Chrome versiyasi 84

Google taqdim veb-brauzer versiyasi Chrome 84... Bir vaqtning o'zida mavjud bepul loyihaning barqaror chiqarilishi Chromium, bu Chrome brauzerining asosi bo'lib xizmat qiladi. Chrome brauzeri farq qiladi Google logotiplaridan foydalanish, buzilish holatlarida bildirishnomalarni yuborish tizimining mavjudligi, so'rov bo'yicha Flash modulini yuklab olish imkoniyati, himoyalangan video kontentini o'ynash modullari (DRM), yangilanishlarni avtomatik ravishda o'rnatish va qidiruv paytida uzatish tizimi. RLZ parametrlari. Chrome 85 ning navbatdagi chiqarilishi 25 avgustga rejalashtirilgan.

asosiy o'zgartirish в Chrome 84:

• O'chirilgan TLS 1.0 va TLS 1.1 protokollarini qo'llab-quvvatlash. Xavfsiz aloqa kanali orqali saytlarga kirish uchun server kamida TLS 1.2 ni qo'llab-quvvatlashi kerak, aks holda brauzer xatolikni ko'rsatadi. Google ma'lumotlariga ko'ra, hozirda veb-sahifalarni yuklab olishning taxminan 0.5 foizi TLSning eskirgan versiyalari yordamida amalga oshirilmoqda. O'chirish ga muvofiq amalga oshirildi tavsiyalar IETF (Internet Engineering Task Force). TLS 1.0/1.1 ni rad etish sababi zamonaviy shifrlarni (masalan, ECDHE va AEAD) qo'llab-quvvatlamaslik va eski shifrlarni qo'llab-quvvatlash talabi bo'lib, ularning ishonchliligi hisoblash texnologiyalari rivojlanishining hozirgi bosqichida so'roq qilinadi (masalan,). , TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA uchun qo'llab-quvvatlash talab qilinadi, MD5 va SHA-1). TLS 1.0/1.1 ga qaytishga ruxsat beruvchi sozlama 2021-yil yanvarigacha saqlanib qoladi.
• Bloklash taqdim etilgan xavfli yuklash (shifrlashsiz) bajariladigan fayllar va arxivlarni xavfsiz yuklashda qo'shimcha ogohlantirishlar. Kelajakda fayllarni shifrlashsiz yuklashni qo'llab-quvvatlashni bosqichma-bosqich to'xtatish rejalashtirilgan. Bloklash amalga oshirildi, chunki fayllarni shifrlashsiz yuklab olish MITM hujumlari paytida tarkibni almashtirish orqali zararli harakatlarni amalga oshirish uchun ishlatilishi mumkin.
• Qo'shilgan dastlabki qo'llab-quvvatlash identifikator Mijoz maslahatlari, User-Agent sarlavhasiga muqobil sifatida ishlab chiqilgan. Mijozlarga maslahatlar mexanizmi foydalanuvchi-agent o‘rnini bosuvchi bir qator “Sec-CH-UA-*” sarlavhalarini taklif etadi, bu esa faqat ma’lum brauzer va tizim parametrlari (versiya, platforma va boshqalar) haqidagi ma’lumotlarni tanlab yetkazib berishni tashkil etish imkonini beradi. server so'rovidan keyin. Foydalanuvchi qaysi parametrlarni etkazib berish uchun maqbul ekanligini aniqlash va sayt egalariga bunday ma'lumotlarni tanlash imkoniyatini oladi. Mijoz maslahatlaridan foydalanganda identifikator sukut bo'yicha aniq so'rovsiz uzatilmaydi, bu passiv identifikatsiyani imkonsiz qiladi (sukut bo'yicha faqat brauzer nomi ko'rsatilgan). ish haqida Foydalanuvchi-Agentni birlashtirish qoldirildi keyingi yilgacha.
• Davomi aktivlashtirish
  yanada qattiqroq cheklovlar saytlar o'rtasida Cookie uzatish, qaysi edi bekor qilingan COVID-19 tufayli. HTTPS bo'lmagan so'rovlar uchun joriy sahifaning domenidan boshqa saytlarga kirishda o'rnatilgan uchinchi tomon cookie-fayllarini qayta ishlash taqiqlanadi. Bunday cookie-fayllar reklama tarmoqlari, ijtimoiy tarmoq vidjetlari va veb-tahlil tizimlari kodidagi saytlar orasidagi foydalanuvchi harakatlarini kuzatish uchun ishlatiladi.

  Eslatib o'tamiz, cookie-fayllarni uzatishni boshqarish uchun Set-Cookie sarlavhasida ko'rsatilgan SameSite atributidan foydalaniladi, u sukut bo'yicha “SameSite=Lax” qiymatiga o'rnatiladi, bu esa saytlararo quyi so'rovlar uchun cookie-fayllarni yuborishni cheklaydi. , masalan, tasvir soʻrovi yoki boshqa saytdan iframe orqali kontentni yuklash. Saytlar “Cookie” sozlamasini SameSite=Yo‘q qilib o‘rnatish orqali standart SameSite xatti-harakatlarini bekor qilishi mumkin. Bundan tashqari, SameSite=Cookie uchun hech qanday qiymat faqat Xavfsiz rejimda o'rnatilishi mumkin (HTTPS orqali ulanishlar uchun amal qiladi). O'zgartirish bosqichma-bosqich amalga oshiriladi, foydalanuvchilarning kichik foizidan boshlab, so'ngra asta-sekin uning qamrovini kengaytiradi.

• Eksperimental amaliyot qo'shildi resurs talab qiladigan reklama blokeri, uni “chrome://flags/#enable-heavy-ad-intervention” sozlamasi yordamida yoqish mumkin. Bloklovchi trafik va protsessor yuklama chegaralaridan oshib ketgandan so'ng iframe reklama bloklarini avtomatik ravishda o'chirib qo'yish imkonini beradi. Agar asosiy tarmoq CPU vaqtini jami 60 soniyadan ko'proq yoki 15 soniyali intervalda 30 soniyadan ko'proq sarflagan bo'lsa (50 soniyadan ko'proq vaqt davomida resurslarning 30 foizini iste'mol qilsa), shuningdek, 4 MB dan ortiq bo'lsa, blokirovka boshlanadi. ning ma'lumotlari tarmoq orqali yuklab olindi.

  Bloklash faqat chegaralar oshib ketgunga qadar foydalanuvchi reklama bloki bilan aloqa qilmagan bo'lsa (masalan, uni bosmagan bo'lsa) ishlaydi, bu esa trafik cheklovlarini hisobga olgan holda katta hajmdagi videolarni avtomatik o'ynashga imkon beradi. reklamadagi videolar foydalanuvchi aniq ijro etishni faollashtirmasdan bloklanadi. Taklif etilayotgan chora-tadbirlar foydalanuvchilarni kodni samarasiz amalga oshirish yoki ataylab parazitlik faoliyati (masalan, konchilik) bilan reklama qilishdan qutqaradi. Google statistik ma'lumotlariga ko'ra, blokirovka mezonlariga javob beradigan reklama barcha reklama birliklarining atigi 0.30% ni tashkil qiladi, lekin shu bilan birga, bunday reklama qo'shimchalari protsessor resurslarining 28% va reklamaning umumiy hajmidan 27% trafikni iste'mol qiladi.

• Brauzer oynasi foydalanuvchining ko'rish maydonida bo'lmaganda CPU resurslari sarfini kamaytirish bo'yicha ishlar amalga oshirildi. Chrome endi brauzer oynasi boshqa oynalar bilan qoplangan yoki yo‘qligini tekshiradi va bir-biriga o‘xshash joylarda piksellarni chizishni oldini oladi. Yangi funksiya asta-sekin ishga tushiriladi: optimallashtirish Chrome 84-da baʼzi foydalanuvchilar uchun, Chrome 85ʼda esa boshqalar uchun tanlab yoqiladi.
• Himoya sukut bo'yicha yoqilgan bezovta qiluvchi bildirishnomalar, masalan, push-bildirishnomalarni olish so'rovlari bilan spam. Bunday so'rovlar foydalanuvchi ishini to'xtatib, e'tiborni tasdiqlash dialoglaridagi harakatlardan chalg'itishi sababli, manzillar panelidagi alohida dialog o'rniga, ruxsat so'rovi bloklanganligi to'g'risida ogohlantirish bilan foydalanuvchidan harakat talab qilmaydigan ma'lumot taklifi ko'rsatiladi. , bu avtomatik ravishda chizilgan qo'ng'iroq tasviri bilan indikatorga minimallashtiriladi. Ko'rsatkichni bosish orqali siz istalgan qulay vaqtda so'ralgan ruxsatni faollashtirishingiz yoki rad etishingiz mumkin.
  

• Tashqi protokollar uchun ishlov beruvchilarni ochishda foydalanuvchining tanlovi eslab qoladi - foydalanuvchi ma'lum bir ishlov beruvchi uchun "har doim ushbu saytga ruxsat berish" ni tanlashi mumkin va brauzer joriy saytga nisbatan ushbu qarorni eslab qoladi.
• Aniq roziligisiz foydalanuvchi sozlamalarini o'zgartirishdan himoya qo'shildi. Agar plagin standart qidiruv tizimini yoki yangi yorliq uchun ko'rsatilgan sahifani o'zgartirsa, brauzer endi belgilangan operatsiyani tasdiqlash yoki o'zgartirishni bekor qilishni so'rab dialog oynasini ko'rsatadi.
• Davomi aralash multimedia kontentini yuklashdan himoyani amalga oshirish (resurslar HTTPS sahifasiga http:// protokoli orqali yuklanganda). HTTPS orqali ochilgan sahifalarda “http://” havolalari endi rasmlarni yuklash bilan bog‘liq bloklarda avtomatik ravishda “https://” bilan almashtiriladi (skriptlar va iframes avval almashtirilgan, audio va video resurslarni avtomatik ravishda almashtirish kutilmoqda. keyingi nashr). Agar https orqali rasm mavjud bo'lmasa, uni yuklab olish bloklanadi (siz manzil satridagi qulf belgisi orqali kirish mumkin bo'lgan menyu orqali blokirovkani qo'lda belgilashingiz mumkin).
• API qo'llab-quvvatlash qo'shildi Veb OTP (SMS Receiver API sifatida ishlab chiqilgan), bu brauzer ishlayotgan foydalanuvchining Android smartfoniga yetkazilgan tasdiqlash kodi bilan SMS-xabarni olgandan keyin veb-sahifaga bir martalik parolni kiritishni tashkil qilish imkonini beradi. SMS-tasdiqlash, masalan, ro'yxatdan o'tish paytida foydalanuvchi tomonidan ko'rsatilgan telefon raqamini tekshirish uchun ishlatilishi mumkin. Agar ilgari foydalanuvchi SMS ilovasini ochishi, undan kodni buferga nusxalashi, brauzerga qaytishi va ushbu kodni joylashtirishi kerak bo'lsa, yangi API bu jarayonni avtomatlashtirish va uni bir teginish bilan qisqartirish imkonini beradi.
• API kengaytirildi Veb-animatsiyalar
  veb-animatsiyani ijro qilishni boshqarish uchun. Yangi versiya kompozitsion operatsiyalarni qo'llab-quvvatlaydi, bu sizga effektlar qanday birlashtirilishini nazorat qilish imkonini beradi va kontentni almashtirish hodisalari sodir bo'lganda chaqiriladigan yangi ishlov beruvchilarni taqdim etadi. Web Animations API endi animatsiyalarni ko‘rsatish tartibini aniqlash va animatsiyalarning boshqa ilova funksiyalari bilan o‘zaro ta’sirini yaxshiroq nazorat qilish uchun Promise’ni ham qo‘llab-quvvatlaydi.

• Origin Trials rejimiga bir nechta yangi API qo'shildi (alohida faollashtirishni talab qiluvchi eksperimental xususiyatlar). Origin sinovi localhost yoki 127.0.0.1-dan yuklab olingan ilovalardan yoki ma'lum bir sayt uchun cheklangan vaqt uchun amal qiladigan maxsus tokenni ro'yxatdan o'tkazgandan va olgandan keyin belgilangan API bilan ishlash qobiliyatini nazarda tutadi.
  • API Cookie do'koni Document.cookie-dan foydalanishga asinxron muqobil sifatida xizmat qiluvchi HTTP cookie-fayllariga xizmat ishchisi kirishi uchun.
  • API Boʻsh turishni aniqlash foydalanuvchining harakatsizligini aniqlash, bu foydalanuvchi klaviatura/sichqoncha bilan o‘zaro aloqada bo‘lmagan, ekran pardasi ishlayotgan, ekran qulflangan yoki boshqa monitorda ish olib borilayotgan vaqtni aniqlash imkonini beradi. Arizani harakatsizlik to'g'risida xabardor qilish belgilangan harakatsizlik chegarasiga yetgandan so'ng bildirishnoma yuborish orqali amalga oshiriladi.
  • rejimi Kelib chiqishi izolyatsiyasi, ishlab chiquvchiga saytga emas, balki manbaga (kelib chiqishi - domen + port + protokol) nisbatan alohida jarayonda kontentni qayta ishlashning to'liqroq izolyatsiyasidan foydalanishga imkon beradi, bu sinxronlash kabi ba'zi eski xususiyatlarni qo'llab-quvvatlashni to'xtatish evaziga document.domain yordamida skriptlarni bajarish va WebAssembly.Module misollariga xabarlarni yuborish uchun postMessage() ni chaqirish. Boshqacha qilib aytadigan bo'lsak, Origin izolyatsiyasi sahifalardagi barcha begona qo'shimchalar bilan saytni emas, balki resurs domeni asosida turli jarayonlar o'rtasida ajratishni tashkil qilish imkonini beradi.
  • API WebAssembly SIMD WebAssembly formatidagi ilovalarda vektor SIMD ko'rsatmalaridan foydalanish uchun. Platformaning mustaqilligini ta'minlash uchun u har xil turdagi qadoqlangan ma'lumotlarni ifodalashi mumkin bo'lgan yangi 128 bitli turni va paketli ma'lumotlarni qayta ishlash uchun bir nechta asosiy vektor operatsiyalarini taklif qiladi. SIMD sizga ma'lumotlarni qayta ishlashni parallellashtirish orqali samaradorlikni oshirishga imkon beradi va mahalliy kodni WebAssembly-ga kompilyatsiya qilishda foydali bo'ladi. SIMD-ni qo'llab-quvvatlashni yoqish uchun siz "chrome://flags/#enable-webassembly-simd" sozlamasidan foydalanishingiz mumkin.
• Stabillashtirildi va endi Origin sinovlaridan tashqarida tarqatildi
  API Kontentni indekslashProgressive Web Apps (PWS) rejimida ishlaydigan veb-ilovalar tomonidan oldindan keshlangan kontent haqida metama'lumotlarni taqdim etadi. Ilova turli xil ma'lumotlarni, jumladan, tasvirlar, videolar va maqolalarni brauzer tomonida saqlashi mumkin va tarmoq ulanishi yo'qolganda, uni Kesh xotirasi va IndexedDB API'lari yordamida ishlating. Content Indexing API bunday resurslarni qo'shish, topish va o'chirish imkonini beradi. Brauzerda ushbu API allaqachon sahifalar ro'yxatini va oflayn ko'rish uchun mavjud multimedia ma'lumotlarini ro'yxatga olish uchun ishlatiladi.

• API versiyasi barqarorlashtirildi Uyg'otish qulfi avtomatik blokirovka ekranlarini o‘chirish va qurilmalarni quvvatni tejash rejimlariga o‘tkazishni boshqarishning yanada xavfsiz usulini ta’minlovchi Promise mexanizmiga asoslangan.
• Android platformasi uchun versiyada qo'shildi ilova yorliqlarini qo'llab-quvvatlash, ilovadagi mashhur odatiy harakatlarga tezkor kirishni ta'minlash imkonini beradi. Yorliqlarni yaratish uchun PWA (Progressive Web Apps) formatidagi veb-ilova manifestiga elementlar qo'shing.
  

• Web Worker API dan foydalanishga ruxsat berilgan ReportingObserver, bu sizga hisobot yaratish uchun ishlov beruvchini aniqlash imkonini beradi, eskirgan imkoniyatlarga kirishda chaqiriladi. Yaratilgan hisobot foydalanuvchining ixtiyoriga ko'ra saqlanishi, serverga yuborilishi yoki JavaScript skripti orqali qayta ishlanishi mumkin.
• API yangilandi Observer hajmini o'zgartirish, bu sizga sahifadagi ko'rsatilgan elementlarning o'lchamidagi o'zgarishlar haqida bildirishnomalar yuboriladigan ishlov beruvchini ulash imkonini beradi. ResizeObserverEntry-ga uchta yangi xususiyat qo'shildi: contentBoxSize, borderBoxSize va devicePixelContentBoxSize, ResizeObserverSize ob'ektlari massivi sifatida qaytarilgan batafsil ma'lumotni taqdim etish.
• Kalit so'z qo'shildi "qaytmoq» element uslubini standart qiymatiga qaytarish uchun.
• "-webkit-appearance" va "-webkit-ruby-position" CSS xususiyatlari uchun prefiks olib tashlandi, ular endi "" sifatida mavjud.paydo bo'lish"Va"yoqut pozitsiyasi".
• JavaScript-da amalga oshirildi sinfning usullari va xususiyatlarini xususiy deb belgilashni qo'llab-quvvatlash, shundan so'ng ularga kirish faqat sinf ichida ochiq bo'ladi (ilgari faqat maydonlar shaxsiy bo'lishi mumkin edi). Usullar va xususiyatlarni shaxsiy belgilash uchun: belgilang maydon nomidan oldin "#" belgisi mavjud.
• JavaScript-da qo'shildi qo'llab-quvvatlash zaif havolalar ob'ektga havolani saqlab qolish imkonini beruvchi JavaScript ob'ektlariga (zaif havola), lekin axlat yig'uvchiga bog'langan ob'ektni o'chirishni bloklamang. Yakunlovchilarni qo'llab-quvvatlash ham qo'shildi, bu ko'rsatilgan ob'ektni axlat yig'ish tugagandan so'ng chaqiriladigan ishlov beruvchini aniqlash imkonini beradi.
• Liftoff kompilyatorining dastlabki (bazaviy) joriy etilishi tufayli WebAssembly-da ilovalarni ishga tushirish tezlashdi. atom ko'rsatmalari и ommaviy xotira operatsiyalari. WebAssembly disk raskadrovka vositalari takomillashtirildi, uzilish nuqtalaridan foydalanishda disk raskadrovka unumdorligi sezilarli darajada yaxshilandi (ilgari disk raskadrovka uchun tarjimon ishlatilgan, endi esa Liftoff kompilyatori).
• Veb-ishlab chiquvchilar uchun asboblar pphttps://developers.google.com/web/updates/2020/05/devtools ish faoliyatini tahlil qilish paneli yangilandi. Ko'rsatkich haqida umumiy ma'lumot qo'shildi TBT (Jami blokirovka vaqti), sahifa qancha vaqt davomida mavjud bo'lib ko'rinishini ko'rsatadi, lekin aslida mavjud emas (ya'ni, sahifa allaqachon ko'rsatilgan, lekin asosiy mavzuning bajarilishi hali ham bloklangan va ma'lumotlarni kiritish mumkin emas). Ko‘rsatkichlarni tahlil qilish uchun yangi tajriba bo‘limi qo‘shildi CLS Tarkibning vizual barqarorligini aks ettiruvchi (Kümülatif Layout Shift). CSS uslublarini tekshirish paneli "fon tasviri" xususiyati orqali ko'rsatilgan tasvirlarni oldindan ko'rishni ta'minlaydi.

Innovatsiyalar va xatolarni tuzatishdan tashqari, yangi versiya yo'q qiladi 38 ta zaifliklar. Ko'pgina zaifliklar asboblar bilan avtomatlashtirilgan sinovlar natijasida aniqlangan Manzil Sanitizer, Xotirani tozalash vositasi, Oqimning yaxlitligini boshqarish, LibFuzzer и AFL. Bitta muammo (CVE-2020-6510, fon ishlovchisini olishda bufer to‘lib ketishi) muhim deb belgilangan, ya’ni. brauzerni himoya qilishning barcha darajalarini chetlab o'tish va tizimda sinov muhitidan tashqarida kodni bajarish imkonini beradi. Joriy versiyadagi zaifliklarni aniqlaganlik uchun pul mukofotlarini to'lash dasturi doirasida Google 26 21500 dollarlik 5000 ta mukofot (ikkita 3000 2000 dollar, ikkita 1000 500 mukofot, bir 16 XNUMX dollar, ikkita XNUMX XNUMX dollar va uchta XNUMX dollarlik mukofot) to'ladi. XNUMX ta mukofot miqdori hali aniqlanmagan.

Manba: opennet.ru