ProHoster > blogg > internetnyheter > Chrome 104 version

Chrome 104 version

Google har avslöjat lanseringen av webbläsaren Chrome 104. Samtidigt finns en stabil version av det kostnadsfria Chromium-projektet, som fungerar som grunden för Chrome, tillgänglig. Chrome-webbläsaren skiljer sig från Chromium när det gäller användningen av Google-logotyper, närvaron av ett system för att skicka aviseringar vid en krasch, moduler för att spela upp kopieringsskyddat videoinnehåll (DRM), ett system för automatisk installation av uppdateringar, permanent möjliggörande av Sandbox-isolering , tillhandahåller nycklar till Googles API och sänder RLZ- när du söker efter parametrar. För de som behöver mer tid för att uppdatera stöds Extended Stable-grenen separat, följt av 8 veckor. Nästa version av Chrome 105 är planerad till den 30 augusti.

Viktiga ändringar i Chrome 104:

  • En livslängdsgräns för cookies har införts - alla nya eller uppdaterade cookies kommer att raderas automatiskt efter 400 dagars existens, även om utgångstiden som ställts in genom attributen Expires och Max-Age överstiger 400 dagar (för sådana cookies kommer livstiden att förkortas till 400 dagar). Cookies som skapas före implementeringen av begränsningen kommer att behålla sin livslängd, även om den överstiger 400 dagar, men kommer att begränsas om de uppdateras. Ändringen återspeglar nya krav som noteras i utkastet till ny specifikation.
  • Aktiverad blockering av iframe-URL:er som refererar till det lokala filsystemet ("filsystem://").
  • För att påskynda sidladdningen har en ny optimering lagts till som säkerställer att en anslutning till målvärden upprättas i det ögonblick du klickar på en länk, utan att vänta på att du ska släppa knappen eller ta bort fingret från pekskärmen.
  • Lade till inställningar för hantering av API:et "Ämnen och intressegrupp", som marknadsförs som en del av initiativet Privacy Sandbox, som låter dig definiera kategorier av användarintressen och använda dem istället för att spåra cookies för att identifiera grupper av användare med liknande intressen utan att identifiera enskilda användare . Dessutom har informationsdialoger som visas en gång lagts till, som förklarar för användaren kärnan i tekniken och erbjuder att aktivera dess stöd i inställningarna.
  • Ökade trösklar för att begränsa kapslade anrop till setTimeout och setInterval-timers som körs med ett intervall på mindre än 4ms ("setTimeout(..., <4ms)"). Den totala gränsen för sådana samtal har höjts från 5 till 100, vilket gör det möjligt att inte aggressivt skära ned enskilda samtal, men samtidigt förhindra missbruk som kan påverka webbläsarens prestanda.
  • Enabled skickar en begäran om bekräftelse av CORS (Cross-Origin Resource Sharing) till huvudwebbplatsens server med rubriken "Access-Control-Request-Private-Network: true" när en sida får åtkomst till en underresurs på det interna nätverket (192.168.xx) , 10. xxx, 172.16-31.xx) eller till localhost (127.xxx). När du bekräftar operationen som svar på denna begäran måste servern returnera "Access-Control-Allow-Private-Network: true"-huvudet. I Chrome version 104 påverkar bekräftelseresultatet ännu inte behandlingen av begäran - om det inte finns någon bekräftelse visas en varning i webbkonsolen, men själva subresursbegäran är inte blockerad. Aktivering av blockering utan bekräftelse förväntas inte förrän Chrome 107. För att aktivera blockering i tidigare versioner kan du aktivera inställningen "chrome://flags/#private-network-access-respect-preflight-results".

    Verifiering av auktoritet från servern infördes för att stärka skyddet mot attacker relaterade till åtkomst till resurser på det lokala nätverket eller på användarens dator (localhost) från skript som laddas när en webbplats öppnas. Sådana förfrågningar används av angripare för att utföra CSRF-attacker på routrar, åtkomstpunkter, skrivare, företagswebbgränssnitt och andra enheter och tjänster som endast accepterar förfrågningar från det lokala nätverket. För att skydda mot sådana attacker, om några underresurser nås på det interna nätverket, kommer webbläsaren att skicka en uttrycklig begäran om tillåtelse att ladda dessa underresurser.

  • En Region Capture-mekanism har lagts till som låter dig trimma onödigt innehåll från en video som genereras baserat på skärmdump. Genom att till exempel använda getDisplayMedia API kan en webbapplikation strömma video av innehållet på en flik, och Region Capture låter dig klippa ut en del av innehållet som inkluderar kontroller för videokonferenser.
  • Tillagt stöd för den nya mediafrågesyntaxen som definieras i Media Queries Level 4-specifikationen, som bestämmer den minsta och maximala storleken på det synliga området (viewport). Den nya syntaxen låter dig använda vanliga matematiska jämförelseoperatorer och logiska operatorer som "inte", "eller" och "och". Till exempel, istället för “@media (min-width: 400px) { … }” kan du nu ange “@media (width >= 400px) { … }”.
  • Flera nya API:er har lagts till i Origin Trials-läget (experimentella funktioner som kräver separat aktivering). Origin Trial innebär möjligheten att arbeta med det specificerade API:et från applikationer som laddats ner från localhost eller 127.0.0.1, eller efter registrering och mottagande av en speciell token som är giltig under en begränsad tid för en specifik webbplats.
    • Lade till en CSS-egenskap "focusgroup" för att förbättra navigeringen genom element med hjälp av piltangenterna på tangentbordet.
    • Secure Payment Confirmation API ger användaren möjligheten att inaktivera butiken för kreditkortsinställningar. För att visa en dialogruta som låter dig vägra spara kreditkortsparametrar, tillhandahåller PaymentRequest()-konstruktorn flaggan "showOptOut: true".
    • Lade till Shared Element Transitions API, som låter dig organisera en smidig övergång mellan olika innehållsvyer i ensidiga webbapplikationer.
  • Stödet för spekulationsregler har stabiliserats, vilket gör det möjligt för webbplatsförfattare att förse webbläsaren med information om de mest troliga sidorna som användaren kan gå till. Webbläsaren använder denna information för att proaktivt ladda och rendera sidinnehåll.
  • Mekanismen för att paketera underresurser till paket i Web Bundle-formatet har stabiliserats, vilket gör det möjligt att öka effektiviteten för att ladda ett stort antal medföljande filer (CSS-stilar, JavaScript, bilder, iframes). Till skillnad från paket i Webpack-formatet har Web Bundle-formatet följande fördelar: det är inte själva paketet som lagras i HTTP-cachen, utan dess beståndsdelar; kompilering och körning av JavaScript börjar utan att vänta på att paketet ska laddas ner helt; Det är tillåtet att inkludera ytterligare resurser som CSS och bilder, som i webpack skulle behöva kodas i form av JavaScript-strängar.
  • Lade till egenskapen object-view-box CSS, som låter dig definiera en del av bilden som ska visas i området istället för ett givet element, som till exempel kan användas för att lägga till en ram eller skugga.
  • Lade till Fullscreen Capability Delegation API, vilket gör att ett Window-objekt kan delegera till ett annat Window-objekt rätten att anropa requestFullscreen().
  • Lade till Fullscreen Companion Window API, vilket gör att helskärmsinnehåll och popup-fönster kan placeras på en annan skärm efter att ha fått bekräftelse från användaren.
  • Ett visual-box-attribut har lagts till i CSS-egenskapen overflow-clip-margin, som bestämmer var man ska börja trimma innehåll som går utanför områdets gräns (kan ta värdena content-box, padding-box och border- låda).
  • Async Clipboard API har lagt till möjligheten att definiera specialiserade format för data som överförs via urklipp, förutom text, bilder och text med markering.
  • WebGL ger stöd för att ange en färgrymd för renderingsbufferten och transformationen vid import från en textur.
  • Stödet för plattformarna OS X 10.11 och macOS 10.12 har upphört.
  • U2F (Cryptotoken) API, som tidigare var utfasad och inaktiverad som standard, har avbrutits. U2F API har ersatts av Web Authentication API.
  • Förbättringar har gjorts av verktyg för webbutvecklare. Debuggern har nu möjlighet att starta om koden från början av en funktion efter att ha träffat en brytpunkt någonstans i funktionskroppen. Lade till stöd för att utveckla tillägg för inspelningspanelen. Stöd för att visualisera märken som ställts in i en webbapplikation genom att anropa metoden performance.measure() har lagts till i prestandaanalyspanelen. Förbättrade rekommendationer för autokomplettering av JavaScript-objektegenskaper. Vid autokomplettering av CSS-variabler tillhandahålls förhandsvisningar av värden som inte är relaterade till färger.
    Chrome 104 version

Förutom innovationer och buggfixar eliminerar den nya versionen 27 sårbarheter. Många av sårbarheterna identifierades som ett resultat av automatiserade tester med hjälp av verktygen AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer och AFL. Inga kritiska problem har identifierats som skulle tillåta en att kringgå alla nivåer av webbläsarskydd och exekvera kod på systemet utanför sandlådemiljön. Som en del av kontantbelöningsprogrammet för att upptäcka sårbarheter för den aktuella versionen, betalade Google ut 22 utmärkelser värda $84 15000 (en utmärkelse på $10000 8000, en utmärkelse på $7000 5000, en utmärkelse på $4000 3000, en utmärkelse på $2000 1000, fyra utmärkelser på $XNUMX XNUMX, en utmärkelse på $XNUMX XNUMX, tre utmärkelser på $XNUMX XNUMX , fyra utmärkelser på $XNUMX XNUMX och tre utmärkelser på $XNUMX XNUMX). Storleken på en belöning har ännu inte fastställts.

Källa: opennet.ru

Lägg en kommentar