninger basert på mobile enheter.
• Flere nye API-er er lagt til Origin Trials-modusen (eksperimentelle funksjoner som krever separat aktivering). Origin Trial innebærer muligheten til å arbeide med spesifisert API fra applikasjoner lastet ned fra localhost eller 127.0.0.1, eller etter registrering og mottak av en spesiell token som er gyldig i en begrenset periode for et spesifikt nettsted.
  • Multi-Screen Window Placement API har blitt foreslått, som lar deg plassere vinduer på en hvilken som helst skjerm koblet til det gjeldende systemet, samt lagre vindusposisjonen og om nødvendig utvide vinduet til fullskjerm. For eksempel, ved å bruke det angitte API-et, kan en nettapplikasjon for visning av en presentasjon organisere visningen av lysbilder på én skjerm, og vise et notat for presentatøren på en annen.
  • Cross-Origin-Embedder-Policy-overskriften, som styrer Cross-Origin-isolasjonsmodusen og lar deg definere sikre bruksregler på siden Privileged Operations, støtter nå en parameter uten legitimasjon for å deaktivere overføring av legitimasjonsrelatert informasjon som f.eks. Informasjonskapsler og klientsertifikater.
  • For frittstående nettapplikasjoner (PWA, Progressive Web Apps) som kontrollerer gjengivelsen av vindusinnhold og håndterer inndata, leveres et overlegg med vinduskontroller, for eksempel en tittellinje og utvide/skjul knapper. Et overlegg utvider det redigerbare området til å dekke hele vinduet og lar deg legge til dine egne elementer i tittelområdet.
  • Lagt til muligheten til å lage PWA-applikasjoner som kan brukes som URL-behandlere. For eksempel kan applikasjonen music.example.com registrere seg som URL-behandler https://*.music.example.com og alle overganger fra eksterne applikasjoner som bruker disse koblingene, for eksempel fra direktemeldinger og e-postklienter, vil føre til til åpningen av denne PWA-applikasjonen, ikke en ny nettleserfane.
• Det er mulig å laste CSS-filer ved å bruke "import"-uttrykket, på samme måte som å laste JavaScript-moduler, som er praktisk når du lager dine egne elementer og lar deg gjøre uten å tilordne stiler ved hjelp av JavaScript-kode. importer ark fra './styles.css' assert { type: 'css' }; document.adoptedStyleSheets = [ark]; shadowRoot.adoptedStyleSheets = [ark];
• En ny statisk metode, AbortSignal.abort(), er gitt som returnerer et AbortSignal-objekt som allerede er satt til abort. I stedet for flere linjer med kode for å lage et AbortSignal-objekt i avbrutt tilstand, kan du nå klare deg med en enkelt linje med "return AbortSignal.abort()".
• Flexbox-elementet har lagt til støtte for søkeordene start, end, self-start, self-end, venstre og høyre nøkkelord, og utfyller nøkkelordene midt, flex-start og flex-end med verktøy for forenklet justering av posisjonen til flex-elementer.
• Error()-konstruktøren implementerer en ny valgfri "årsak"-egenskap, som lar deg enkelt assosiere feil med hverandre. const parentError = new Error('parent'); const error = new Error('parent', { cause: parentError }); console.log(error.cause === parentError); // → sant
• Lagt til støtte for noplaybackrate-modus til HTMLMediaElement.controlsList-egenskapen, som lar deg deaktivere elementer i grensesnittet i nettleseren for å endre avspillingshastigheten til multimedieinnhold.
• Lagt til Sec-CH-Prefers-Color-Scheme-overskriften, som gjør det mulig, på sendestadiet, å overføre data om brukerens foretrukne fargeskjema brukt i "prefers-color-scheme" mediespørringer, som vil tillate nettstedet å optimalisere lasting av CSS knyttet til det valgte skjemaet og unngå synlige brytere fra andre skjemaer.
• Lagt til egenskapen Object.hasOwn, som er en forenklet versjon av Object.prototype.hasOwnProperty, implementert som en statisk metode. Object.hasOwn({ prop: 42 }, 'prop') // → sant
• Designet for svært rask brute-force-kompilering, har Sparkplugs JIT-kompilator lagt til en batch-utførelsesmodus for å redusere kostnadene ved å bytte minnesider mellom skrive- og kjøremodus. Sparkplug kompilerer nå flere funksjoner samtidig og kaller mprotect én gang for å endre tillatelsene til hele gruppen. Den foreslåtte modusen reduserer kompileringstiden betydelig (opptil 44 %) uten å påvirke JavaScript-utførelsesytelsen negativt.
• Android-versjonen deaktiverer V8-motorens innebygde beskyttelse mot sidekanalangrep som Spectre, som ikke anses å være like effektive som å isolere nettsteder i separate prosesser. I skrivebordsversjonen ble disse mekanismene deaktivert i utgivelsen av Chrome 70. Deaktivering av unødvendige kontroller tillot å øke ytelsen med 2–15 %.
• Det er gjort forbedringer av verktøy for webutviklere. I stilarkinspeksjonsmodusen er det mulig å redigere spørringer generert ved hjelp av @container-uttrykket. I nettverksinspeksjonsmodus implementeres en forhåndsvisning av ressurser i nettpakkeformatet. I nettkonsollen er det lagt til alternativer for å kopiere strenger i form av JavaScript eller JSON-literal i kontekstmenyen. Forbedret feilsøking av CORS (Cross-Origin Resource Sharing) relaterte feil.

I tillegg til innovasjoner og feilrettinger, eliminerer den nye versjonen 27 sårbarheter. Mange av sårbarhetene ble identifisert som et resultat av automatisert testing ved bruk av AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL-verktøyene. Ingen kritiske problemer er identifisert som ville tillate en å omgå alle nivåer av nettleserbeskyttelse og kjøre kode på systemet utenfor sandkassemiljøet. Som en del av programmet for å betale kontantbelønninger for å oppdage sårbarheter for den nåværende utgivelsen, utbetalte Google 19 priser verdt $136500 20000 (tre $15000 10000 priser, en $7500 5000 pris, tre $3000 5 priser, en $XNUMX pris, tre $XNUMX priser og tre $XNUMX priser). Størrelsen på de XNUMX belønningene er ennå ikke bestemt.

Kilde: opennet.ru