Компанія Google представила реліз web-браузера Chrome 96. Одночасно доступний стабільний випуск вільного проекту Chromium, який є основою Chrome. Браузер Chrome відрізняється використанням логотипів Google, наявністю системи надсилання повідомлень у разі краху, модулями для відтворення захищеного відеоконтенту (DRM), системою автоматичної установки оновлень та передачею під час пошуку RLZ-параметрів. Гілка Chrome 96 супроводжуватиметься 8 тижнів у рамках циклу Extended Stable. Наступний випуск Chrome 97 заплановано на 4 січня.
Основні зміни в Chrome 96:
- На панелі закладок, що відображається під адресним рядком, за замовчуванням прихована кнопка Apps («Сервіси»), що дозволяла відкрити сторінку «chrome://apps» зі списком встановлених сервісів та web-додатків.
- Припинено підтримку платформи Android 5.0 і ранніх версій.
- Додана підтримка перенаправлення з HTTP на HTTPS з використанням DNS (при визначенні IP-адреси крім DNS-записів «A» та «AAAA» також запитується DNS-запис «HTTPS», за наявності якого браузер відразу підключиться до сайту за HTTPS).
- У редакції для десктоп-систем кеш переходу (Back-forward cache), що забезпечує миттєвий перехід під час використання кнопок «Назад» і «Вперед», розширено підтримкою навігації по сторінках, що були переглянуті після відкриття іншого сайту.
- Додано налаштування «chrome://flags#force-major-version-to-100» для тестування можливого порушення роботи сайтів після досягнення браузером версії, що складається з трьох цифр замість двох (свого часу після випуску Chrome 10 у бібліотеках розбору User-Agent випливло багато проблем). При активації опції у заголовку User-Agent починає видаватися версія 100 (Chrome/100.0.4664.45).
- У збірках для платформи Windows дані, пов'язані з роботою мережевих сервісів (cookie тощо), переміщені в окремий підкаталог "Network" у рамках підготовки до реалізації механізму мережевої ізоляції (Network Sandbox).
- У режимі Origin Trials (експериментальні можливості, що потребують окремої активації), додано кілька нових API. Origin Trial має на увазі можливість роботи із зазначеним API з додатків, завантажених з localhost або 127.0.0.1, або після проходження реєстрації та отримання спеціального токена, який діє обмежений час для конкретного сайту.
- Запропоновано об'єкт FocusableMediaStreamTrack (перейменований у BrowserCaptureMediaStreamTrack), який підтримує метод focus(), за допомогою якого програми, що здійснюють захоплення вмісту вікон або вкладок (наприклад, програми для трансляції вмісту вікон під час відеоконференцій), можуть отримати інформацію про фокус введення і відстежити його .
- Реалізовано механізм Priority Hints, що дозволяє задати важливість того чи іншого ресурсу, що завантажується через вказівку додаткового атрибуту «importance» в тегах, таких як iframe, img і link. Атрибут може приймати значення "auto" та "low", and "high", які впливають на порядок завантаження браузером зовнішніх ресурсів.
- У заголовок Cross-Origin-Embedder-Policy, який керує режимом ізоляції Cross-Origin і дозволяє визначати правила безпечного використання на сторінці привілейованих операцій, додана підтримка параметра «credentialless» для відключення передачі інформації, пов'язаної з обліковими даними, такої як Cookie та клієнтські сертифікати.
- У CSS запропонований новий псевдо-клас ": autofill", що дозволяє відстежити автоматичне заповнення браузером полів у тезі input (при ручному заповненні селектор не спрацьовує).
- Для виключення зациклювань запитів CSS-властивості writing-mode, direction і backgrounds тепер не поширюються на viewport при застосуванні CSS-властивості contain (CSS Containment) до тегів HTML або BODY.
- Додано CSS-властивість font-synthesis, що дозволяє керувати можливістю синтезу накреслень (oblique, bold та small-cap), відсутніх у вибраному сімействі шрифтів.
- API PerformanceEventTiming, що дозволяє отримати додаткові відомості для вимірювання та оптимізації чуйності інтерфейсу, доданий атрибут InteractionID з ідентифікатором взаємодії з користувачем. Ідентифікатор дозволяє пов'язувати різні метрики з однією дією користувача, наприклад, при дотику до сенсорного екрану генерується кілька подій, таких як pointerdown, mousedown, pointerup, mouseup і click, і InteractionID дозволяє пов'язати всі ці події з одним дотиком.
- Доданий новий тип медіавиражень (Media Query) - "prefers-contras" для адаптації вмісту сторінки до налаштувань контрастності, виставлених в операційній системі (наприклад, увімкнення режиму високої контрастності).
- Для відокремлених PWA-програм в маніфесті додано підтримку необов'язкового поля «id» з глобальним ідентифікатором програми (якщо поле не вказане для ідентифікації використовується стартова URL-адреса).
- Для відокремлених PWA-додатків реалізовано можливість реєстрації як обробників URL. Наприклад, програма music.example.com може зареєструвати себе як обробник URL https://*.music.example.com і всі переходи із зовнішніх додатків за даними посиланнями, наприклад, з месенджерів та поштових клієнтів, будуть призводити до відкриття цього PWA- додатків, а не нової вкладки у браузері.
- Додано директиву CSP (Content Security Policy) wasm-unsafe-eval для керування можливістю запуску коду на WebAssembly. Застосування CSP-директиви script-src охоплює і WebAssembly.
- У WebAssembly додана підтримка типів посилань (тип externref). Модулі WebAssembly тепер можуть зберігати в змінних і передавати як аргументи посилання на об'єкти JavaScript та DOM.
- У PaymentMethodData оголошена застарілою підтримка методу платежів "basic-card", що дозволяв організувати роботу з будь-якими типами карток через єдиний ідентифікатор, без прив'язки до окремих типів даних. Замість "basic-card" пропонується використовувати альтернативні методи, такі як Google Pay, Apple Pay та Samsung Pay.
- При використанні сайтом API U2F (Cryptotoken) користувачеві буде відображатись попередження з інформацією про старіння даного програмного інтерфейсу. API U2F буде вимкнено за замовчуванням у випуску Chrome 98 і повністю видалено в Chrome 104. Замість API U2F слід використовувати API Web Authentication.
- Внесено покращення до інструментів для web-розробників. Додана нова панель «Огляд CSS» (CSS Overview), в якій пропонується зведення інформації про кольори, шрифти, оголошення, що не використовуються і медіавираження, а також виділяються можливі проблеми. Покращено операції редагування та копіювання CSS. На панелі Стилі (Styles) в контекстному меню додано опцію для копіювання CSS-визначень у формі виразів JavaScript. На панелі інспектування мережевих запитів додано вкладку Payload з розбором параметрів запиту. У web-консолі додано опцію для приховування всіх помилок CORS (Cross-Origin Resource Sharing) та забезпечено виведення трасування стека для функцій async.
Окрім нововведень та виправлення помилок у новій версії усунено 25 вразливостей. Багато вразливостей виявлено в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer та AFL. Критичних проблем, які дозволяють обійти всі рівні захисту браузера та виконати код у системі за межами sandbox-оточення, не виявлено. У рамках програми з виплати грошової винагороди за виявлення вразливостей для поточного релізу Google виплатила 13 премій на суму 60 тисяч доларів США (одна премія $15000, одна премія $10000, дві премії $7500, одна премія $5000, дві премії $3000, одна премія $2500 премії $2000, дві премії $1000 і одна премія $500). Розмір 5 винагород поки не визначений.
Джерело: opennet.ru