Выпуск web-браузера Chrome 58

Компания Google представила релиз web-браузера Chrome 58. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, идущим в комплекте модулем Flash, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.

Основные изменения в Chrome 58:

  • В настойки добавлена опция для отключения API Encrypted Media Extensions, предназначенного для воспроизведения медиаконтента, защищённого авторскими правами. Необходимость в новой опции возникла после удаления в прошлом выпуске интерфейса для управления плагинами «chrome://plugins», так как без него не осталось средств для отключения CDM-модуля (Content Decryption Module) Widevine; 0_1492628352.png
  • Реализована поддержка API IndexedDB 2.0, предоставляющего для JavaScript средства работы с локальными БД, работающими в режиме ключ/значение, поддерживающими создание индексов, операции с курсором, первичные ключи и упорядоченную выборку данных. В новой редакции API представлены новые возможности по управлению схемой данных, методы для пакетного выполнения группы операций и более стандартизированные средства обработки сбоев. Для упрощения обновления БД, хранилища и индексы теперь могут быть переименованы после реструктуризации.

    Появилась возможность использования бинарных ключей, обеспечивающих компактное представление пользовательских ключей. Для упрощения извлечения данных добавлены методы getKey () и openKeyCursor (), позволяющие добиться повышения производительности выборки, в ситуации кода необходимо получить только ключ. Новый метод continuePrimaryKey () может оказаться полезен для разбиения больших наборов данных на части с обработкой в разных транзакциях без опасения дублирования первичных ключей. Добавлены методы getAll () и getAllKeys (), которые позволяют сразу получить всё содержимое базы без использования курсора;

  • Для iframe реализована опция «allow-top-navigation-by-user-activation», разрешающая выполнять навигацию по родительской странице из изолированного iframe при явном клике пользователя на ссылке, но запрещающая автоматический редирект. Опция полезна для размещения баннеров в iframe, позволяя совершать переходы на заинтересовавшую рекламу, но блокируя нежелательную активность (например, автоматический проброс на другие страницы);
  • Для приложений, работающих в режиме Progressive Web Apps, позволяющем организовать работу с web-приложением, как с обычной программой для Android (отображение в списке запущенных программ, выполнение деинсталляции, средства для получения запросов от других приложений, свой блок настроек в системном конфиругаторе, управление уведомлениями, работа при отсутствии сетевого соединения и т.п.), реализована возможность работы в полноэкранном режиме. Указав в файле-манифесте приложения свойство «display: fullscreen» web-приложение будет открываться без служебных кнопок, панели и адресной строки, если программа запущена через ярлык на домашнем экране. Подобный режим может быть востребован для таких приложений, как игры и мультимедийные проигрыватели; 0_1492634103.png
  • В CSS-свойство display добавлена поддержка значения flow-root, позволяющего сгенерировать блочный элемент, соответствующий новой технике блочного форматирования контента, что позволяет обойтись без ручной периодической установки свойств float и clear;
  • Добавлен интерфейс PointerEvents.getCoalescedEvents (), позволяющий получить доступ ко всем событиям ввода с момента последней доставки события PointerEvent. Подобная возможность может применяться для получения истории позиций перемещения указателя для таких приложений, как программы для рисования;
  • Workers и SharedWorkers теперь могут задаваться через URL «data:», что позволяет организовать более безопасное самодостаточное выполнение фоновых задач без привязки к домену;
  • Добавлен API ControlsList, через который предоставлена возможность менять оформление встроенных кнопок управления, таких как кнопки загрузки, перехода в полноэкранный режим и удалённого воспроизведения;
  • В Chrome для Android воспроизведение видео с флагом «autoplay» отныне будет останавливаться при переключении приложения на экране и возобновляться при возвращении в область видимости;
  • В Chrome для Android сайтам, добавленным на домашний экран, теперь разрешено автоматическое воспроизведение звука и видео с хостов, явно перечисленных в файле с манифестом;
  • Для оптимизации времени разбора JavaScript, элемнеты SVGPoint, SVGRect и SVGMatrix выделены из API Geometry в отдельные интерфейсы;
  • В Selection API добавлена функция removeRange (), позволяющая удалить объект Range, определяющий выделенный пользователем блок текста;
  • На платформе macOS добавлена поддержка атрибутов PointerEvent.tangentialPressure и PointerEvent.twist, определяющих параметры стилуса (например, в приложении для рисования можно учитывать силу нажатия);
  • В JavaScript теперь разрешено оставлять запятые в конце списков параметров и аргументов;
  • В WebAudio API добавлено свойство воспроизведения AudioContextLatencyCategory, позволяющее выбрать компромисс между величиной задержек и нагрузкой на CPU;
  • Создание уведомлений через Notifications API или запрос прав на вывод уведомлений теперь возможен только для сайтов, открытых по HTTPS;
  • API Encrypted Media Extensions теперь допускает только обработку данных, поступивших по HTTPS;
  • Прямые переходы на URL «data:» объявлены устаревшими для защиты от попыток спуфинга и фишинга;
  • Экземпляры объектов HTMLEmbedElement и HTMLObjectElement теперь не могут вызываться как функции.

Кроме нововведений и исправления ошибок в новой версии устранены 29 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity и LibFuzzer. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 18 премий на сумму 14 тысяч долларов США (одна премия $3000, три премии $2000, одна на $1500, две премии $1000 и три премии $500). Размер двух вознаграждений пока не определён.

© OpenNet