Chrome 105 version

Google har avslöjat lanseringen av webbläsaren Chrome 105. Samtidigt finns en stabil version av det kostnadsfria Chromium-projektet, som fungerar som grunden för Chrome, tillgänglig. Chrome-webbläsaren skiljer sig från Chromium i användningen av Google-logotyper, närvaron av ett system för att skicka aviseringar vid en krasch, moduler för att spela upp kopieringsskyddat videoinnehåll (DRM), ett system för automatisk installation av uppdateringar, som permanent möjliggör isolering av sandlåda , tillhandahåller nycklar till Googles API och sänder RLZ- när du söker efter parametrar. För de som behöver mer tid för att uppdatera stöds Extended Stable-grenen separat, följt av 8 veckor. Nästa version av Chrome 106 är planerad till den 27 september.

Viktiga ändringar i Chrome 105:

• Stöd för specialiserade webbapplikationer Chrome Apps har upphört och ersatts av fristående webbapplikationer baserade på Progressive Web Apps (PWA)-teknik och standardwebb-API:er. Google tillkännagav ursprungligen sin avsikt att överge Chrome Apps redan 2016 och planerade att sluta stödja dem till 2018, men sköt sedan upp denna plan. När du försöker installera Chrome-appar i Chrome 105 får du en varning om att de inte längre kommer att stödjas, men att apparna fortsätter att köras. I Chrome 109 kommer möjligheten att köra Chrome-appar att inaktiveras.
• Tillhandahöll ytterligare isolering för renderingsprocessen, som ansvarar för renderingen. Denna process utförs nu i en extra behållare (App Container), implementerad ovanpå det befintliga sandlådeisoleringssystemet. Om en sårbarhet i renderingskoden utnyttjas kommer de tillagda begränsningarna att förhindra angriparen från att få åtkomst till nätverket genom att förhindra åtkomst till systemanrop relaterade till nätverkskapacitet.
• Implementerade sin egen enhetliga lagring av rotcertifikat från certifieringsmyndigheter (Chrome Root Store). Den nya butiken är ännu inte aktiverad som standard och tills implementeringen är klar kommer certifikat att fortsätta att verifieras med en butik som är specifik för varje operativsystem. Lösningen som testas påminner om Mozillas tillvägagångssätt, som upprätthåller en separat oberoende rotcertifikatbutik för Firefox, som används som första länk för att kontrollera certifikatets förtroendekedja när man öppnar webbplatser över HTTPS.
• Förberedelser har påbörjats för utfasningen av Web SQL API, som är ostandardiserat, till stor del oanvänt och kräver omdesign för att möta moderna säkerhetskrav. Chrome 105 förhindrar åtkomst till Web SQL från kod som laddas utan att använda HTTPS, och lägger också till en utfasningsvarning till DevTools. Web SQL API är planerad att tas bort 2023. För utvecklare som behöver sådan funktionalitet kommer en ersättning baserad på WebAssembly att förberedas.
• Chrome sync stöder inte längre synkronisering med Chrome 73 och tidigare versioner.
• För plattformar macOS и Windows Den inbyggda certifikatvisaren har aktiverats och ersätter nu gränssnittsanropet som tillhandahålls av operativsystemet. Tidigare användes den inbyggda visningen endast i byggen för Linux och ChromeOS.
• I versionen för plattformen Android Lade till inställningar för att hantera API:et "Ämnen och intressegrupper", vilket marknadsfördes som en del av Privacy Sandbox-initiativet och möjliggör identifiering av användarintressekategorier och deras användning istället för att spåra cookies för att identifiera grupper av användare med liknande intressen utan att identifiera enskilda användare. Liknande inställningar lades till i versionen för den föregående utgåvan. Linux, ChromeOS, macOS и Windows.
• När du aktiverar avancerat webbläsarskydd (Safe Browsing > Förbättrat skydd) samlas telemetri om installerade tillägg, åtkomst till API:t och anslutningar till externa webbplatser. Denna data används på Googles servrar för att upptäcka skadlig aktivitet och brott mot regler av webbläsartillägg.
• Utfasad och kommer att blockera användningen av icke-ASCII-tecken i domäner som anges i Cookie-huvudet i Chrome 106 (för IDN-domäner måste domäner vara i punycode-format). Ändringen gör att webbläsaren överensstämmer med RFC 6265bis och beteendet implementerat i Firefox.
• Ett Custom Highlight API har föreslagits, utformat för att godtyckligt ändra stilen för valda områden av text och låta dig inte begränsas av den fasta stilen som tillhandahålls av webbläsaren för markerade områden (::selection, ::inactive-selection) och markering av syntaxfel (::stavningsfel, ::grammatikfel). Den första versionen av API:et gav stöd för att ändra text och bakgrundsfärger med pseudoelementen för färg och bakgrundsfärg, men andra stilalternativ kommer att läggas till i framtiden.

  Som exempel på de uppgifter som kan lösas med det nya API:et nämns att lägga till webbramverk som tillhandahåller verktyg för textredigering, egna textvalsmekanismer, olika markeringar för samtidig gemensam redigering av flera användare, sökning i virtualiserade dokument och flaggning av fel vid stavningskontroll. Om tidigare skapande av en icke-standardmarkering krävde komplexa manipulationer med DOM-trädet, tillhandahåller Custom Highlight API färdiga operationer för att lägga till och ta bort markering som inte påverkar DOM-strukturen och tillämpar stilar i relation till Range-objekt.
• Lade till "@container"-fråga till CSS, vilket gör att element kan utformas baserat på storleken på det överordnade elementet. "@container" liknar "@media"-frågor, men tillämpas inte på storleken på hela det synliga området, utan på storleken på blocket (behållaren) där elementet är placerat, vilket gör att du kan ställa in din egen stilvalslogik för underordnade element, oavsett var exakt på sidan elementet är placerat.
• Lade till CSS-pseudoklass ":has()" för att kontrollera om det finns ett underordnat element i det överordnade elementet. Till exempel "p:has(span)" spänner över elementen , inuti vilken det finns ett element .
• Lade till HTML Sanitizer API, som låter dig klippa ut element från innehållet som påverkar visning och exekvering under utdata via setHTML()-metoden. API:et kan vara användbart för att rensa extern data för att ta bort HTML-taggar som kan användas för att utföra XSS-attacker.
• Det är möjligt att använda Streams API (ReadableStream) för att skicka hämtningsförfrågningar innan svarskroppen laddas, d.v.s. du kan börja skicka data utan att vänta på att sidgenereringen ska slutföras.
• För installerade fristående webbapplikationer (PWA, Progressive Web App) är det möjligt att ändra designen av fönstertitelområdet med hjälp av Window Controls Overlay-komponenterna, som utökar webbapplikationens skärmyta till hela fönstret och göra det möjligt att ge webbapplikationen utseendet av en vanlig skrivbordsapplikation. En webbapplikation kan styra renderingen och bearbetningen av indata i hela fönstret, med undantag för överläggsblocket med vanliga fönsterkontrollknappar (stäng, minimera, maximera).
• Möjligheten att komma åt Media Source Extensions från dedikerade arbetare (i DedicatedWorker-sammanhang) har stabiliserats, vilket till exempel kan användas för att förbättra prestandan för buffrad uppspelning av multimediadata genom att skapa ett MediaSource-objekt i en separat arbetare och sända resultat av sitt arbete till HTMLMediaElement i huvudtråden.
• I Client Hints API, som utvecklas för att ersätta User-Agent-headern och möjliggör selektiv retur av data om specifika webbläsar- och systemparametrar (version, plattform etc.) endast efter en begäran. server, har lagt till stöd för egenskapen Sec-CH-Viewport-Heigh, som låter dig hämta information om viewportens höjd. Markupformatet för att ange Client Hints-parametrar i "meta"-taggen för externa resurser har ändrats: Tidigare: Det blev:
• Lade till möjligheten att skapa globala onbeforeinput-händelsehanterare (document.documentElement.onbeforeinput), med vilka webbapplikationer kan åsidosätta beteendet vid redigering av text i block , och andra element med attributet "contenteditable", innan webbläsaren ändrar elementets innehåll och DOM-träd.
• Funktionerna hos Navigation API har utökats, vilket gör att webbapplikationer kan fånga upp navigeringsoperationer i ett fönster, initiera en övergång och analysera historiken för åtgärder med applikationen. Lade till nya metoder intercept() för att fånga upp en övergång och scroll() för att scrolla till en given position.
• Lade till den statiska metoden Response.json(), som låter dig generera en svarskropp baserat på data av typen JSON.
• Förbättringar har gjorts av verktyg för webbutvecklare. I debuggern, när en brytpunkt utlöses, är redigering av toppfunktionerna i stacken tillåten, utan att avbryta felsökningssessionen. Inspelningspanelen, som låter dig spela in, spela upp och analysera användaråtgärder på en sida, stöder brytpunkter, steg-för-steg-uppspelning och inspelning av mouseover-händelser.

  LCP-mätvärden (Largest Contentful Paint) har lagts till i prestandainstrumentpanelen för att identifiera förseningar vid rendering av stora (användarsynliga) element i det synliga området, såsom bilder, videor och blockelement. I elementpanelen är de översta lagren som visas ovanpå annat innehåll markerade med en speciell ikon. WebAssembly ger möjlighet att ladda felsökningsdata i DWARF-format.

Förutom innovationer och buggfixar eliminerar den nya versionen 24 sårbarheter. Många av sårbarheterna identifierades som ett resultat av automatiserade tester med hjälp av verktygen AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer och AFL. Inga kritiska problem har identifierats som skulle tillåta en att kringgå alla nivåer av webbläsarskydd och exekvera kod på systemet utanför sandlådemiljön. Som en del av programmet för att betala kontantbelöningar för att upptäcka sårbarheter för den aktuella versionen, betalade Google ut 21 utmärkelser värda $60500 10000 (en utmärkelse på $9000 7500, en utmärkelse på $7000 5000, en utmärkelse på $3000 2000, en utmärkelse på $1000 XNUMX, två utmärkelser på $XNUMX XNUMX, fyra utmärkelser på $XNUMX XNUMX, två utmärkelser på $XNUMX XNUMX $XNUMX och en $XNUMX bonus). Storleken på de sju belöningarna har ännu inte fastställts.

Källa: opennet.ru