ProHoster > Blog > internetové správy > Vydanie Chrome 105

Vydanie Chrome 105

Google odhalil vydanie webového prehliadača Chrome 105. Zároveň je k dispozícii stabilné vydanie bezplatného projektu Chromium, ktorý slúži ako základ prehliadača Chrome. Prehliadač Chrome sa od Chromia líši použitím log Google, prítomnosťou systému na odosielanie upozornení v prípade zlyhania, modulmi na prehrávanie videoobsahu chráneného proti kopírovaniu (DRM), systémom na automatickú inštaláciu aktualizácií, trvalou možnosťou izolácie Sandboxu. , dodáva kľúče do Google API a prenáša RLZ- pri vyhľadávaní. Pre tých, ktorí potrebujú viac času na aktualizáciu, je samostatne podporovaná vetva Extended Stable, po ktorej nasleduje 8 týždňov. Ďalšie vydanie prehliadača Chrome 106 je naplánované na 27. septembra.

Kľúčové zmeny v Chrome 105:

  • Podpora špecializovaných webových aplikácií Chrome Apps bola ukončená a nahradená samostatnými webovými aplikáciami založenými na technológii Progressive Web Apps (PWA) a štandardných webových rozhraniach API. Spoločnosť Google pôvodne oznámila svoj zámer opustiť aplikácie Chrome už v roku 2016 a plánovala zastaviť ich podporu do roku 2018, ale potom tento plán odložila. Keď sa v prehliadači Chrome 105 pokúsite nainštalovať aplikácie Chrome, zobrazí sa upozornenie, že už nebudú podporované, ale aplikácie budú naďalej spustené. V prehliadači Chrome 109 bude možnosť spúšťať aplikácie Chrome zakázaná.
  • Poskytnutá dodatočná izolácia pre proces vykresľovania, ktorý je zodpovedný za vykresľovanie. Tento proces sa teraz vykonáva v dodatočnom kontajneri (App Container), ktorý je implementovaný nad existujúci systém izolácie karantény. Ak dôjde k zneužitiu zraniteľnosti v kóde vykresľovania, pridané obmedzenia zabránia útočníkovi získať prístup k sieti tým, že zabránia prístupu k systémovým volaniam súvisiacim so sieťovými schopnosťami.
  • Implementované vlastné jednotné úložisko koreňových certifikátov certifikačných autorít (Chrome Root Store). Nové úložisko ešte nie je predvolene povolené a kým sa nedokončí implementácia, certifikáty sa budú naďalej overovať pomocou úložiska špecifického pre každý operačný systém. Testované riešenie pripomína prístup Mozilly, ktorá udržiava samostatný nezávislý koreňový sklad certifikátov pre Firefox, ktorý sa používa ako prvý odkaz na kontrolu dôveryhodného reťazca certifikátov pri otváraní stránok cez HTTPS.
  • Začali sa prípravy na ukončenie podpory webového SQL API, ktoré je neštandardizované, z veľkej časti nepoužívané a vyžaduje si redizajn, aby spĺňal moderné bezpečnostné požiadavky. Chrome 105 bráni prístupu k webovému SQL z kódu načítaného bez použitia HTTPS a tiež pridáva upozornenie na ukončenie podpory do DevTools. Rozhranie Web SQL API má byť odstránené v roku 2023. Pre vývojárov, ktorí takúto funkcionalitu potrebujú, bude pripravená náhrada na báze WebAssembly.
  • Synchronizácia prehliadača Chrome už nepodporuje synchronizáciu s prehliadačom Chrome 73 a staršími vydaniami.
  • Pre platformy macOS a Windows je aktivovaný vstavaný prehliadač certifikátov, ktorý nahrádza volanie rozhrania poskytovaného operačným systémom. Predtým sa vstavaný prehliadač používal iba v zostavách pre Linux a ChromeOS.
  • Verzia pre Android pridáva nastavenia na správu API Topics & Interest Group API, propagované ako súčasť iniciatívy Privacy Sandbox, ktorá vám umožňuje definovať kategórie záujmov používateľov a používať ich namiesto sledovania súborov cookie na identifikáciu skupín používateľov s podobnými záujmami bez identifikácie jednotlivcov. používateľov. V poslednom vydaní boli podobné nastavenia pridané do verzií pre Linux, ChromeOS, macOS a Windows.
  • Keď povolíte rozšírenú ochranu prehliadača (Bezpečné prehliadanie > Vylepšená ochrana), telemetria sa zhromažďuje o nainštalovaných doplnkoch, prístupe k rozhraniu API a pripojeniach k externým stránkam. Tieto údaje sa používajú na serveroch Google na zisťovanie škodlivej činnosti a porušovania pravidiel doplnkami prehliadača.
  • Zastarané a bude blokovať používanie znakov iných ako ASCII v doménach uvedených v hlavičke súboru cookie v prehliadači Chrome 106 (pre domény IDN musia byť domény vo formáte punycode). Táto zmena uvedie prehliadač do súladu s RFC 6265bis a správania implementovaného vo Firefoxe.
  • Navrhnuté bolo rozhranie Custom Highlight API, ktoré je navrhnuté tak, aby ľubovoľne zmenilo štýl vybratých oblastí textu a umožnilo vám neobmedzovať sa pevným štýlom poskytovaným prehliadačom pre zvýraznené oblasti (::selection, ::inactive-selection) a zvýrazňovanie. syntaktických chýb (::pravopisná-chyba, ::gramatická chyba). Prvá verzia API poskytovala podporu pre zmenu farieb textu a pozadia pomocou pseudoprvkov farba a farba pozadia, ale v budúcnosti budú pridané ďalšie možnosti štýlu.

    Ako príklad úloh, ktoré je možné riešiť pomocou nového API, sa uvádza doplnenie webových frameworkov, ktoré poskytujú nástroje na úpravu textu, vlastné mechanizmy výberu textu, rôzne zvýrazňovanie pre súčasné spoločné úpravy viacerými používateľmi, vyhľadávanie vo virtualizovaných dokumentoch a označovanie chýb pri kontrole pravopisu. Ak si predtým vytvorenie neštandardného zvýraznenia vyžadovalo zložité manipulácie so stromom DOM, rozhranie Custom Highlight API poskytuje hotové operácie na pridávanie a odstraňovanie zvýraznenia, ktoré neovplyvňujú štruktúru DOM a aplikujú štýly vo vzťahu k objektom rozsahu.

  • Do CSS bol pridaný dotaz „@container“, ktorý umožňuje štýlovanie prvkov na základe veľkosti nadradeného prvku. „@container“ je podobný dopytom „@media“, ale nie je aplikovaný na veľkosť celej viditeľnej oblasti, ale na veľkosť bloku (kontajnera), v ktorom je prvok umiestnený, čo vám umožňuje nastaviť si vlastné logika výberu štýlu pre podradené prvky bez ohľadu na to, kde presne na stránke je prvok umiestnený.
    Vydanie Chrome 105
  • Pridaná pseudotrieda CSS „:has()“ na kontrolu prítomnosti podradeného prvku v nadradenom prvku. Napríklad „p:has(span)“ zahŕňa prvky , vo vnútri ktorého sa nachádza prvok .
  • Pridané rozhranie HTML Sanitizer API, ktoré vám umožňuje vystrihnúť prvky z obsahu, ktoré ovplyvňujú zobrazenie a vykonávanie počas výstupu prostredníctvom metódy setHTML(). Rozhranie API môže byť užitočné na čistenie externých údajov na odstránenie značiek HTML, ktoré možno použiť na vykonávanie útokov XSS.
  • Je možné použiť Streams API (ReadableStream) na odosielanie požiadaviek na vyzdvihnutie pred načítaním tela odpovede, t.j. môžete začať odosielať údaje bez čakania na dokončenie generovania stránky.
  • Pre nainštalované samostatné webové aplikácie (PWA, Progressive Web App) je možné zmeniť dizajn oblasti nadpisu okna pomocou komponentov Window Controls Overlay, ktoré rozširujú plochu obrazovky webovej aplikácie na celé okno a umožňujú dať webovej aplikácii vzhľad bežnej desktopovej aplikácie. Webová aplikácia môže ovládať vykresľovanie a spracovanie vstupu v celom okne, s výnimkou prekryvného bloku so štandardnými tlačidlami na ovládanie okien (zatvoriť, minimalizovať, maximalizovať).
    Vydanie Chrome 105
  • Možnosť prístupu k Media Source Extensions od vyhradených pracovníkov (v kontexte DedicatedWorker) bola stabilizovaná, čo sa dá použiť napríklad na zlepšenie výkonu prehrávania multimediálnych dát vo vyrovnávacej pamäti vytvorením objektu MediaSource v samostatnom pracovníkovi a vysielaním výsledky svojej práce na HTMLMediaElement v hlavnom vlákne .
  • V Client Hints API, ktoré sa vyvíja ako náhrada za hlavičku User-Agent a umožňuje selektívne poskytovať údaje o konkrétnych parametroch prehliadača a systému (verzia, platforma atď.) len na základe požiadavky servera, podpora pre Sec. -CH-Viewport-Heigh bola pridaná vlastnosť, ktorá vám umožňuje získať informácie o výške viditeľnej oblasti. Formát značiek pre nastavenie parametrov Klientskych rád pre externé zdroje v značke „meta“ bol zmenený: Predtým: Sa stal:
  • Pridaná možnosť vytvárať globálne obslužné programy udalostí onbeforeinput (document.documentElement.onbeforeinput), pomocou ktorých môžu webové aplikácie prepísať správanie pri úprave textu v blokoch , a ďalšie prvky s nastaveným atribútom „contenteditable“ predtým, ako prehliadač zmení obsah prvku a strom DOM.
  • Možnosti navigačného API boli rozšírené, čo umožňuje webovým aplikáciám zachytiť navigačné operácie v okne, spustiť prechod a analyzovať históriu akcií s aplikáciou. Pridané nové metódy intercept() na zachytenie prechodu a scroll() na rolovanie na danú pozíciu.
  • Pridaná statická metóda Response.json(), ktorá umožňuje vygenerovať telo odpovede na základe údajov typu JSON.
  • Vylepšenia sa dočkali nástroje pre vývojárov webu. V ladiacom nástroji, keď sa spustí bod prerušenia, je povolená úprava najvyšších funkcií v zásobníku bez prerušenia relácie ladenia. Panel Záznamník, ktorý vám umožňuje zaznamenávať, prehrávať a analyzovať akcie používateľa na stránke, podporuje body prerušenia, prehrávanie krok za krokom a zaznamenávanie udalostí pri prejdení myšou.

    Metriky LCP (najväčšie obsahové vyfarbenie) boli pridané na panel výkonu na identifikáciu oneskorení pri vykresľovaní veľkých (používateľom viditeľných) prvkov vo viditeľnej oblasti, ako sú obrázky, videá a blokové prvky. Na paneli Prvky sú vrchné vrstvy zobrazené nad iným obsahom označené špeciálnou ikonou. WebAssembly poskytuje možnosť načítať ladiace údaje vo formáte DWARF.

Okrem inovácií a opráv chýb nová verzia odstraňuje 24 zraniteľností. Mnohé zo zraniteľností boli identifikované ako výsledok automatizovaného testovania pomocou nástrojov AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Neboli identifikované žiadne kritické problémy, ktoré by umožnili obísť všetky úrovne ochrany prehliadača a spustiť kód v systéme mimo prostredia karantény. V rámci programu vyplácania peňažných odmien za objavenie zraniteľností v aktuálnom vydaní spoločnosť Google vyplatila 21 ocenení v hodnote 60500 10000 USD (jedno ocenenie 9000 7500 USD, jedno ocenenie 7000 5000 USD, jedno ocenenie 3000 2000 USD, jedno ocenenie 1000 XNUMX USD, dve ocenenia XNUMX XNUMX USD, štyri ocenenia XNUMX XNUMX USD, dve ocenenia XNUMX XNUMX $ a jeden bonus XNUMX XNUMX $). Veľkosť siedmich odmien ešte nebola stanovená.

Zdroj: opennet.ru

Pridať komentár