Релиз web-браузера Chrome 6507.03.2018 12:15

Компания Google представила релиз web-браузера Chrome 65. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.

Основные изменения в Chrome 65:

• При вводе в адресной строке обеспечен показ пиктограмм сайтов (Favicons) в списке рекомендуемых ссылок;
• Оформление интерфейса управления дополнениями («Manage Extensions» в Omnibox) переработано и переведено в соответствие с концепцией Material Design;
• Представлено для тестирования новое оформление диалоговых окон и всплывающих сообщений, соответствующее концепции Material Design. Включение по умолчанию нового интерфейса запланировано на Chrome 66, а пока требует явной активации через «chrome://flags#secondary-ui-md»;
• В мобильной версии для платформы Android добавлена возможность удаления загруженных файлов (в менеджере загрузок добавлено меню »…» с кнопками Share и Delete). В основное меню добавлена кнопка для настройки языка, через которую можно выбрать предпочитаемый язык, изменить приоритет языков и настроить функцию перевода;
• В настройки для людей с ограниченными возможностями добавлена опция для отображения страниц по возможности в упрощённом виде (Chrome menu → Settings → Accessibility → Simplified View) без нагромождения навигацией и прочими не связанными с контентом элементами;
• В рамках обеспечения защиты от автоматического открытия непрошенных страниц обеспечена блокировка замены текущей страницы при открытии ссылки в новой вкладке (когда кликнутая ссылка открывается в новой вкладке, а содержимое текущей вкладки перенаправляется на новый URL). При подобных пробросах теперь выводится предупреждение, требующее от пользователя подтвердить переход явным кликом. Автоматическое открытие рекламных страниц часто практикуется недобросовестными рекламодателями, использующими методы обхода механизмов верификации HTML-баннеров в рекламных сетях для подстановки автоматического перехода;
• Изменено кодовое слово для принудительного открытия страниц, на которых имеются проблемы с SSL-сертификатом (например, сертификат просрочен). Для открытия подобных страниц вместо кодовой фразы «badidea» теперь нужно ввести «thisisnotsafe»;
• Добавлен API CSS Paint (CSS Custom Paint), позволяющий программно генерировать изображение для CSS-свойств. Вместо ссылки на ресурс с изображением можно использовать функцию paint () для указания обработчика, который сгенерирует изображение (например, в CSS можно указать «background-image: paint (checkerboard)», где checkerboard зарегистрированный Worklet для формирования фона);
• Добавлен API Server Timing, позволяющий серверу передать статистику о потреблении различных ресурсов при выполнении определённого запроса (CPU, обращение к ФС, операции с СУБД, запросы из кэша и т.п.). Новый API расширяет средства оценки производительности web-приложения на стороне браузера (API Navigation Timing и Resource Timing) возможностью получить сведения о скрытых от браузера затратах времени, которые потребовались для выполнения запроса на стороне сервера. Сведения передаются через HTTP-заголовок Server-Timing, поддержка которого уже интегрирована в инструменты мониторинга Chrome Developer Tools;
• В CSS реализован псевдоселектор »: any-link» для применения CSS-свойств ко всем элементам гиперссылок по которым были и небыли переходы. Синтаксис определения цветовых координат HSL/HSLA и RGB/RGBA приведён в соответствие со спецификацией CSS Color 4. Добавлена возможность использования свойства display: contents для создания блоков для дочерних элементов и песевдоэлементов без генерации родительского блока (box);
• Для HTML-элемента slot реализован метод assignedElements (), который возвращает только элементы узлов, прикреплённых к указанному слоту (по аналогии с ранее доступным методом assignedNodes () для вывода узлов);
• Добавлено свойство HTMLAnchorElement.relList, которое показывает взаимосвязь между ресурсом, представляемым HTML-элементом «A», и текущим документом, заданную при помощи атрибута «rel»;
• В заголовок Feature-Policy добавлен флаг sync-xhr, позволяющий выборочно включать и выключать синхронный режима работы XMLHttpRequest;
• Поддержка протокола TLS 1.3 приведена в соответствие с 23 черновиком спецификации;
• Добавлена возможность использования Request.destination для определения, какие ресурсы были загружены для service worker;
• Так как язык WebIDL признан устаревшим, в API PerformanceResourceTiming, PerformanceLongTaskTiming и TaskAttributionTiming добавлен метод toJSON для преобразования объектов в JSON;
• Для защиты от утечки информации на другие хосты (cross-origin) в Chrome теперь игнорируется наличие атрибута download для элементов «A с атрибутами cross-origin;
• Для соответствия требованиям спецификации HTML запрещено переопределение объекта document.all;
• Прекращено доверие к SSL-сертификатам Symante, выданным после 1 декабря 2017 года (изменение действует только для сайтов, отказавшихся заменить устаревший сертификат Symantec на новый сертификат от DigiCert).

Кроме нововведений и исправления ошибок в новой версии устранено 45 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 28 премий на сумму 34.5 тысячи долларов США (две премии в $5000, одна премия $4000, две премии $3000, две премии $2000, одна премия $1500, семь премий $1000 и четыре премии $500). Размер восьми вознаграждений пока не определён.

© OpenNet