Google har avslöjat lanseringen av webbläsaren Chrome 94. Samtidigt finns en stabil version av det kostnadsfria Chromium-projektet, som fungerar som grunden för Chrome, tillgänglig. Chrome-webbläsaren kännetecknas av användningen av Googles logotyper, närvaron av ett system för att skicka aviseringar vid en krasch, moduler för att spela skyddat videoinnehåll (DRM), ett system för automatisk installation av uppdateringar och överföring av RLZ-parametrar vid sökning. Nästa version av Chrome 95 är planerad till den 19 oktober.
Från och med lanseringen av Chrome 94 gick utvecklingen över till en ny releasecykel. Nya betydande utgåvor kommer nu att publiceras var 4:e vecka, snarare än var 6:e vecka, vilket möjliggör snabbare leverans av nya funktioner till användarna. Det noteras att optimering av releaseförberedelseprocessen och förbättring av testsystemet gör att releaser kan genereras oftare utan att kompromissa med kvaliteten. För företag och de som behöver mer tid att uppdatera kommer en Extended Stable-utgåva att släppas separat var 8:e vecka, vilket gör att du kan byta till nya funktionssläpp inte en gång var 4:e vecka, utan en gång var 8:e vecka.
Viktiga ändringar i Chrome 94:
- Lade till HTTPS-First-läge, som påminner om HTTPS Only-läget som tidigare dök upp i Firefox. Om läget är aktiverat i inställningarna, när du försöker öppna en resurs utan kryptering via HTTP, kommer webbläsaren först att försöka komma åt webbplatsen via HTTPS, och om försöket misslyckas kommer användaren att visas en varning om bristen på HTTPS-stöd och bad att öppna webbplatsen utan kryptering. I framtiden överväger Google att aktivera HTTPS-First som standard för alla användare, begränsa åtkomsten till vissa webbplattformsfunktioner för sidor som öppnas över HTTP, och lägga till ytterligare varningar för att informera användarna om riskerna som uppstår när de går åt till webbplatser utan kryptering. Läget är aktiverat i avsnittet "Sekretess och säkerhet" > "Säkerhet" > "Avancerat" inställningar.
- För sidor som öppnas utan HTTPS, skicka förfrågningar (nedladdningsresurser) till lokala webbadresser (till exempel "http://router.local" och localhost) och interna adressintervall (127.0.0.0/8, 192.168.0.0/16, 10.0.0.0) är förbjudet .8/1.2.3.4, etc.). Ett undantag görs endast för sidor som laddas ner från servrar med interna IP-adresser. Till exempel kommer en sida som laddas från server 192.168.0.1 inte att kunna komma åt en resurs som finns på IP 127.0.0.1 eller IP 192.168.1.1, men laddad från server XNUMX kommer att kunna. Ändringen introducerar ett extra lager av skydd mot exploatering av sårbarheter i hanterare som accepterar förfrågningar på lokala IP:er, och kommer också att skydda mot DNS-återbindningsattacker.
- Lade till funktionen "Sharing Hub", som låter dig snabbt dela en länk till den aktuella sidan med andra användare. Det är möjligt att generera en QR-kod från en URL, spara en sida, skicka en länk till en annan enhet kopplad till ett användarkonto och överföra en länk till tredje parts sajter som Facebook, WhatsUp, Twitter och VK. Denna funktion har ännu inte gjorts tillgänglig för alla användare. För att tvinga fram knappen "Dela" i menyn och adressfältet kan du använda inställningarna "chrome://flags/#sharing-hub-desktop-app-menu" och "chrome://flags/#sharing-hub- skrivbordets adressfält”.
- Gränssnittet för webbläsarinställningar har omstrukturerats. Varje inställningssektion visas nu på en separat sida, snarare än på en gemensam sida.
- Stöd för dynamisk uppdatering av loggen över utfärdade och återkallade certifikat (Certificate Transparency) har implementerats, som nu kommer att uppdateras utan referens till webbläsaruppdateringar.
- Lade till en tjänstsida "chrome://whats-new" med en översikt över användarsynliga ändringar i den nya versionen. Sidan visas automatiskt omedelbart efter uppdatering eller är tillgänglig via knappen Nyheter i Hjälp-menyn. Sidan nämner för närvarande fliksökning, möjligheten att dela profiler och en funktion för att ändra bakgrundsfärg, som inte är specifika för Chrome 94 och introducerades i tidigare utgåvor. Att visa sidan är ännu inte aktiverat för alla användare: för att styra aktiveringen kan du använda inställningarna "chrome://flags#chrome-whats-new-ui" och "chrome://flags#chrome-whats-new-in" -huvudmeny- nytt-märke".
- Anrop av WebSQL API från innehåll som laddats från tredje parts webbplatser (som en iframe) har fasats ut. I Chrome 94, när man försöker komma åt WebSQL från tredjepartsskript, visas en varning, men från och med Chrome 97 kommer sådana samtal att blockeras. I framtiden planerar vi att fasa ut stödet för WebSQL helt, oavsett användningskontext. WebSQL-motorn är baserad på SQLite-kod och kan användas av angripare för att utnyttja sårbarheter i SQLite.
- Av säkerhetsskäl och för att förhindra skadlig aktivitet har användningen av det äldre MK (URL:MK)-protokollet, som en gång använts i Internet Explorer och tillåter webbapplikationer att extrahera information från komprimerade filer, börjat blockeras.
- Stöd för synkronisering med äldre versioner av Chrome (Chrome 48 och äldre) har upphört.
- HTTP-huvudet Permissions-Policy, designat för att möjliggöra vissa funktioner och kontrollera åtkomst till API:t, har lagt till stöd för flaggan "display-capture", som låter dig styra användningen av Screen Capture API på sidan (som standard, möjligheten att fånga skärminnehåll från externa iframes är blockerad).
- Flera nya API:er har lagts till i Origin Trials-läget (experimentella funktioner som kräver separat aktivering). Origin Trial innebär möjligheten att arbeta med det specificerade API:et från applikationer som laddats ner från localhost eller 127.0.0.1, eller efter registrering och mottagande av en speciell token som är giltig under en begränsad tid för en specifik webbplats.
- Lade till WebGPU API, som ersätter WebGL API och tillhandahåller verktyg för att utföra GPU-operationer som rendering och beräkning. Begreppsmässigt ligger WebGPU nära API:erna Vulkan, Metal och Direct3D 12. Begreppsmässigt skiljer sig WebGPU från WebGL på ungefär samma sätt som Vulkans grafik-API skiljer sig från OpenGL, men det är inte baserat på ett specifikt grafik-API, utan är ett universellt lager som använder samma lågnivåprimitiv som finns i Vulkan, Metal och Direct3D 12.
WebGPU tillhandahåller JavaScript-applikationer med kontroll på låg nivå över organisationen, bearbetningen och överföringen av kommandon till GPU:n, samt möjligheten att hantera tillhörande resurser, minne, buffertar, texturobjekt och kompilerade grafikskuggningar. Detta tillvägagångssätt gör att du kan uppnå högre prestanda för grafikapplikationer genom att minska omkostnader och öka effektiviteten i arbetet med grafikprocessorn. API:et gör det också möjligt att skapa komplexa 3D-projekt för webben som fungerar lika bra som fristående program, men som inte är knutna till specifika plattformar.
- Fristående PWA-applikationer har nu möjlighet att registrera sig som URL-hanterare. Till exempel kan applikationen music.example.com registrera sig som URL-hanterare https://*.music.example.com och alla övergångar från externa applikationer som använder dessa länkar, till exempel från snabbmeddelanden och e-postklienter, kommer att leda till öppnandet av denna PWA-applikationer, inte en ny webbläsarflik.
- Stöd för den nya HTTP-svarskoden - 103 har implementerats, som kan användas för att visa rubriker i förväg. Kod 103 låter dig informera klienten om innehållet i vissa HTTP-rubriker omedelbart efter begäran, utan att vänta på att servern ska slutföra alla operationer relaterade till begäran och börja leverera innehållet. På liknande sätt kan du ge tips om element relaterade till sidan som visas som kan laddas i förväg (till exempel kan länkar till css och javascript som används på sidan tillhandahållas). Efter att ha fått information om sådana resurser kommer webbläsaren att börja ladda ner dem utan att vänta på att huvudsidan ska slutföras, vilket gör att du kan minska den totala bearbetningstiden för begäran.
- Lade till WebGPU API, som ersätter WebGL API och tillhandahåller verktyg för att utföra GPU-operationer som rendering och beräkning. Begreppsmässigt ligger WebGPU nära API:erna Vulkan, Metal och Direct3D 12. Begreppsmässigt skiljer sig WebGPU från WebGL på ungefär samma sätt som Vulkans grafik-API skiljer sig från OpenGL, men det är inte baserat på ett specifikt grafik-API, utan är ett universellt lager som använder samma lågnivåprimitiv som finns i Vulkan, Metal och Direct3D 12.
- WebCodecs API har lagts till för manipulering av mediaströmmar på låg nivå, som komplement till HTMLMediaElement på hög nivå, Media Source Extensions, WebAudio, MediaRecorder och WebRTC API. Det nya API:et kan vara efterfrågat inom områden som spelströmning, klientbieffekter, streamomkodning och stöd för icke-standardiserade multimediabehållare. Istället för att implementera individuella codecs i JavaScript eller WebAssembly ger WebCodecs API tillgång till förbyggda, högpresterande komponenter inbyggda i webbläsaren. WebCodecs API tillhandahåller särskilt ljud- och videoavkodare och kodare, bildavkodare och funktioner för att arbeta med individuella videorutor på låg nivå.
- Insertable Streams API har stabiliserats, vilket gör det möjligt att manipulera råa mediaströmmar som överförs via MediaStreamTrack API, såsom kamera- och mikrofondata, skärmdumpningsresultat eller mellanliggande codec-avkodningsdata. WebCodec-gränssnitt används för att presentera råa ramar och en ström genereras liknande vad WebRTC Insertable Streams API genererar baserat på RTCPeerConnections. På den praktiska sidan tillåter det nya API:et funktionalitet som att tillämpa maskininlärningstekniker för att identifiera eller kommentera objekt i realtid, eller lägga till effekter som bakgrundsklippning före kodning eller efter avkodning med en codec.
- Metoden scheduler.postTask() har stabiliserats, så att du kan styra schemaläggningen av uppgifter (JavaScript-återuppringning) med olika prioritetsnivåer. Tre prioritetsnivåer tillhandahålls: 1- exekvering först, även om användaroperationer kan blockeras; 2—ändringar som är synliga för användaren är tillåtna; 3 - utförande i bakgrunden). Du kan använda TaskController-objektet för att ändra prioritet och avbryta uppgifter.
- Stabiliserad och nu distribuerad utanför Origin Trials API Idle Detection för att upptäcka användarinaktivitet. API:et låter dig upptäcka tider när användaren inte interagerar med tangentbordet/musen, skärmsläckaren är igång, skärmen är låst eller arbete utförs på en annan bildskärm. Att informera applikationen om inaktivitet görs genom att skicka ett meddelande efter att en angiven inaktivitetströskel har nåtts.
- Processen för färghantering i CanvasRenderingContext2D- och ImageData-objekt och användningen av sRGB-färgrymden i dem har formaliserats. Ger möjlighet att skapa CanvasRenderingContext2D- och ImageData-objekt i andra färgrymder än sRGB, som Display P3, för att dra fördel av de avancerade funktionerna hos moderna bildskärmar.
- Lade till metoder och egenskaper till VirtualKeyboard API för att kontrollera om det virtuella tangentbordet visas eller döljs, och för att få information om storleken på det visade virtuella tangentbordet.
- JavaScript tillåter klasser att använda statiska initialiseringsblock för att gruppera kod som exekveras en gång när klassen bearbetas: class C { // Blocket kommer att köras när klassen själv bearbetas static { console.log("C:s statiska block"); } }
- Egenskaperna flex-bas och flex CSS implementerar nyckelorden innehåll, min-innehåll, max-innehåll och passform för att ge mer flexibel kontroll över storleken på huvudområdet i Flexbox.
- Lade till egenskapen scrollbar-gutter CSS för att styra hur skärmutrymme reserveras för rullningslisten. Till exempel, när du inte vill att innehållet ska rulla, kan du utöka utmatningen så att den upptar rullningslistens område.
- Self Profiling API har lagts till med implementeringen av ett profileringssystem som låter dig mäta körtiden för JavaScript på användarsidan för att felsöka prestandaproblem i JavaScript-kod, utan att tillgripa manuella manipulationer i gränssnittet för webbutvecklare.
- Efter att ha tagit bort Flash-pluginen beslutades det att returnera tomma värden i egenskaperna navigator.plugins och navigator.mimeTypes, men som det visade sig använde vissa applikationer dem för att kontrollera om det fanns plugins för att visa PDF-filer. Eftersom Chrome har en inbyggd PDF-visare kommer egenskaperna navigator.plugins och navigator.mimeTypes nu att returnera en fast lista med standardinsticksprogram för PDF-visning och MIME-typer - "PDF Viewer, Chrome PDF Viewer, Chromium PDF Viewer, Microsoft Edge PDF Viewer och WebKit inbyggd PDF".
- Förbättringar har gjorts av verktyg för webbutvecklare. Nest Hub- och Nest Hub Max-enheter har lagts till i skärmsimuleringslistan. En knapp för att invertera filter har lagts till i gränssnittet för att inspektera nätverksaktivitet (till exempel när du installerar "status-kod: 404"-filtret kan du snabbt se alla andra förfrågningar), och har även gett möjligheten att se de ursprungliga värdena av Set-Cookie-rubrikerna (låter dig utvärdera förekomsten av felaktiga värden som tas bort vid normalisering). Sidofältet i webbkonsolen har fasats ut och kommer att tas bort i en framtida version. Lade till experimentell förmåga att dölja problem på fliken Problem. I inställningarna har möjligheten att välja gränssnittsspråk lagts till.
Förutom innovationer och buggfixar eliminerar den nya versionen 19 sårbarheter. Många av sårbarheterna identifierades som ett resultat av automatiserade tester med hjälp av verktygen AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer och AFL. Inga kritiska problem har identifierats som skulle tillåta en att kringgå alla nivåer av webbläsarskydd och exekvera kod på systemet utanför sandlådemiljön. Som en del av programmet för att betala kontantbelöningar för att upptäcka sårbarheter för den aktuella utgåvan, betalade Google ut 17 utmärkelser värda $56500 15000 (en utmärkelse på $10000 7500, två utmärkelser på $3000 1000, en utmärkelse på $7 XNUMX, fyra utmärkelser på $XNUMX XNUMX, två utmärkelser på $XNUMX XNUMX). Storleken på de XNUMX belöningarna har ännu inte fastställts.
Källa: opennet.ru