🥇Chrome 93 发布

谷歌发布了Chrome 93网络浏览器，同时作为Chrome基础的免费Chromium项目也发布了稳定版本。 Chrome 浏览器的特点是使用 Google 徽标、崩溃时发送通知的系统、播放受保护视频内容 (DRM) 的模块、自动安装更新的系统以及搜索时传输 RLZ 参数。 Chrome 94 的下一个版本计划于 21 月 4 日发布（开发已改为 XNUMX 周发布周期）。

Chrome 93 的主要变化：

具有页面信息（页面信息）的块的设计已经现代化，其中实现了对嵌套块的支持，并且具有访问权限的下拉列表已被开关取代。该列表确保最重要的信息首先显示。并非所有用户都启用此更改；要激活它，您可以使用“chrome://flags/#page-info-version-2-desktop”设置。
对于一小部分用户，作为实验，地址栏中的安全连接指示器被替换为更中性的符号，不会导致双重解释（锁被替换为“V”符号）。对于未加密建立的连接，将继续显示“不安全”指示符。更换该指示器的原因是，许多用户将挂锁指示器与站点内容可以信任的事实相关联，而不是将其视为连接已加密的标志。根据谷歌的一项调查显示，只有11%的用户了解带锁图标的含义。
最近关闭的选项卡列表现在显示关闭的选项卡组的内容（以前的列表仅显示组的名称，而不详细显示内容），并且能够立即返回整个组和组中的单个选项卡。该功能并未对所有用户启用，因此您可能需要更改“chrome://flags/#tab-restore-sub-menus”设置才能启用它。
对于企业来说，实现了新的设置：DefaultJavaScriptJitSetting、JavaScriptJitAllowedForSites 和 JavaScriptJitBlockedForSites，它们允许您控制 JIT-less 模式，即在执行 JavaScript 时禁用 JIT 编译（仅使用 Ignition 解释器）并禁止分配可执行文件代码执行期间的内存。禁用 JIT 对于提高使用潜在危险 Web 应用程序的安全性很有用，但代价是 JavaScript 执行性能降低约 17%。值得注意的是，微软更进一步，在 Edge 浏览器中实现了实验性的“Super Duper Secure”模式，允许用户禁用 JIT 并激活非 JIT 兼容的硬件安全机制 CET（控制流强制技术）、ACG（任意Code Guard）和 CFG（Control Flow Guard）用于处理 Web 内容的进程。如果实验成功，那么我们可以预期它将被转移到 Chrome 的主要部分。
新标签页提供了 Google 云端硬盘中保存的最流行文档的列表。该列表的内容对应于drive.google.com 中的优先级部分。要控制Google云端硬盘内容的显示，您可以使用“chrome://flags/#ntp-modules”和“chrome://flags/#ntp-drive-module”设置。
“打开新选项卡”页面中添加了新的信息卡，以帮助您查找最近查看的内容和相关信息。这些卡片旨在让您更轻松地继续处理查看被中断的信息，例如，这些卡片将帮助您找到最近在网上找到但关闭页面后丢失的菜肴的食谱，或者继续制作在商店购买。作为实验，为用户提供了两个新地图：“食谱”（chrome://flags/#ntp-recipe-tasks-module）用于搜索烹饪食谱并显示最近查看的食谱；“食谱”（chrome://flags/#ntp-recipe-tasks-module）用于搜索烹饪食谱并显示最近查看的食谱； “购物”(chrome://flags/#ntp-chrome-cart-module) 用于提醒有关在线商店中选择的产品。
Android 版本添加了对连续搜索面板 (chrome://flags/#continuous-search) 的可选支持，它允许您保持最近的 Google 搜索结果可见（该面板在移动到其他页面后继续显示结果）。
Android 版本中添加了实验性的引用共享模式 (chrome://flags/#webnotes-stylize)，该模式允许您将选定的页面片段保存为引用并与其他用户共享。
当向 Chrome 网上应用店发布新的添加内容或版本更新时，现在需要进行两步开发者验证。
Google 帐户用户可以选择将付款信息保存到其 Google 帐户。
在隐身模式下，如果激活了清除导航数据的选项，则会出现一个新的操作确认对话框，说明清除数据将关闭窗口并结束隐身模式下的所有会话。
由于已确定与某些设备的固件不兼容，Chrome 91 中添加了对新密钥协商方法的支持，该方法在量子计算机上具有抗猜测性，基于 CECPQ1.3（组合椭圆曲线和后量子 2）扩展的使用TLSv2，将经典的 X25519 密钥交换机制与基于专为后量子密码系统设计的 NTRU Prime 算法的 HRSS 方案相结合。
端口989（ftps-data）和990（ftps）已被添加到禁止的网络端口数量中，以阻止ALPACA攻击。此前，为了防止NAT滑流攻击，端口69、137、161、554、1719、1720、1723、5060、5061、6566和10080已被封锁。
TLS 不再支持基于 3DES 算法的密码。特别是，容易受到 Sweet3 攻击的 TLS_RSA_WITH_32DES_EDE_CBC_SHA 密码套件已被删除。
对 Ubuntu 16.04 的支持已停止。
可以在通过通用 Google 帐户连接的不同设备之间使用 WebOTP API。 WebOTP 允许 Web 应用程序读取通过 SMS 发送的一次性验证码。拟议的更改使得可以在运行 Android 版 Chrome 的移动设备上接收验证码，并将其应用到桌面系统上。
User-Agent Client Hints API 已得到扩展，作为 User-Agent 标头的替代品而开发。用户代理客户端提示允许您仅在服务器发出请求后组织选择性地传送有关特定浏览器和系统参数（版本、平台等）的数据。反过来，用户可以确定可以向网站所有者提供哪些信息。使用 User-Agent Client Hints 时，如果没有显式请求，则不会传输浏览器标识符，并且默认情况下仅指定基本参数，这使得被动识别变得困难。
新版本支持Sec-CH-UA-Bitness参数返回有关平台位数的数据，可用于提供优化的二进制文件。默认情况下，Sec-CH-UA-Platform 参数与通用平台信息一起发送。调用 getHighEntropyValues() 时返回的 UADataValues 值默认实现为在无法返回详细选项的情况下返回广义参数。 toJSON 方法已添加到 NavigatorUAData 对象中，它允许您使用 JSON.stringify(navigator.userAgentData) 等构造。
将资源打包成 Web Bundle 格式的包的功能已稳定并默认提供，适合组织更有效地加载大量附带文件（CSS 样式、JavaScript、图像、iframe）。 Web Bundle 试图消除现有对 JavaScript 文件包 (webpack) 支持的缺点：包本身（而不是其组成部分）可能会出现在 HTTP 缓存中；包完全下载后才能开始编译和执行； CSS 和图像等其他资源必须以 JavaScript 字符串的形式进行编码，这会增加大小并需要另一个解析步骤。
包含 WebXR 平面检测 API，提供有关虚拟 3D 环境中平面的信息。指定的 API 可以使用计算机视觉算法的专有实现来避免对通过调用 MediaDevices.getUserMedia() 获得的数据进行资源密集型处理。让我们提醒您，WebXR API 允许您统一使用各种类型的虚拟现实设备，从固定 3D 头盔到基于移动设备的解决方案。
几个新的 API 已添加到 Origin Trials 模式（需要单独激活的实验性功能）。 Origin 试用意味着能够使用从本地主机或 127.0.0.1 下载的应用程序中的指定 API，或者在注册并接收对特定站点在有限时间内有效的特殊令牌之后。
- 多屏窗口放置 API 已被提出，它允许您在连接到当前系统的任何显示器上放置窗口，并保存窗口位置，并在必要时将窗口扩展到全屏。例如，使用指定的 API，用于显示演示文稿的 Web 应用程序可以在一个屏幕上组织幻灯片的显示，并在另一个屏幕上显示演示者的注释。
- Cross-Origin-Embedder-Policy 标头控制跨源隔离模式并允许您在特权操作页面上定义安全使用规则，现在支持“无凭证”参数来禁用凭证相关信息的传输，例如Cookie 和客户端证书。
- 对于控制窗口内容呈现和处理输入的独立 Web 应用程序（PWA、渐进式 Web 应用程序），提供了带有窗口控件的覆盖层，例如标题栏和展开/折叠按钮。覆盖层扩展了可编辑区域以覆盖整个窗口，并允许您将自己的元素添加到标题区域。
- 添加了创建可用作 URL 处理程序的 PWA 应用程序的功能。例如，music.example.com 应用程序可以将自身注册为 URL 处理程序 https://*.music.example.com，并且使用这些链接从外部应用程序（例如，从即时消息程序和电子邮件客户端）进行的所有转换都将导致打开这个 PWA-应用程序，而不是新的浏览器选项卡。
可以使用“导入”表达式加载 CSS 文件，类似于加载 JavaScript 模块，这在创建您自己的元素时很方便，并且允许您无需使用 JavaScript 代码分配样式。从 './styles.css' 导入工作表断言 { type: 'css' }; document.adoptedStyleSheets = [工作表]; ShadowRoot.adoptedStyleSheets = [工作表];
提供了一个新的静态方法 AbortSignal.abort()，该方法返回已设置为中止的 AbortSignal 对象。现在，您可以使用一行“return AbortSignal.abort()”来完成，而不是使用几行代码来创建处于中止状态的 AbortSignal 对象。
Flexbox 元素添加了对 start、end、self-start、self-end、left 和 right 关键字的支持，通过简化 Flex 元素位置对齐的工具来补充 center、flex-start 和 flex-end 关键字。
Error() 构造函数实现了一个新的可选“原因”属性，它允许您轻松地将错误相互关联。 const ParentError = new Error('父'); const error = new Error('parent', { 原因:parentError }); console.log(error.cause ===parentError); // → 真
在 HTMLMediaElement.controlsList 属性中添加了对 noplaybackrate 模式的支持，该属性允许您禁用浏览器中提供的用于更改多媒体内容的播放速度的界面元素。
添加了 Sec-CH-Prefers-Color-Scheme 标头，允许在请求发送阶段传输有关“prefers-color-scheme”媒体查询中使用的用户首选颜色方案的数据，这将允许站点进行优化加载与所选方案相关的 CSS，并避免其他方案的可见切换。
添加了 Object.hasOwn 属性，它是 Object.prototype.hasOwnProperty 的简化版本，以静态方法实现。 Object.hasOwn({ prop: 42 }, 'prop') // → true
Sparkplug 的 JIT 编译器专为非常快速的强力编译而设计，添加了批处理执行模式，以减少在写入和运行模式之间切换内存页面的开销。 Sparkplug 现在一次编译多个函数并调用一次 mprotect 来更改整个组的权限。所提出的模式显着减少了编译时间（高达 44%），而不会对 JavaScript 执行性能产生负面影响。
Android 版本禁用了 V8 引擎针对 Spectre 等旁路攻击的内置保护，这些攻击被认为不如在单独进程中隔离站点那么有效。在桌面版本中，这些机制在 Chrome 70 版本中被禁用。禁用不必要的检查可以将性能提高 2-15%。
Web 开发人员的工具已得到改进。在样式表检查模式下，可以编辑使用 @container 表达式生成的查询。网络巡检模式实现了Web Bundle格式资源的预览。在 Web 控制台中，用于以 JavaScript 或 JSON 文字形式复制字符串的选项已添加到上下文菜单中。改进了 CORS（跨源资源共享）相关错误的调试。

除了创新和错误修复之外，新版本还消除了 27 个漏洞。许多漏洞是通过使用 AddressSanitizer、MemorySanitizer、控制流完整性、LibFuzzer 和 AFL 工具进行自动化测试而发现的。目前还没有发现任何严重问题可以让人们绕过所有级别的浏览器保护并在沙箱环境之外的系统上执行代码。作为为当前版本的漏洞提供现金奖励计划的一部分，Google 支付了 19 个奖金，价值 136500 美元（三个 20000 美元奖金，一个 15000 美元奖金，三个 10000 美元奖金，一个 7500 美元奖金，三个 5000 美元奖金和三个 3000 美元奖金）。 5 项奖励的金额尚未确定。

来源： opennet.ru

Chrome 93 发布

添加评论 取消回复

添加评论取消回复