Google versão do navegador da web ... Simultaneamente lançamento estável de um projeto gratuito , que é a base do Chrome. navegador Chrome utilização de logotipos do Google, presença de sistema de envio de notificações em caso de travamento, possibilidade de download de módulo Flash mediante solicitação, módulos para reprodução de conteúdo de vídeo protegido (DRM), sistema de instalação automática de atualizações e transmissão durante a pesquisa . O próximo lançamento do Chrome 85 está agendado para 25 de agosto.
:
- suporte para protocolos TLS 1.0 e TLS 1.1. Para acessar sites por meio de um canal de comunicação seguro, o servidor deve fornecer suporte para pelo menos TLS 1.2, caso contrário o navegador exibirá um erro. Segundo o Google, atualmente cerca de 0.5% dos downloads de páginas da web continuam sendo realizados em versões desatualizadas do TLS. A paralisação foi realizada de acordo com IETF (Força-Tarefa de Engenharia da Internet). A razão para rejeitar o TLS 1.0/1.1 é a falta de suporte para cifras modernas (por exemplo, ECDHE e AEAD) e a exigência de suporte para cifras antigas, cuja confiabilidade é questionada no atual estágio de desenvolvimento da tecnologia de computação (por exemplo , é necessário suporte para TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 e SHA-1). A configuração que permite o retorno ao TLS 1.0/1.1 será mantida até janeiro de 2021.
- Bloqueio fornecido (sem criptografia) de arquivos executáveis e avisos adicionados ao carregar arquivos de forma insegura. No futuro, está planejado parar gradualmente de oferecer suporte ao upload de arquivos sem criptografia. O bloqueio é implementado porque o download de arquivos sem criptografia pode ser usado para realizar ações maliciosas, substituindo o conteúdo durante ataques MITM.
- suporte inicial , desenvolvido como uma alternativa ao cabeçalho User-Agent. O mecanismo Client Hints oferece uma série de cabeçalhos “Sec-CH-UA-*” em substituição ao User-Agent, que permite organizar a entrega seletiva de dados apenas sobre parâmetros específicos do navegador e do sistema (versão, plataforma, etc.). após uma solicitação do servidor. O usuário tem a oportunidade de determinar quais parâmetros são aceitáveis para entrega e fornecer seletivamente essas informações aos proprietários do site. Ao utilizar Client Hints, o identificador não é transmitido por padrão sem uma solicitação explícita, o que impossibilita a identificação passiva (por padrão, apenas o nome do navegador é indicado). em até o próximo ano.
- ativação
mais rigorosas transferência de Cookies entre sites, o que foi devido à COVID-19. Para solicitações não HTTPS, é proibido o processamento de Cookies de terceiros definidos ao acessar sites diferentes do domínio da página atual. Esses Cookies são utilizados para rastrear os movimentos dos utilizadores entre sites no código de redes de publicidade, widgets de redes sociais e sistemas de análise web.Lembre-se que para controlar a transmissão de Cookies, é utilizado o atributo SameSite especificado no cabeçalho Set-Cookie, que por padrão será definido com o valor “SameSite=Lax”, o que limita o envio de Cookies para sub-solicitações entre sites. , como uma solicitação de imagem ou carregamento de conteúdo por meio de um iframe de outro site. Os sites podem substituir o comportamento padrão do SameSite definindo explicitamente a configuração Cookie como SameSite=None. Além disso, o valor SameSite=None para Cookie só pode ser definido em modo Seguro (válido para conexões via HTTPS). A mudança será implementada em etapas, começando com uma pequena porcentagem de usuários e depois ampliando gradativamente seu alcance.
- Implementação experimental adicionada , que pode ser ativado usando a configuração “chrome://flags/#enable-heavy-ad-intervention”. O bloqueador permite que você desative automaticamente os blocos de publicidade iframe depois que os limites de tráfego e de carga da CPU forem excedidos. O bloqueio será acionado se o thread principal tiver consumido mais de 60 segundos de tempo de CPU no total ou 15 segundos em um intervalo de 30 segundos (consumindo 50% dos recursos por mais de 30 segundos), bem como quando mais de 4 MB de dados foi baixado pela rede.
O bloqueio só funcionará se, antes de os limites serem ultrapassados, o utilizador não tiver interagido com a unidade publicitária (por exemplo, não clicar nela), o que, tendo em conta as restrições de tráfego, permitirá a reprodução automática de grandes vídeos em publicidade sejam bloqueados sem que o usuário ative explicitamente a reprodução. As medidas propostas evitarão que os usuários façam publicidade com implementação de código ineficiente ou atividade parasitária deliberada (por exemplo, mineração). De acordo com as estatísticas do Google, a publicidade que atende aos critérios de bloqueio representa apenas 0.30% de todas as unidades publicitárias, mas, ao mesmo tempo, essas inserções publicitárias consomem 28% dos recursos da CPU e 27% do tráfego do volume total de publicidade.
- Foram feitos trabalhos para reduzir o consumo de recursos da CPU quando a janela do navegador não está no campo de visão do usuário. O Chrome agora verifica se a janela do navegador está sobreposta por outras janelas e evita o desenho de pixels em áreas de sobreposição. O novo recurso será implementado gradualmente: a otimização será ativada seletivamente para alguns usuários no Chrome 84 e para outros no Chrome 85.
- A proteção está habilitada por padrão , por exemplo, spam com solicitações para receber notificações push. Como tais solicitações interrompem o trabalho do usuário e desviam a atenção das ações nas caixas de diálogo de confirmação, em vez de uma caixa de diálogo separada na barra de endereço, um prompt de informações que não requer ação do usuário será exibido com um aviso de que a solicitação de permissões está bloqueada , que é automaticamente minimizado em um indicador com a imagem de um sino riscado. Ao clicar no indicador, você pode ativar ou rejeitar a permissão solicitada a qualquer momento conveniente.
- A escolha do usuário é lembrada ao abrir manipuladores para protocolos externos - o usuário pode selecionar “sempre permitir este site” para um manipulador específico e o navegador lembrará dessa decisão em relação ao site atual.
- Adicionada proteção contra alterações nas configurações do usuário sem consentimento explícito. Se o complemento alterar o mecanismo de pesquisa padrão ou a página exibida para uma nova guia, o navegador exibirá uma caixa de diálogo solicitando que você confirme a operação especificada ou cancele a alteração.
- implementação de proteção contra carregamento de conteúdo multimídia misto (quando recursos são carregados em uma página HTTPS através do protocolo http://). Nas páginas abertas via HTTPS, os links “http://” agora serão automaticamente substituídos por “https://” nos blocos associados ao carregamento de imagens (scripts e iframes foram substituídos anteriormente, a substituição automática de recursos de áudio e vídeo é esperada em o próximo lançamento). Se uma imagem não estiver disponível via https, seu download será bloqueado (você pode marcar manualmente o bloqueio através do menu acessível através do símbolo de cadeado na barra de endereço).
- Adicionado suporte de API (desenvolvido como API do receptor de SMS), que permite organizar a entrada de uma senha de uso único em uma página da web após o recebimento de uma mensagem SMS com um código de confirmação entregue ao smartphone Android do usuário no qual o navegador está sendo executado. A confirmação por SMS, por exemplo, pode ser usada para verificar o número de telefone especificado pelo usuário durante o cadastro. Se antes o usuário tinha que abrir o aplicativo SMS, copiar o código dele para a área de transferência, retornar ao navegador e colar esse código, então a nova API permite automatizar esse processo e reduzi-lo a um toque.
- API expandida
para controlar a reprodução da animação da web. A nova versão adiciona suporte para operações de composição, permitindo controlar como os efeitos são combinados e fornecendo novos manipuladores que são chamados quando ocorrem eventos de substituição de conteúdo. A API de animações da Web agora também oferece suporte ao Promise para definir a ordem em que as animações são mostradas e controlar melhor como as animações interagem com outros recursos do aplicativo. - Várias novas APIs foram adicionadas ao modo Origin Trials (recursos experimentais que requerem ativação separada). O Origin Trial implica a capacidade de trabalhar com a API especificada a partir de aplicativos baixados de localhost ou 127.0.0.1, ou após o registro e recebimento de um token especial válido por tempo limitado para um site específico.
- API para acesso do Service Worker a Cookies HTTP, servindo como uma alternativa assíncrona ao uso de document.cookie.
- API para detectar a inatividade do usuário, permitindo detectar o momento em que o usuário não está interagindo com o teclado/mouse, a proteção de tela está em execução, a tela está bloqueada ou o trabalho está sendo realizado em outro monitor. A informação da aplicação sobre a inatividade é realizada através do envio de uma notificação após atingir um limite de inatividade especificado.
- regime , permite ao desenvolvedor utilizar um isolamento mais completo do processamento de conteúdo em um processo separado em relação à origem (origem - domínio + porta + protocolo), ao invés do site, ao custo de descontinuar o suporte a alguns recursos legados, como síncrono execução de scripts usando document.domain e chamada postMessage() para postar mensagens em instâncias WebAssembly.Module. Em outras palavras, o Origin Isolation permite organizar a separação entre diferentes processos com base no domínio do recurso, e não no site com todas as inclusões estranhas nas páginas.
- API para usar instruções SIMD vetoriais em aplicativos no formato WebAssembly. Para garantir a independência da plataforma, oferece um novo tipo de 128 bits que pode representar diferentes tipos de dados compactados e diversas operações vetoriais básicas para processamento de dados compactados. O SIMD permite aumentar a produtividade ao paralelizar o processamento de dados e será útil ao compilar código nativo no WebAssembly. Para ativar o suporte SIMD, você pode usar a configuração “chrome://flags/#enable-webassembly-simd”.
- Estabilizado e agora distribuído fora dos Origin Trials
API , que fornece metadados sobre o conteúdo que foi armazenado em cache anteriormente por aplicativos Web executados no modo Progressive Web Apps (PWS). O aplicativo pode salvar vários dados no navegador, incluindo imagens, vídeos e artigos, e quando a conexão de rede for perdida, usá-los usando as APIs Cache Storage e IndexedDB. A API de indexação de conteúdo possibilita adicionar, localizar e excluir tais recursos. No navegador, esta API já é utilizada para listar uma lista de páginas e dados multimídia disponíveis para visualização offline. - Versão da API estabilizada baseado no mecanismo Promise, que fornece uma maneira mais segura de controlar a desativação do bloqueio automático de tela e a mudança de dispositivos para modos de economia de energia.
- Na versão para a plataforma Android suporte para atalhos de aplicativos, permitindo fornecer acesso rápido a ações típicas populares no aplicativo. Para criar atalhos, basta adicionar elementos ao manifesto da aplicação web no formato PWA (Progressive Web Apps).
- Web Worker tem permissão para usar API , que permite definir um manipulador para geração de relatório, chamado ao acessar recursos desatualizados. O relatório gerado pode ser salvo, enviado ao servidor ou processado por um script JavaScript a critério do usuário.
- API atualizada , que permite conectar um manipulador ao qual serão enviadas notificações sobre alterações no tamanho dos elementos especificados na página. Três novas propriedades foram adicionadas a ResizeObserverEntry: contentBoxSize, borderBoxSize e devicePixelContentBoxSize para fornecer informações mais granulares, retornadas como uma matriz de objetos ResizeObserverSize.
- Palavra-chave adicionada "» para redefinir o estilo do elemento para seu valor padrão.
- Removido o prefixo das propriedades CSS "-webkit-appearance" e "-webkit-ruby-position", que agora estão disponíveis como ""E"".
- Em JavaScript suporte para marcar métodos e propriedades de uma classe como privados, após o que o acesso a eles será aberto apenas dentro da classe (anteriormente apenas os campos podiam ser privados). Para marcar métodos e propriedades como privados: antes do nome do campo há um sinal “#”.
- Em JavaScript apoiar (referência fraca) para objetos JavaScript que permitem reter uma referência ao objeto, mas não impedem que o coletor de lixo exclua o objeto associado. Também foi adicionado suporte para finalizadores, tornando possível definir um manipulador que é chamado após a conclusão da coleta de lixo do objeto especificado.
- O lançamento de aplicativos no WebAssembly foi acelerado, graças à implementação no compilador Liftoff inicial (linha de base) и . As ferramentas para depuração do WebAssembly foram aprimoradas, o desempenho da depuração ao usar pontos de interrupção foi significativamente melhorado (anteriormente, o interpretador era usado para depuração e agora o compilador Liftoff).
- Nas ferramentas para desenvolvedores web pphttps://developers.google.com/web/updates/2020/05/devtools o painel para análise de desempenho foi atualizado. Adicionadas informações gerais sobre a métrica (Tempo Total de Bloqueio), mostrando quanto tempo a página parece estar disponível, mas na verdade não está disponível (ou seja, a página já foi renderizada, mas a execução do thread principal ainda está bloqueada e a entrada de dados não é possível). Adicionada uma nova seção Experiência para análise de métricas (Cumulative Layout Shift), refletindo a estabilidade visual do conteúdo. O painel de inspeção de estilos CSS fornece uma visualização das imagens especificadas por meio da propriedade “imagem de fundo”.
Além de inovações e correções de bugs, a nova versão elimina . Muitas das vulnerabilidades foram identificadas como resultado de ferramentas de teste automatizadas , , , и . Um problema (CVE-2020-6510, buffer overflow no fetch manipulador de segundo plano) está marcado como crítico, ou seja, permite ignorar todos os níveis de proteção do navegador e executar código no sistema fora do ambiente sandbox. Como parte do programa de pagamento de recompensas em dinheiro pela descoberta de vulnerabilidades na versão atual, o Google pagou 26 prêmios no valor de US$ 21500 (dois prêmios de US$ 5000, dois prêmios de US$ 3000, um prêmio de US$ 2000, dois prêmios de US$ 1000 e três prêmios de US$ 500). O tamanho das 16 recompensas ainda não foi determinado.
Fonte: opennet.ru