ProHoster > Blog > internetne novice > Izdaja Chrome 93

Izdaja Chrome 93

Google je predstavil izdajo spletnega brskalnika Chrome 93. Hkrati je na voljo stabilna izdaja brezplačnega projekta Chromium, ki služi kot osnova Chroma. Brskalnik Chrome se odlikuje po uporabi Googlovih logotipov, prisotnosti sistema za pošiljanje obvestil v primeru zrušitve, modulov za predvajanje zaščitene video vsebine (DRM), sistema za samodejno nameščanje posodobitev in prenosa parametrov RLZ pri iskanju. Naslednja izdaja Chroma 94 je predvidena za 21. september (razvoj je bil prestavljen na 4-tedenski cikel izdajanja).

Ključne spremembe v Chromu 93:

  • Posodobljena je zasnova bloka s podatki o strani (page info), v katerem je implementirana podpora za ugnezdene bloke, spustni seznami s pravicami dostopa pa so nadomeščeni s stikali. Seznami poskrbijo, da so najprej prikazane najpomembnejše informacije. Sprememba ni omogočena za vse uporabnike; za aktivacijo lahko uporabite nastavitev “chrome://flags/#page-info-version-2-desktop”.
    Izdaja Chrome 93
  • Za majhen odstotek uporabnikov je bil kot eksperiment indikator varne povezave v naslovni vrstici nadomeščen z bolj nevtralnim simbolom, ki ne povzroča dvojne interpretacije (ključavnico smo zamenjali z znakom "V"). Pri povezavah, vzpostavljenih brez šifriranja, je še naprej prikazan indikator »ni varno«. Naveden razlog za zamenjavo indikatorja je, da mnogi uporabniki indikator ključavnice povezujejo z dejstvom, da je vsebini spletnega mesta mogoče zaupati, namesto da bi to videli kot znak, da je povezava šifrirana. Sodeč po Googlovi raziskavi le 11 % uporabnikov razume pomen ikone s ključavnico.
    Izdaja Chrome 93
  • Seznam nedavno zaprtih zavihkov zdaj prikazuje vsebino zaprtih skupin zavihkov (prej je seznam prikazoval samo ime skupine brez podrobnosti o vsebini) z možnostjo vrnitve celotne skupine in posameznih zavihkov iz skupine hkrati. Funkcija ni omogočena za vse uporabnike, zato boste morda morali spremeniti nastavitev »chrome://flags/#tab-restore-sub-menus«, da jo omogočite.
    Izdaja Chrome 93
  • Za podjetja so bile implementirane nove nastavitve: DefaultJavaScriptJitSetting, JavaScriptJitAllowedForSites in JavaScriptJitBlockedForSites, ki vam omogočajo nadzor nad načinom brez JIT, ki onemogoča uporabo prevajanja JIT pri izvajanju JavaScript (uporablja se samo tolmač Ignition) in prepoveduje dodeljevanje izvršljive datoteke pomnilnik med izvajanjem kode. Onemogočanje JIT je lahko koristno za izboljšanje varnosti dela s potencialno nevarnimi spletnimi aplikacijami za ceno zmanjšanja zmogljivosti izvajanja JavaScript za približno 17 %. Omeniti velja, da je Microsoft šel še dlje in v brskalniku Edge implementiral poskusni način »Super Duper Secure«, ki uporabniku omogoča, da onemogoči JIT in aktivira varnostne mehanizme strojne opreme, ki niso združljivi z JIT, CET (Controlflow-Enforcement Technology), ACG (Arbitrary Code Guard) in CFG (Control Flow Guard) za procese obdelave spletne vsebine. Če se poskus izkaže za uspešnega, potem lahko pričakujemo prenos v glavni del Chroma.
  • Stran z novim zavihkom ponuja seznam najbolj priljubljenih dokumentov, shranjenih v storitvi Google Drive. Vsebina seznama ustreza razdelku Priority na drive.google.com. Za nadzor prikaza vsebine Google Drive lahko uporabite nastavitve »chrome://flags/#ntp-modules« in »chrome://flags/#ntp-drive-module«.
    Izdaja Chrome 93
  • Na stran Odpri nov zavihek so bile dodane nove informacijske kartice, ki vam pomagajo najti nedavno ogledano vsebino in povezane informacije. Kartice so oblikovane tako, da olajšajo nadaljnje delo z informacijami, katerih ogled je bil prekinjen, na primer kartice vam bodo pomagale poiskati recept za jed, ki ste jo pred kratkim našli na spletu, a se je po zaprtju strani izgubila ali nadaljevati s pripravo nakupe v trgovinah. Kot poskus sta uporabnikom na voljo dva nova zemljevida: »Recepti« (chrome://flags/#ntp-recipe-tasks-module) za iskanje kulinaričnih receptov in prikaz nedavno ogledanih receptov; »Nakupovanje« (chrome://flags/#ntp-chrome-cart-module) za opomnike o izdelkih, izbranih v spletnih trgovinah.
  • Različica za Android doda izbirno podporo za neprekinjeno iskalno ploščo (chrome://flags/#continuous-search), ki vam omogoča, da nedavni Googlovi rezultati iskanja ostanejo vidni (plošča še naprej prikazuje rezultate, ko se premaknete na druge strani).
    Izdaja Chrome 93
  • Različici za Android je dodan eksperimentalni način deljenja citatov (chrome://flags/#webnotes-stylize), ki omogoča, da izbrani fragment strani shranite kot citat in ga delite z drugimi uporabniki.
  • Pri objavljanju novih dodatkov ali posodobitev različice v spletni trgovini Chrome je zdaj potrebno dvostopenjsko preverjanje razvijalca.
  • Uporabniki Google Računa imajo možnost shraniti podatke o plačilu v svoj Google Račun.
  • V načinu brez beleženja zgodovine, če je aktivirana možnost brisanja navigacijskih podatkov, je bilo implementirano novo pogovorno okno za potrditev operacije, ki pojasnjuje, da bo brisanje podatkov zaprlo okno in končalo vse seje v načinu brez beleženja zgodovine.
  • Zaradi ugotovljenih nezdružljivosti z vdelano programsko opremo nekaterih naprav je v Chrome 91 dodana podpora za novo metodo dogovora o ključu, ki je odporna na ugibanje na kvantnih računalnikih in temelji na uporabi razširitve CECPQ1.3 (Combined Elliptic-Curve and Post-Quantum 2) v TLSv2, ki združuje klasični mehanizem za izmenjavo ključev X25519 s shemo HRSS, ki temelji na algoritmu NTRU Prime, zasnovanem za postkvantne kriptosisteme.
  • Vrata 989 (ftps-data) in 990 (ftps) so bila dodana številu prepovedanih omrežnih vrat, da bi preprečili napad ALPACA. Prej so bila vrata 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 in 10080 že blokirana zaradi zaščite pred napadi s pretokom NAT.
  • TLS ne podpira več šifer, ki temeljijo na algoritmu 3DES. Zlasti je bil odstranjen nabor šifre TLS_RSA_WITH_3DES_EDE_CBC_SHA, ki je dovzeten za napad Sweet32.
  • Podpora za Ubuntu 16.04 je bila ukinjena.
  • WebOTP API je možno uporabljati med različnimi napravami, ki so povezane prek skupnega Google računa. WebOTP spletni aplikaciji omogoča branje enkratnih potrditvenih kod, poslanih prek SMS-a. Predlagana sprememba omogoča prejem kode za preverjanje na mobilni napravi s sistemom Chrome za Android in njeno uporabo v namiznem sistemu.
  • API za namige odjemalca uporabniškega agenta je bil razširjen, razvit kot zamenjava za glavo uporabniškega agenta. Uporabniški agent Client Hints vam omogoča, da organizirate selektivno dostavo podatkov o določenem brskalniku in sistemskih parametrih (različica, platforma itd.) samo po zahtevi strežnika. Uporabnik pa lahko določi, katere informacije lahko posreduje lastnikom spletnega mesta. Pri uporabi namigov odjemalca uporabniškega posrednika se identifikator brskalnika ne prenese brez izrecne zahteve, privzeto pa so podani samo osnovni parametri, kar oteži pasivno identifikacijo.

    Nova različica podpira parameter Sec-CH-UA-Bitness za vrnitev podatkov o bitnosti platforme, ki se lahko uporabijo za streženje optimiziranih binarnih datotek. Privzeto je parameter Sec-CH-UA-Platform poslan s splošnimi informacijami o platformi. Vrednost UADataValues, vrnjena ob klicu getHighEntropyValues(), je privzeto implementirana za vrnitev splošnih parametrov, če ni mogoče vrniti podrobne možnosti. Metoda toJSON je bila dodana objektu NavigatorUAData, ki omogoča uporabo konstruktov, kot je JSON.stringify(navigator.userAgentData).

  • Možnost pakiranja virov v pakete v formatu Web Bundle, ki je primeren za organizacijo učinkovitejšega nalaganja velikega števila spremljajočih datotek (slogi CSS, JavaScript, slike, iframes), je stabilizirana in na voljo privzeto. Med pomanjkljivostmi obstoječe podpore za pakete za datoteke JavaScript (webpack), ki jih skuša odpraviti Web Bundle: v predpomnilniku HTTP lahko konča sam paket, ne pa njegovi sestavni deli; prevajanje in izvajanje se lahko začne šele, ko je paket v celoti prenesen; Dodatni viri, kot so CSS in slike, morajo biti kodirani v obliki nizov JavaScript, kar poveča velikost in zahteva še en korak razčlenjevanja.
  • Vključen je API WebXR Plane Detection, ki zagotavlja informacije o ravnih površinah v virtualnem 3D okolju. Navedeni API omogoča izogibanje obdelavi podatkov, pridobljenih s klicem MediaDevices.getUserMedia(), ki zahteva veliko virov, z uporabo lastniških implementacij algoritmov računalniškega vida. Naj vas spomnimo, da API WebXR omogoča poenotenje dela z različnimi razredi naprav za navidezno resničnost, od stacionarnih 3D čelad do rešitev, ki temeljijo na mobilnih napravah.
  • V način Origin Trials je bilo dodanih več novih API-jev (eksperimentalne funkcije, ki zahtevajo ločeno aktivacijo). Origin Trial pomeni zmožnost dela z navedenim API-jem iz aplikacij, prenesenih z lokalnega gostitelja ali 127.0.0.1, ali po registraciji in prejemu posebnega žetona, ki je veljaven omejen čas za določeno spletno mesto.
    • Predlagan je bil API za postavitev oken na več zaslonih, ki vam omogoča, da okna postavite na kateri koli zaslon, povezan s trenutnim sistemom, ter shranite položaj okna in po potrebi razširite okno na celoten zaslon. Na primer, z uporabo podanega API-ja lahko spletna aplikacija za prikaz predstavitve organizira prikaz diapozitivov na enem zaslonu in prikaže opombo za predstavitelja na drugem.
    • Glava Cross-Origin-Embedder-Policy, ki nadzoruje izolacijski način Cross-Origin in vam omogoča, da na strani s privilegiranimi operacijami definirate varna pravila uporabe, zdaj podpira parameter »brez poverilnic«, da onemogočite prenos informacij, povezanih s poverilnicami, kot je npr. Piškotki in potrdila strank.
    • Za samostojne spletne aplikacije (PWA, Progressive Web Apps), ki nadzirajo upodabljanje vsebine okna in obravnavajo vnos, je na voljo prekrivanje s kontrolniki oken, kot so naslovna vrstica in gumbi za razširitev/strnitev. Prekrivanje razširi območje, ki ga je mogoče urejati, tako da pokrije celotno okno, in vam omogoča dodajanje lastnih elementov v območje naslova.
      Izdaja Chrome 93
    • Dodana možnost ustvarjanja aplikacij PWA, ki jih je mogoče uporabiti kot obdelovalce URL-jev. Na primer, aplikacija music.example.com se lahko registrira kot upravljavec URL-jev https://*.music.example.com in vsi prehodi iz zunanjih aplikacij, ki uporabljajo te povezave, na primer iz hitrih sporočil in e-poštnih odjemalcev, bodo vodili na odpiranje te aplikacije PWA, ne na nov zavihek brskalnika.
  • Datoteke CSS je mogoče naložiti z izrazom »uvozi«, podobno kot nalaganje modulov JavaScript, kar je priročno pri ustvarjanju lastnih elementov in vam omogoča, da ne dodeljujete slogov s kodo JavaScript. uvozni list iz './styles.css' assert { type: 'css' }; document.adoptedStyleSheets = [list]; shadowRoot.adoptedStyleSheets = [list];
  • Zagotovljena je bila nova statična metoda AbortSignal.abort(), ki vrne objekt AbortSignal, ki je že nastavljen na prekinjeno. Namesto več vrstic kode za ustvarjanje objekta AbortSignal v prekinjenem stanju, lahko zdaj opravite z eno vrstico »return AbortSignal.abort()«.
  • Element Flexbox ima dodano podporo za ključne besede start, end, self-start, self-end, left in right, ki dopolnjuje ključne besede center, flex-start in flex-end z orodji za poenostavljeno poravnavo položaja elementov flex.
  • Konstruktor Error() implementira novo neobvezno lastnost »vzrok«, ki vam omogoča enostavno povezovanje napak med seboj. const parentError = nova napaka ('nadrejeni'); const error = new Error('parent', { cause: parentError }); console.log(error.cause === parentError); // → res
  • Lastnosti HTMLMediaElement.controlsList je dodana podpora za način noplaybackrate, ki vam omogoča, da onemogočite elemente vmesnika v brskalniku za spreminjanje hitrosti predvajanja večpredstavnostne vsebine.
  • Dodana glava Sec-CH-Prefers-Color-Scheme, ki na stopnji pošiljanja zahteve omogoča prenos podatkov o uporabnikovi želeni barvni shemi, uporabljeni v medijskih poizvedbah »prefers-color-scheme«, kar bo spletnemu mestu omogočilo optimizacijo nalaganje CSS, povezanega z izbrano shemo, in se izogibajte vidnim preklopom iz drugih shem.
  • Dodana lastnost Object.hasOwn, ki je poenostavljena različica Object.prototype.hasOwnProperty, implementirana kot statična metoda. Object.hasOwn({ prop: 42 }, 'prop') // → res
  • Sparkplugov prevajalnik JIT, zasnovan za zelo hitro brutalno prevajanje, je dodal način paketnega izvajanja, da zmanjša stroške preklapljanja pomnilniških strani med načinoma pisanja in izvajanja. Sparkplug zdaj sestavi več funkcij hkrati in enkrat pokliče mprotect, da spremeni dovoljenja celotne skupine. Predlagani način bistveno skrajša čas prevajanja (do 44 %) brez negativnega vpliva na zmogljivost izvajanja JavaScript.
    Izdaja Chrome 93
  • Različica za Android onemogoči vgrajeno zaščito motorja V8 pred napadi stranskih kanalov, kot je Spectre, ki se ne štejejo za tako učinkovite kot izolacija spletnih mest v ločenih procesih. V namizni različici so bili ti mehanizmi onemogočeni že v izdaji Chroma 70. Onemogočanje nepotrebnih preverjanj je omogočilo povečanje zmogljivosti za 2-15%.
    Izdaja Chrome 93
  • Orodja za spletne razvijalce so bila izboljšana. V načinu pregleda slogovnega lista je mogoče urejati poizvedbe, ustvarjene z izrazom @container. V načinu pregleda omrežja je implementiran predogled virov v obliki spletnega paketa. V spletni konzoli so v kontekstni meni dodane možnosti za kopiranje nizov v obliki JavaScript ali JSON literalov. Izboljšano odpravljanje napak v zvezi s CORS (Cross-Origin Resource Sharing).
    Izdaja Chrome 93

Poleg novosti in popravkov napak nova različica odpravlja 27 ranljivosti. Številne ranljivosti so bile ugotovljene kot rezultat avtomatiziranega testiranja z orodji AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer in AFL. Ugotovljene niso bile nobene kritične težave, ki bi omogočale obhod vseh ravni zaščite brskalnika in izvajanje kode v sistemu zunaj okolja peskovnika. V okviru programa izplačevanja denarnih nagrad za odkritje ranljivosti za trenutno izdajo je Google izplačal 19 nagrad v vrednosti 136500 $ (tri nagrade 20000 $, ena nagrada 15000 $, tri nagrade 10000 $, ena nagrada 7500 $, tri nagrade 5000 $ in tri nagrade 3000 $). Velikost 5 nagrad še ni določena.

Vir: opennet.ru

Dodaj komentar