ProHoster > Blog > notícias da internet > Versão 104 do Chrome

Versão 104 do Chrome

O Google revelou o lançamento do navegador Chrome 104. Ao mesmo tempo, está disponível uma versão estável do projeto gratuito Chromium, que serve de base ao Chrome. O navegador Chrome difere do Chromium pelo uso de logotipos do Google, presença de sistema de envio de notificações em caso de travamento, módulos para reprodução de conteúdo de vídeo protegido contra cópia (DRM), sistema de instalação automática de atualizações, habilitação permanente do isolamento Sandbox , fornecendo chaves para a API do Google e transmitindo parâmetros RLZ- durante a pesquisa. Para aqueles que precisam de mais tempo para atualizar, o branch Extended Stable é suportado separadamente, seguido por 8 semanas. O próximo lançamento do Chrome 105 está agendado para 30 de agosto.

Principais mudanças no Chrome 104:

  • Foi introduzido um limite de vida útil dos cookies - todos os Cookies novos ou atualizados serão automaticamente excluídos após 400 dias de existência, mesmo que o tempo de expiração definido através dos atributos Expires e Max-Age exceda 400 dias (para tais Cookies, a vida útil será reduzida até 400 dias). Os cookies criados antes da implementação da restrição manterão a sua vida útil, mesmo que exceda 400 dias, mas serão limitados se atualizados. A mudança reflete novos requisitos observados no rascunho da nova especificação.
  • Habilitado o bloqueio de URLs iframe que fazem referência ao sistema de arquivos local (“filesystem://”).
  • Para acelerar o carregamento da página, foi adicionada uma nova otimização que garante que uma conexão com o host de destino seja estabelecida no momento em que você clica em um link, sem esperar que você solte o botão ou retire o dedo da tela sensível ao toque.
  • Adicionadas configurações para gerenciamento da API “Tópicos e Grupo de Interesse”, promovida como parte da iniciativa Privacy Sandbox, que permite definir categorias de interesses do usuário e usá-las em vez de rastrear Cookies para identificar grupos de usuários com interesses semelhantes sem identificar usuários individuais . Além disso, foram adicionados diálogos informativos que são mostrados uma vez, explicando ao usuário a essência da tecnologia e oferecendo a ativação de seu suporte nas configurações.
  • Limites aumentados para limitar chamadas aninhadas para temporizadores setTimeout e setInterval em execução com um intervalo inferior a 4 ms ("setTimeout(..., <4ms)"). O limite total dessas chamadas foi aumentado de 5 para 100, o que permite não reduzir agressivamente as chamadas individuais, mas ao mesmo tempo evitar abusos que podem afetar o desempenho do navegador.
  • Habilitado está enviando uma solicitação de confirmação de autorização CORS (Cross-Origin Resource Sharing) para o servidor do site principal com o cabeçalho “Access-Control-Request-Private-Network: true” quando uma página acessa um sub-recurso na rede interna (192.168.xx , 10. xxx, 172.16-31.xx) ou para localhost (127.xxx). Ao confirmar a operação em resposta a esta solicitação, o servidor deverá retornar o cabeçalho “Access-Control-Allow-Private-Network: true”. Na versão 104 do Chrome, o resultado da confirmação ainda não afeta o processamento da solicitação – se não houver confirmação, um aviso é exibido no console web, mas a solicitação do sub-recurso em si não é bloqueada. A ativação do bloqueio sem confirmação não é esperada até o Chrome 107. Para ativar o bloqueio em versões anteriores, você pode ativar a configuração "chrome://flags/#private-network-access-respect-preflight-results".

    A verificação de autoridade do servidor foi introduzida para fortalecer a proteção contra ataques relacionados ao acesso a recursos na rede local ou no computador do usuário (localhost) a partir de scripts carregados na abertura de um site. Tais solicitações são utilizadas por invasores para realizar ataques CSRF em roteadores, pontos de acesso, impressoras, interfaces web corporativas e outros dispositivos e serviços que aceitam solicitações apenas da rede local. Para se proteger contra tais ataques, se algum sub-recurso for acessado na rede interna, o navegador enviará uma solicitação explícita de permissão para carregar esses sub-recursos.

  • Foi adicionado um mecanismo de captura de região que permite cortar conteúdo desnecessário de um vídeo gerado com base na captura de tela. Por exemplo, usando a API getDisplayMedia, um aplicativo da web pode transmitir vídeo do conteúdo de uma guia, e o Region Capture permite cortar parte do conteúdo que inclui controles de videoconferência.
  • Adicionado suporte para a nova sintaxe de consulta de mídia definida na especificação Media Queries Level 4, que determina o tamanho mínimo e máximo da área visível (viewport). A nova sintaxe permite usar operadores de comparação matemática comuns e operadores lógicos como "não", "ou" e "e". Por exemplo, em vez de “@media (largura mínima: 400px) {… }” agora você pode especificar “@media (largura >= 400px) {… }”.
  • Várias novas APIs foram adicionadas ao modo Origin Trials (recursos experimentais que requerem ativação separada). O Origin Trial implica a capacidade de trabalhar com a API especificada a partir de aplicativos baixados de localhost ou 127.0.0.1, ou após o registro e recebimento de um token especial válido por tempo limitado para um site específico.
    • Adicionada uma propriedade CSS “focusgroup” para melhorar a navegação pelos elementos usando as teclas de seta do teclado.
    • A API de confirmação de pagamento seguro oferece ao usuário a capacidade de desativar o armazenamento de configurações do cartão de crédito. Para exibir uma caixa de diálogo que permite recusar o salvamento de parâmetros de cartão de crédito, o construtor PaymentRequest() fornece o sinalizador “showOptOut: true”.
    • Adicionada a API Shared Element Transitions, que permite organizar uma transição suave entre diferentes visualizações de conteúdo em aplicativos da web de página única.
  • O suporte às regras de especulação foi estabilizado, permitindo que os autores do site forneçam ao navegador informações sobre as páginas mais prováveis ​​que o usuário pode acessar. O navegador usa essas informações para carregar e renderizar proativamente o conteúdo da página.
  • O mecanismo de empacotamento de sub-recursos em pacotes no formato Web Bundle foi estabilizado, permitindo aumentar a eficiência de carregamento de um grande número de arquivos acompanhantes (estilos CSS, JavaScript, imagens, iframes). Ao contrário dos pacotes no formato Webpack, o formato Web Bundle tem as seguintes vantagens: não é o pacote em si que é armazenado no cache HTTP, mas seus componentes; a compilação e execução do JavaScript começam sem esperar o download completo do pacote; É permitido incluir recursos adicionais como CSS e imagens, que no webpack teriam que ser codificados na forma de strings JavaScript.
  • Adicionada a propriedade CSS object-view-box, que permite definir uma parte da imagem que será exibida na área ao invés de um determinado elemento, que pode ser utilizado, por exemplo, para adicionar uma borda ou sombra.
  • Adicionada a API Fullscreen Capability Delegation, permitindo que um objeto Window delegue a outro objeto Window o direito de chamar requestFullscreen().
  • Adicionada API de janela complementar em tela cheia, permitindo que conteúdo em tela cheia e pop-ups sejam colocados em outra tela após receber a confirmação do usuário.
  • Um atributo visual-box foi adicionado à propriedade CSS overflow-clip-margin, que determina onde começar a cortar o conteúdo que vai além da borda da área (pode assumir os valores content-box, padding-box e border- caixa).
  • A API Async Clipboard adicionou a capacidade de definir formatos especializados para dados transferidos por meio da área de transferência, além de texto, imagens e texto com marcação.
  • WebGL fornece suporte para especificar um espaço de cores para o buffer de renderização e transformação ao importar de uma textura.
  • O suporte para plataformas OS X 10.11 e macOS 10.12 foi descontinuado.
  • A API U2F (Cryptotoken), que anteriormente estava obsoleta e desativada por padrão, foi descontinuada. A API U2F foi substituída pela API de autenticação da Web.
  • Melhorias foram feitas nas ferramentas para desenvolvedores web. O depurador agora tem a capacidade de reiniciar o código desde o início de uma função após atingir um ponto de interrupção em algum lugar do corpo da função. Adicionado suporte para desenvolvimento de complementos para o painel Gravador. Foi adicionado suporte para visualização de marcas definidas em uma aplicação web através da chamada do método performance.measure() ao painel de análise de desempenho. Recomendações aprimoradas para preenchimento automático de propriedades de objetos JavaScript. Ao preencher automaticamente variáveis ​​CSS, são fornecidas visualizações de valores não relacionados a cores.
    Versão 104 do Chrome

Além de inovações e correções de bugs, a nova versão elimina 27 vulnerabilidades. Muitas das vulnerabilidades foram identificadas como resultado de testes automatizados usando as ferramentas AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Nenhum problema crítico foi identificado que permitiria ignorar todos os níveis de proteção do navegador e executar código no sistema fora do ambiente sandbox. Como parte do programa de recompensa em dinheiro pela descoberta de vulnerabilidades para a versão atual, o Google pagou 22 prêmios no valor de US$ 84 mil (um prêmio de US$ 15000, um prêmio de US$ 10000, um prêmio de US$ 8000, um prêmio de US$ 7000, quatro prêmios de US$ 5000, um prêmio de US$ 4000, três prêmios de US$ 3000 , quatro prêmios de US$ 2000 e três prêmios de US$ 1000). O tamanho de uma recompensa ainda não foi determinado.

Fonte: opennet.ru

Adicionar um comentário