Vydanie Chrome 93

Google odhalil vydanie webového prehliadača Chrome 93. Zároveň je k dispozícii stabilné vydanie bezplatného projektu Chromium, ktorý slúži ako základ prehliadača Chrome. Prehliadač Chrome sa vyznačuje použitím log Google, prítomnosťou systému na odosielanie upozornení v prípade havárie, modulmi na prehrávanie chráneného video obsahu (DRM), systémom automatickej inštalácie aktualizácií a prenosom parametrov RLZ pri vyhľadávaní. Ďalšie vydanie Chrome 94 je naplánované na 21. septembra (vývoj bol presunutý na 4-týždňový cyklus vydávania).

Kľúčové zmeny v Chrome 93:

• Modernizovaný je dizajn bloku s informáciami o stránke (page info), v ktorom je implementovaná podpora pre vnorené bloky a vysúvacie zoznamy s prístupovými právami sú nahradené prepínačmi. Zoznamy zaisťujú, že najdôležitejšie informácie sa zobrazia ako prvé. Zmena nie je povolená pre všetkých používateľov, na jej aktiváciu môžete použiť nastavenie „chrome://flags/#page-info-version-2-desktop“.
• Pre malé percento používateľov bol v rámci experimentu indikátor bezpečného pripojenia v paneli s adresou nahradený neutrálnejším symbolom, ktorý nespôsobuje dvojitú interpretáciu (zámok bol nahradený znakom „V“). Pri pripojeniach vytvorených bez šifrovania sa naďalej zobrazuje indikátor „nezabezpečené“. Dôvodom nahradenia indikátora je to, že mnohí používatelia spájajú indikátor visiaceho zámku so skutočnosťou, že obsahu stránky možno dôverovať, namiesto toho, aby ho považovali za znak toho, že pripojenie je šifrované. Podľa prieskumu Google iba 11 % používateľov chápe význam ikony so zámkom.
• V zozname nedávno zatvorených kariet sa teraz zobrazuje obsah zatvorených skupín kariet (predtým sa v zozname zobrazoval iba názov skupiny bez podrobností o obsahu) s možnosťou naraz vrátiť celú skupinu aj jednotlivé karty zo skupiny. Táto funkcia nie je povolená pre všetkých používateľov, takže možno budete musieť zmeniť nastavenie „chrome://flags/#tab-restore-sub-menus“, aby ste ju povolili.
• Pre podniky boli implementované nové nastavenia: DefaultJavaScriptJitSetting, JavaScriptJitAllowedForSites a JavaScriptJitBlockedForSites, ktoré vám umožňujú ovládať režim bez JIT, ktorý zakazuje použitie kompilácie JIT pri vykonávaní JavaScriptu (používa sa iba interpret Ignition) a zakazuje prideľovanie spustiteľných súborov. pamäte počas vykonávania kódu. Vypnutie JIT môže byť užitočné na zlepšenie bezpečnosti práce s potenciálne nebezpečnými webovými aplikáciami za cenu zníženia výkonu spúšťania JavaScriptu približne o 17 %. Je pozoruhodné, že spoločnosť Microsoft zašla ešte ďalej a implementovala experimentálny režim „Super Duper Secure“ v prehliadači Edge, ktorý umožňuje používateľovi vypnúť JIT a aktivovať hardvérové ​​bezpečnostné mechanizmy, ktoré nie sú kompatibilné s JIT CET (Controlflow-Enforcement Technology), ACG (Arbitrary). Code Guard) a CFG (Control Flow Guard) pre procesy spracúvajúce webový obsah. Ak sa experiment ukáže ako úspešný, potom môžeme očakávať jeho prenesenie do hlavnej časti prehliadača Chrome.
• Stránka Nová karta obsahuje zoznam najpopulárnejších dokumentov uložených na Disku Google. Obsah zoznamu zodpovedá sekcii Priorita na drive.google.com. Na ovládanie zobrazenia obsahu Disku Google môžete použiť nastavenia „chrome://flags/#ntp-modules“ a „chrome://flags/#ntp-drive-module“.
• Na stránku Otvoriť novú kartu boli pridané nové informačné karty, ktoré vám pomôžu nájsť nedávno zobrazený obsah a súvisiace informácie. Karty sú navrhnuté tak, aby uľahčili ďalšiu prácu s informáciami, ktorých prezeranie bolo prerušené, napríklad vám pomôžu nájsť recept na jedlo, ktoré bolo nedávno nájdené online, ale po zatvorení stránky sa stratilo, alebo pokračovať vo výrobe nákupy v obchodoch. Ako experiment sa používateľom ponúkajú dve nové mapy: „Recepty“ (chrome://flags/#ntp-recipe-tasks-module) na vyhľadávanie kulinárskych receptov a zobrazenie nedávno zobrazených receptov; „Nakupovanie“ (chrome://flags/#ntp-chrome-cart-module) pre pripomienky produktov vybraných v internetových obchodoch.
• Verzia pre Android pridáva voliteľnú podporu pre panel nepretržitého vyhľadávania (chrome://flags/#continuous-search), ktorý vám umožňuje ponechať posledné výsledky vyhľadávania Google viditeľné (panel naďalej zobrazuje výsledky aj po prechode na iné stránky).
• Do verzie pre Android (chrome://flags/#webnotes-stylize) bol pridaný experimentálny režim zdieľania citátov, ktorý umožňuje uložiť vybraný fragment stránky ako cenovú ponuku a zdieľať ju s ostatnými používateľmi.
• Pri zverejňovaní nových doplnkov alebo aktualizácií verzií v Internetovom obchode Chrome sa teraz vyžaduje dvojfaktorové overenie vývojára.
• Používatelia účtu Google majú možnosť uložiť informácie o platbe do svojho účtu Google.
• Ak je v režime inkognito aktivovaná možnosť vymazať údaje navigácie, implementovalo sa nové dialógové okno na potvrdenie operácie s vysvetlením, že vymazanie údajov zatvorí okno a ukončí všetky relácie v režime inkognito.
• Z dôvodu zistených nekompatibilít s firmvérom niektorých zariadení bola do prehliadača Chrome 91 pridaná podpora pre novú metódu kľúčovej dohody, odolnú voči hádaniu na kvantových počítačoch, založenú na použití rozšírenia CECPQ1.3 (Combined Elliptic-Curve and Post-Quantum 2) v r. TLSv2, ktorý kombinuje klasický mechanizmus výmeny kľúčov X25519 so schémou HRSS založenou na algoritme NTRU Prime navrhnutom pre postkvantové kryptosystémy.
• Porty 989 (ftps-data) a 990 (ftps) boli pridané k počtu zakázaných sieťových portov, aby sa zablokoval útok ALPACA. Predtým boli porty 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 a 10080 už blokované, aby sa chránili pred útokmi typu slipstreaming NAT.
• TLS už nepodporuje šifry založené na algoritme 3DES. Konkrétne bola odstránená šifrovacia sada TLS_RSA_WITH_3DES_EDE_CBC_SHA, ktorá je náchylná na útok Sweet32.
• Podpora pre Ubuntu 16.04 bola ukončená.
• Rozhranie WebOTP API je možné používať medzi rôznymi zariadeniami pripojenými cez spoločný účet Google. WebOTP umožňuje webovej aplikácii čítať jednorazové overovacie kódy odoslané prostredníctvom SMS. Navrhovaná zmena umožňuje získať overovací kód na mobilnom zariadení s prehliadačom Chrome pre Android a použiť ho na počítači.
• Rozšírené bolo rozhranie User-Agent Client Hints API vyvinuté ako náhrada za hlavičku User-Agent. User-Agent Client Hints vám umožňuje organizovať selektívne doručovanie údajov o špecifických parametroch prehliadača a systému (verzia, platforma atď.) iba na žiadosť servera. Používateľ zase môže určiť, aké informácie môžu byť poskytnuté vlastníkom stránok. Pri použití User-Agent Client Hints sa identifikátor prehliadača neprenáša bez explicitnej požiadavky a štandardne sú špecifikované iba základné parametre, čo sťažuje pasívnu identifikáciu.

  Nová verzia podporuje parameter Sec-CH-UA-Bitness na vrátenie údajov o bitovej rýchlosti platformy, ktoré možno použiť na obsluhu optimalizovaných binárnych súborov. Parameter Sec-CH-UA-Platform sa štandardne odosiela so všeobecnými informáciami o platforme. Hodnota UADataValues ​​​​vrátená pri volaní getHighEntropyValues() je štandardne implementovaná na vrátenie zovšeobecnených parametrov, ak nie je možné vrátiť podrobnú možnosť. Do objektu NavigatorUAData bola pridaná metóda toJSON, ktorá vám umožňuje používať konštrukcie ako JSON.stringify(navigator.userAgentData).

• Možnosť baliť zdroje do balíčkov vo formáte Web Bundle, vhodných na organizáciu efektívnejšieho načítania veľkého množstva sprievodných súborov (CSS štýly, JavaScript, obrázky, iframe), bola stabilizovaná a ponúkaná štandardne. Medzi nedostatky v existujúcej podpore balíkov pre súbory JavaScript (webpack), ktoré sa Web Bundle snaží odstrániť: samotný balík, ale nie jeho súčasti, môže skončiť v HTTP cache; kompilácia a spustenie môže začať až po úplnom stiahnutí balíka; Dodatočné zdroje, ako sú CSS a obrázky, musia byť zakódované vo forme reťazcov JavaScript, čo zväčšuje veľkosť a vyžaduje ďalší krok analýzy.
• Zahrnuté je WebXR Plane Detection API, ktoré poskytuje informácie o rovinných povrchoch vo virtuálnom 3D prostredí. Špecifikované API umožňuje vyhnúť sa náročnému spracovaniu údajov získaných prostredníctvom volania MediaDevices.getUserMedia() s využitím vlastných implementácií algoritmov počítačového videnia. Pripomeňme, že WebXR API umožňuje zjednotiť prácu s rôznymi triedami zariadení virtuálnej reality, od stacionárnych 3D prilieb až po riešenia založené na mobilných zariadeniach.
• Do režimu Origin Trials bolo pridaných niekoľko nových rozhraní API (experimentálne funkcie, ktoré vyžadujú samostatnú aktiváciu). Origin Trial znamená schopnosť pracovať so špecifikovaným API z aplikácií stiahnutých z localhost alebo 127.0.0.1, alebo po registrácii a prijatí špeciálneho tokenu, ktorý je platný na obmedzený čas pre konkrétnu stránku.
  • Bolo navrhnuté rozhranie Multi-Screen Window Placement API, ktoré umožňuje umiestniť okná na ľubovoľný displej pripojený k aktuálnemu systému, ako aj uložiť polohu okna a v prípade potreby okno rozbaliť na celú obrazovku. Napríklad pomocou špecifikovaného API môže webová aplikácia na zobrazenie prezentácie organizovať zobrazenie snímok na jednej obrazovke a zobraziť poznámku pre prezentujúceho na inej.
  • Hlavička Cross-Origin-Embedder-Policy, ktorá riadi režim izolácie Cross-Origin a umožňuje vám definovať pravidlá bezpečného používania na stránke Privilegované operácie, teraz podporuje parameter „bez poverenia“ na zakázanie prenosu informácií súvisiacich s poverením, ako napr. Cookies a klientske certifikáty.
  • Pre samostatné webové aplikácie (PWA, Progressive Web Apps), ktoré riadia vykresľovanie obsahu okna a spracovávajú vstup, je k dispozícii prekrytie s ovládacími prvkami okna, ako je záhlavie a tlačidlá na rozbalenie/zbalenie. Prekrytie rozširuje upraviteľnú oblasť tak, aby pokryla celé okno a umožňuje vám pridať do oblasti nadpisu vlastné prvky.
  • Pridaná možnosť vytvárať aplikácie PWA, ktoré možno použiť ako obslužné nástroje URL. Napríklad aplikácia music.example.com sa môže zaregistrovať ako obsluha URL https://*.music.example.com a všetky prechody z externých aplikácií pomocou týchto odkazov, napríklad z instant messengerov a e-mailových klientov, budú viesť na otvorenie tejto aplikácie PWA, nie na novú kartu prehliadača.
• CSS súbory je možné načítať pomocou výrazu „import“, podobne ako pri načítavaní modulov JavaScriptu, čo je pohodlné pri vytváraní vlastných prvkov a umožňuje vám to zaobísť sa bez priraďovania štýlov pomocou kódu JavaScript. importovať hárok z './styles.css' claim { typ: 'css' }; document.adoptedStyleSheets = [hárok]; shadowRoot.adoptedStyleSheets = [hárok];
• Bola poskytnutá nová statická metóda, AbortSignal.abort(), ktorá vracia objekt AbortSignal, ktorý už bol nastavený ako prerušený. Namiesto niekoľkých riadkov kódu na vytvorenie objektu AbortSignal v prerušenom stave si teraz vystačíte s jedným riadkom „return AbortSignal.abort()“.
• Element Flexbox má pridanú podporu pre kľúčové slová začiatok, koniec, samospustenie, samoukončenie, ľavý a pravý kľúč, pričom kľúčové slová stred, flex-začiatok a flex-end dopĺňajú nástroje na zjednodušené zarovnanie polohy flex prvkov.
• Konštruktor Error() implementuje novú voliteľnú vlastnosť „cause“, ktorá vám umožňuje ľahko navzájom spájať chyby. const parentError = new Error('parent'); const error = new Error('rodič', { príčina: parentError }); console.log(error.cause === parentError); // → pravda
• Do vlastnosti HTMLMediaElement.controlsList bola pridaná podpora pre režim noplaybackrate, ktorý vám umožňuje zakázať prvky rozhrania poskytovaného v prehliadači na zmenu rýchlosti prehrávania multimediálneho obsahu.
• Pridaná hlavička Sec-CH-Prefers-Color-Scheme, ktorá umožňuje vo fáze odoslania požiadavky prenášať údaje o preferovanej farebnej schéme používateľa používanej v mediálnych dopytoch „prefers-color-scheme“, čo umožní stránke optimalizovať načítavanie CSS spojených s vybranou schémou a vyhýbanie sa viditeľným prepínačom z iných schém.
• Pridaná vlastnosť Object.hasOwn, čo je zjednodušená verzia Object.prototype.hasOwnProperty, implementovaná ako statická metóda. Object.hasOwn({ prop: 42 }, 'prop') // → true
• Kompilátor JIT spoločnosti Sparkplug, navrhnutý pre veľmi rýchlu kompiláciu hrubou silou, pridal režim dávkového vykonávania, aby sa znížila réžia prepínania stránok pamäte medzi režimami zápisu a spustenia. Sparkplug teraz zostavuje viacero funkcií naraz a raz zavolá mprotect, aby zmenil oprávnenia celej skupiny. Navrhovaný režim výrazne skracuje čas kompilácie (až o 44 %) bez negatívneho vplyvu na výkon vykonávania JavaScriptu.
• Verzia pre Android deaktivuje vstavanú ochranu motora V8 proti útokom z bočných kanálov, ako je napríklad Spectre, ktoré sa nepovažujú za také účinné ako izolácia stránok v samostatných procesoch. Vo verzii pre stolné počítače boli tieto mechanizmy deaktivované už pri vydaní prehliadača Chrome 70. Vypnutie nepotrebných kontrol umožnilo zvýšiť výkon o 2 až 15 %.
• Vylepšenia sa dočkali nástroje pre vývojárov webu. V režime kontroly predlohy štýlov je možné upravovať dotazy generované pomocou výrazu @container. V režime kontroly siete je implementovaný náhľad zdrojov vo formáte Web bundle. Vo webovej konzole pribudli do kontextového menu možnosti kopírovania reťazcov vo forme literálov JavaScript alebo JSON. Vylepšené ladenie chýb súvisiacich so zdieľaním zdrojov CORS (Cross-Origin Resource Sharing).

Okrem inovácií a opráv chýb nová verzia odstraňuje 27 zraniteľností. Mnohé zo zraniteľností boli identifikované ako výsledok automatizovaného testovania pomocou nástrojov AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Neboli identifikované žiadne kritické problémy, ktoré by umožnili obísť všetky úrovne ochrany prehliadača a spustiť kód v systéme mimo prostredia karantény. V rámci programu vyplácania peňažných odmien za objavenie zraniteľností v aktuálnom vydaní spoločnosť Google vyplatila 19 ocenení v hodnote 136500 20000 USD (tri ocenenia 15000 10000 USD, jedno ocenenie 7500 5000 USD, tri ocenenia 3000 5 USD, jedno ocenenie XNUMX XNUMX USD, tri ocenenia XNUMX XNUMX USD a tri ocenenia XNUMX XNUMX USD). Veľkosť XNUMX odmien ešte nebola stanovená.

Zdroj: opennet.ru