Компанія Google представила випуск веб-браузера Chrome 94

Браузер Chrome відрізняється використанням логотипів Google, наявністю системи відправки повідомлень в разі збою, модулів відтворення захищеного відеоконтенту (DRM), системи автоматичної установки оновлень і передачі при пошуку параметрів RLZ. Наступний реліз Chrome 95 запланований на 19 жовтня.

Починаючи з виходу Chrome 94, розробка перейшла в новий цикл випуску. Нові значні випуски тепер будуть публікуватися кожні 4 тижні, а не кожні 6 тижнів, що прискорить доставку нових функцій користувачам. Відзначається, що оптимізація процесу підготовки випуску і вдосконалення системи тестування дозволяють частіше формувати випуски без шкоди для якості. Для підприємств і для тих, кому потрібно більше часу на оновлення, розширена стабільна редакція буде виходити окремо кожні 8 тижнів, що дозволить переходити на нові функціональні релізи не раз в 4 тижні, а кожні 8 тижнів.

Основними змінами в Chrome 94 є:

• Додано режим HTTPS-First, який нагадує режим HTTPS Only, який раніше з'являвся в Firefox. Якщо режим активований в налаштуваннях при спробі відкрити ресурс без шифрування по HTTP, браузер спочатку спробує зайти на сайт через HTTPS і при невдалій спробі користувачеві буде показано попередження про відсутність підтримки HTTPS і запропоновано відкрити сайт без шифрування. У майбутньому Google розглядає можливість включити HTTPS-First за замовчуванням для всіх користувачів, обмежити доступ до деяких функцій веб-платформи для сторінок, відкритих через HTTP, і додати додаткові попередження, що інформують користувачів про загрози, які виникають при доступі до сайтів без шифрування. Режим включений в розділі "Конфіденційність і безпека" налаштувань > "Безпека" > "Додатково".
• Для сторінок, відкритих без HTTPS, заборонено відправляти запити (завантажувати ресурси) на локальні URL -адреси (наприклад, "http://router.local" і localhost) і внутрішні діапазони адрес (127.0.0.0/8, 192.168.0.0/16, 10.0.0.0/8 і т.д.). Виняток зроблено тільки для сторінок, завантажених з серверів, які мають внутрішній IP. Наприклад, сторінка, завантажена з сервера 1.2.3.4, не зможе отримати доступ до ресурсу, розміщеному на IP 192.168.0.1 або IP 127.0.0.1, а завантажена з сервера 192.168.1.1 - може. Зміна вводить додатковий рівень для захисту від експлуатації вразливостей в обробниках, які приймають локальні IP-запити, а також захистить від атак перев'язки DNS.
• Додана функція «Sharing Hub», яка дозволяє швидко поділитися посиланням на поточну сторінку з іншими користувачами. Є можливість згенерувати QR-код з URL-адреси, зберегти сторінку, відправити посилання на інший пристрій, пов'язаний з обліковим записом користувача, і передати посилання на сторонні сайти, такі як Facebook, WhatsUp, Twitter і VK. Можливість поки не всім користувачам доведена. Для примусового включення кнопки «Поділитися» в меню і адресному рядку можна скористатися настройками «chrome://flags/#sharing-hub-desktop-app-menu» і «chrome://flags/#sharing-hub-desktop-omnibox».
• Інтерфейс конфігурації браузера був реструктуризований. Кожен розділ налаштувань тепер відображається на окремій сторінці, а не на одній загальній.
• Реалізована підтримка динамічного оновлення журналу виданих і відкликаних сертифікатів (Certificate Transparency), який тепер буде оновлюватися без прив'язки до оновлення браузера.
• Додано сторінку сервісу "chrome://whats-new" з оглядом змін, видимих користувачеві в новому випуску. Сторінка відображається автоматично відразу після оновлення або доступна через кнопку «Що нового» в меню «Довідка». В даний час на сторінці згадується пошук по вкладках, можливість розділяти профілі, а також функція зміни кольору фону, які не є специфічними для Chrome 94 і з'являлися в минулих випусках. Відображення сторінки поки включено не для всіх користувачів: для управління активацією можна використовувати настройки «chrome://flags#chrome-whats-new-ui» і «chrome://flags#chrome-whats-new-in-main-menu-new-badge».
• Доступ до API webSQL з вмісту, завантаженого зі сторонніх сайтів (наприклад, через iframe), був застарілим. У Chrome 94 при спробі доступу до WebSQL зі сторонніх скриптів відображається попередження, але починаючи з Chrome 97 такі дзвінки будуть заблоковані. Надалі планується поступове повне припинення підтримки WebSQL незалежно від контексту використання. Обробник WebSQL заснований на коді SQLite і може бути використаний зловмисниками для використання вразливостей у SQLite.
• З метою безпеки і для запобігання шкідливої активності стало блокуватися використання застарілого протоколу MK (URL:MK), колись використовуваного в Internet Explorer, який дозволяв веб-додаткам витягувати інформацію зі стиснутих файлів.
• Більше не підтримується синхронізація зі старішими версіями Chrome (Chrome 48 і новішими версіями).
• У заголовок Permissions-Policy HTTP, який призначений для включення певних функцій і управління доступом до API, додає підтримку прапорця «display-capture», що дозволяє контролювати використання захоплення екрану на сторінці API (за замовчуванням заблокована можливість захоплення контенту екрану з зовнішніх iframes).
  
  
  
• У режимі Origin Trials (експериментальні функції, які вимагають окремої активації) було додано кілька нових API. Origin Trial має на увазі можливість роботи з зазначеним API з додатків, завантажених з localhost або 127.0.0.1, або після реєстрації та отримання спеціального токена, який діє протягом обмеженого часу для конкретного сайту.
  • Додано WebGPU API , який замінює WebGL API і надає інструменти для виконання операцій на графічному процесорі, таких як рендеринг і обчислення. Концептуально WebGPU близький до API Vulkan, Metal і Direct3D 12. Концептуально WebGPU відрізняється від WebGL приблизно так само, як графічний API Вулкана відрізняється від OpenGL, але не заснований на конкретному графічному API, а є універсальним шаром, який використовує ті ж низькорівневі примітиви, які доступні в Vulkan, Metal і Direct3D 12.

    WebGPU надає JavaScript-додаткам засоби для забезпечення низькорівневого контролю над організацією, обробкою і передачею інструкцій на GPU, а також дозволяє управляти супутніми ресурсами, пам'яттю, буферами, текстурними об'єктами і скомпільованими графічними шейдерами. Такий підхід дозволяє домогтися більш високої продуктивності графічних додатків за рахунок зниження накладних витрат і підвищення ефективності роботи з графічним процесором. API також дає можливість створювати складні 3D-проекти для Мережі, які працюють не гірше окремих програм, але не прив'язані до конкретних платформ.

  • Для автономних додатків PWA ви можете зареєструватися як обробники URL-адрес. Наприклад, додаток music.example.com може зареєструватися як обробник URL https://*.music.example.com і всі переходи від зовнішніх додатків на ці посилання, наприклад, з месенджерів і поштових клієнтів, приведуть до відкриття цього додатка PWA, а не нової вкладки в браузері.
  • Реалізована підтримка нового коду відповіді HTTP - 103, який можна використовувати для проактивного відображення заголовків. Код 103 дозволяє інформувати клієнта про вміст деяких HTTP заголовків відразу після запиту, не чекаючи, поки сервер виконає всі операції, пов'язані із запитом, і почне повертати вміст. Аналогічним чином можна надати підказки про пов'язаних зі сторінкою елементах, які можна попередньо завантажити (наприклад, можуть бути надані посилання на css і javascript, що використовуються на сторінці). Отримавши інформацію про такі ресурси, браузер почне завантажувати їх, не чекаючи закінчення головної сторінки, що скорочує загальний час обробки запиту.
• Додано API WebCodecs  для маніпулювання медіапотоками на низькому рівні, доповнюючи високорівневі API HTMLMediaElement, розширення медіаджерел, WebAudio, MediaRecorder і WebRTC. Новий API може бути затребуваний в таких областях, як потокові ігри, застосування ефектів на стороні клієнта, перекодування потоків і підтримка нестандартних мультимедійних контейнерів. Замість того, щоб реалізовувати окремі кодеки в JavaScript або WebAssembly, API WebCodecs надає доступ до готових високопродуктивних компонентів, вбудованим в браузер. Зокрема, WebCodecs API надає аудіо- та відео декодери і кодери, декодери зображень, функції для роботи з окремими кадрами відео на низькому рівні.
• API вставних потоків був стабілізований, що дозволяє маніпулювати необробленими медіапотоками, що передаються через MediaStreamTrack API , такими як дані камери та мікрофона, результат захоплення екрана або кодек, що розшифровує проміжні дані. Інтерфейси WebCodec використовуються для представлення необроблених кадрів і потоку, подібного до того, що генерує API вставних потоків WebRTC з RTCPeerConnections. З практичної сторони, новий API дозволяє реалізувати такі функціональні можливості, як використання методів машинного навчання для ідентифікації або анотування об'єктів в режимі реального часу або для додавання ефектів, таких як вирізання фону, перед кодуванням або після декодування кодеком.
• Стабілізовано метод scheduler.postTask(), який дозволяє контролювати планування завдань (викликів зворотного виклику JavaScript) з різними рівнями пріоритету. Передбачено три пріоритетні рівні: 1- Виконання перше, навіть якщо операції користувача можуть бути заблоковані; 2 - допускаються видимі користувачеві зміни; 3 - запуск у фоновому режимі). За допомогою об'єкта TaskController можна змінити пріоритет і скасувати завдання.
• Стабілізований і тепер поширений за межами Origin Trials API Idle Detection для визначення бездіяльності користувачів. API дозволяє визначити час, коли користувач не взаємодіє з клавіатурою / мишкою, запускається екран, екран заблокований або робота виконується на іншому моніторі. Інформування програми про бездіяльність здійснюється шляхом відправки повідомлення після досягнення заданого порогу бездіяльності.
• Формалізовано процес керування кольором на полотніПошук об'єктівContext2D та ImageData та використання колірного простору sRGB в них. Надає можливість створювати об'єкти CanvasRenderingContext2D і ImageData в колірних просторах, відмінних від sRGB, таких як Display P3, щоб скористатися розширеними можливостями сучасних моніторів.
• У VirtualKeyboard API додані методи і властивості для управління відображенням і приховуванням віртуальної клавіатури, а також для отримання інформації про розмір показаної віртуальної клавіатури.
• JavaScript надає можливість класам використовувати статичні блоки ініціалізації для групування коду, який виконується один раз при обробці класу:

     клас C {
       Block буде запущений при обробці самого класу static { console.log
       ("Статичний блок C"); }
     }
  

• Властивості гнучкого та гнучкого CSS реалізують ключові слова вмісту, мінімального вмісту, максимального вмісту та відповідності вмісту, щоб більш гнучко контролювати розмір основної області Flexbox.
• Додано властивість CSS прокрутки-жолоба для керування резервуванням місця на екрані для смуги прокрутки. Наприклад, якщо ви не хочете прокручувати вміст, ви можете розгорнути вивід, щоб зайняти область смуги прокручування.
• Додано API self profiling з реалізацією системи профілювання, що дозволяє вимірювати час виконання JavaScript на стороні користувача для налагодження проблем продуктивності в коді JavaScript, не вдаючись до ручних маніпуляцій в інтерфейсі для веб-розробників.
• Після видалення Flash плагіна було прийнято рішення повернути порожні значення у властивостях navigator.plugins і navigator.mimeTypes, але, як виявилося, деякі додатки використовували їх для перевірки на наявність плагінів для відображення PDF-файлів. Оскільки Chrome має вбудований переглядач PDF, відтепер властивості navigator.plugins і navigator.mimeTypes повернуть фіксований список стандартних плагінів і типів MIME для перегляду PDF - «Переглядач PDF-файлів, Chrome PDF Viewer, Chromium PDF Viewer, Microsoft Edge PDF Viewer і вбудований PDF-файл WebKit».
• Були внесені вдосконалення в інструменти для веб-розробників. Пристрої Nest Hub та Nest Hub Max додані до списку симуляцій екрану. В інтерфейс перевірки мережевої активності додана кнопка для інвертування фільтрів (наприклад, при установці фільтра "status-code: 404" можна швидко переглядати всі інші запити), а також передбачена можливість перегляду вихідних значень заголовків Set-Cookie (дозволяє оцінити наявність некоректних значень, які видаляються при нормалізації). Застарілий і буде видалений у майбутньому випуску бічної панелі у веб-консолі. Додано експериментальну можливість приховувати проблеми на вкладці "Питання". В налаштуваннях додана можливість вибору мови інтерфейсу.

Крім нововведень і виправлень помилок, в новій версії виправлено 19 вразливостей. Багато вразливостей були виявлені в результаті автоматизованого тестування Компанією AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Немає критичних питань, що дозволяють обійти всі рівні захисту браузера і виконати код в системі поза середовищем пісочниці. В рамках програми виплати грошової винагороди за виявлення вразливостей за поточний реліз Google виплатив 17 нагород в розмірі 56500 доларів США (один бонус в розмірі $ 15000, дві нагороди по $ 10000, одна премія в розмірі $ 7500, чотири нагороди по $ 3000, два призи по $ 1000). Розмір 7 нагород поки не визначений.

Інші новини