Основные изменения в Chrome 103:
- Добавлен экспериментальный редактор изображений, вызываемый для редактирования скриншотов страниц. В редакторе доступны такие функции, как кадрирование, выделение области, рисование кистью, выбор цвета, добавление текстовых меток и вывод типовых фигур и примитивов, таких как линии, прямоугольники, окружности и стрелки. Для включения редактора необходимо активировать настройки «chrome://flags/#sharing-desktop-screenshots» и «chrome://flags/#sharing-desktop-screenshots-edit». После создания скриншота через меню Share в адресной строке, в редактор можно перейти, нажав кнопку «Изменить» («Edit») на странице с предпросмотром скриншота.
- Расширены возможности добавленного в Chrome 101 механизма упреждающей отрисовки (prerender) содержимого рекомендаций в адресной строке Omnibox. Упреждающая отрисовка дополняет ранее доступную возможность загрузки наиболее вероятных для перехода рекомендаций не дожидаясь клика пользователя, Помимо загрузки, содержимое связанных с рекомендациями страниц теперь может отрисовываются в буфере (в том числе выполняются скрипты и формируется дерево DOM), что позволяет обеспечить мгновенное отображение рекомендаций после клика. Для управления упреждающей отрисовкой предложены настройки «chrome://flags/#enable-prerender2», «chrome://flags/#omnibox-trigger-for-prerender2» и «chrome://flags/#search-suggestion-for-prerender2».
В Chrome 103 для Android добавлен API Speculations Rules, позволяющий авторам сайтов передавать браузеру сведения о наиболее вероятных страницах, на которые пользователь может перейти. Браузер использует эту информацию для упреждающей загрузки и отрисовки содержимого страниц.
- В версии для Android задействован новый менеджер паролей, предлагающий тот же унифицированный интерфейс управления паролями, что применяется для Android-приложений.
- В версию для Android добавлена поддержка сервиса «With Google«, позволяющего пользователю выражать благодарность любимым сайтам, зарегистрировавшимся в сервисе, передавая платные или бесплатные цифровые наклейки. Сервис пока доступен только для пользователей из США.
- Улучшено автозаполнения полей с номерами кредитных и дебетовых платёжных карт, в котором теперь поддерживаются карты, сохранённые через Google Pay.
- В версии для Windows по умолчанию задействован встроенный DNS-клиент, которые также используется версиях для macOS, Android и Chrome OS.
- Стабилизирован и предложен всем желающим API Local Font Access, при помощи которого можно определить и использовать установленные в системе шрифты, а также манипулировать шрифтами на низком уровне (например, фильтровать и трансформировать глифы).
- Добавлена поддержка кода HTTP-ответа 103, который позволяет информировать клиента о содержании некоторых HTTP-заголовков сразу после запроса, не дожидаясь пока сервер выполнит все связанные с запросом операции и начнёт отдачу контента. Подобным образом можно сообщать подсказки о связанных с отдаваемой страницей элементах, которые могут быть предварительно загружены (например, могут быть приведены ссылки на используемые на странице css и javascript). Получив информацию о подобных ресурсах браузер может приступить к их загрузке не дожидаясь окончания отдачи основной страницы, что позволяет сократить общее время обработки запроса.
- В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) пока только в сборках для платформы Android началось тестирование API Federated Credential Management (FedCM), позволяющего создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без механизмов межсайтового отслеживания, таких как обработка сторонних Cookie. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
- В API Client Hints, развиваемого в качестве замены заголовка User-Agent и позволяющего выборочно отдавать данные о конкретных параметрах браузера и системы (версия, платформа и т.д.) только после запроса сервером, добавлена возможность подстановки в список идентификаторов браузера фиктивных названий, по аналогии с используемым в TLS механизмом GREASE (Generate Random Extensions And Sustain Extensibility). Например, помимо ‘»Chrome»; v=»103″‘ и ‘»Chromium»; v=»103″‘ в список может быть добавлен случайный идентификатор несуществующего браузера ‘»(Not;Browser»; v=»12″‘. Подобная подстановка позволит выявлять проблемы с обработкой идентификаторов неизвестных браузеров, которые приводят к тому, что альтернативные браузеры вынуждены притворяться другими популярными браузерами, чтобы обойти проверку по спискам допустимых браузеров.
- Файлы в формате изображений AVIF добавлены в список разрешённых для обмена через API iWeb Share.
- Добавлена поддержка формата сжатия «deflate-raw», позволяющего получить доступ к
голому сжатому потоку без заголовков и служебных финальных блоков, что можно использовать, например, для чтения и записи zip-файлов. - Для элементов web-форм предоставлена возможность использования атрибута «rel», что позволяет применять к навигации через web-формы параметр «rel=noreferrer» для отключения передачи заголовка Referer или «rel=noopener» для отключения выставления свойства Window.opener и запрета доступа к контексту из которого был выполнен переход.
- Реализация события popstate приведена в соответствие с поведением Firefox. Событие popstate теперь генерируется сразу после изменения URL без ожидания наступления события load.
- Для страниц, открытых без HTTPS и из блоков iframe запрещено обращение к API Gampepad и API Battery Status.
- В объект SerialPort добавлен метод forget() для отказа от ранее полученных от пользователя полномочий для доступа к последовательному порту.
- В CSS-свойство overflow-clip-margin добавлен атрибут visual-box, определяющий с какого места следует начинать обрезку контента, вышедшего за границу области (может принимать значения content-box, padding-box и border-box).
- В блоках iframe с атрибутом sandbox запрещён вызов внешних протоколов и запуск внешних приложений-обработчиков. Для отмены ограничения следует использовать свойства allow-popups, allow-top-navigation и allow-top-navigation-with-user-activation.
- Прекращена поддержка элемента ‹param›, который потерял смысл после прекращения поддержки плагинов.
- Внесены улучшения в инструменты для web-разработчиков. Например, в панели Styles появилась возможность определения цвета точки вне окна браузера. Улучшен предпросмотр значений параметров в отладчике. Добавлена возможность изменения порядка следования панелей в интерфейсе Elements.
Кроме нововведений и исправления ошибок в новой версии устранено 14 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одной из проблем (CVE-2022-2156) присвоен критический уровень опасности, который подразумевает возможность обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали по данной уязвимости пока не разглашаются, известно только, что она вызвана обращением к освобождённому блоку памяти (use-after-free).
В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 9 премий на сумму 44 тысячи долларов США (одна премия $20000, одна премия $7500, одна премия $7000, две премии $3000 и по одной премии в $2000, $1000 и $500). Размер вознаграждения за критическую уязвимость пока не определён.
Источник: http://www.opennet.ru/opennews/art.shtml?num=57394