🥇Chrome 92 发布

谷歌发布了Chrome 92网络浏览器，同时作为Chrome基础的免费Chromium项目也发布了稳定版本。 Chrome 浏览器的特点是使用 Google 徽标、崩溃时发送通知的系统、播放受保护视频内容 (DRM) 的模块、自动安装更新的系统以及搜索时传输 RLZ 参数。 Chrome 93 的下一个版本计划于 31 月 XNUMX 日发布。

Chrome 92 的主要变化：

设置中添加了工具来控制 Privacy Sandbox 组件的包含情况。用户有机会禁用 FLoC（群体联合学习）技术，该技术由 Google 开发，旨在用“群体”取代运动跟踪 Cookie，从而允许在不识别个人的情况下识别具有相似兴趣的用户。通过将机器学习算法应用于浏览历史数据和浏览器中打开的内容，在浏览器端计算群组。
对于桌面用户，默认情况下会启用后退缓存，以便在使用“后退”和“前进”按钮或导航当前站点的先前查看的页面时提供即时导航。此前，跳转缓存仅在 Android 平台的构建中可用。
增加不同进程中站点和附加组件的隔离。如果说之前的站点隔离机制保证了不同进程中站点之间的隔离，并且将所有插件分离到一个单独的进程中，那么新版本通过移动每个插件来实现浏览器插件之间的分离。进入一个单独的进程，这使得可以创建另一个屏障来防止恶意加载项。
显着提高了网络钓鱼检测的生产力和效率。在一半的情况下，基于本地图像分析的网络钓鱼检测速度提高了 50 倍，而在 99% 的情况下，检测速度至少提高了 2.5 倍。平均而言，通过图像对网络钓鱼进行分类的时间从 1.8 秒减少到 100 毫秒。总体而言，所有渲染进程产生的 CPU 负载下降了 1.2%。
端口 989 (ftps-data) 和 990 (ftps) 已添加到禁止网络端口列表中。此前，69、137、161、554、1719、1720、1723、5060、5061、6566和10080端口已被屏蔽，对于黑名单上的端口，发送HTTP、HTTPS和FTP请求将被屏蔽，以防止NAT攻击滑流攻击，允许在浏览器中打开攻击者专门准备的网页时，建立从攻击者服务器到用户系统上任何 UDP 或 TCP 端口的网络连接，尽管使用内部地址范围 (192.168.xx ，10.xxx）。
在向 Chrome 网上应用店发布新添加内容或版本更新时，引入了使用两因素开发人员验证的要求。
如果浏览器中已安装的加载项因违反规则而从 Chrome Web Store 中删除，现在可以禁用它们。
发送 DNS 查询时，在使用经典 DNS 服务器的情况下，除了“A”和“AAAA”记录来确定 IP 地址外，现在还会请求“HTTPS”DNS 记录，通过该记录传递参数以加快速度HTTPS 连接的建立，例如协议设置、TLS ClientHello 加密密钥和别名子域列表。
禁止从当前页面域以外的域加载的 iframe 块调用 JavaScript 对话框 window.alert、window.confirm 和 window.prompt。这一更改将有助于保护用户免受与尝试根据主站点的请求提供第三方通知相关的滥用行为。
新标签页提供了 Google 云端硬盘中保存的最流行文档的列表。
可以更改 PWA（渐进式 Web 应用程序）应用程序的名称和图标。
对于需要您输入地址或信用卡号的少量随机 Web 表单，我们将作为实验禁用自动填充建议。
在桌面版本中，图像搜索选项（上下文菜单中的“查找图像”项）已切换为使用 Google Lens 服务，而不是通常的 Google 搜索引擎。当您单击上下文菜单中的相应按钮时，用户将被重定向到单独的 Web 应用程序。
在隐身模式界面中，浏览历史记录的链接是隐藏的（这些链接是无用的，因为它们导致打开一个存根，其中包含未收集历史记录的信息）。
添加了在地址栏中输入时进行解析的新命令。例如，要显示快速进入密码和加载项安全检查页面的按钮，只需键入“安全检查”，要进入安全和同步设置，只需键入“管理安全设置”和“管理同步”。
Android版Chrome的具体变化：
- 该面板具有一个新的可定制“魔术工具栏”按钮，该按钮显示根据用户当前活动选择的不同快捷方式，并包括当前可能需要的链接。
- 用于检测网络钓鱼尝试的设备上机器学习模型的实现已更新。当检测到网络钓鱼尝试时，除了显示警告页面之外，浏览器现在还会发送有关机器学习模型的版本、每个类别的计算权重以及将新模型应用于外部安全浏览服务的标志的信息。
- 删除了“找不到页面时显示类似页面的建议”设置，该设置会导致在找不到页面时根据向 Google 发送查询来推荐类似页面。此设置之前已从桌面版本中删除。
- 单个进程的站点隔离模式的使用已得到扩展。由于资源消耗的原因，到目前为止，只有选定的大型站点被转移到单独的进程中。在新版本中，隔离也将开始应用于用户通过 OAuth 身份验证登录的网站（例如，通过 Google 帐户连接）或设置 Cross-Origin-Opener-Policy HTTP 标头的网站。对于那些想要在所有站点的单个进程中启用隔离的人，提供了“chrome://flags/#enable-site-per-process”设置。
- V8 引擎针对 Spectre 等旁路攻击的内置保护机制被禁用，这被认为不如在单独进程中隔离站点那么有效。在桌面版本中，这些机制在 Chrome 70 版本中被禁用。
- 简化对站点权限设置的访问，例如麦克风、摄像头和位置访问。要显示权限列表，只需单击地址栏中的挂锁符号，然后选择“权限”部分。
几个新的 API 已添加到 Origin Trials 模式（需要单独激活的实验性功能）。 Origin 试用意味着能够使用从本地主机或 127.0.0.1 下载的应用程序中的指定 API，或者在注册并接收对特定站点在有限时间内有效的特殊令牌之后。
- API 文件处理，允许您将 Web 应用程序注册为文件处理程序。例如，使用文本编辑器在 PWA（渐进式 Web 应用程序）模式下运行的 Web 应用程序可以将自身注册为“.txt”文件处理程序，之后可以在系统文件管理器中使用它来打开文本文件。
- Shared Element Transitions API，它允许您使用浏览器提供的现成效果，可视化单页面（SPA，单页面应用程序）和多页面（MPA，多页面应用程序）中界面状态的变化）网络应用程序。
@font-face CSS 规则中添加了 size-adjust 参数，该参数允许您缩放特定字体样式的字形大小，而无需更改 font-size CSS 属性的值（字符下方的区域保持不变），但该区域中字形的大小会发生变化）。
在 JavaScript 中，Array、String 和 TypedArray 对象实现了 at() 方法，该方法允许您使用相对索引（相对位置指定为数组索引），包括指定相对于末尾的负值（例如， “arr.at(-1)”将返回数组的最后一个元素）。
dayPeriod 属性已添加到 Intl.DateTimeFormat JavaScript 构造函数中，它允许您显示一天中的大致时间（早上、晚上、下午、晚上）。
当使用允许您在共享内存中创建数组的 SharedArrayBuffers 对象时，您现在需要定义 Cross-Origin-Opener-Policy 和 Cross-Origin-Embedder-Policy HTTP 标头，否则请求将被阻止。
“切换麦克风”、“切换摄像头”和“挂断”操作已添加到媒体会话 API 中，允许实施视频会议系统的站点为静音/取消静音、摄像头关闭/打开和结束按钮附加自己的处理程序，如图所示画中画接口调用。
Web 蓝牙 API 添加了按制造商和产品标识符过滤找到的蓝牙设备的功能。过滤器是通过Bluetooth.requestDevice()方法中的“options.filters”参数设置的。
修剪 User-Agent HTTP 标头内容的第一阶段已经实现：DevTools 问题选项卡现在显示有关 navigator.userAgent、navigator.appVersion 和 navigator.platform 弃用的警告。
针对 Web 开发人员的工具进行了部分改进。 Web 控制台提供了重新定义“const”表达式的功能。在“元素”面板中，iframe 元素能够通过右键单击元素时出现的上下文菜单快速查看详细信息。改进了 CORS（跨源资源共享）错误的调试。网络活动检查面板中添加了过滤来自 WebAssembly 的网络请求的功能。提出了一个新的 CSS 网格编辑器（“display: grid”和“display: inline-grid”），具有预览更改的功能。

除了创新和错误修复之外，新版本还消除了 35 个漏洞。许多漏洞是通过使用 AddressSanitizer、MemorySanitizer、控制流完整性、LibFuzzer 和 AFL 工具进行自动化测试而发现的。目前还没有发现任何严重问题可以让人们绕过所有级别的浏览器保护并在沙箱环境之外的系统上执行代码。作为为当前版本的漏洞支付现金奖励计划的一部分，Google 支付了 24 个价值 112000 美元的奖励（两个 15000 美元奖励、四个 10000 美元奖励、一个 8500 美元奖励、两个 7500 美元奖励、三个 5000 美元奖励、一个 3000 美元奖励和一个 500 美元奖励））。 11项奖励的金额尚未确定。

来源： opennet.ru

Chrome 92 发布

添加评论 取消回复

添加评论取消回复