Google wydanie przeglądarki internetowej ... Jednocześnie stabilne wydanie darmowego projektu , który jest podstawą Chrome. Przeglądarka Chrome korzystanie z logo Google, obecność systemu wysyłania powiadomień w przypadku awarii, możliwość pobrania modułu Flash na żądanie, modułów do odtwarzania chronionych treści wideo (DRM), systemu automatycznej aktualizacji i transmisji w wyszukiwarce . Następna wersja Chrome 85 zaplanowana jest na 25 sierpnia.
:
- obsługa protokołów TLS 1.0 i TLS 1.1. Aby uzyskać dostęp do witryn za pośrednictwem bezpiecznego kanału komunikacji, serwer musi zapewniać obsługę co najmniej protokołu TLS 1.2, w przeciwnym razie przeglądarka wyświetli teraz błąd. Według Google obecnie około 0.5% pobrań stron internetowych nadal odbywa się przy użyciu przestarzałych wersji protokołu TLS. Wyłączenie zostało przeprowadzone zgodnie z IETF (Grupa Zadaniowa ds. Inżynierii Internetowej). Powodem odrzucenia TLS 1.0/1.1 jest brak obsługi nowoczesnych szyfrów (np. ECDHE i AEAD) oraz konieczność obsługi starych szyfrów, których niezawodność kwestionowana jest na obecnym etapie rozwoju technologii obliczeniowej (np. , wymagana jest obsługa TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 i SHA-1). Ustawienie umożliwiające powrót do TLS 1.0/1.1 zostanie zachowane do stycznia 2021 roku.
- Zapewnione blokowanie (bez szyfrowania) plików wykonywalnych i dodano ostrzeżenia w przypadku niebezpiecznego ładowania archiwów. W przyszłości planowane jest stopniowe zaprzestanie obsługi przesyłania plików bez szyfrowania. Blokowanie jest realizowane, ponieważ pobieranie plików bez szyfrowania może zostać wykorzystane do wykonywania złośliwych działań poprzez zamianę zawartości podczas ataków MITM.
- wstępne wsparcie , opracowany jako alternatywa dla nagłówka User-Agent. Mechanizm Client Hints oferuje serię nagłówków „Sec-CH-UA-*” w zastępstwie User-Agent, co pozwala na zorganizowanie selektywnego dostarczania danych tylko o określonych parametrach przeglądarki i systemu (wersja, platforma itp.) po żądaniu serwera. Użytkownik ma możliwość określenia, które parametry są dopuszczalne do dostarczenia i selektywnego przekazywania takich informacji właścicielom witryn. W przypadku korzystania z podpowiedzi klienta identyfikator nie jest domyślnie przesyłany bez wyraźnego żądania, co uniemożliwia pasywną identyfikację (domyślnie wskazywana jest tylko nazwa przeglądarki). nadotycząca do przyszłego roku.
- aktywacja
bardziej rygorystyczne przesyłania plików Cookies pomiędzy witrynami, co było z powodu Covid-19. W przypadku żądań innych niż HTTPS przetwarzanie plików cookie stron trzecich ustawianych podczas uzyskiwania dostępu do witryn innych niż domena bieżącej strony jest zabronione. Tego rodzaju pliki cookies służą do śledzenia ruchów użytkowników pomiędzy witrynami w kodzie sieci reklamowych, widżetów sieci społecznościowych i systemów analityki internetowej.Przypominamy, że do kontroli transmisji plików cookie używany jest atrybut SameSite określony w nagłówku Set-Cookie, który domyślnie zostanie ustawiony na wartość „SameSite=Lax”, co ogranicza wysyłanie plików cookie dla podżądań między witrynami , na przykład żądanie obrazu lub ładowanie treści za pomocą elementu iframe z innej witryny. Witryny mogą zastąpić domyślne zachowanie SameSite, jawnie ustawiając ustawienie Cookie na SameSite=None. Co więcej, wartość SameSite=None dla Cookie można ustawić tylko w trybie bezpiecznym (ważne dla połączeń poprzez HTTPS). Zmiana będzie wprowadzana etapami, zaczynając od niewielkiego odsetka użytkowników, a następnie stopniowo zwiększając jej zasięg.
- Dodano implementację eksperymentalną , które można włączyć za pomocą ustawienia „chrome://flags/#enable-heavy-ad-intervention”. Bloker umożliwia automatyczne wyłączanie bloków reklamowych iframe po przekroczeniu progów ruchu i obciążenia procesora. Blokada zostanie uruchomiona, jeśli główny wątek zużył łącznie więcej niż 60 sekund czasu procesora lub 15 sekund w 30-sekundowym odstępie (zużywając 50% zasobów przez ponad 30 sekund), a także gdy więcej niż 4 MB danych zostało pobranych przez sieć.
Blokada zadziała tylko w przypadku, gdy przed przekroczeniem limitów użytkownik nie wszedł w interakcję z jednostką reklamową (np. nie kliknął w nią), co przy uwzględnieniu ograniczeń w ruchu umożliwi automatyczne odtworzenie dużych blokowanie filmów w reklamach bez wyraźnej aktywacji odtwarzania przez użytkownika. Proponowane środki uchronią użytkowników przed reklamami z nieefektywną implementacją kodu lub celową działalnością pasożytniczą (na przykład eksploracją). Według statystyk Google reklamy spełniające kryteria blokowania stanowią zaledwie 0.30% wszystkich jednostek reklamowych, ale jednocześnie tego typu wstawki reklamowe zużywają 28% zasobów procesora i 27% ruchu z całkowitego wolumenu reklam.
- Włożono wiele pracy, aby zmniejszyć zużycie zasobów procesora, gdy okno przeglądarki nie znajduje się w polu widzenia użytkownika. Chrome sprawdza teraz, czy okno przeglądarki nie pokrywa się z innymi oknami i zapobiega rysowaniu pikseli w obszarach nakładania się. Nowa funkcja będzie wdrażana stopniowo: optymalizacja będzie włączana selektywnie dla niektórych użytkowników w przeglądarce Chrome 84, a dla innych w przeglądarce Chrome 85.
- Ochrona jest domyślnie włączona na przykład spam z prośbami o otrzymywanie powiadomień push. Ponieważ takie żądania zakłócają pracę użytkownika i odwracają jego uwagę od działań w oknach potwierdzających, zamiast osobnego okna dialogowego w pasku adresu wyświetli się monit informacyjny niewymagający działań ze strony użytkownika z ostrzeżeniem, że żądanie uprawnień zostało zablokowane , który jest automatycznie minimalizowany do wskaźnika z wizerunkiem przekreślonego dzwonka. Klikając na wskaźnik, możesz w dowolnym dogodnym momencie aktywować lub odrzucić żądane zezwolenie.
- Wybór użytkownika jest zapamiętywany podczas otwierania programów obsługi protokołów zewnętrznych - użytkownik może wybrać opcję „zawsze zezwalaj na tę witrynę” dla konkretnego modułu obsługi, a przeglądarka zapamięta tę decyzję w odniesieniu do bieżącej witryny.
- Dodano ochronę przed zmianą ustawień użytkownika bez wyraźnej zgody. Jeśli dodatek zmieni domyślną wyszukiwarkę lub stronę wyświetlaną dla nowej karty, przeglądarka wyświetli teraz okno dialogowe z prośbą o potwierdzenie określonej operacji lub anulowanie zmiany.
- wdrożenie zabezpieczenia przed ładowaniem mieszanych treści multimedialnych (przy ładowaniu zasobów na stronę HTTPS poprzez protokół http://). Na stronach otwieranych poprzez HTTPS linki „http://” będą teraz automatycznie zastępowane przez „https://” w blokach związanych z ładowaniem obrazów (wcześniej zastąpiono skrypty i ramki iframe, w kolejne wydanie). Jeżeli obraz nie jest dostępny poprzez https, to jego pobranie zostaje zablokowane (można ręcznie zaznaczyć blokadę poprzez menu dostępne po symbolu kłódki w pasku adresu).
- Dodano obsługę API (rozwinięty jako SMS Odbiornik API), który pozwala uporządkować wprowadzanie hasła jednorazowego na stronie internetowej po odebraniu wiadomości SMS z kodem potwierdzającym dostarczonej na smartfon użytkownika z systemem Android, na którym uruchomiona jest przeglądarka. Potwierdzenie SMS może służyć np. do weryfikacji numeru telefonu podanego przez użytkownika podczas rejestracji. Jeśli wcześniej użytkownik musiał otworzyć aplikację SMS, skopiować z niej kod do schowka, wrócić do przeglądarki i wkleić ten kod, to nowe API pozwala zautomatyzować ten proces i ograniczyć go do jednego dotknięcia.
- Rozszerzone API
do sterowania odtwarzaniem animacji internetowych. Nowa wersja dodaje obsługę operacji komponowania, umożliwiając kontrolowanie sposobu łączenia efektów i udostępniając nowe procedury obsługi wywoływane w przypadku wystąpienia zdarzeń zamiany treści. Interfejs Web Animations API obsługuje teraz także funkcję Promise w celu zdefiniowania kolejności wyświetlania animacji i lepszej kontroli interakcji animacji z innymi funkcjami aplikacji. - Do trybu Origin Trials dodano kilka nowych interfejsów API (funkcje eksperymentalne wymagające oddzielnej aktywacji). Origin Trial oznacza możliwość pracy z określonym API z aplikacji pobranych z localhost lub 127.0.0.1 lub po zarejestrowaniu i otrzymaniu specjalnego tokena, który jest ważny przez ograniczony czas dla określonej witryny.
- API dla dostępu pracowników serwisu do plików cookie HTTP, stanowiących asynchroniczną alternatywę dla korzystania z document.cookie.
- API do wykrywania braku aktywności użytkownika, umożliwiając wykrycie czasu, kiedy użytkownik nie korzysta z klawiatury/myszy, włączony jest wygaszacz ekranu, ekran jest zablokowany lub praca jest wykonywana na innym monitorze. Informowanie aplikacji o braku aktywności odbywa się poprzez wysłanie powiadomienia po osiągnięciu określonego progu braku aktywności.
- Tryb , pozwala deweloperowi na zastosowanie pełniejszej izolacji przetwarzania treści w odrębnym procesie w stosunku do źródła (pochodzenie - domena + port + protokół), a nie do serwisu, kosztem zaprzestania obsługi niektórych starszych funkcji, np. synchronicznego wykonywanie skryptów przy użyciu document.domain i wywołując postMessage() w celu wysyłania wiadomości do instancji WebAssembly.Module. Innymi słowy, Origin Isolation pozwala na zorganizowanie separacji pomiędzy różnymi procesami w oparciu o domenę zasobu, a nie witrynę ze wszystkimi obcymi dodatkami na stronach.
- API do wykorzystania instrukcji wektorowych SIMD w aplikacjach w formacie WebAssembly. Aby zapewnić niezależność platformy, oferuje nowy typ 128-bitowy, który może reprezentować różne typy spakowanych danych oraz kilka podstawowych operacji wektorowych do przetwarzania spakowanych danych. SIMD pozwala zwiększyć produktywność poprzez równoległe przetwarzanie danych i będzie przydatny podczas kompilacji kodu natywnego do WebAssembly. Aby włączyć obsługę SIMD, możesz użyć ustawienia „chrome://flags/#enable-webassembly-simd”.
- Ustabilizowana i obecnie dystrybuowana poza wersjami próbnymi Origin
API , który udostępnia metadane dotyczące treści, które były wcześniej buforowane przez aplikacje internetowe działające w trybie progresywnych aplikacji internetowych (PWS). Aplikacja może zapisywać po stronie przeglądarki różne dane, w tym obrazy, filmy i artykuły, a w przypadku utraty połączenia sieciowego wykorzystać je za pomocą API Cache Storage i IndexedDB. Content Indexing API umożliwia dodawanie, wyszukiwanie i usuwanie takich zasobów. W przeglądarce ten interfejs API jest już używany do wyświetlania listy stron i danych multimedialnych dostępnych do przeglądania w trybie offline. - Wersja API ustabilizowana oparty na mechanizmie Promise, który zapewnia bezpieczniejszy sposób kontrolowania wyłączania automatycznej blokady ekranów i przełączania urządzeń w tryby oszczędzania energii.
- W wersji na platformę Android obsługa skrótów do aplikacji, pozwalająca zapewnić szybki dostęp do popularnych typowych akcji w aplikacji. Aby utworzyć skróty, wystarczy dodać elementy do manifestu aplikacji internetowej w formacie PWA (Progressive Web Apps).
- Web Worker może korzystać z API , który umożliwia zdefiniowanie modułu obsługi generującego raport wywoływanego podczas uzyskiwania dostępu do nieaktualnych możliwości. Wygenerowany raport może zostać zapisany, przesłany na serwer lub przetworzony przez skrypt JavaScript według uznania użytkownika.
- Zaktualizowano interfejs API , co pozwala na podłączenie handlera, do którego będą wysyłane powiadomienia o zmianach wielkości określonych elementów na stronie. Do ResizeObserverEntry dodano trzy nowe właściwości: contentBoxSize, borderBoxSize i DevicePixelContentBoxSize, aby zapewnić bardziej szczegółowe informacje zwracane jako tablica obiektów ResizeObserverSize.
- Dodano słowo kluczowe „» aby zresetować styl elementu do wartości domyślnej.
- Usunięto przedrostek właściwości CSS „-webkit-appearance” i „-webkit-Ruby-position”, które są teraz dostępne jako „"A"".
- W JavaScript wsparcie dla oznaczania metod i właściwości klasy jako prywatne, po czym dostęp do nich będzie otwarty tylko wewnątrz klasy (wcześniej prywatne mogły być tylko pola). Aby oznaczyć metody i właściwości jako prywatne: przed nazwą pola znajduje się znak „#”.
- W JavaScript wsparcie (słabe odniesienie) do obiektów JavaScript, które pozwalają zachować odniesienie do obiektu, ale nie blokują modułu zbierającego elementy bezużyteczne usunięcia powiązanego obiektu. Dodano także obsługę finalizatorów, umożliwiając zdefiniowanie procedury obsługi, która jest wywoływana po zakończeniu zbierania elementów bezużytecznych określonego obiektu.
- Uruchamianie aplikacji na WebAssembly zostało przyspieszone dzięki implementacji w początkowym (bazowym) kompilatorze Liftoff и . Udoskonalono narzędzia do debugowania WebAssembly, znacznie poprawiono wydajność debugowania przy użyciu punktów przerwania (wcześniej do debugowania służył interpreter, a teraz kompilator Liftoff).
- W narzędziach dla twórców stron internetowych pphttps://developers.google.com/web/updates/2020/05/devtools zaktualizowano panel analizy wydajności. Dodano ogólne informacje o metryce (Total Blocking Time), pokazujący, jak długo strona pozornie jest dostępna, a w rzeczywistości jest niedostępna (tzn. strona została już wyrenderowana, ale wykonanie głównego wątku jest nadal zablokowane i wprowadzenie danych nie jest możliwe). Dodano nową sekcję Doświadczenie do analizy metryk (Cumulative Layout Shift), odzwierciedlający wizualną stabilność treści. Panel inspekcji stylów CSS zapewnia podgląd obrazów określonych za pomocą właściwości „obraz tła”.
Oprócz innowacji i poprawek błędów, nowa wersja eliminuje . Wiele luk w zabezpieczeniach zostało zidentyfikowanych w wyniku zautomatyzowanych narzędzi testujących , , , и . Jeden problem (CVE-2020-6510, przepełnienie bufora w procedurze obsługi pobierania w tle) jest oznaczony jako krytyczny, tj. pozwala ominąć wszystkie poziomy ochrony przeglądarki i wykonać kod w systemie poza środowiskiem sandbox. W ramach programu nagród pieniężnych za odkrycie luk w bieżącej wersji firma Google wypłaciła 26 nagród o wartości 21500 5000 dolarów (dwie nagrody po 3000 dolarów, dwie nagrody po 2000 dolarów, jedna nagroda po 1000 dolarów, dwie nagrody po 500 dolarów i trzy nagrody po 16 dolarów). Wielkość XNUMX nagród nie została jeszcze ustalona.
Źródło: opennet.ru