Реліз Chrome 113

Компанія Google представила реліз web-браузера Chrome 113. Одночасно доступний стабільний випуск вільного проекту Chromium, який є основою Chrome. Браузер Chrome відрізняється від Chromium використанням логотипів Google, наявністю системи відправлення повідомлень у разі краху, модулями для відтворення захищеного від копіювання відеоконтенту (DRM), системою автоматичної установки оновлень, постійним включенням Sandbox-ізоляції, постачанням ключів до Google API та передачею при пошуку RL параметрів. Для тих, кому потрібно більше часу на оновлення, окремо підтримується гілка Extended Stable, що супроводжується 8 тижнів. Наступний випуск Chrome 114 заплановано на 30 травня.

Основні зміни в Chrome 113:

• За умовчанням включена підтримка графічного API WebGPU та мови шейдерів WGSL (WebGPU Shading Language). WebGPU надає схожий з Vulkan, Metal та Direct3D 12 програмний інтерфейс для виконання операцій на стороні GPU, таких як рендеринг та обчислення, а також дозволяє використовувати мову шейдрів для написання програм, що працюють на стороні GPU. Підтримка WebGPU поки що включена лише у збірках для ChromeOS, macOS та Windows, а для Linux та Android буде активована пізніше.
• Продовжено роботу з оптимізації продуктивності. Щодо гілки 112, швидкість проходження тесту Speedometer 2.1 збільшилася на 5%.
• Для користувачів почалося поступове включення режиму сегментування сховища, Service Worker і комунікаційних API, які при обробці сторінки поділяються в прив'язці до доменів, що ізолює сторонні обробники. Режим дозволяє блокувати методи відстеження переміщень користувача між сайтами, що базуються на зберіганні ідентифікаторів у загальних сховищах та областях, не призначених для постійного зберігання інформації («Supercookies»), наприклад, що працюють через оцінку наявності певних даних у браузерних кешах. Спочатку при обробці сторінки всі ресурси зберігалися в загальному просторі імен (same-origin) незалежно від вихідного домену, що дозволяло одному сайту визначати завантаження ресурсів з іншого сайту через маніпуляції з локальним сховищем, API IndexedDB або перевірку наявності даних у кеші.

  При сегментуванні до ключа, що застосовується для вилучення об'єктів з кешу та браузерних сховищ, прикріплюється окрема ознака, що визначає прив'язку до первинного домену, з якого відкрита основна сторінка, що обмежує область охоплення скриптів відстеження переміщень, наприклад, завантажуваних через iframe з іншого сайту. Для примусової активації сегментування, не чекаючи штатного включення, можна використовувати налаштування «chrome://flags/#third-party-storage-partitioning».

  

• Запропоновано механізм First-Party Sets (FPS), що дозволяє визначити взаємозв'язок між різними сайтами однієї організації або проекту спільної обробки Cookie між ними. Можливість корисна, коли один сайт доступний через різні домени (наприклад, opennet.ru та opennet.me). Cookie для подібних доменів повністю розділені, але за допомогою FPS їх можна зв'язати в загальне сховище. Для включення FPS можна використовувати прапор "chrome://flags/enable-first-party-sets".
• Проведено суттєву оптимізацію програмної реалізації кодувальника відео у форматі AV1 (libaom), що дозволило підвищити продуктивність web-додатків, що використовують WebRTC, таких як системи проведення відеоконференцій. Додано новий режим швидкості 10, що підходить для пристроїв з обмеженими ресурсами CPU. При тестуванні програми Google Meet на каналі з пропускною здатністю 40 kbps режим AV1 Speed ​​10 у порівнянні з режимом VP9 speed 7 дозволив досягти збільшення якості на 12% та приросту продуктивності на 25%.
• При включенні розширеного захисту браузера (Safe Browsing > Enhanced protection) з метою виявлення на стороні Google шкідливої ​​активності в додатках реалізовано збір телеметрії про роботу браузерних додатків, встановлених не з каталогу Chrome Store. Надсилаються такі дані як хеші файлів доповнення та вміст manifest.json.
• Частина користувачів включає додаткові можливості автозаполення форм, націлені на швидке заповнення адреси доставки та платіжних реквізитів при здійсненні покупок у деяких інтернет-магазинах.
• Проведено реструктуризацію меню, яке показується при натисканні на піктограму «три точки». На перший рівень меню перенесені пункти "Розширення" та "Chrome Web Store".
• Додано можливість перекладу іншою мовою лише виділеного фрагмента сторінки, а не лише всієї сторінки (переклад ініціюється з контекстного меню). Для керування включенням часткового перекладу запропоновано налаштування "chrome://flags/#desktop-partial-translate".
• На сторінці, що показується при відкритті нової вкладки, додана можливість відновлення перерваних робіт (Journey), наприклад, можна продовжити пошук з перерваної позиції.
• У версії для Android реалізовано нову службову сторінку «chrome://policy/logs» для налагодження адміністратором виставлених для користувачів політик централізованого управління.
• У збірці для платформи Android реалізована можливість показу більш персоналізованого вмісту в розділі рекомендованого контенту (Discover). Крім того, додана можливість налаштування потрібних типів рекомендацій (наприклад, можна приховати вміст з деяких джерел) для користувачів не підключених до облікового запису в Google.
• У версії для платформи Android запропонований новий інтерфейс для вибору мультимедійних файлів для завантаження фотографій та відео (замість власної реалізації задіяний штатний інтерфейс Android Media Picker).
• У CSS реалізовано стандартний синтаксис функції image-set(), що дозволяє вибрати зображення з набору варіантів з різною роздільною здатністю, що найбільше підходить для поточних параметрів екрану і пропускної здатності мережного підключення. Виклик з префіксом -webkit-image-set(), що раніше підтримувався, пропонував специфічний для Chrome синтаксис, тепер замінений на стандартний image-set.
• У CSS додано підтримку нових медіазапитів (@media) overflow-inline та overflow-block, що дозволяють визначити, як буде оброблено вихід вмісту за початкові межі блоку.
• У CSS додано медіазапит update, що дає можливість визначення стилів під час виведення на друк або показу на повільних (наприклад, екрани електронних книг) і швидких (звичайні монітори) екранах.
• CSS додана функція linear() для застосування лінійної інтерполяції між заданим числом точок, що може використовуватися для створення складних анімацій, таких як ефекти відскакування і розтягування.
• У методі Headers.getSetCookie() реалізовано можливість вилучення значень із переданих одному запиту кількох заголовків Set-Cookie без їх об'єднання.
• В API WebAuthn додано розширення largeBlob для зберігання великих бінарних даних, пов'язаних з обліковими даними.
• Увімкнено API Private State Token для поділу користувачів без використання міжсайтових ідентифікаторів.
• Сайтам заборонено встановлення властивості document.domain для застосування умов same-origin до ресурсів, що завантажуються з різних піддоменів. У разі потреби встановлення каналу зв'язку між піддоменами слід використовувати функцію postMessage() або API Channel Messaging.
• Внесено покращення до інструментів для web-розробників. На панелі інспектування мережевої активності з'явилася можливість перевизначення або створення нових HTTP-заголовків відповідей, що повертаються web-сервером (Network > Headers > Response Headers). Додатково надано можливість редагування всіх перевизначень в одному місці через редагування файлу .headers у розділі Sources > Overrides та створення замін по масці. Покращено налагодження додатків, що використовують web-фреймворки Nuxt, Vite та Rollup. Покращена діагностика проблем із CSS в панелі Styles (розділено відзначаються помилки в іменах властивостей і в значеннях, що присвоюються). У web-консолі додано можливість виводу рекомендацій автодополення при натисканні Enter (а не тільки при натисканні табуляції або стрілки вправо).

Крім нововведень та виправлення помилок у новій версії усунено 15 вразливостей. Багато вразливостей виявлено в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer та AFL. Критичних проблем, які дозволяють обійти всі рівні захисту браузера та виконати код у системі за межами sandbox-оточення, не виявлено. У рамках програми з виплати грошової винагороди за виявлення вразливостей для поточного релізу компанія Google виплатила 10 премій на суму 30.5 тисяч доларів США (по одній премії $7500. $5000 і $4000, дві премії $3000, три премії $2000 і дві премії $1000).

Джерело: opennet.ru