Izdaja Chrome 80

Google predstavljeno izdaja spletnega brskalnika Chrome 80... Hkrati na voljo stabilna izdaja brezplačnega projekta krom, ki je osnova Chroma. Brskalnik Chrome drugačna uporaba Googlovih logotipov, prisotnost sistema za pošiljanje obvestil v primeru zrušitve, možnost nalaganja modula Flash na zahtevo, moduli za predvajanje zaščitenih video vsebin (DRM), sistem za samodejno posodabljanje in prenos pri iskanju parametri RLZ. Naslednja izdaja Chroma 81 je predvidena za 17. marec.

Glavni Spremembe в Krom 80:

• Za majhen odstotek uporabnikov je na voljo funkcija združevanja zavihkov, ki omogoča združevanje več zavihkov s podobnimi nameni v vizualno ločene skupine. Vsaki skupini lahko dodelite svojo barvo in ime. Uporabniki, ki niso bili vključeni v prvi val aktivacije, lahko omogočijo podporo za združevanje prek možnosti »chrome://flags/#tab-groups«.
  

• Dodana podpora za to funkcijo Scroll-To-Text, ki omogoča ustvarjanje povezav do posameznih besed ali besednih zvez, ne da bi izrecno določili oznake v dokumentu z uporabo oznake »a name« ali lastnosti »id«. Sintakso tovrstnih povezav nameravamo potrditi kot spletni standard, ki je še v fazi osnutek. Prehodna maska ​​(v bistvu drsno iskanje) je ločena od navadnega sidra z atributom »:~:«. Na primer, ko odprete povezavo »https://opennet.ru/52312/#:~:text=Chrome«, se bo stran premaknila na mesto s prvo omembo besede »Chrome« in ta beseda bo označena .
• Uporabljeno Strožja omejitev prenosa piškotkov med spletnimi mesti za zahteve, ki niso HTTPS, ki prepoveduje obdelavo piškotkov tretjih oseb, nastavljenih pri dostopu do spletnih mest, ki niso domena trenutne strani. Takšni piškotki se uporabljajo za sledenje premikom uporabnikov med spletnimi mesti v kodi oglaševalskih omrežij, pripomočkov za družbena omrežja in sistemov spletne analitike. Spomnimo se, da se za nadzor prenosa piškotkov uporablja atribut SameSite, določen v glavi Set-Cookie, ki je zdaj privzeto nastavljen na vrednost »SameSite=Lax«, kar omejuje pošiljanje piškotkov za podzahteve med spletnimi mesti. , kot je zahteva za sliko ali nalaganje vsebine prek okvirja iframe z drugega mesta. Spletna mesta lahko preglasijo privzeto vedenje SameSite tako, da izrecno nastavijo nastavitev piškotka na SameSite=None. Vendar je vrednost SameSite=None za piškotek mogoče nastaviti samo v varnem načinu (velja za povezave prek HTTPS). Sprememba se bo začela postopoma uporabiti 17. februar, sprva za majhen odstotek uporabnikov, nato pa postopoma širi pokritost.
• Dodano zaščita pred nadležnimi obvestili v zvezi s potrditvijo poverilnic. Ker dejavnost, kot je pošiljanje zahtevkov za potisna obvestila z neželeno pošto, prekine uporabniško izkušnjo in odvrne pozornost od potrditvenih pogovornih oken, je v Chromu 80 namesto ločenega pogovornega okna zdaj mogoče v naslovni vrstici prikazati informacijski namig z opozorilom, da je bila zahteva za dovoljenje blokirana, kar nato sesede v indikator s podobo prečrtanega zvona. S klikom na indikator lahko kadar koli aktivirate ali zavrnete zahtevano dovoljenje. Samodejno bo nov način selektivno omogočen za uporabnike, ki so prej običajno blokirali takšne zahteve, kot tudi za mesta, ki beležijo velik odstotek zavrnjenih zahtev. Za omogočanje novega načina za vse zahteve je bila v nastavitve dodana posebna možnost (chrome://flags/#quiet-notification-prompts).
  

• Prepovedano prikazovanje pojavnih oken (klicanje metode window.open()) in pošiljanje sinhronih zahtev XMLHttpRequests v obravnavalnikih dogodkov zapiranja ali skrivanja strani (unload, beforeunload, pagehide in visibilitychange);
• Predlagana začetnica Varnost od nalaganja mešane multimedijske vsebine (ko se viri naložijo na stran HTTPS prek protokola http://). Na straneh, odprtih prek HTTPS, bodo povezave »http://« zdaj samodejno zamenjane s »https://« v blokih, povezanih s predvajanjem avdio in video datotek. Če zvočni ali video vir ni na voljo prek https, je njegov prenos blokiran (blokado lahko ročno označite v meniju, ki je dostopen prek simbola ključavnice v naslovni vrstici).

  Slike se bodo še naprej nalagale nespremenjene (samodejni popravek bo uporabljen v Chromu 81), toda za njihovo zamenjavo s https ali blokiranje slik so razvijalci spletnih mest na voljo lastnosti CSP upgrade-insecure-requests in block-all-mixed-content. Za skripte in iframe je bilo blokiranje mešane vsebine že implementirano.

• Postopno izklop FTP podpora. Privzeto je podpora za FTP še vedno na voljo, vendar bo potekala poskus, v katerem bo podpora za FTP onemogočena za določen odstotek uporabnikov (za vrnitev boste morali zagnati brskalnik z možnostjo “-enable-ftp”). Naj spomnimo, da je bil v prejšnjih izdajah že onemogočen prikaz v oknu brskalnika vsebine virov, prenesenih prek protokola »ftp://« (na primer, prikaz dokumentov HTML in datotek README je bil ustavljen), uporaba FTP je bila prepovedano pri prenašanju podvirov iz dokumentov, podpora za proxy pa je bila ukinjena za FTP. Še vedno pa je bilo mogoče prenašati datoteke prek neposrednih povezav in prikazovati vsebino imenikov.
• Dodano
  možnost uporabe vektorskih slik SVG kot ikone spletnega mesta (favicon).

• V nastavitve je bila dodana možnost selektivnega onemogočanja določenih vrst podatkov, ki se prenašajo med sinhronizacijo med brskalniki.
• Dodano je bilo pravilo za centralno upravljane korporativne uporabnike BlockExternalExtensions, ki vam omogoča, da preprečite namestitev zunanjih dodatkov na napravo.
• Izvedeno priložnost enkratno preverjanje celotne verige lastnosti ali klicev v JavaScriptu. Na primer, pri dostopu do “db.user.name.length” je bilo prej treba preveriti definicijo vseh komponent korak za korakom, na primer skozi “if (db && db.user && db.user.name)”. Zdaj z operacijo "?." do vrednosti “db?.user?.name?.length” lahko dostopate brez predhodnih preverjanj in tak dostop ne bo povzročil napake. V primeru težav (če je nek element obdelan kot nič ali nedefiniran)) bo izhod »nedefiniran«.
• JavaScript uvaja nov logični operator veriženja "??", ki vrne desni operand, če je levi operand NULL ali nedefiniran, in obratno. Na primer, "const foo = bar ?? 'privzeti niz'", če je vrstica ničelna, bo v nasprotnem primeru vrnila vrednost vrstice, tudi če je vrstica 0 in ' ', v nasprotju z operatorjem "||".
• V načinu Origin Trials (eksperimentalne funkcije, ki zahtevajo ločeno aktiviranje) predlagani API za indeksiranje vsebine. Origin Trial pomeni zmožnost dela z navedenim API-jem iz aplikacij, prenesenih z lokalnega gostitelja ali 127.0.0.1, ali po registraciji in prejemu posebnega žetona, ki je veljaven omejen čas za določeno spletno mesto. API Indeksiranje vsebine, zagotavlja metapodatke o vsebini, ki so jo predhodno predpomnile spletne aplikacije, ki se izvajajo v načinu Progressive Web Apps (PWS). Aplikacija lahko shranjuje različne podatke na strani brskalnika, vključno s slikami, videi in članki, in ko je omrežna povezava prekinjena, jo uporablja s pomočjo Cache Storage in IndexedDB API-jev. API za indeksiranje vsebine omogoča dodajanje, iskanje in brisanje takih virov. V brskalniku se ta API že uporablja za prikaz seznama strani in večpredstavnostnih podatkov, ki so na voljo za ogled brez povezave.
  

• Stabilizirano in zdaj distribuirano zunaj Origin Trials API Kontaktirajte Izbirnika, ki uporabniku omogoča izbiro vnosov iz imenika in posredovanje določenih podrobnosti o njih na spletno mesto. Zahteva določa seznam lastnosti, ki jih je treba pridobiti. Te lastnosti so eksplicitno prikazane uporabniku, ki se odloči, ali jih bo posredoval ali ne. API lahko uporabite na primer v spletnem poštnem odjemalcu za izbiro prejemnikov za poslano pismo, v spletni aplikaciji s funkcijo VoIP za sprožitev klica na določeno številko ali v družbenem omrežju za iskanje že registriranih prijateljev. . Hkrati je v okviru Origin Trials na voljo nekaj novih lastnosti Contact Picker: poleg prej razpoložljivega polnega imena, e-pošte in telefonske številke je bila dodana možnost prenosa e-poštnega naslova in slike.
• V spletnih delavcih predlagano nov način za nalaganje modulov ECMAScript, ki vam omogoča, da se izognete uporabi funkcije importScripts(), ki blokira delavca med obdelavo uvoženega skripta in ga izvaja v globalnem kontekstu. Nova metoda vključuje ustvarjanje posebnih modulov za spletne delavce, ki podpirajo standardne mehanizme uvoza JavaScript in jih je mogoče dinamično naložiti, ne da bi blokirali izvajanje delavca. Za nalaganje modulov konstruktor Worker nudi novo vrsto vira - 'modul':

  const worker = new Worker('worker.js', {
  vrsta: 'modul'
  });

• Izvedeno Vgrajena zmožnost JavaScripta za obdelavo stisnjenih tokov brez potrebe po uporabi zunanjih knjižnic. API-ji so bili dodani za stiskanje in dekompresijo CompressionStream in DecompressionStream. Podprto je stiskanje z uporabo algoritmov gzip in deflate.

  const stiskanjeReadableStream
  = inputReadableStream.pipeThrough(new CompressionStream('gzip'));

• Dodana lastnost CSS "prelom vrstice: kjerkoli«, ki omogoča prelome na ravni katerega koli tipografskega znaka, vključno s prelomi blizu ločil, vnaprej določenih s presledki ( ) in sredi slov. Dodana tudi lastnost CSS "overflow-wrap: kjerkoli» omogoča prekinitev neprekinjenega zaporedja znakov kjerkoli, če v vrstici ni bilo mogoče najti primernega mesta za prelom.
• Za medijski kontekst, obdelan v šifrirani obliki, je bila implementirana podpora za metodo MediaCapabilities.decodingInfo(), ki nudi informacije o zmožnostih brskalnika za dekodiranje zaščitene vsebine (to metodo je na primer mogoče uporabiti za izbiro visokokakovostnih ali energetsko učinkovitih scenarijev dekodiranja na podlagi razpoložljive pasovne širine in velikosti zaslona).
• Dodana metoda HTMLVideoElement.getVideoPlaybackQuality(), prek katerega lahko dobite informacije o zmogljivosti predvajanja videa, da prilagodite bitno hitrost, ločljivost in druge parametre videa.
• V API-ju Vodja plačila, ki poenostavlja integracijo z obstoječimi plačilnimi sistemi, dodal možnost delegacija obdelava naslova in kontaktnih podatkov zunanjemu procesorju plačilnega sistema (aplikacija plačilnega sistema ima lahko natančnejše podatke kot brskalnik).
• Dodana podpora za glavo HTTP Sec-Fetch-Dest, ki vam omogoča pošiljanje dodatnih metapodatkov o vrsti vsebine, povezane z zahtevo (na primer, za zahtevo prek oznake img je vrsta "image", za pisave - "font", za skripte - "script", za sloge - "slog" itd. ). Na podlagi podane vrste lahko strežnik sprejme ukrepe za zaščito pred določenimi vrstami napadov (na primer, malo verjetno je, da bo povezava do upravljavca za prenos denarja podana prek oznake img, zato takim zahtevam ni treba biti obdelan).
• V motorju JavaScript V8 izvedena optimizacija shranjevanje kazalcev na kopico. Namesto shranjevanja celotne 64-bitne vrednosti so shranjeni samo enolični nižji biti kazalca. Ta optimizacija je omogočila zmanjšanje porabe pomnilnika kopice za 40 % na račun zmanjšanja zmogljivosti 3–8 %.
  
  

• Spremembe v orodjih za spletne razvijalce:
  • Spletna konzola ima zdaj možnost redefiniranja izrazov let in razreda.
    

  • Izboljšana orodja za odpravljanje napak WebAssembly. Dodana podpora ŠKRAT za odpravljanje napak po korakih, določanje prekinitvenih točk in analiziranje sledi skladov v izvorni kodi, v kateri je napisana aplikacija WebAssembly.
    

  • Izboljšana plošča za analizo omrežne dejavnosti. Dodana možnost ogleda verige klicev skriptov, povezanih z iniciacijo zahteve.
    

    Dodana nova stolpca Pot in URL, ki prikazujeta absolutno pot in celoten URL za vsak omrežni vir. Zagotavlja, da je izbrana poizvedba označena v preglednem diagramu.

    

  • V zavihku Omrežni pogoji je dodana možnost za spremembo parametra User-Agent.
    

  • Za konfiguracijo revizijske plošče je bil predlagan nov vmesnik.
    

  • V zavihku Zajetje omogoča izbiro zbiranja podatkov o pokritosti za vsako funkcijo ali za vsak kodni blok (podrobnejša statistika, vendar zahteva več sredstev).
    

• Dejanje manifesta AppCache (tehnologija za organiziranje delovanja spletne aplikacije v načinu brez povezave) omejeno trenutni imenik spletnega mesta (če je bil manifest prenesen iz www.example.com/foo/bar/, potem bo možnost preglasitve URL-ja delovala samo znotraj /foo/bar/). Podpora za AppCache naj bi bila v Chromu 82 popolnoma odstranjena. Naveden razlog je želja, da bi se znebili enega od vektorjev za skriptne napade med spletnimi mesti. Priporočljivo je, da uporabite API namesto AppCache Cache.
• Prekinjeno podpora za starejši API WebVR 1.1, ki ga je mogoče nadomestiti z API-jem Naprava WebXR, ki omogoča dostop do komponent za ustvarjanje navidezne in obogatene resničnosti ter poenotenje dela z različnimi razredi naprav, od stacionarnih čelad za navidezno resničnost do rešitev na osnovi mobilnih naprav.
• Upravljalniki protokolov, povezani prek metod registerProtocolHandler() in unregisterProtocolHandler(), lahko zdaj delujejo samo v varnem kontekstu (pri dostopu prek HTTPS).

Poleg novosti in popravkov napak nova različica odpravlja 56 ranljivosti. Številne ranljivosti so bile ugotovljene kot rezultat avtomatiziranih orodij za testiranje AddressSanitizer, Memory Sanitizer, Integriteta toka nadzora, LibFuzzer и AFL. Ugotovljene niso bile nobene kritične težave, ki bi omogočale obhod vseh ravni zaščite brskalnika in izvajanje kode v sistemu zunaj okolja peskovnika. V okviru programa izplačevanja denarnih nagrad za odkritje ranljivosti za trenutno izdajo je Google izplačal 37 nagrad v vrednosti 48 tisoč dolarjev (eno nagrado 10000 dolarjev, tri nagrade po 5000 dolarjev, tri nagrade po 3000 dolarjev, štiri nagrade po 2000 dolarjev, tri nagrade po 1000 dolarjev in šest nagrad po 500 dolarjev). Velikost 17 nagrad še ni določena.

Vir: opennet.ru