谷歌發布了Chrome 94網頁瀏覽器,同時作為Chrome基礎的免費Chromium專案也發布了穩定版本。 Chrome 瀏覽器的特點是使用 Google 標誌、當機時發送通知的系統、播放受保護影片內容 (DRM) 的模組、自動安裝更新的系統以及搜尋時傳輸 RLZ 參數。 Chrome 95 的下一個版本計劃於 19 月 XNUMX 日發布。
從 Chrome 94 的發布開始,開發進入了新的發布週期。 新的重要版本現在將每 4 週發布一次,而不是每 6 週發布一次,從而更快地向用戶交付新功能。 值得注意的是,發布準備流程的最佳化和測試系統的改進使得發布可以更頻繁地生成,而不會影響品質。 對於企業和需要更多時間更新的用戶,將每 8 週單獨發布一次擴展穩定版本,這將允許您每 4 週而不是每 8 週切換到新功能版本一次。
Chrome 94 的主要變更:
- 新增了 HTTPS-First 模式,這讓人想起先前 Firefox 中出現的 HTTPS Only 模式。 如果在設定中啟動該模式,當嘗試透過 HTTP 開啟未加密的資源時,瀏覽器將首先嘗試透過 HTTPS 存取該站點,如果嘗試不成功,則會向使用者顯示缺少權限的警告。 HTTPS 支援並要求在不加密的情況下開啟網站。 未來,Google正在考慮為所有用戶預設啟用HTTPS-First,限制透過HTTP開啟的頁面對某些網路平台功能的訪問,並添加額外的警告,以告知用戶在訪問未加密的網站時出現的風險。 此模式在「隱私權和安全性」>「安全性」>「進階」設定部分啟用。
- 對於不使用HTTPS 開啟的頁面,將請求(下載資源)傳送至本機URL(例如「http://router.local」和localhost)和內部位址範圍(127.0.0.0/8、192.168.0.0/16、10.0.0.0 )禁止使用.8/1.2.3.4 等)。 僅從具有內部 IP 的伺服器下載的頁面例外。 例如,從伺服器 192.168.0.1 載入的頁面將無法存取位於 IP 127.0.0.1 或 IP 192.168.1.1 上的資源,但從伺服器 XNUMX 載入的頁面可以存取。 此變更引入了額外的保護層,防止利用接受本機 IP 請求的處理程序中的漏洞,並且還將防止 DNS 重新綁定攻擊。
- 新增「分享中心」功能,可以快速將目前頁面的連結分享給其他使用者。 可以從 URL 產生 QR 碼、保存頁面、將連結發送到連結到用戶帳戶的另一台設備,以及將連結傳輸到 Facebook、WhatsUp、Twitter 和 VK 等第三方網站。 此功能尚未對所有使用者開放。 若要強制選單和網址列中的「共用」按鈕,您可以使用設定「chrome://flags/#sharing-hub-desktop-app-menu」和「chrome://flags/#sharing-hub-桌面多功能盒」。
- 瀏覽器設定介面已重新建置。 現在,每個設定部分都顯示在單獨的頁面上,而不是在一個公共頁面上。
- 已實現對已頒發和吊銷證書日誌(證書透明度)動態更新的支持,現在將在不參考瀏覽器更新的情況下進行更新。
- 新增了服務頁面“chrome://whats-new”,其中概述了新版本中用戶可見的更改。 該頁面會在更新後立即自動顯示,或可透過「說明」功能表中的「新增功能」按鈕存取。 該頁面目前提到了選項卡搜尋、分割設定檔的功能以及背景顏色變更功能,這些功能並非 Chrome 94 特有的,而是在過去的版本中引入的。 顯示頁面尚未對所有使用者啟用:要控制激活,您可以使用設定“chrome://flags#chrome-whats-new-ui”和“chrome://flags#chrome-whats-new-in” -主選單-新徽章」。
- 已棄用從第三方網站(例如 iframe)載入的內容呼叫 WebSQL API。 在Chrome 94中,當嘗試從第三方腳本存取WebSQL時,會顯示警告,但從Chrome 97開始,此類呼叫將被阻止。 未來,我們計劃完全逐步取消對 WebSQL 的支持,無論使用上下文為何。 WebSQL 引擎是基於 SQLite 程式碼,攻擊者可以利用該引擎來利用 SQLite 中的漏洞。
- 出於安全原因和防止惡意活動,曾經在 Internet Explorer 中使用並允許 Web 應用程式從壓縮檔案中提取資訊的舊版 MK (URL:MK) 協定的使用已開始被阻止。
- 已停止支援與舊版 Chrome(Chrome 48 及更早版本)的同步。
- Permissions-Policy HTTP 標頭旨在啟用某些功能並控制對 API 的訪問,添加了對“display-capture”標誌的支持,該標誌允許您控制頁面上屏幕捕獲 API 的使用(默認情況下,從外部iframe 捕捉螢幕內容的能力被阻止)。
- 幾個新的 API 已添加到 Origin Trials 模式(需要單獨激活的實驗性功能)。 Origin 試用意味著能夠使用從本地主機或 127.0.0.1 下載的應用程序中的指定 API,或者在註冊並接收對特定站點在有限時間內有效的特殊令牌之後。
- 新增WebGPU API,取代WebGL API,提供執行渲染、運算等GPU操作的工具。 從概念上講,WebGPU 與Vulkan、Metal 和Direct3D 12 API 很接近。從概念上講,WebGPU 與WebGL 的不同之處與Vulkan 圖形API 與OpenGL 的不同之處非常相似,但它不是基於特定的圖形API ,而是通用的使用相同低階原語的層,這些原語在 Vulkan、Metal 和 Direct3D 12 中可用。
WebGPU 為 JavaScript 應用程式提供對 GPU 命令的組織、處理和傳輸的低階控制,以及管理相關資源、記憶體、緩衝區、紋理物件和編譯的圖形著色器的能力。 透過這種方法,您可以降低開銷成本並提高 GPU 的工作效率,從而實現更高的圖形應用程式效能。 該 API 還可以為 Web 建立複雜的 3D 項目,這些項目與獨立程式一樣運作,但不依賴特定平台。
- 獨立 PWA 應用程式現在能夠註冊為 URL 處理程序。 例如,music.example.com 應用程式可以將自身註冊為URL 處理程序https://*.music.example.com,並且使用這些連結從外部應用程式(例如,從即時通訊程式和電子郵件用戶端)進行的所有轉換都會導致打開這個 PWA-應用程序,而不是新的瀏覽器標籤。
- 已實現對新 HTTP 回應代碼 - 103 的支持,可用於提前顯示標頭。 代碼 103 可讓您在請求後立即通知客戶端某些 HTTP 標頭的內容,而無需等待伺服器完成與請求相關的所有操作並開始提供內容。 以類似的方式,您可以提供與所提供的可預先載入頁面相關的元素的提示(例如,可以提供指向頁面上使用的 css 和 javascript 的連結)。 收到有關此類資源的資訊後,瀏覽器將開始下載它們,而無需等待主頁完成渲染,這使您可以減少整體請求處理時間。
- 新增WebGPU API,取代WebGL API,提供執行渲染、運算等GPU操作的工具。 從概念上講,WebGPU 與Vulkan、Metal 和Direct3D 12 API 很接近。從概念上講,WebGPU 與WebGL 的不同之處與Vulkan 圖形API 與OpenGL 的不同之處非常相似,但它不是基於特定的圖形API ,而是通用的使用相同低階原語的層,這些原語在 Vulkan、Metal 和 Direct3D 12 中可用。
- 新增了低階媒體串流操作的 WebCodecs API,補充了進階 HTMLMediaElement、媒體來源擴充、WebAudio、MediaRecorder 和 WebRTC API。 遊戲串流、客戶端效果、串流轉碼以及對非標準多媒體容器的支援等領域可能需要新的 API。 WebCodecs API 不是在 JavaScript 或 WebAssembly 中實現單獨的編解碼器,而是提供對瀏覽器中內建的預先建置高效能元件的存取。 特別是,WebCodecs API 提供音訊和視訊解碼器和編碼器、圖像解碼器以及用於在低層級處理各個視訊幀的功能。
- Insertable Streams API 已經穩定,可以操作透過 MediaStreamTrack API 傳輸的原始媒體串流,例如攝影機和麥克風資料、螢幕擷取結果或中間編解碼器解碼資料。 WebCodec 介面用於呈現原始幀,並產生類似 WebRTC Insertable Streams API 基於 RTCPeerConnections 產生的串流。 在實用方面,新的 API 允許應用機器學習技術來即時識別或註釋物件等功能,或在編碼之前或編解碼器解碼之後添加背景剪輯等效果。
- Scheduler.postTask() 方法已經穩定,可讓您控制不同優先順序的任務(JavaScript 回呼呼叫)的調度。 提供了三個優先權: 1- 首先執行,即使使用者操作可能被阻止; 2—允許使用者可見的更改; 3 - 在後台執行)。 您可以使用 TaskController 物件來變更優先順序和取消任務。
- 已穩定,現已在 Origin Trials API 空閒檢測之外分發,以檢測用戶不活動。 此 API 可讓您偵測使用者未與鍵盤/滑鼠互動、螢幕保護程式正在運作、螢幕鎖定或正在另一台顯示器上完成工作的時間。 透過在達到指定的不活動閾值後發送通知來通知應用程式有關不活動的資訊。
- CanvasRenderingContext2D 和 ImageData 物件中的顏色管理流程以及其中 sRGB 顏色空間的使用已經正式化。 提供在 sRGB 以外的色彩空間(例如 Display P2)中建立 CanvasRenderingContext3D 和 ImageData 物件的能力,以利用現代顯示器的高級功能。
- 在 VirtualKeyboard API 中新增了方法和屬性,用於控制是否顯示或隱藏虛擬鍵盤,並取得有關顯示的虛擬鍵盤的大小的資訊。
- JavaScript 允許類別使用靜態初始化區塊來對處理類別時執行一次的程式碼進行分組: class C { // 該區塊將在處理類別本身時執行 static { console.log("C's static block"); } }
- flex-basis 和 flex CSS 屬性實現了 content、min-content、max-content 和 fit-content 關鍵字,以提供對主要 Flexbox 區域大小的更靈活的控制。
- 新增了scrollbar-gutter CSS屬性來控制如何為捲軸保留螢幕空間。 例如,當您不希望內容滾動時,可以擴展輸出以佔據捲軸區域。
- 新增了 Self Profiling API,實現了分析系統,讓您在用戶端測量 JavaScript 的執行時間,以偵錯 JavaScript 程式碼中的效能問題,而無需 Web 開發人員在介面中手動操作。
- 刪除 Flash 外掛程式後,決定在 navigator.plugins 和 navigator.mimeTypes 屬性中傳回空值,但事實證明,某些應用程式使用它們來檢查是否存在用於顯示 PDF 文件的插件。 由於Chrome 具有內建PDF 檢視器,因此navigator.plugins 和navigator.mimeTypes 屬性現在將傳回標準PDF 檢視器外掛程式和MIME 類型的固定清單- “PDF 檢視器、Chrome PDF 檢視器、Chromium PDF 檢視器、Microsoft Edge PDF檢視器和WebKit內建的PDF」。
- Web 開發人員的工具已改進。 Nest Hub 和 Nest Hub Max 裝置已新增至螢幕模擬清單。 介面中新增了反轉過濾器的按鈕,用於檢查網路活動(例如,安裝「status-code:404」過濾器時,可以快速查看所有其他請求),並且還提供了查看原始值的功能Set- Cookie 標頭的(讓您可以評估是否存在不正確的值,這些值在標準化時會被刪除)。 Web 控制台中的側邊欄已被棄用,並將在未來版本中刪除。 新增了在「問題」標籤中隱藏問題的實驗功能。 在設定中,新增了選擇介面語言的功能。
除了創新和錯誤修復之外,新版本還消除了 19 個漏洞。 許多漏洞是透過使用 AddressSanitizer、MemorySanitizer、控制流程完整性、LibFuzzer 和 AFL 工具進行自動化測試而發現的。 目前還沒有發現任何嚴重問題可以讓人們繞過所有層級的瀏覽器保護並在沙箱環境之外的系統上執行程式碼。 作為為當前版本的漏洞提供現金獎勵計劃的一部分,Google 支付了17 個價值56500 美元的獎勵(一個15000 美元獎勵,兩個10000 美元獎勵,一個7500 美元獎勵,四個3000 美元獎勵,兩個1000 美元獎勵)。 7 項獎勵的金額尚未確定。
來源: opennet.ru