Chrome 版本 84

谷歌 呈現 網絡瀏覽器發布 鉻84的。 同時地 有空 免費項目的穩定發布 鉻，這是 Chrome 的基礎。 Chrome 瀏覽器 不同 Google 徽標的使用、出現崩潰時發送通知的系統、按需下載 Flash 模塊的能力、播放受保護視頻內容 (DRM) 的模塊、自動更新系統和搜索傳輸 RLZ參數。 Chrome 85 的下一個版本計劃於 25 月 XNUMX 日發布。

主要的 變化 в Chrome瀏覽器 84:

• 殘障人士 支援 TLS 1.0 和 TLS 1.1 協定。 要透過安全通訊通道存取站點，伺服器必須至少提供對 TLS 1.2 的支持，否則瀏覽器現在將顯示錯誤。 據 Google 稱，目前約有 0.5% 的網頁下載繼續使用過時版本的 TLS 進行。 關閉是按照 建議 IETF（網際網路工程任務小組）。 拒絕 TLS 1.0/1.1 的原因是缺乏對現代密碼（例如 ECDHE 和 AEAD）的支援以及需要支援舊密碼的要求，其可靠性在現階段計算技術發展階段受到質疑（例如，需要支援TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA，MD5 和SHA -1）。 允許返回 TLS 1.0/1.1 的設定將保留到 2021 年 XNUMX 月。
• 提供封鎖 不安全啟動 （不加密）可執行文件，並在不安全載入檔案時新增警告。 未來，我們計劃逐步停止支援不加密的文件上傳。 之所以實施阻止，是因為下載未加密的檔案可用於透過在 MITM 攻擊期間取代內容來執行惡意操作。
• 添加 初步支持 ID 客戶提示，作為 User-Agent 標頭的替代方案而開發。 客戶端提示機制提供了一系列「Sec-CH-UA-*」標頭作為 User-Agent 的替代品，它允許您僅組織有關特定瀏覽器和系統參數（版本、平台等）的選擇性資料傳遞在伺服器發出請求後。 使用者有機會確定哪些參數可以接受交付，並有選擇地向網站所有者提供此類資訊。 使用客戶端提示時，如果沒有明確請求，預設不會傳輸標識符，這使得被動識別無法進行（預設情況下，僅指示瀏覽器名稱）。 Работа 上 使用者代理統一 延遲 直到明年。
• 繼續 激活
  更嚴格 限制 網站之間 Cookie 的傳輸 取消 由於新冠肺炎 (COVID-19)。 對於非HTTPS請求，禁止處理造訪目前頁面網域以外的網站時設定的第三方Cookie。 此類 Cookie 用於在廣告網路、社交網路小工具和網路分析系統的程式碼中追蹤網站之間的使用者移動。

  回想一下，為了控制 Cookie 的傳輸，使用了 Set-Cookie 標頭中指定的 SameSite 屬性，預設情況下該屬性將設定為值“SameSite=Lax”，這限制了跨站點子請求的 Cookie 傳送，例如影像請求或透過iframe 從另一個網站載入內容。 網站可以透過將 Cookie 設定明確設定為 SameSite=None 來覆寫預設 SameSite 行為。 此外，Cookie 的值 SameSite=None 只能在安全模式下設定（對透過 HTTPS 的連線有效）。 這項變更將分階段推出，從一小部分用戶開始，然後逐步擴大其覆蓋範圍。

• 增加了實驗性實現 資源密集型廣告攔截器，可以使用“chrome://flags/#enable-heavy-ad-intervention”設定來啟用。 攔截器可讓您在超過流量和 CPU 負載閾值後自動停用 iframe 廣告攔截。 如果主執行緒總共消耗CPU時間超過60秒或每15秒間隔消耗30秒（超過50秒消耗30%資源），以及超過4MB，就會觸發阻塞資料已透過網路下載。

  只有在超出限制之前，用戶沒有與廣告單元互動（例如，沒有點擊它），攔截才會起作用，考慮到流量限制，這將允許自動播放大型廣告。在用戶未明確啟動播放的情況下，廣告中的視頻將被阻止。 擬議的措施將使用戶免受低效代碼實施或故意寄生活動（例如挖礦）的廣告影響。 根據Google統計，符合封鎖標準的廣告僅佔所有廣告單元的0.30%，但同時此類廣告插播卻消耗了廣告總量28%的CPU資源和27%的流量。

• 當瀏覽器視窗不在使用者的視野中時，我們已經做了一些工作來減少 CPU 資源消耗。 Chrome 現在會檢查瀏覽器視窗是否與其他視窗重疊，並防止在重疊區域繪製像素。 新功能將逐步推出：在 Chrome 84 中將選擇性地為某些用戶啟用優化，而在 Chrome 85 中將選擇性地為其他用戶啟用優化。
• 預設情況下啟用保護 煩人的通知例如，請求接收推播通知的垃圾郵件。 由於此類請求會打斷使用者的工作並分散對確認對話方塊中操作的注意力，因此將顯示不需要使用者操作的資訊提示，並顯示權限請求被阻止的警告，而不是在網址列中顯示單獨的對話框，它會自動最小化為帶有劃掉的鈴鐺圖像的指示器。 透過點擊該指示器，您可以在任何方便的時間啟動或拒絕所要求的權限。
  

• 打開外部協定的處理程序時，會記住使用者的選擇 - 使用者可以為特定處理程序選擇“始終允許此網站”，瀏覽器將記住與目前網站相關的此決定。
• 新增了針對未經明確同意更改使用者設定的保護。 如果外掛程式更改了新分頁顯示的預設搜尋引擎或頁面，瀏覽器現在將顯示一個對話框，要求您確認指定的操作或取消更改。
• 繼續 實作防止載入混合多媒體內容的保護（透過 http:// 協定在 HTTPS 頁面上載入資源時）。 在透過HTTPS 開啟的頁面上，與載入圖片相關的區塊中的「http://」連結現在將自動替換為「https://」（之前替換了腳本和iframe，預計將自動替換音訊和視訊資源）下一個版本）。 如果圖像無法透過 https 取得，則其下載將被封鎖（您可以透過網址列中的掛鎖符號存取的選單手動標記封鎖）。
• 新增了 API 支援 網路一次性密碼 （開發為 SMS 接收器 API），它允許您在收到一條帶有確認碼的 SMS 訊息後，在網頁上組織一次性密碼的輸入，該訊息發送到用戶運行瀏覽器的 Android 智慧型手機。 例如，簡訊確認可用於驗證使用者在註冊期間指定的電話號碼。 如果以前用戶必須打開 SMS 應用程序，將程式碼從其中複製到剪貼板，返回瀏覽器並貼上此程式碼，那麼新的 API 可以自動執行此程序並將其簡化為一鍵操作。
• API擴充 網絡動畫
  控制網頁動畫的播放。 新版本增加了對合成操作的支持，允許您控製效果的組合方式並提供在發生內容替換事件時調用的新處理程序。 Web Animations API 現在也支援 Promise 來定義動畫的顯示順序，並更好地控制動畫與其他應用程式功能的互動方式。

• 幾個新的 API 已添加到 Origin Trials 模式（需要單獨激活的實驗性功能）。 Origin 試用意味著能夠使用從本地主機或 127.0.0.1 下載的應用程序中的指定 API，或者在註冊並接收對特定站點在有限時間內有效的特殊令牌之後。
  • API 餅乾店 用於 Service Worker 存取 HTTP Cookie，作為使用 document.cookie 的非同步替代方案。
  • API 空閒檢測 偵測使用者不活動狀態，讓您偵測使用者未與鍵盤/滑鼠互動、螢幕保護程式正在運作、螢幕鎖定或正在另一台顯示器上完成工作的時間。 透過在達到指定的不活動閾值後發送通知來通知應用程式有關不活動的資訊。
  • 政權 原點隔離，允許開發人員在與來源（來源 - 網域 + 連接埠 + 協定）相關的單獨進程中使用更完整的內容處理隔離，而不是與網站相關，但代價是停止對某些舊功能（例如同步）的支持使用document.domain 執行腳本並呼叫postMessage() 將訊息發佈到WebAssembly.Module 實例。 換句話說，來源隔離允許您根據資源網域（而不是頁面上包含所有無關內容的網站）來組織不同進程之間的分離。
  • API Web彙編SIMD 用於在 WebAssembly 格式的應用程式中使用向量 SIMD 指令。 為了確保平台獨立性，它提供了一種新的 128 位元類型，可以表示不同類型的打包數據，以及用於處理打包資料的幾種基本向量運算。 SIMD 可讓您透過平行資料處理來提高生產力，並且在將本機程式碼編譯到 WebAssembly 時非常有用。 要啟用 SIMD 支持，您可以使用“chrome://flags/#enable-web assembly-simd”設定。
• 已穩定並現已在 Origin Trials 之外分發
  API 內容索引，它提供有關先前在漸進式 Web 應用程式 (PWS) 模式下運行的 Web 應用程式快取的內容的元資料。 該應用程式可以在瀏覽器端保存各種數據，包括圖像、影片和文章，並且當網路連線遺失時，透過Cache Storage 和 IndexedDB API 來使用它。 內容索引 API 可以新增、尋找和刪除此類資源。 在瀏覽器中，該 API 已用於列出可供離線檢視的頁面和多媒體資料的清單。

• API版本穩定 喚醒鎖 基於Promise機制，提供更安全的方式來控制自動鎖定螢幕的停用以及裝置切換至省電模式。
• 在Android平台版本中 添加 支援應用程式快捷方式，可讓您快速存取應用程式中流行的典型操作。 若要建立捷徑，只需以 PWA（漸進式 Web 應用程式）格式將元素新增至 Web 應用程式清單即可。
  

• Web Worker 允許使用 API 報告觀察員，它允許您定義一個用於生成報告的處理程序，在訪問過時的功能時調用。 產生的報告可以由使用者自行決定儲存、傳送到伺服器或由 JavaScript 腳本處理。
• API更新 調整觀察者的大小，它允許您連接一個處理程序，有關頁面上指定元素的大小變更的通知將發送到該處理程序。 ResizeObserverEntry 中新增了三個新屬性：contentBoxSize、borderBoxSize 和 devicePixelContentBoxSize，以提供更精細的信息，並以 ResizeObserverSize 物件陣列的形式傳回。
• 添加了關鍵字“還原» 將元素的樣式重設為其預設值。
• 刪除了 CSS 屬性“-webkit-appearance”和“-webkit-ruby-position”的前綴，現在可用作“外貌“和”紅寶石位置“。
• 在 JavaScript 中 實施的 支援將類別的方法和屬性標記為私有，之後對它們的存取將僅在類別內開放（以前只有欄位可以是私有的）。 將方法和屬性標記為私有： 表明 字段名稱之前有一個“#”符號。
• 在 JavaScript 中 添加 支持 弱點 （弱引用）JavaScript 對象，可讓您保留對該物件的引用，但不會阻止垃圾收集器刪除關聯的物件。 還添加了對終結器的支持，從而可以定義在指定物件的垃圾收集完成後調用的處理程序。
• 由於初始（基線）Liftoff 編譯器的實現，WebAssembly 上應用程式的啟動速度得到了加快 原子指令 и 批量內存操作。 偵錯 WebAssembly 的工具得到了改進，使用斷點時的偵錯效能得到了顯著提升（之前使用解釋器進行偵錯，現在使用 Liftoff 編譯器）。
• 在 Web 開發人員工具 pphttps://developers.google.com/web/updates/2020/05/devtools 中，效能分析面板已更新。 添加了有關指標的一般信息 TBT （總阻塞時間），顯示頁面看似可用但實際上不可用的時間（即頁面已渲染，但主執行緒的執行仍被阻塞且無法輸入資料）。 新增了新的體驗部分以進行指標分析 華彩 （Cumulative Layout Shift），體現內容的視覺穩定性。 CSS 樣式檢查面板提供透過「background-image」屬性指定的圖片的預覽。

除了創新和錯誤修復外，新版本還消除了 38 個漏洞. 許多漏洞是通過自動化測試工具識別出來的 地址消毒劑, 內存消毒器, 控制流完整性, 庫模糊器 и AFL。 有一個問題（CVE-2020-6510，取得後台處理程序中的緩衝區溢位）被標記為嚴重問題，即允許您繞過所有層級的瀏覽器保護並在沙箱環境以外的系統上執行程式碼。 作為為當前版本的漏洞提供現金獎勵計劃的一部分，Google 支付了26 個價值21500 美元的獎勵（兩個5000 美元獎勵、兩個3000 美元獎勵、一個2000 美元獎勵、兩個1000 美元獎勵和三個500美元獎勵）。 16項獎勵的金額尚未確定。

來源： opennet.ru