Chrome 版本 93

谷歌發布了Chrome 93網頁瀏覽器，同時作為Chrome基礎的免費Chromium專案也發布了穩定版本。 Chrome 瀏覽器的特點是使用 Google 標誌、當機時發送通知的系統、播放受保護影片內容 (DRM) 的模組、自動安裝更新的系統以及搜尋時傳輸 RLZ 參數。 Chrome 94 的下一個版本計劃於 21 月 4 日發布（開發已改為 XNUMX 週發布週期）。

Chrome 93 的主要變化：

• 具有頁面資訊（頁面資訊）的區塊的設計已經現代化，其中實現了對嵌套區塊的支持，並且具有存取權限的下拉列表已被開關取代。此列表確保最重要的資訊首先顯示。並非所有使用者都啟用此變更；要啟動它，您可以使用“chrome://flags/#page-info-version-2-desktop”設定。
• 對於一小部分用戶，作為實驗，地址欄中的安全連接指示器被替換為更中性的符號，不會導致雙重解釋（鎖被替換為“V”符號）。對於未加密建立的連接，將繼續顯示“不安全”指示符。更換該指示器的原因是，許多用戶將掛鎖指示器與網站內容可以信任的事實相關聯，而不是將其視為連接已加密的標誌。根據Google的一項調查顯示，只有11%的用戶了解帶鎖圖示的含義。
• 最近關閉的選項卡清單現在顯示關閉的選項卡組的內容（先前的清單僅顯示群組的名稱，而不詳細顯示內容），並且能夠立即返回整個群組和群組中的單一選項卡。該功能並未對所有使用者啟用，因此您可能需要更改“chrome://flags/#tab-restore-sub-menus”設定才能啟用它。
• 對於企業來說，實現了新的設定：DefaultJavaScriptJitSetting、JavaScriptJitAllowedForSites 和 JavaScriptJitBlockedForSites，它們允許您控制 JIT-less 模式，即在執行 JavaScript 時禁用 JIT 編譯（僅使用 Ignition 解釋器）並禁止分配可執行檔程式碼執行期間的內存。停用 JIT 對於提高使用潛在危險 Web 應用程式的安全性很有用，但代價是 JavaScript 執行效能降低約 17%。值得注意的是，微軟更進一步，在 Edge 瀏覽器中實現了實驗性的「Super Duper Secure」模式，允許用戶停用 JIT 並啟動非 JIT 相容的硬體安全機制 CET（控制流強制技術）、ACG（任意Code Guard）和CFG（Control Flow Guard）用於處理Web 內容的進程。如果實驗成功，那麼我們可以預期它將被轉移到 Chrome 的主要部分。
• 新標籤頁提供了 Google 雲端硬碟中保存的最受歡迎文件的清單。該清單的內容對應於drive.google.com 中的優先順序部分。要控制Google雲端硬碟內容的顯示，您可以使用「chrome://flags/#ntp-modules」和「chrome://flags/#ntp-drive-module」設定。
• 「開啟新分頁」頁面中新增了新的資訊卡，以協助您找到最近查看的內容和相關資訊。這些卡片旨在讓您更輕鬆地繼續處理查看中斷的信息，例如，這些卡片將幫助您找到最近在網上找到但關閉頁面後丟失的菜餚的食譜，或者繼續製作在商店購買。作為實驗，為用戶提供了兩個新地圖：「食譜」（chrome://flags/#ntp-recipe-tasks-module）用於搜尋烹飪食譜並顯示最近查看的食譜；「食譜」（chrome:/ /flags/#ntp-recipe-tasks-module）用於搜尋烹飪食譜並顯示最近查看的食譜； 「購物」(chrome://flags/#ntp-chrome-cart-module) 用於提醒線上商店中選擇的產品。
• Android 版本添加了對連續搜尋面板 (chrome://flags/#continuous-search) 的可選支持，它允許您保持最近的 Google 搜尋結果可見（該面板在移動到其他頁面後繼續顯示結果）。
• Android 版本中新增了實驗性的引用共享模式 (chrome://flags/#webnotes-stylize)，該模式可讓您將選定的頁面片段儲存為引用並與其他使用者共用。
• 當向 Chrome 線上應用程式商店發布新的新增內容或版本更新時，現在需要進行兩步驟開發者驗證。
• Google 帳戶使用者可以選擇將付款資訊儲存到其 Google 帳戶。
• 在隱身模式下，如果啟動了清除導航資料的選項，則會出現一個新的操作確認對話框，說明清除資料將關閉視窗並結束隱身模式下的所有會話。
• 由於已確定與某些設備的韌體不相容，Chrome 91 中添加了對新密鑰協商方法的支持，該方法在量子計算機上具有抗猜測性，基於CECPQ1.3（組合橢圓曲線和後量子2）擴展的使用TLSv2，將經典的 X25519 金鑰交換機制與基於專為後量子密碼系統設計的 NTRU Prime 演算法的 HRSS 方案結合。
• 連接埠989（ftps-data）和990（ftps）已被加入到禁止的網路連接埠數量中，以阻止ALPACA攻擊。先前，為了防止NAT滑流攻擊，69、137、161、554、1719、1720、1723、5060、5061、6566和10080連接埠已被封鎖。
• TLS 不再支援基於 3DES 演算法的密碼。特別是，容易受到 Sweet3 攻擊的 TLS_RSA_WITH_32DES_EDE_CBC_SHA 密碼套件已被刪除。
• 對 Ubuntu 16.04 的支援已停止。
• 可以在透過通用 Google 帳戶連接的不同裝置之間使用 WebOTP API。 WebOTP 允許 Web 應用程式讀取透過 SMS 傳送的一次性驗證碼。建議的變更使得可以在運行 Android 版 Chrome 的行動裝置上接收驗證碼，並將其應用到桌面系統上。
• User-Agent Client Hints API 已擴展，作為 User-Agent 標頭的替代品而開發。使用者代理客戶端提示可讓您僅在伺服器發出請求後組織選擇性地傳送有關特定瀏覽器和系統參數（版本、平台等）的資料。反過來，使用者可以確定可以向網站所有者提供哪些資訊。使用 User-Agent Client Hints 時，如果沒有明確請求，則不會傳輸瀏覽器標識符，並且預設僅指定基本參數，這使得被動識別變得困難。

  新版本支援Sec-CH-UA-Bitness參數傳回有關平台位數的數據，可用於提供最佳化的二進位。預設情況下，Sec-CH-UA-Platform 參數會與通用平台資訊一起傳送。呼叫 getHighEntropyValues() 時傳回的 UADataValues 值預設實作為在無法傳回詳細選項的情況下傳回廣義參數。 toJSON 方法已新增至 NavigatorUAData 物件中，它允許您使用 JSON.stringify(navigator.userAgentData) 等建構。

• 將資源打包成 Web Bundle 格式的套件的功能已穩定且預設提供，適合組織更有效地載入大量附帶檔案（CSS 樣式、JavaScript、圖片、iframe）。 Web Bundle 試圖消除現有對 JavaScript 檔案包 (webpack) 支援的缺點：套件本身（而不是其組成部分）可能會出現在 HTTP 快取中；包完全下載後才能開始編譯和執行； CSS 和圖像等其他資源必須以 JavaScript 字串的形式進行編碼，這會增加大小並需要另一個解析步驟。
• 包含 WebXR 平面偵測 API，提供有關虛擬 3D 環境中平面的資訊。指定的 API 可以使用電腦視覺演算法的專有實作來避免對透過呼叫 MediaDevices.getUserMedia() 獲得的資料進行資源密集型處理。讓我們提醒您，WebXR API 可讓您統一使用各種類型的虛擬實境設備，從固定 3D 安全帽到基於行動裝置的解決方案。
• 幾個新的 API 已添加到 Origin Trials 模式（需要單獨激活的實驗性功能）。 Origin 試用意味著能夠使用從本地主機或 127.0.0.1 下載的應用程序中的指定 API，或者在註冊並接收對特定站點在有限時間內有效的特殊令牌之後。
  • 多螢幕窗口放置 API 已被提出，它允許您在連接到當前系統的任何顯示器上放置窗口，並保存窗口位置，並在必要時將窗口擴展到全螢幕。例如，使用指定的 API，用於顯示簡報的 Web 應用程式可以在一個螢幕上組織幻燈片的顯示，並在另一個螢幕上顯示簡報者的註釋。
  • Cross-Origin-Embedder-Policy 標頭控制跨來源隔離模式並允許您在特權操作頁面上定義安全使用規則，現在支援「無憑證」參數來停用憑證相關資訊的傳輸，例如Cookie 和用戶端憑證。
  • 對於控制視窗內容呈現和處理輸入的獨立 Web 應用程式（PWA、漸進式 Web 應用程式），提供了具有視窗控制項的覆蓋層，例如標題列和展開/折疊按鈕。覆蓋層擴展了可編輯區域以覆蓋整個窗口，並允許您將自己的元素添加到標題區域。
  • 新增了建立可用作 URL 處理程序的 PWA 應用程式的功能。例如，music.example.com 應用程式可以將自身註冊為URL 處理程序https://*.music.example.com，並且使用這些連結從外部應用程式（例如，從即時通訊程式和電子郵件用戶端）進行的所有轉換都會導致打開這個 PWA-應用程序，而不是新的瀏覽器標籤。
• 可以使用「導入」表達式載入 CSS 文件，類似於載入 JavaScript 模組，這在建立您自己的元素時很方便，並且允許您無需使用 JavaScript 程式碼指派樣式。從 './styles.css' 匯入工作表斷言 { type: 'css' }; document.adoptedStyleSheets = [工作表]; ShadowRoot.adoptedStyleSheets = [工作表];
• 提供了一個新的靜態方法 AbortSignal.abort()，該方法傳回已設定為中止的 AbortSignal 物件。現在，您可以使用一行「return AbortSignal.abort()」來完成，而不是使用幾行程式碼來建立處於中止狀態的 AbortSignal 物件。
• Flexbox 元素增加了對 start、end、self-start、self-end、left 和 right 關鍵字的支持，透過簡化 Flex 元素位置對齊的工具來補充 center、flex-start 和 flex-end 關鍵字。
• Error() 建構函式實作了一個新的可選「原因」屬性，它允許您輕鬆地將錯誤相互關聯。 const ParentError = new Error('父親'); const error = new Error('parent', { 原因:parentError }); console.log(error.cause ===parentError); // → 真
• 在 HTMLMediaElement.controlsList 屬性中新增了對 noplaybackrate 模式的支持，該屬性允許您停用瀏覽器中提供的介面元素來更改多媒體內容的播放速度。
• 新增了 Sec-CH-Prefers-Color-Scheme 標頭，允許在請求發送階段傳輸有關「prefers-color-scheme」媒體查詢中使用的使用者首選顏色方案的數據，這將允許網站進行最佳化載入與所選方案相關的CSS，並避免其他方案的可見切換。
• 新增了 Object.hasOwn 屬性，它是 Object.prototype.hasOwnProperty 的簡化版本，以靜態方法實作。 Object.hasOwn({ prop: 42 }, 'prop') // → true
• Sparkplug 的 JIT 編譯器專為非常快速的強力編譯而設計，添加了批次執行模式，以減少在寫入和運行模式之間切換記憶體頁面的開銷。 Sparkplug 現在一次編譯多個函數並呼叫一次 mprotect 來更改整個群組的權限。所提出的模式顯著減少了編譯時間（高達 44%），而不會對 JavaScript 執行效能產生負面影響。
• Android 版本停用了 V8 引擎針對 Spectre 等旁路攻擊的內建保護，這些攻擊被認為不如在單獨進程中隔離網站那麼有效。在桌面版本中，這些機制在 Chrome 70 版本中被停用。停用不必要的檢查可以將效能提高 2-15%。
• Web 開發人員的工具已改進。在樣式表檢查模式下，可以編輯使用 @container 表達式產生的查詢。網路巡檢模式實現了Web Bundle格式資源的預覽。在 Web 控制台中，用於以 JavaScript 或 JSON 文字形式複製字串的選項已新增至上下文功能表中。改進了 CORS（跨來源資源共享）相關錯誤的調試。

除了創新和錯誤修復之外，新版本還消除了 27 個漏洞。許多漏洞是透過使用 AddressSanitizer、MemorySanitizer、控制流程完整性、LibFuzzer 和 AFL 工具進行自動化測試而發現的。目前還沒有發現任何嚴重問題可以讓人們繞過所有層級的瀏覽器保護並在沙箱環境之外的系統上執行程式碼。作為為當前版本的漏洞提供現金獎勵計劃的一部分，Google 支付了19 個獎金，價值136500 美元（三個20000 美元獎金，一個15000 美元獎金，三個10000 美元獎金，一個7500 美元獎金，三個5000 美元獎金和三個3000 美元獎金）。 5 項獎勵的金額尚未確定。

來源： opennet.ru