Chrome 版本 119

谷歌發布了Chrome 119網頁瀏覽器，同時作為Chrome基礎的免費Chromium專案也發布了穩定版本。 Chrome 瀏覽器與 Chromium 的不同之處在於使用 Google 標誌、存在崩潰時發送通知的系統、播放受版權保護的影片內容 (DRM) 的模組、自動安裝更新的系統、永久啟用沙盒隔離，向Google API提供金鑰並在搜尋時傳輸RLZ- 參數。 對於那些需要更多時間更新的人，單獨支援 Extended Stable 分支，隨後是 8 週。 Chrome 120 的下一個版本預定於 5 月 XNUMX 日發布。

Chrome 119 的主要變化：

• 發布生成週期已縮短，其中創建新分支和開始 beta 測試之間的時間已縮短 - beta 版本現在在分支創建後兩天形成，而不是在 8 天后形成。 與之前一樣，測試版的穩定工作在 4 週內進行。 這樣一來，新版本的準備週期就縮短了一週。
• 提供了保存選項卡組的功能。 用戶現在可以保存該群組並關閉其中包含的選項卡，這樣它們就不會佔用資源。 稍後，當需要時，可以返回已儲存群組中的選項卡，並在參與選項卡同步的其他裝置上開啟這些選項卡。 此功能已對某些使用者啟用；若要強制啟用該功能，請提供「chrome://flags/#tab-groups-save」設定。
• 此介面更改了與資料刪除和遺失相關的操作和設定的措辭。 現在在此類操作中使用“刪除”一詞，而不是“清除”一詞，因為個人用戶並不認為“清除”一詞是不可挽回的資料遺失的標誌。
• URL 自動完成現在會考慮任何先前用於搜尋網站的關鍵字，而不僅僅是與地址開頭相符的單字。 例如，地址「https://www.google.com/travel/flights」的自動補全不僅在您輸入「google」一詞時起作用，而且在您輸入「flights」時也起作用。
• 已實現輸入網站位址時自動修正拼字錯誤並顯示相關提示，其形成考慮了目前使用者先前開啟的網站。 例如，輸入「youtube」將提示您開啟 YouTube.com。
• 可以透過網址列在書籤部分中進行搜尋。 例如，您可以在鍵入時新增書籤部分的名稱，Chrome 會建議該部分中與輸入的關鍵字相符的連結。 例如，輸入「trips 2023 New」將建議來自與紐約相關的 trips 2023 書籤部分的連結。
• 實現了熱門網站的推薦顯示，即使用戶之前沒有訪問過這些網站或在輸入 URL 時犯了錯誤。 例如，當使用者按照某人的建議打開 Google 地球並在不知道確切地址的情況下開始鍵入「googleear」時，瀏覽器將提供訪問 Earth.google.com 的連結。
• 桌面版 Chrome 提高了網址列中資訊的可讀性，並使介面反應更加靈敏 - 現在，在您開始在網址列中輸入內容後，結果會立即顯示。
• 根據 Fetch API 規格的更改，重定向到另一個網域（跨來源）時，授權 HTTP 標頭將被刪除。
• 在通知和位置設定中，新增了一個選項來啟用權限確認請求的自動抑制服務（權限建議服務）。 有以下模式可供選擇：
  • 始終顯示通知和位置存取的權限請求；
  • 使用權限建議服務機制自動忽略垃圾郵件權限請求；
  • 始終忽略所有顯示通知的請求；
  • 始終阻止所有通知和位置權限請求。
• 在 Android 平台的建置中，當啟用標準瀏覽器保護（安全瀏覽 > 標準保護）時，會根據使用者開啟的 URL 到 Google 伺服器的部分雜湊值傳輸，對開啟的 URL 進行即時安全檢查。 為了避免匹配用戶的 IP 位址和雜湊值，資料透過中間代理傳輸。 以前，驗證是透過將不安全 URL 清單的本機副本下載到使用者係統來執行的。 新方案可以讓您更快地阻止惡意 URL。 對於桌面系統，在上一個版本中啟用了類似的模式。
• 呼叫 URL 函數時主機名稱中非字母字元的轉義已與更新的規範保持一致。 例如，呼叫函數 'URL("http://exa(mple.com;")' 之前會傳回 'http://exa%28mple.com/'，但現在會導致錯誤「無效 URL」。
• 所有先前儲存的 Cookie 都具有生命週期限制，類似於自 Chrome 104 發布以來對新的和更新的 Cookie 所應用的限制。 相對於 Chrome 400 的發布，現有 Cookie 的生命週期將縮短至 119 天。
• CSS 引入了新的偽類“:user-valid”和“:user-invalid”，它們表示其值通過或未通過驗證的表單元素。 與「:valid」和「:invalid」不同，新的偽類別僅在使用者與表單元素互動後觸發。
• 在 CSS 中設定顏色時，您可以定義相對於其他顏色參數計算的值。 例如，指定「oklab(from magenta calc(l * 0.8) ab)」將產生比洋紅色淺 80% 的顏色。
• Clip-path CSS 屬性可讓您將元素的可見性限制在特定區域，現在支援該值指定用於裁剪的自訂區域。 也可以使用 xywh() 和 rect() 函數來簡化矩形或圓形區域的定義。
• 已停用對 WebSQL API 的支持，建議改用 Web 儲存和索引資料庫 API。 WebSQL 引擎是基於 SQLite 函式庫程式碼。 WebSQL API 在其他瀏覽器中不受支持，與外部程式庫 API 綁定，並增加了安全性問題的風險（攻擊者可以利用 WebSQL 來利用 SQLite 中的漏洞）。 為了恢復對企業用戶的 WebSQL 支持，WebSQLAccess 策略已被保留，並將在 Chrome 123 中刪除。
• 暫時刪除了 HTML Sanitizer API，該 API 可讓您在透過 setHTML() 方法輸出時從內容中刪除影響顯示和執行的元素。 此 API 旨在剝離可用於執行 XSS 攻擊的 HTML 標籤。 刪除的原因是規範不完整，自從 Chrome 中加入 Sanitizer 以來，規範已經發生了顯著變化。 一旦規範準備好，API 將被傳回。
• 非標準的 ShadowRoot 屬性已被刪除，它允許原生元素存取 Shadow DOM 中自己單獨的根，無論狀態如何。 在Chrome 111中提出了shadowRootMode屬性，而不是shadowRoot，該屬性已包含在Web標準中。
• 改進了 HTML 元素的實現” ”，它類似於“iframe”，也允許您在頁面上嵌入第三方內容。 差異歸結為在 DOM 和屬性層級限制嵌入內容與頁面內容的交互作用。 例如，使用 fencedframe 嵌入廣告區塊的 news.example 頁面（從 Shoes.example 載入）無法存取 Shoes.example 數據，反過來， Shoes.example 網站的程式碼也無法存取該資料關聯自 news.example。 新版本增加了對受保護受眾 API 中顯示的廣告單元尺寸的巨集替換的支持，例如“https://ad.com?width={/%AD_WIDTH%}&height={/%AD_HEIGHT%}” 。
• 在 getDisplayMedia() 方法中新增了一個 monitorTypeSurfaces 參數，可用來防止共用整個螢幕。
• window.open() 方法中新增了一個實驗性（原始試用）全螢幕參數，可讓您立即以全螢幕模式開啟視窗。
• 為 AudioEncoderConfig API 新增了「bitrateMode」標誌，以在恆定位元率和可變位元速率之間進行選擇。
• TLS包含密鑰封裝機制（KEM，Key Encapsulation Mechanism）的實現，使用X25519Kyber768混合演算法，在量子電腦上抵抗選擇。 為了創建用於在 TLS 連接內加密資料的會話金鑰，現在可以使用 TLS 中使用的 X25519 橢圓曲線金鑰交換機制與 Kyber-768 演算法的組合，該演算法使用基於解決格理論問題的加密方法，其求解時間在傳統電腦和量子電腦上沒有差異。
• 預設啟用對 WasmGC 擴充的支持，這簡化了將使用垃圾收集器的程式語言（Kotlin、PHP、Java 等）編寫的程式移植到 WebAssembly。 WasmGC 增加了可以使用非線性記憶體分配的新型結構和陣列。
• Web 開發人員的工具已改進。 新增了編輯“@property”CSS 規則並在定義不正確時顯示警告的功能。 模擬設備清單已更新（例如，新增了 iPhone 14 和 Pixel 7）。 私有欄位的自動完成是在 Web 控制台中實現的。 提供放置在區塊內的 JSON 資料的格式

除了創新和錯誤修復之外，新版本還消除了 15 個漏洞。 許多漏洞是透過使用 AddressSanitizer、MemorySanitizer、控制流程完整性、LibFuzzer 和 AFL 工具進行自動化測試而發現的。 目前還沒有發現任何嚴重問題可以讓人們繞過所有層級的瀏覽器保護並在沙箱環境之外的系統上執行程式碼。 作為為當前版本的漏洞提供現金獎勵計劃的一部分，Google 支付了13 個獎項，金額為40.5 美元（一項獎勵為16000 美元、11000 美元、2000 美元和500 美元，三項獎勵為3000 美元，兩項獎勵為1000 美元） ）。 4 項獎勵的金額尚未確定。

來源： opennet.ru