Publikimi 84 i Chrome

Google prezantuar lëshimi i shfletuesit të internetit Chrome 84... Njëkohësisht në dispozicion lëshim i qëndrueshëm i një projekti falas Kromi, e cila shërben si bazë e Chrome. Shfletuesi Chrome tjetër përdorimi i logove të Google, prania e një sistemi për dërgimin e njoftimeve në rast përplasjeje, aftësia për të shkarkuar një modul Flash sipas kërkesës, module për luajtjen e përmbajtjes së mbrojtur video (DRM), një sistem për instalimin automatik të përditësimeve dhe transmetimit gjatë kërkimit Parametrat RLZ. Lëshimi tjetër i Chrome 85 është planifikuar për 25 gusht.

Kryesore Ndryshimet в krom 84:

• I paaftë mbështetje për protokollet TLS 1.0 dhe TLS 1.1. Për të hyrë në faqet përmes një kanali të sigurt komunikimi, serveri duhet të ofrojë mbështetje për të paktën TLS 1.2, përndryshe shfletuesi tani do të shfaqë një gabim. Sipas Google, aktualisht rreth 0.5% e shkarkimeve të faqeve në internet vazhdojnë të kryhen duke përdorur versione të vjetëruara të TLS. Mbyllja u krye në përputhje me rekomandimet IETF (Task Forca e Inxhinierisë së Internetit). Arsyeja e refuzimit të TLS 1.0/1.1 është mungesa e mbështetjes për shifrat moderne (për shembull, ECDHE dhe AEAD) dhe kërkesa për të mbështetur shifrat e vjetra, besueshmëria e të cilave vihet në dyshim në fazën aktuale të zhvillimit të teknologjisë kompjuterike (për shembull , kërkohet mbështetje për TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 dhe SHA-1). Cilësimi që lejon kthimin në TLS 1.0/1.1 do të ruhet deri në janar 2021.
• Bllokimi sigurohet çizme e pasigurt (pa kriptim) të skedarëve të ekzekutueshëm dhe paralajmërime të shtuara kur ngarkohen arkivat në mënyrë të pasigurt. Në të ardhmen, është planifikuar që gradualisht të ndalet mbështetja e ngarkimit të skedarëve pa kriptim. Bllokimi zbatohet sepse shkarkimi i skedarëve pa enkriptim mund të përdoret për të kryer veprime me qëllim të keq duke zëvendësuar përmbajtjen gjatë sulmeve MITM.
• Shtuar mbështetje fillestare ID Këshilla për klientin, i zhvilluar si një alternativë ndaj titullit User-Agent. Mekanizmi i Këshillave të Klientit ofron një seri titujsh "Sec-CH-UA-*" si një zëvendësim për agjentin e përdoruesit, i cili ju lejon të organizoni shpërndarjen selektive të të dhënave vetëm për parametrat e shfletuesit dhe sistemit (versioni, platforma, etj.) specifike. pas një kërkese nga serveri. Përdoruesi merr mundësinë të përcaktojë se cilat parametra janë të pranueshëm për dorëzim dhe të sigurojë në mënyrë selektive një informacion të tillë për pronarët e faqeve. Kur përdorni Këshillat e Klientit, identifikuesi nuk transmetohet si parazgjedhje pa një kërkesë të qartë, gjë që e bën të pamundur identifikimin pasiv (si parazgjedhje, tregohet vetëm emri i shfletuesit). Punë mbi Unifikimi përdorues-agjent shtyhet deri vitin e ardhshëm.
• Vazhdon aktivizimi
  më të rrepta kufizime transferimi i Cookies ndërmjet sajteve, i cili ishte anuluar për shkak të COVID-19. Për kërkesat jo-HTTPS, përpunimi i Cookies-ve të palëve të treta të vendosura kur hyn në sajte të ndryshme nga domeni i faqes aktuale është i ndaluar. Cookie të tilla përdoren për të gjurmuar lëvizjet e përdoruesve ndërmjet sajteve në kodin e rrjeteve të reklamave, miniaplikacioneve të rrjeteve sociale dhe sistemeve të analitikës në ueb.

  Kujtojmë se për të kontrolluar transmetimin e Cookies, përdoret atributi SameSite i specifikuar në kokën Set-Cookie, i cili si parazgjedhje do të vendoset në vlerën "SameSite=Lax", e cila kufizon dërgimin e "Cookies" për nën-kërkesat ndër-site , të tilla si një kërkesë imazhi ose ngarkimi i përmbajtjes nëpërmjet një iframe nga një sajt tjetër. Sajtet mund të anashkalojnë sjelljen e paracaktuar të SameSite duke vendosur në mënyrë eksplicite cilësimin e Cookie në SameSite=Asnjë. Për më tepër, vlera SameSite=Asnjë për Cookie mund të vendoset vetëm në modalitetin e sigurt (e vlefshme për lidhjet nëpërmjet HTTPS). Ndryshimi do të shpërndahet në faza, duke filluar me një përqindje të vogël përdoruesish dhe më pas duke e zgjeruar gradualisht shtrirjen e tij.

• U shtua zbatimi eksperimental bllokues reklamash me burim intensiv, i cili mund të aktivizohet duke përdorur cilësimin "chrome://flags/#enable-heavy-ad-intervention". Bllokuesi ju lejon të çaktivizoni automatikisht blloqet e reklamave të iframe pas tejkalimit të kufijve të trafikut dhe ngarkesës së CPU. Bllokimi do të aktivizohet nëse thread-i kryesor ka konsumuar më shumë se 60 sekonda të kohës së CPU-së në total ose 15 sekonda në një interval prej 30 sekondash (duke konsumuar 50% të burimeve për më shumë se 30 sekonda), si dhe kur më shumë se 4 MB e të dhënave është shkarkuar përmes rrjetit.

  Bllokimi do të funksionojë vetëm nëse, përpara se të tejkalohen kufijtë, përdoruesi nuk ka ndërvepruar me njësinë e reklamave (për shembull, nuk ka klikuar mbi të), i cili, duke marrë parasysh kufizimet e trafikut, do të lejojë riprodhimin automatik të videot në reklama të bllokohen pa aktivizuar në mënyrë të qartë riprodhimin nga përdoruesi. Masat e propozuara do t'i shpëtojnë përdoruesit nga reklamat me zbatimin joefikas të kodit ose aktivitetin e qëllimshëm parazitar (për shembull, minierat). Sipas statistikave të Google, reklamat që plotësojnë kriteret e bllokimit përbëjnë vetëm 0.30% të të gjitha njësive reklamuese, por në të njëjtën kohë, inserte të tilla reklamuese konsumojnë 28% të burimeve të CPU dhe 27% të trafikut nga vëllimi i përgjithshëm i reklamave.

• Është bërë punë për të reduktuar konsumin e burimeve të CPU-së kur dritarja e shfletuesit nuk është në fushën e shikimit të përdoruesit. Chrome tani kontrollon nëse dritarja e shfletuesit është e mbivendosur me dritare të tjera dhe parandalon vizatimin e pikselëve në zonat e mbivendosjes. Funksioni i ri do të shpërndahet gradualisht: optimizimi do të aktivizohet në mënyrë selektive për disa përdorues në Chrome 84 dhe për të tjerë në Chrome 85.
• Mbrojtja është aktivizuar si parazgjedhje njoftime të bezdisshme, për shembull, mesazhe të padëshiruara me kërkesa për të marrë njoftime shtytëse. Meqenëse kërkesa të tilla ndërpresin punën e përdoruesit dhe largojnë vëmendjen nga veprimet në dialogët e konfirmimit, në vend të një dialogu të veçantë në shiritin e adresave, do të shfaqet një mesazh informacioni që nuk kërkon veprim nga përdoruesi me një paralajmërim se kërkesa për leje është e bllokuar. , i cili minimizohet automatikisht në një tregues me imazhin e një zile të kryqëzuar. Duke klikuar në tregues, mund të aktivizoni ose refuzoni lejen e kërkuar në çdo kohë të përshtatshme.
  

• Zgjedhja e përdoruesit mbahet mend kur hapen mbajtësit për protokollet e jashtme - përdoruesi mund të zgjedhë "gjithmonë lejo këtë sajt" për një mbajtës specifik dhe shfletuesi do ta mbajë mend këtë vendim në lidhje me sitin aktual.
• Mbrojtje e shtuar kundër ndryshimit të cilësimeve të përdoruesit pa pëlqimin e qartë. Nëse shtesa ndryshon motorin e paracaktuar të kërkimit ose faqen e shfaqur për një skedë të re, shfletuesi tani do të shfaqë një dialog që ju kërkon të konfirmoni operacionin e specifikuar ose të anuloni ndryshimin.
• Vazhdon zbatimi i mbrojtjes kundër ngarkimit të përmbajtjes multimediale të përzier (kur burimet ngarkohen në një faqe HTTPS nëpërmjet protokollit http://). Në faqet e hapura nëpërmjet HTTPS, lidhjet "http://" tani do të zëvendësohen automatikisht me "https://" në blloqet që lidhen me ngarkimin e imazheve (skriptet dhe iframet janë zëvendësuar më parë, zëvendësimi automatik i burimeve audio dhe video pritet në publikimi i radhës). Nëse një imazh nuk është i disponueshëm përmes https, atëherë shkarkimi i tij bllokohet (mund ta shënoni manualisht bllokimin përmes menysë së aksesueshme përmes simbolit të drynit në shiritin e adresave).
• U shtua mbështetje për API Ueb OTP (i zhvilluar si API i Marrësit SMS), i cili ju lejon të organizoni futjen e një fjalëkalimi një herë në një faqe në internet pasi të keni marrë një mesazh SMS me një kod konfirmimi të dorëzuar në telefonin inteligjent Android të përdoruesit në të cilin po funksionon shfletuesi. Konfirmimi SMS, për shembull, mund të përdoret për të verifikuar numrin e telefonit të specifikuar nga përdoruesi gjatë regjistrimit. Nëse më parë përdoruesi duhej të hapte aplikacionin SMS, të kopjonte kodin prej tij në clipboard, të kthehej në shfletues dhe të ngjitte këtë kod, atëherë API i ri bën të mundur automatizimin e këtij procesi dhe reduktimin e tij në një prekje.
• API u zgjerua Animacione në ueb
  për të kontrolluar riprodhimin e animacionit në ueb. Publikimi i ri shton mbështetje për operacionet e kompozimit, duke ju lejuar të kontrolloni se si kombinohen efektet dhe të siguroni mbajtës të rinj që thirren kur ndodhin ngjarjet e zëvendësimit të përmbajtjes. Web Animations API gjithashtu tani mbështet Promise për të përcaktuar rendin në të cilin shfaqen animacionet dhe për të kontrolluar më mirë se si animacionet ndërveprojnë me veçoritë e tjera të aplikacionit.

• Disa API të reja janë shtuar në modalitetin Origin Trials (karakteristika eksperimentale që kërkojnë aktivizim të veçantë). Prova e origjinës nënkupton aftësinë për të punuar me API-në e specifikuar nga aplikacionet e shkarkuara nga localhost ose 127.0.0.1, ose pas regjistrimit dhe marrjes së një token të veçantë që është i vlefshëm për një kohë të kufizuar për një sajt specifik.
  • API Dyqan biskotash për aksesin e punonjësve të shërbimit në "Cookies" HTTP, duke shërbyer si një alternativë asinkrone për përdorimin e document.cookie.
  • API Zbulimi i boshtit për të zbuluar pasivitetin e përdoruesit, duke ju lejuar të zbuloni kohën kur përdoruesi nuk ndërvepron me tastierën/miun, ruajtësi i ekranit po funksionon, ekrani është i kyçur ose po punohet në një monitor tjetër. Informimi i aplikacionit për pasivitetin kryhet duke dërguar një njoftim pasi të keni arritur një prag të caktuar pasiviteti.
  • regjim Izolimi i origjinës, i lejon zhvilluesit të përdorë izolim më të plotë të përpunimit të përmbajtjes në një proces të veçantë në lidhje me burimin (origjina - domen + port + protokoll), në vend të sajtit, me koston e ndërprerjes së mbështetjes për disa veçori të trashëguara, të tilla si sinkron ekzekutimi i skripteve duke përdorur document.domain dhe duke thirrur postMessage() për të postuar mesazhe në instancat WebAssembly.Module. Me fjalë të tjera, izolimi i origjinës ju lejon të organizoni ndarjen midis proceseve të ndryshme bazuar në domenin e burimit, dhe jo sitit me të gjitha përfshirjet e jashtme në faqe.
  • API WebAssembly SIMD për përdorimin e udhëzimeve vektoriale SIMD në aplikacione në formatin WebAssembly. Për të siguruar pavarësinë e platformës, ai ofron një lloj të ri 128-bit që mund të përfaqësojë lloje të ndryshme të të dhënave të paketuara dhe disa operacione bazë vektoriale për përpunimin e të dhënave të paketuara. SIMD ju lejon të rrisni produktivitetin duke paralelizuar përpunimin e të dhënave dhe do të jetë i dobishëm kur përpiloni kodin vendas në WebAssembly. Për të aktivizuar mbështetjen SIMD, mund të përdorni cilësimin "chrome://flags/#enable-webassembly-simd".
• Stabilizuar dhe tani shpërndahet jashtë Origin Trials
  API Indeksimi i përmbajtjes, i cili ofron meta të dhëna për përmbajtjen që më parë ishte ruajtur në memorien e fshehtë nga aplikacionet e uebit që funksiononin në modalitetin e aplikacioneve të uebit progresiv (PWS). Aplikacioni mund të ruajë të dhëna të ndryshme në anën e shfletuesit, duke përfshirë imazhe, video dhe artikuj, dhe kur lidhja e rrjetit humbet, përdorni atë duke përdorur API-të e "Cache Storage" dhe "IndexedDB". API për Indeksimin e Përmbajtjes bën të mundur shtimin, gjetjen dhe fshirjen e burimeve të tilla. Në shfletues, kjo API përdoret tashmë për të listuar një listë të faqeve dhe të dhënave multimediale të disponueshme për shikim jashtë linje.

• Versioni i API u stabilizua Wake lock bazuar në mekanizmin Promise, i cili ofron një mënyrë më të sigurt për të kontrolluar çaktivizimin e ekraneve të kyçjes automatike dhe kalimin e pajisjeve në modalitetet e kursimit të energjisë.
• Në versionin për platformën Android shtuar mbështetje për shkurtoret e aplikacionit, duke ju lejuar të siguroni qasje të shpejtë në veprimet tipike të njohura në aplikacion. Për të krijuar shkurtore, thjesht shtoni elementë në manifestin e aplikacionit në ueb në formatin PWA (Progressive Web Apps).
  

• Web Worker lejohet të përdorë API ReportingObserver, i cili ju lejon të përcaktoni një mbajtës për gjenerimin e një raporti, i thirrur kur qaseni në aftësi të vjetruara. Raporti i krijuar mund të ruhet, dërgohet në server ose përpunohet nga një skript JavaScript sipas gjykimit të përdoruesit.
• API u përditësua Ndryshimi i madhësisë së vëzhguesit, i cili ju lejon të lidhni një mbajtës në të cilin do të dërgohen njoftime për ndryshimet në madhësinë e elementeve të specifikuar në faqe. Tre veçori të reja janë shtuar në ResizeObserverEntry: contentBoxSize, borderBoxSize dhe devicePixelContentBoxSize për të ofruar informacion më të hollësishëm, të kthyer si një grup objektesh ResizeObserverSize.
• Fjalë kyçe e shtuar "rikthehem» për të rivendosur stilin e elementit në vlerën e tij të paracaktuar.
• U hoq prefiksi për vetitë CSS "-webkit-appearance" dhe "-webkit-ruby-position", të cilat tani janë të disponueshme si "Shfaqja"Dhe"rubin-pozicion".
• Në JavaScript zbatuar mbështetje për shënimin e metodave dhe veçorive të një klase si private, pas së cilës qasja në to do të jetë e hapur vetëm brenda klasës (më parë vetëm fushat mund të ishin private). Për të shënuar metodat dhe vetitë private: tregojnë para emrit të fushës ka një shenjë "#".
• Në JavaScript shtuar mbështetje lidhje të dobëta (referencë e dobët) për objektet JavaScript që ju lejojnë të mbani një referencë për objektin, por nuk e bllokojnë grumbulluesin e mbeturinave nga fshirja e objektit të lidhur. Mbështetja për finalizuesit është shtuar gjithashtu, duke bërë të mundur përcaktimin e një mbajtësi që thirret pasi të përfundojë grumbullimi i mbeturinave të objektit të specifikuar.
• Nisja e aplikacioneve në WebAssembly është përshpejtuar, falë zbatimit në përpiluesin fillestar (bazë) Liftoff udhëzimet atomike и operacionet e memories së grumbullit. Mjetet për korrigjimin e WebAssembly janë përmirësuar, performanca e korrigjimit është përmirësuar ndjeshëm kur përdoren pikat e ndërprerjes (më parë, përkthyesi përdorej për korrigjimin, dhe tani përpiluesi Liftoff).
• Në veglat për zhvilluesit e uebit pphttps://developers.google.com/web/updates/2020/05/devtools paneli për analizën e performancës është përditësuar. U shtua informacion i përgjithshëm rreth metrikës TBT (Koha totale e bllokimit), duke treguar për sa kohë faqja duket të jetë e disponueshme, por në fakt nuk është e disponueshme (d.m.th. faqja tashmë është paraqitur, por ekzekutimi i fillit kryesor është ende i bllokuar dhe futja e të dhënave nuk është e mundur). U shtua një seksion i ri i përvojës për analizën e matjeve CLS (Cumulative Layout Shift), duke reflektuar qëndrueshmërinë vizuale të përmbajtjes. Paneli i inspektimit të stileve CSS ofron një pamje paraprake të imazheve të specifikuara përmes vetive "background-image".

Përveç risive dhe rregullimeve të gabimeve, versioni i ri eliminon 38 dobësi. Shumë nga dobësitë u identifikuan si rezultat i testimit të automatizuar me mjete Adresa Sanitizer, Dezinfektues i kujtesës, Integriteti i kontrollit të rrjedhës, LibFuzzer и AFL. Një problem (CVE-2020-6510, tejmbushja e tamponit në mbajtësin e sfondit të marrjes) është shënuar si kritike, d.m.th. ju lejon të anashkaloni të gjitha nivelet e mbrojtjes së shfletuesit dhe të ekzekutoni kodin në sistem jashtë mjedisit të sandbox. Si pjesë e programit për të paguar shpërblime në para për zbulimin e dobësive për versionin aktual, Google pagoi 26 çmime me vlerë 21500 dollarë (dy çmime 5000 dollarë, dy çmime 3000 dollarë, një çmim 2000 dollarë, dy çmime 1000 dollarë dhe tre çmime prej 500 dollarësh). Madhësia e 16 shpërblimeve nuk është përcaktuar ende.

Burimi: opennet.ru