主持人 > 博客 > 网络新闻 > Chrome 84 发布

Chrome 84 发布

谷歌 提交 网络浏览器版本 铬84的... 同时 是可用的 免费项目的稳定发布 ,这是Chrome的基础。 Chrome浏览器 不同 使用 Google 徽标、在崩溃时发送通知的系统、根据请求下载 Flash 模块的能力、播放受保护视频内容 (DRM) 的模块、在搜索期间自动安装更新和传输的系统 RLZ参数。 Chrome 85 的下一个版本计划于 25 月 XNUMX 日发布。

变化 в 84:

  • 残疾人 支持 TLS 1.0 和 TLS 1.1 协议。 要通过安全通信通道访问站点,服务器必须至少提供对 TLS 1.2 的支持,否则浏览器现在将显示错误。 据 Google 称,目前约有 0.5% 的网页下载继续使用过时版本的 TLS 进行。 关闭是按照 建议 IETF(互联网工程任务组)。 拒绝 TLS 1.0/1.1 的原因是缺乏对现代密码(例如 ECDHE 和 AEAD)的支持以及需要支持旧密码的要求,其可靠性在现阶段计算技术发展阶段受到质疑(例如,需要支持 TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,MD5 和 SHA-1)。 允许返回 TLS 1.0/1.1 的设置将保留到 2021 年 XNUMX 月。
  • 提供封锁 不安全启动 (不加密)可执行文件,并在不安全加载档案时添加警告。 未来计划逐步停止支持不加密的文件上传。 之所以实施阻止,是因为下载未加密的文件可用于通过在 MITM 攻击期间替换内容来执行恶意操作。
  • 添加者 初步支持 ID 客户提示,作为 User-Agent 标头的替代方案而开发。 客户端提示机制提供了一系列“Sec-CH-UA-*”标头作为 User-Agent 的替代品,它允许您仅组织有关特定浏览器和系统参数(版本、平台等)的选择性数据传递在服务器发出请求后。 用户有机会确定哪些参数可以接受交付,并有选择地向站点所有者提供此类信息。 使用客户端提示时,如果没有显式请求,默认情况下不会传输标识符,这使得被动识别无法进行(默认情况下,仅指示浏览器名称)。 工作用户代理统一 推迟 直到明年。
  • 继续 激活
    更严格 限制 网站之间 Cookie 的传输 取消 由于新冠肺炎 (COVID-19)。 对于非HTTPS请求,禁止处理访问当前页面域以外的站点时设置的第三方Cookie。 此类 Cookie 用于在广告网络、社交网络小部件和网络分析系统的代码中跟踪站点之间的用户移动。

    回想一下,为了控制 Cookie 的传输,使用了 Set-Cookie 标头中指定的 SameSite 属性,默认情况下该属性将设置为值“SameSite=Lax”,这限制了跨站点子请求的 Cookie 发送,例如图像请求或通过 iframe 从另一个站点加载内容。 站点可以通过将 Cookie 设置显式设置为 SameSite=None 来覆盖默认 SameSite 行为。 此外,Cookie 的值 SameSite=None 只能在安全模式下设置(对通过 HTTPS 的连接有效)。 这一变化将分阶段推出,从一小部分用户开始,然后逐步扩大其覆盖范围。

  • 添加了实验性实现 资源密集型广告拦截器,可以使用“chrome://flags/#enable-heavy-ad-intervention”设置来启用。 拦截器允许您在超过流量和 CPU 负载阈值后自动禁用 iframe 广告拦截。 如果主线程总共消耗CPU时间超过60秒或每15秒间隔消耗30秒(超过50秒消耗30%资源),以及超过4MB,就会触发阻塞数据已通过网络下载。

    只有在超出限制之前,用户没有与广告单元交互(例如,没有点击它),拦截才会起作用,考虑到流量限制,这将允许自动播放大型广告。在用户未明确激活播放的情况下,广告中的视频将被阻止。 拟议的措施将使用户免受低效代码实施或故意寄生活动(例如挖矿)的广告影响。 据Google统计,符合屏蔽标准的广告仅占所有广告单元的0.30%,但同时此类广告插播却消耗了广告总量28%的CPU资源和27%的流量。

  • 当浏览器窗口不在用户的视野中时,我们已经做了一些工作来减少 CPU 资源消耗。 Chrome 现在会检查浏览器窗口是否与其他窗口重叠,并防止在重叠区域绘制像素。 新功能将逐步推出:在 Chrome 84 中将有选择地为某些用户启用优化,而在 Chrome 85 中将选择性地为其他用户启用优化。
  • 默认情况下启用保护 烦人的通知例如,请求接收推送通知的垃圾邮件。 由于此类请求会打断用户的工作并分散对确认对话框中操作的注意力,因此将显示不需要用户操作的信息提示,并显示权限请求被阻止的警告,而不是在地址栏中显示单独的对话框,它会自动最小化为带有划掉的铃铛图像的指示器。 通过单击该指示器,您可以在任何方便的时间激活或拒绝所请求的权限。

    Chrome 84 发布

  • 打开外部协议的处理程序时,会记住用户的选择 - 用户可以为特定处理程序选择“始终允许此站点”,浏览器将记住与当前站点相关的此决定。
  • 添加了针对未经明确同意更改用户设置的保护。 如果插件更改了新选项卡显示的默认搜索引擎或页面,浏览器现在将显示一个对话框,要求您确认指定的操作或取消更改。
  • 继续 实施防止加载混合多媒体内容的保护(当通过 http:// 协议在 HTTPS 页面上加载资源时)。 在通过 HTTPS 打开的页面上,与加载图像相关的块中的“http://”链接现在将自动替换为“https://”(之前替换了脚本和 iframe,预计将自动替换音频和视频资源)下一个版本)。 如果图像无法通过 https 获得,则其下载将被阻止(您可以通过地址栏中的挂锁符号访问的菜单手动标记阻止)。
  • 添加了 API 支持 网络一次性密码 (开发为 SMS 接收器 API),它允许您在收到一条带有确认码的 SMS 消息后,在网页上组织一次性密码的输入,该消息发送到用户运行浏览器的 Android 智能手机。 例如,短信确认可用于验证用户在注册期间指定的电话号码。 如果以前用户必须打开 SMS 应用程序,将代码从其中复制到剪贴板,返回浏览器并粘贴此代码,那么新的 API 可以自动执行此过程并将其简化为一键操作。
  • API扩展 网络动画
    控制网页动画的播放。 新版本增加了对合成操作的支持,允许您控制效果的组合方式并提供在发生内容替换事件时调用的新处理程序。 Web Animations API 现在还支持 Promise 来定义动画的显示顺序,并更好地控制动画与其他应用程序功能的交互方式。

  • 几个新的 API 已添加到 Origin Trials 模式(需要单独激活的实验性功能)。 Origin 试用意味着能够使用从本地主机或 127.0.0.1 下载的应用程序中的指定 API,或者在注册并接收对特定站点在有限时间内有效的特殊令牌之后。
    • API 饼干店 用于 Service Worker 访问 HTTP Cookie,作为使用 document.cookie 的异步替代方案。
    • API 空闲检测 检测用户不活动状态,允许您检测用户未与键盘/鼠标交互、屏幕保护程序正在运行、屏幕锁定或正在另一台显示器上完成工作的时间。 通过在达到指定的不活动阈值后发送通知来通知应用程序有关不活动的信息。
    • 政权 原点隔离,允许开发人员在与源(源 - 域 + 端口 + 协议)相关的单独进程中使用更完整的内容处理隔离,而不是与站点相关,但代价是停止对某些旧功能(例如同步)的支持使用 document.domain 执行脚本并调用 postMessage() 将消息发布到 WebAssembly.Module 实例。 换句话说,源隔离允许您根据资源域(而不是页面上包含所有无关内容的站点)来组织不同进程之间的分离。
    • API Web汇编SIMD 用于在 WebAssembly 格式的应用程序中使用矢量 SIMD 指令。 为了确保平台独立性,它提供了一种新的 128 位类型,可以表示不同类型的打包数据,以及用于处理打包数据的几种基本向量运算。 SIMD 允许您通过并行数据处理来提高生产力,并且在将本机代码编译到 WebAssembly 时非常有用。 要启用 SIMD 支持,您可以使用“chrome://flags/#enable-web assembly-simd”设置。
  • 已稳定并现已在 Origin Trials 之外分发
    API 内容索引,它提供有关以前在渐进式 Web 应用程序 (PWS) 模式下运行的 Web 应用程序缓存的内容的元数据。 该应用程序可以在浏览器端保存各种数据,包括图像、视频和文章,并且当网络连接丢失时,通过Cache Storage 和 IndexedDB API 来使用它。 内容索引 API 可以添加、查找和删除此类资源。 在浏览器中,该 API 已用于列出可供离线查看的页面和多媒体数据的列表。

  • API版本稳定 唤醒锁 基于Promise机制,提供更安全的方式来控制自动锁屏的禁用以及设备切换至省电模式。
  • 在Android平台版本中 添加 支持应用程序快捷方式,允许您快速访问应用程序中流行的典型操作。 要创建快捷方式,只需以 PWA(渐进式 Web 应用程序)格式将元素添加到 Web 应用程序清单中即可。
    Chrome 84 发布

  • Web Worker 允许使用 API 报告观察员,它允许您定义一个用于生成报告的处理程序,在访问过时的功能时调用。 生成的报告可以由用户自行决定保存、发送到服务器或由 JavaScript 脚本处理。
  • API更新 调整观察者大小,它允许您连接一个处理程序,有关页面上指定元素的大小更改的通知将发送到该处理程序。 ResizeObserverEntry 中添加了三个新属性:contentBoxSize、borderBoxSize 和 devicePixelContentBoxSize,以提供更精细的信息,并以 ResizeObserverSize 对象数组的形式返回。
  • 添加了关键字“还原» 将元素样式重置为其默认值。
  • 删除了 CSS 属性“-webkit-appearance”和“-webkit-ruby-position”的前缀,现在可用作“外貌“和”红宝石位置«。
  • 在 JavaScript 中 实施的 支持将类的方法和属性标记为私有,之后对它们的访问将仅在类内开放(以前只有字段可以是私有的)。 将方法和属性标记为私有: 指定 字段名称之前有一个“#”符号。
  • 在 JavaScript 中 添加 支持 薄弱环节 (弱引用)JavaScript 对象,允许您保留对该对象的引用,但不会阻止垃圾收集器删除关联的对象。 还添加了对终结器的支持,从而可以定义在指定对象的垃圾收集完成后调用的处理程序。
  • 由于初始(基线)Liftoff 编译器的实现,WebAssembly 上应用程序的启动速度得到了加快 原子指令 и 批量内存操作。 调试 WebAssembly 的工具得到了改进,使用断点时的调试性能得到了显着提升(之前使用解释器进行调试,现在使用 Liftoff 编译器)。
  • 在 Web 开发人员工具 pphttps://developers.google.com/web/updates/2020/05/devtools 中,性能分析面板已更新。 添加了有关指标的一般信息 TBT (总阻塞时间),显示页面看似可用但实际上不可用的时间(即页面已经渲染,但主线程的执行仍然被阻塞并且无法输入数据)。 添加了新的体验部分以进行指标分析 CLS (Cumulative Layout Shift),体现内容的视觉稳定性。 CSS 样式检查面板提供通过“background-image”属性指定的图像的预览。

除了创新和错误修复之外,新版本还消除了 38个漏洞。 许多漏洞是由自动化测试工具发现的 地址消毒剂, 内存消毒器, 控制流完整性, 库模糊器 и AFL。 有一个问题(CVE-2020-6510,获取后台处理程序中的缓冲区溢出)被标记为严重问题,即允许您绕过所有级别的浏览器保护并在沙箱环境之外的系统上执行代码。 作为为当前版本的漏洞提供现金奖励计划的一部分,Google 支付了 26 个价值 21500 美元的奖励(两个 5000 美元奖励、两个 3000 美元奖励、一个 2000 美元奖励、两个 1000 美元奖励和三个 500 美元奖励)。 16项奖励的金额尚未确定。

来源: opennet.ru

添加评论