Google je predstavil izdajo spletnega brskalnika Chrome 94. Hkrati je na voljo stabilna izdaja brezplačnega projekta Chromium, ki služi kot osnova Chroma. Brskalnik Chrome se odlikuje po uporabi Googlovih logotipov, prisotnosti sistema za pošiljanje obvestil v primeru zrušitve, modulov za predvajanje zaščitene video vsebine (DRM), sistema za samodejno nameščanje posodobitev in prenosa parametrov RLZ pri iskanju. Naslednja izdaja Chroma 95 je predvidena za 19. oktober.
Z izdajo Chroma 94 se je razvoj premaknil v nov cikel izdaje. Nove pomembne izdaje bodo zdaj objavljene vsake 4 tedne namesto vsakih 6 tednov, kar omogoča hitrejšo dostavo novih funkcij uporabnikom. Opozoriti je treba, da optimizacija postopka priprave izdaje in izboljšanje sistema testiranja omogočata pogostejše ustvarjanje izdaj brez ogrožanja kakovosti. Za podjetja in tiste, ki potrebujejo več časa za posodobitev, bo razširjena stabilna izdaja izdana ločeno vsakih 8 tednov, kar vam bo omogočilo, da preklopite na izdaje novih funkcij ne enkrat na 4 tedne, ampak enkrat na 8 tednov.
Glavne spremembe v Chromu 94:
- Dodan način HTTPS-First, ki spominja na način HTTPS Only, ki se je prej pojavil v Firefoxu. Če je način aktiviran v nastavitvah, bo brskalnik ob poskusu odpiranja vira brez šifriranja prek HTTP najprej poskušal dostopati do spletnega mesta prek HTTPS, in če poskus ni uspešen, se uporabniku prikaže opozorilo o pomanjkanju Podpira HTTPS in prosi za odpiranje spletnega mesta brez šifriranja. V prihodnosti Google razmišlja o tem, da bi privzeto omogočil HTTPS-First za vse uporabnike, omejil dostop do nekaterih funkcij spletne platforme za strani, odprte prek HTTP, in dodal dodatna opozorila za obveščanje uporabnikov o tveganjih, ki nastanejo pri dostopu do spletnih mest brez šifriranja. Način je omogočen v razdelku z nastavitvami »Zasebnost in varnost« > »Varnost« > »Napredne«.
- Za strani, odprte brez HTTPS, pošiljanje zahtev (prenos virov) na lokalne URL-je (na primer »http://router.local« in lokalni gostitelj) in obsege notranjih naslovov (127.0.0.0/8, 192.168.0.0/16, 10.0.0.0) je prepovedano .8/1.2.3.4 itd.). Izjema je le za strani, prenesene s strežnikov z notranjimi IP-ji. Na primer, stran, naložena s strežnika 192.168.0.1, ne bo mogla dostopati do vira, ki se nahaja na IP 127.0.0.1 ali IP 192.168.1.1, naložena s strežnika XNUMX pa bo lahko. Sprememba uvaja dodatno plast zaščite pred izkoriščanjem ranljivosti v obdelovalcih, ki sprejemajo zahteve na lokalnih IP-jih, in bo prav tako zaščitila pred napadi s ponovnim povezovanjem DNS.
- Dodana funkcija »Središče za skupno rabo«, ki omogoča hitro skupno rabo povezave do trenutne strani z drugimi uporabniki. Možno je ustvariti kodo QR iz URL-ja, shraniti stran, poslati povezavo na drugo napravo, povezano z uporabniškim računom, in prenesti povezavo na spletna mesta tretjih oseb, kot so Facebook, WhatsUp, Twitter in VK. Ta funkcija še ni na voljo vsem uporabnikom. Če želite vsiliti gumb »Skupna raba« v meniju in naslovni vrstici, lahko uporabite nastavitve »chrome://flags/#sharing-hub-desktop-app-menu« in »chrome://flags/#sharing-hub- namizna naslovna vrstica" .
- Vmesnik nastavitev brskalnika je bil preoblikovan. Vsak razdelek z nastavitvami je zdaj prikazan na ločeni strani in ne na eni skupni strani.
- Implementirana je podpora za dinamično ažuriranje dnevnika izdanih in preklicanih certifikatov (Certificate Transparency), ki se bo po novem posodabljal ne glede na posodobitve brskalnika.
- Dodana servisna stran »chrome://whats-new« s pregledom uporabnikom vidnih sprememb v novi izdaji. Stran se prikaže samodejno takoj po posodobitvi ali pa je dostopna prek gumba Kaj je novega v meniju Pomoč. Stran trenutno omenja iskanje po zavihkih, možnost razdelitve profilov in funkcijo spreminjanja barve ozadja, ki niso specifične za Chrome 94 in so bile uvedene v prejšnjih izdajah. Prikazovanje strani še ni omogočeno za vse uporabnike: za nadzor aktivacije lahko uporabite nastavitve “chrome://flags#chrome-whats-new-ui” in “chrome://flags#chrome-whats-new-in -glavni-meni- nova-značka".
- Klicanje API-ja WebSQL iz vsebine, naložene s spletnih mest tretjih oseb (kot je iframe), je bilo opuščeno. V Chromu 94 se ob poskusu dostopa do WebSQL iz skriptov tretjih oseb prikaže opozorilo, vendar bodo od Chroma 97 naprej takšni klici blokirani. V prihodnosti nameravamo popolnoma opustiti podporo za WebSQL, ne glede na kontekst uporabe. Mehanizem WebSQL temelji na kodi SQLite in ga lahko napadalci uporabijo za izkoriščanje ranljivosti v SQLite.
- Iz varnostnih razlogov in zaradi preprečevanja zlonamernih dejavnosti se je začela blokirati uporaba podedovanega protokola MK (URL:MK), ki se je nekoč uporabljal v Internet Explorerju in je spletnim aplikacijam omogočal pridobivanje informacij iz stisnjenih datotek.
- Podpora za sinhronizacijo s starejšimi različicami Chroma (Chrome 48 in starejši) je bila ukinjena.
- Glava HTTP Permissions-Policy, zasnovana za omogočanje določenih zmožnosti in nadzor dostopa do API-ja, ima dodano podporo za zastavico »display-capture«, ki omogoča nadzor nad uporabo API-ja za zajem zaslona na strani (privzeto, zmožnost zajemanja vsebine zaslona iz zunanjih okvirjev iframe je blokirana).
- V način Origin Trials je bilo dodanih več novih API-jev (eksperimentalne funkcije, ki zahtevajo ločeno aktivacijo). Origin Trial pomeni zmožnost dela z navedenim API-jem iz aplikacij, prenesenih z lokalnega gostitelja ali 127.0.0.1, ali po registraciji in prejemu posebnega žetona, ki je veljaven omejen čas za določeno spletno mesto.
- Dodan API WebGPU, ki nadomešča API WebGL in ponuja orodja za izvajanje operacij GPE, kot sta upodabljanje in računalništvo. Konceptualno je WebGPU blizu API-jem Vulkan, Metal in Direct3D 12. Konceptualno se WebGPU razlikuje od WebGL na skoraj enak način, kot se grafični API Vulkan razlikuje od OpenGL, vendar ne temelji na posebnem grafičnem API-ju, ampak je univerzalen plast, ki uporablja enake primitive nizke ravni, ki so na voljo v Vulkanu, Metalu in Direct3D 12.
WebGPU omogoča aplikacijam JavaScript nadzor na nizki ravni nad organizacijo, obdelavo in prenosom ukazov v GPE, kot tudi možnost upravljanja povezanih virov, pomnilnika, vmesnih pomnilnikov, objektov teksture in sestavljenih grafičnih senčil. Ta pristop vam omogoča doseganje višje zmogljivosti za grafične aplikacije z zmanjšanjem režijskih stroškov in povečanjem učinkovitosti dela z GPE. API omogoča tudi ustvarjanje kompleksnih 3D projektov za splet, ki delujejo enako dobro kot samostojni programi, vendar niso vezani na določene platforme.
- Samostojne aplikacije PWA imajo zdaj možnost, da se registrirajo kot upravljavci URL-jev. Na primer, aplikacija music.example.com se lahko registrira kot upravljavec URL-jev https://*.music.example.com in vsi prehodi iz zunanjih aplikacij, ki uporabljajo te povezave, na primer iz hitrih sporočil in e-poštnih odjemalcev, bodo vodili na odpiranje te aplikacije PWA, ne na nov zavihek brskalnika.
- Implementirana je podpora za novo odzivno kodo HTTP - 103, ki jo je mogoče uporabiti za predčasni prikaz glav. Koda 103 vam omogoča, da odjemalca obvestite o vsebini določenih glav HTTP takoj po zahtevi, ne da bi čakali, da strežnik zaključi vse operacije v zvezi z zahtevo in začne streči vsebino. Na podoben način lahko zagotovite namige o elementih, povezanih s stranjo, ki se servira in ki jih je mogoče vnaprej naložiti (lahko se na primer zagotovijo povezave do css in javascript, ki se uporabljata na strani). Po prejemu informacij o takšnih virih jih bo brskalnik začel nalagati, ne da bi čakal, da se glavna stran konča z upodabljanjem, kar vam omogoča, da skrajšate skupni čas obdelave zahteve.
- Dodan API WebGPU, ki nadomešča API WebGL in ponuja orodja za izvajanje operacij GPE, kot sta upodabljanje in računalništvo. Konceptualno je WebGPU blizu API-jem Vulkan, Metal in Direct3D 12. Konceptualno se WebGPU razlikuje od WebGL na skoraj enak način, kot se grafični API Vulkan razlikuje od OpenGL, vendar ne temelji na posebnem grafičnem API-ju, ampak je univerzalen plast, ki uporablja enake primitive nizke ravni, ki so na voljo v Vulkanu, Metalu in Direct3D 12.
- Dodan API WebCodecs za nizkonivojsko manipulacijo medijskih tokov, ki dopolnjuje API-je visoke ravni HTMLMediaElement, Media Source Extensions, WebAudio, MediaRecorder in WebRTC. Novi API bo morda potreben na področjih, kot so pretakanje iger, učinki na strani odjemalca, transkodiranje tokov in podpora za nestandardne multimedijske vsebnike. Namesto implementacije posameznih kodekov v JavaScript ali WebAssembly API WebCodecs omogoča dostop do vnaprej zgrajenih, visoko zmogljivih komponent, vgrajenih v brskalnik. Zlasti WebCodecs API ponuja avdio in video dekoderje in kodirnike, slikovne dekoderje in funkcije za delo s posameznimi video okvirji na nizki ravni.
- API za vstavljive tokove je bil stabiliziran, kar omogoča manipulacijo neobdelanih medijskih tokov, ki se prenašajo prek API-ja MediaStreamTrack, kot so podatki kamere in mikrofona, rezultati zajemov zaslona ali podatki o vmesnem dekodiranju kodekov. Vmesniki WebCodec se uporabljajo za predstavitev neobdelanih okvirjev in tok se generira podobno kot API WebRTC Insertable Streams generira na podlagi RTCPeerConnections. S praktične strani novi API omogoča funkcionalnost, kot je uporaba tehnik strojnega učenja za prepoznavanje ali označevanje predmetov v realnem času ali dodajanje učinkov, kot je izrezovanje ozadja pred kodiranjem ali po dekodiranju s kodekom.
- Metoda scheduler.postTask() je bila stabilizirana, kar vam omogoča nadzor nad razporejanjem opravil (povratnih klicev JavaScript) z različnimi nivoji prioritete. Na voljo so tri stopnje prioritete: 1- najprej izvedba, tudi če so lahko uporabniške operacije blokirane; 2—dovoljene so uporabniku vidne spremembe; 3 - izvedba v ozadju). Objekt TaskController lahko uporabite za spreminjanje prioritete in preklic opravil.
- Stabilizirano in zdaj distribuirano zunaj Origin Trials API Idle Detection za zaznavanje nedejavnosti uporabnikov. API omogoča zaznavanje časov, ko uporabnik ne uporablja tipkovnice/miške, se izvaja ohranjevalnik zaslona, je zaslon zaklenjen ali se delo izvaja na drugem monitorju. Obveščanje aplikacije o neaktivnosti se izvede s pošiljanjem obvestila po doseženem določenem pragu neaktivnosti.
- Formaliziran je proces upravljanja barv v objektih CanvasRenderingContext2D in ImageData ter uporaba barvnega prostora sRGB v njih. Omogoča ustvarjanje predmetov CanvasRenderingContext2D in ImageData v barvnih prostorih, ki niso sRGB, kot je Display P3, da izkoristite napredne zmogljivosti sodobnih monitorjev.
- Dodane metode in lastnosti API-ju VirtualKeyboard za nadzor nad tem, ali je navidezna tipkovnica prikazana ali skrita, in za pridobivanje informacij o velikosti prikazane navidezne tipkovnice.
- JavaScript omogoča razredom uporabo statičnih inicializacijskih blokov za združevanje kode, ki se izvede enkrat pri obdelavi razreda: class C { // Blok se bo izvajal pri obdelavi samega razreda static { console.log("Statični blok C"); }}
- Lastnosti flex-basis in flex CSS implementirajo ključne besede content, min-content, max-content in fit-content, da zagotovijo bolj prilagodljiv nadzor nad velikostjo glavnega območja Flexbox.
- Dodana lastnost CSS scrollbar-gutter za nadzor nad tem, kako je prostor na zaslonu rezerviran za drsni trak. Na primer, ko ne želite, da se vsebina pomika, lahko razširite izhod, da zasede območje drsnega traku.
- API za samoprofiliranje je bil dodan z implementacijo sistema profiliranja, ki vam omogoča merjenje časa izvajanja JavaScripta na strani uporabnika za odpravljanje težav z zmogljivostjo v kodi JavaScript, ne da bi se zatekli k ročnim manipulacijam v vmesniku za spletne razvijalce.
- Po odstranitvi vtičnika Flash je bilo odločeno, da se vrnejo prazne vrednosti v lastnostih navigator.plugins in navigator.mimeTypes, vendar se je izkazalo, da so jih nekatere aplikacije uporabile za preverjanje prisotnosti vtičnikov za prikaz datotek PDF. Ker ima Chrome vgrajen pregledovalnik PDF, bosta lastnosti navigator.plugins in navigator.mimeTypes zdaj vrnili fiksen seznam standardnih vtičnikov pregledovalnika PDF in vrst MIME – »Pregledovalnik PDF, pregledovalnik PDF Chrome, pregledovalnik PDF Chromium, pregledovalnik PDF Microsoft Edge in vgrajen PDF v WebKit".
- Orodja za spletne razvijalce so bila izboljšana. Napravi Nest Hub in Nest Hub Max sta bili dodani na seznam simulacij zaslona. Vmesniku za pregled omrežne aktivnosti je bil dodan gumb za obračanje filtrov (na primer, ko namestite filter »koda stanja: 404«, si lahko hitro ogledate vse druge zahteve), prav tako pa je zagotovljena možnost ogleda izvirnih vrednosti glav Set-Cookie (omogoča vam, da ocenite prisotnost nepravilnih vrednosti, ki so odstranjene pri normalizaciji). Stranska vrstica v spletni konzoli je zastarela in bo odstranjena v prihodnji izdaji. Dodana eksperimentalna zmožnost skrivanja težav na zavihku Težave. V nastavitvah je dodana možnost izbire jezika vmesnika.
Poleg novosti in popravkov napak nova različica odpravlja 19 ranljivosti. Številne ranljivosti so bile ugotovljene kot rezultat avtomatiziranega testiranja z orodji AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer in AFL. Ugotovljene niso bile nobene kritične težave, ki bi omogočale obhod vseh ravni zaščite brskalnika in izvajanje kode v sistemu zunaj okolja peskovnika. V okviru programa izplačevanja denarnih nagrad za odkrite ranljivosti za trenutno izdajo je Google izplačal 17 nagrad v vrednosti 56500 $ (ena nagrada 15000 $, dve nagradi po 10000 $, ena nagrada 7500 $, štiri nagrade po 3000 $, dve nagradi po 1000 $). Velikost 7 nagrad še ni določena.
Vir: opennet.ru