Chrome 77 发布

谷歌发布了新版本的Chrome互联网浏览器。 与此同时，开源 Chromium 项目（Chrome 的基础）的新版本也已发布。 下一个版本计划于 22 月 XNUMX 日发布。

在新版本中：

• 已停止对具有 EV（扩展验证）级别证书的站点进行单独标记。 有关 EV 证书使用的信息现在仅显示在单击安全连接图标时显示的下拉菜单中。 地址栏中将不再显示EV证书所链接的经认证机构验证的公司名称；
• 加强站点处理程序的隔离。 增加了对从攻击者控制的第三方站点接收的跨站点数据（例如 Cookie 和 HTTP 资源）的保护。 即使攻击者在渲染过程中发现错误并尝试在其上下文中执行代码，隔离也会起作用；
• 添加了欢迎新用户的新页面（chrome://welcome/），该页面取代了 Chrome 首次启动后打开新标签页的标准界面。 该页面允许您为流行的 Google 服务（GMail、YouTube、地图、新闻和翻译）添加书签，将快捷方式附加到新标签页，连接到 Google 帐户以启用 Chrome 同步，并将 Chrome 设置为系统上的默认调用。
• 显示在右上角的新标签页菜单现在能够加载背景图像，以及选择主题和设置带有快速导航快捷方式的块的选项（最常访问的网站、手动用户选择） ，并使用快捷方式隐藏块）。 这些设置目前处于实验性状态，需要通过标志“chrome://flags/#ntp-customization-menu-v2”和“chrome://flags/#chrome-colors-custom-color-picker”激活；
• 提供了选项卡标题中站点图标的动画，表明页面正在加载过程中；
  添加了“--guest”标志，允许您以访客登录模式从命令行启动 Chrome（无需连接到 Google 帐户，无需将浏览器活动记录到磁盘，也无需保存会话）；
• 从上一个版本开始，对 chrome://flags 中标志的清理工作仍在继续。 现在建议使用规则集而不是标志来配置浏览器行为；
• 页面、选项卡和地址栏的上下文菜单中添加了“发送到您的设备”按钮，允许您使用 Chrome 同步将链接发送到其他设备。 选择与同一账户关联的目标设备并发送链接后，目标设备上会显示打开链接的通知；
• 在 Android 版本中，包含下载文件列表的页面已完全重新设计，其中不再是包含内容部分的下拉菜单，而是添加了按内容类型和下载图像的缩略图过滤常规列表的按钮现在显示在屏幕的整个宽度上；
• 添加了新的指标来评估浏览器中加载和呈现内容的速度，从而使 Web 开发人员能够确定用户可以使用页面主要内容的速度。 以前提供的渲染控制工具只能判断渲染已经开始，而不能判断整个页面的准备情况。 Chrome 77 提供了新的 Largest Contentful Paint API，可以让您找出可见区域中大型（用户可见）元素的渲染时间，例如图像、视频、块元素和页面背景；
• 添加了 PerformanceEventTiming API，它提供有关第一次用户交互（例如，按下键盘或鼠标上的按键、单击或移动指针）之前的延迟的信息。 新的 API 是 EventTiming API 的子集，它提供了额外的信息来测量和优化界面响应能力；
• 为表单添加了新功能，使您可以更轻松地使用自己的非标准表单控件（非标准输入字段、按钮等）。 新的“formdata”事件使得可以在提交表单时使用 JavaScript 处理程序将数据添加到表单中，而无需将数据存储在隐藏的输入元素中。
  第二个新功能是支持创建与充当内置表单控件的表单关联的自定义元素，包括启用输入验证和触发将数据发送到服务器等功能。 引入了 formAssociated 属性来将元素标记为表单界面组件，并添加了 AttachInternals() 调用来访问其他表单控件方法，例如 setFormValue() 和 setValidity()；
• 在 Origin Trials 模式（需要单独激活的实验性功能）中，添加了新的联系人选择器 API，允许用户从地址簿中选择条目并将有关它们的某些详细信息传输到站点。 请求时，确定需要获取的属性列表（例如，全名、电子邮件、电话号码）。 这些属性清楚地显示给用户，由用户做出是否传输数据的最终决定。 例如，该 API 可用于在 Web 邮件客户端中选择发送信件的收件人，在具有 VoIP 功能的 Web 应用程序中用于发起对特定号码的呼叫，或者在社交网络中搜索已注册的朋友。
  Origin Trial 意味着能够从从 localhost 或 127.0.0.1 下载的应用程序中使用指定的 API，或者在注册并接收在特定站点的有限时间内有效的特殊令牌之后；
• 对于表单，已实现“enterkeyhint”属性，该属性允许您定义按虚拟键盘上的 Enter 键时的行为。 该属性可以取值enter、done、go、next、previous、search和send；
• 添加了控制对“document.domain”属性的访问的文档域规则。 默认情况下，允许访问，但如果拒绝，尝试更改“document.domain”的值将导致错误；
• Performance API 中添加了 LayoutShift 调用，以跟踪屏幕上 DOM 元素位置的变化。
  HTTP“Referer”标头的大小限制为 4 KB；如果超过该值，内容将被截断为域名；
• registerProtocolHandler() 函数中的 url 参数仅限于使用 http:// 和 https:// 方案，现在不允许使用“data:”和“blob:”方案；
• 向 Intl.NumberFormat 方法添加了对格式化单位、货币、科学和紧凑表示法的支持（例如，“Intl.NumberFormat('en', {style: 'unit', unit: 'meter-per-second'}”） ;
• 添加了新的 CSS 属性 overscroll-behavior-inline 和 overscroll-behavior-block 以控制到达滚动区域的逻辑边界时的滚动行为；
• CSS 空白属性现在支持分隔符值；
• Service Workers 添加了对 HTTP Basic 身份验证的支持，并显示用于输入登录参数的标准对话框；
• Web MIDI API 现在只能在安全连接的情况下使用（https、本地文件或本地主机）；
• WebVR 1.1 API 已被宣布过时，取而代之的是 WebXR 设备 API，它允许访问用于创建虚拟和增强现实的组件，并统一与各种类型的设备（从固定虚拟现实头盔到基于移动设备的解决方案）的工作。
  在开发人员工具中，通过右键单击 DOM 树中的节点即可调用上下文菜单，添加了将 DOM 节点的 CSS 属性复制到剪贴板的功能。 添加了一个界面（显示渲染/布局移动区域）来跟踪由于缺少广告和图像占位符而导致的布局移动（在加载下一个图像时，查看时会将文本向下移动）。 审计仪表板已更新至 Lighthouse 5.1 版本。 在操作系统中使用深色主题时启用自动切换到 DevTools 深色主题。 在网络检查模式下，添加了一个标志用于从预取缓存加载资源。 添加了对在应用程序面板中显示推送消息和通知的支持。 在 Web 控制台中，预览对象时，现在会显示类的私有字段；
• 在 V8 JavaScript 引擎中，对不同操作中使用的操作数类型的统计信息的存储进行了优化（允许您在考虑特定类型的情况下优化这些操作的执行）。 为了减少内存消耗，类型感知向量现在仅在执行一定量的字节码后才放入内存中，从而无需对生命周期短的函数进行优化。 此更改可以让您在桌面系统版本中节省 1-2% 的内存，在移动设备版本中节省 5-6%；
• 提高了 WebAssembly 后台编译的可扩展性 - 系统中的处理器核心越多，增加的优化带来的好处就越大。 例如，在 24 核 Xeon 机器上，Epic ZenGarden 演示应用程序的编译时间减少了一半；

除了创新和错误修复之外，新版本还消除了 52 个漏洞。 许多漏洞是通过使用 AddressSanitizer、MemorySanitizer、控制流完整性、LibFuzzer 和 AFL 工具进行自动化测试而发现的。 有一个问题 (CVE-2019-5870) 被标记为严重，即允许您绕过所有级别的浏览器保护并在沙箱环境之外的系统上执行代码。 有关该严重漏洞的详细信息尚未披露；只知道它可以导致访问多媒体数据处理代码中已释放的内存区域。 作为为当前版本的漏洞提供现金奖励计划的一部分，Google 支付了 38 个奖金，价值 33500 美元（7500 个 3000 美元奖金，2000 个 1000 美元奖金，500 个 18 美元奖金，XNUMX 个 XNUMX 美元奖金和 XNUMX 个 XNUMX 美元奖金）。 XNUMX项奖励的数额尚未确定。

来源： linux.org.ru