ProHoster > Blog > internetne novice > Izdaja Chrome 104

Izdaja Chrome 104

Google je predstavil izdajo spletnega brskalnika Chrome 104. Hkrati je na voljo stabilna izdaja brezplačnega projekta Chromium, ki služi kot osnova Chroma. Brskalnik Chrome se od Chromiuma razlikuje po uporabi Googlovih logotipov, prisotnosti sistema za pošiljanje obvestil v primeru zrušitve, modulov za predvajanje pred kopiranjem zaščitenih video vsebin (DRM), sistema za samodejno nameščanje posodobitev, trajnega omogočanja izolacije peskovnika , ki zagotavlja ključe za Googlov API in prenaša parametre RLZ- pri iskanju. Za tiste, ki potrebujejo več časa za posodobitev, je ločeno podprta veja Extended Stable, ki ji sledi 8 tednov. Naslednja izdaja Chroma 105 je predvidena za 30. avgust.

Ključne spremembe v Chromu 104:

  • Uvedena je bila omejitev življenjske dobe piškotka - vsi novi ali posodobljeni piškotki bodo samodejno izbrisani po 400 dneh obstoja, tudi če čas poteka, nastavljen v atributih Expires in Max-Age, preseže 400 dni (za takšne piškotke bo življenjska doba skrajšana do 400 dni). Piškotki, ustvarjeni pred uveljavitvijo omejitve, bodo ohranili svojo življenjsko dobo, tudi če bo presegla 400 dni, vendar bodo omejeni, če bodo posodobljeni. Sprememba odraža nove zahteve, navedene v osnutku nove specifikacije.
  • Omogočeno blokiranje URL-jev iframe, ki se sklicujejo na lokalni datotečni sistem (»filesystem://«).
  • Za pospešitev nalaganja strani je bila dodana nova optimizacija, ki zagotavlja, da se povezava s ciljnim gostiteljem vzpostavi v trenutku, ko kliknete povezavo, ne da bi čakali, da spustite gumb ali umaknete prst z zaslona na dotik.
  • Dodane nastavitve za upravljanje API-ja »Teme in interesne skupine«, promoviranega kot del pobude Privacy Sandbox, ki vam omogoča, da definirate kategorije uporabniških interesov in jih uporabite namesto sledilnih piškotkov za prepoznavanje skupin uporabnikov s podobnimi interesi brez identifikacije posameznih uporabnikov . Poleg tega so bila dodana enkrat prikazana informativna pogovorna okna, ki uporabniku razlagajo bistvo tehnologije in ponujajo aktiviranje njene podpore v nastavitvah.
  • Povečani pragovi za omejitev ugnezdenih klicev na časovnike setTimeout in setInterval, ki se izvajajo z intervalom, krajšim od 4 ms ("setTimeout(..., <4ms)"). Skupna omejitev tovrstnih klicev se je povečala s 5 na 100, kar omogoča, da posameznih klicev ne znižujemo agresivno, hkrati pa preprečujemo zlorabe, ki bi lahko vplivale na delovanje brskalnika.
  • Omogočeno pošilja potrditveno zahtevo CORS (Cross-Origin Resource Sharing) glavnemu strežniku spletnega mesta z glavo »Access-Control-Request-Private-Network: true«, ko stran dostopa do podvira v notranjem omrežju (192.168.xx , 10. xxx, 172.16-31.xx) ali lokalnemu gostitelju (127.xxx). Ko potrdi operacijo kot odgovor na to zahtevo, mora strežnik vrniti glavo »Access-Control-Allow-Private-Network: true«. V Chromu različice 104 rezultat potrditve še ne vpliva na obdelavo zahteve – če potrditve ni, se v spletni konzoli prikaže opozorilo, vendar sama zahteva podvira ni blokirana. Omogočanje blokiranja brez potrditve se pričakuje šele v Chromu 107. Če želite omogočiti blokiranje v prejšnjih izdajah, lahko omogočite nastavitev »chrome://flags/#private-network-access-respect-preflight-results«.

    Preverjanje avtoritete s strani strežnika je bilo uvedeno za okrepitev zaščite pred napadi, povezanimi z dostopom do virov v lokalnem omrežju ali na uporabnikovem računalniku (localhost) iz skriptov, ki se naložijo ob odpiranju spletnega mesta. Takšne zahteve uporabljajo napadalci za izvajanje CSRF napadov na usmerjevalnike, dostopne točke, tiskalnike, korporativne spletne vmesnike ter druge naprave in storitve, ki sprejemajo zahteve samo iz lokalnega omrežja. Za zaščito pred takšnimi napadi bo brskalnik, če se v notranjem omrežju dostopa do katerega koli podvira, poslal izrecno zahtevo za dovoljenje za nalaganje teh podvirov.

  • Dodan je bil mehanizem Region Capture, ki vam omogoča, da obrežete nepotrebno vsebino iz videa, ustvarjenega na podlagi zajema zaslona. Na primer, z uporabo API-ja getDisplayMedia lahko spletna aplikacija pretaka videoposnetek vsebine zavihka, Region Capture pa vam omogoča, da izrežete del vsebine, ki vključuje kontrole videokonference.
  • Dodana podpora za novo sintakso medijske poizvedbe, opredeljeno v specifikaciji 4. ravni medijskih poizvedb, ki določa najmanjšo in največjo velikost vidnega območja (pogled). Nova sintaksa omogoča uporabo običajnih matematičnih primerjalnih operatorjev in logičnih operatorjev, kot so "ne", "ali" in "in". Na primer, namesto »@media (min-width: 400px) { … }« lahko zdaj podate »@media (width >= 400px) { … }«.
  • V način Origin Trials je bilo dodanih več novih API-jev (eksperimentalne funkcije, ki zahtevajo ločeno aktivacijo). Origin Trial pomeni zmožnost dela z navedenim API-jem iz aplikacij, prenesenih z lokalnega gostitelja ali 127.0.0.1, ali po registraciji in prejemu posebnega žetona, ki je veljaven omejen čas za določeno spletno mesto.
    • Dodana lastnost CSS »focusgroup« za izboljšanje navigacije po elementih s puščičnimi tipkami na tipkovnici.
    • API za potrditev varnega plačila omogoča uporabniku, da onemogoči shranjevanje nastavitev kreditne kartice. Za prikaz pogovornega okna, ki vam omogoča, da zavrnete shranjevanje parametrov kreditne kartice, konstruktor PaymentRequest() zagotovi zastavico »showOptOut: true«.
    • Dodan API za prehode elementov v skupni rabi, ki vam omogoča organiziranje gladkega prehoda med različnimi pogledi vsebine v enostranskih spletnih aplikacijah.
  • Podpora za pravila o špekulacijah je bila stabilizirana, kar avtorjem spletnih mest omogoča, da brskalniku zagotovijo informacije o najverjetnejših straneh, ki jih uporabnik lahko obišče. Brskalnik uporablja te podatke za proaktivno nalaganje in upodabljanje vsebine strani.
  • Mehanizem za pakiranje podvirov v pakete v formatu Web Bundle je bil stabiliziran, kar omogoča povečanje učinkovitosti nalaganja velikega števila spremljajočih datotek (slogi CSS, JavaScript, slike, iframes). Za razliko od paketov v formatu Webpack ima format Web Bundle naslednje prednosti: v predpomnilnik HTTP ni shranjen sam paket, temveč njegovi sestavni deli; prevajanje in izvajanje JavaScripta se začne brez čakanja, da se paket v celoti prenese; Dovoljeno je vključiti dodatne vire, kot so CSS in slike, ki bi morali biti v webpacku kodirani v obliki nizov JavaScript.
  • Dodana je lastnost CSS object-view-box, ki vam omogoča, da določite del slike, ki bo prikazan v območju namesto danega elementa, ki ga lahko uporabite na primer za dodajanje obrobe ali sence.
  • Dodan API za delegiranje zmožnosti celotnega zaslona, ​​ki omogoča, da en objekt Window drugemu objektu Window dodeli pravico do klica requestFullscreen().
  • Dodan API za celozaslonsko spremljevalno okno, ki omogoča postavitev celozaslonske vsebine in pojavnih oken na drug zaslon po prejemu potrditve od uporabnika.
  • Lastnosti CSS overflow-clip-margin je bil dodan atribut visual-box, ki določa, kje začeti obrezovati vsebino, ki presega mejo območja (lahko sprejme vrednosti content-box, padding-box in border- škatla).
  • API Async Clipboard je dodal možnost definiranja specializiranih formatov za podatke, prenesene prek odložišča, razen besedila, slik in besedila z oznako.
  • WebGL zagotavlja podporo za določanje barvnega prostora za medpomnilnik za upodabljanje in preoblikovanje pri uvozu iz teksture.
  • Podpora za platformi OS X 10.11 in macOS 10.12 je bila ukinjena.
  • API U2F (Cryptotoken), ki je bil prej opuščen in privzeto onemogočen, je bil ukinjen. API U2F je zamenjal API za spletno preverjanje pristnosti.
  • Orodja za spletne razvijalce so bila izboljšana. Razhroščevalnik ima zdaj možnost, da znova zažene kodo od začetka funkcije, potem ko doseže prekinitveno točko nekje v telesu funkcije. Dodana podpora za razvoj dodatkov za ploščo Snemalnik. Podpora za vizualizacijo oznak, nastavljenih v spletni aplikaciji s klicem metode performance.measure(), je bila dodana na ploščo za analizo uspešnosti. Izboljšana priporočila za samodejno dokončanje lastnosti objekta JavaScript. Pri samodokončanju spremenljivk CSS so na voljo predogledi vrednosti, ki niso povezane z barvami.
    Izdaja Chrome 104

Poleg novosti in popravkov napak nova različica odpravlja 27 ranljivosti. Številne ranljivosti so bile ugotovljene kot rezultat avtomatiziranega testiranja z orodji AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer in AFL. Ugotovljene niso bile nobene kritične težave, ki bi omogočale obhod vseh ravni zaščite brskalnika in izvajanje kode v sistemu zunaj okolja peskovnika. V okviru programa denarnega nagrajevanja za odkrivanje ranljivosti za trenutno izdajo je Google izplačal 22 nagrad v vrednosti 84 tisoč $ (eno nagrado 15000 $, eno nagrado 10000 $, eno nagrado 8000 $, eno nagrado 7000 $, štiri nagrade 5000 $, eno nagrado 4000 $, tri nagrade 3000 $ , štiri nagrade po 2000 $ in tri nagrade po 1000 $). Velikost ene nagrade še ni določena.

Vir: opennet.ru

Dodaj komentar