Google Chrome

[Friend 1 247]

Релиз Chrome 106

Спойлер

Компания Google представила релиз web-браузера Chrome 106. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 107 запланирован на 25 октября.

Основные изменения в Chrome 106:

• Для пользователей сборок для настольных систем включён по умолчанию механизм Prerender2 для упреждающей отрисовки содержимого рекомендаций в адресной строке Omnibox. Упреждающая отрисовка дополняет ранее доступную возможность загрузки наиболее вероятных для перехода рекомендаций не дожидаясь клика пользователя. Помимо загрузки, содержимое связанных с рекомендациями страниц теперь может отрисовываться в буфере (в том числе выполняются скрипты и формируется дерево DOM), что позволяет обеспечить мгновенное отображение рекомендаций после клика.
• Предоставлена возможность поиска в истории, закладках и вкладках непосредственно из адресной строки Omnibox. Для локализации поиска предложены управляющие теги @history, @bookmarks и @tabs. Например, для поиска в закладках необходимо ввести "@bookmarks поисковая фраза". Для отключения поиска из адресной строки в настройках поиска предусмотрена специальная опция.
• Отключена по умолчанию поддержка технологии Server Push, которая определена в стандартах HTTP/2 и HTTP/3, и позволяет серверу отправить ресурсы клиенту, не дожидаясь их явного запроса. В качестве причины прекращения поддержки упоминается излишнее усложнение реализации технологии при наличии более простых и не менее эффективных альтернатив, таких как тег <link rel="preload">, HTTP-ответ 103 и протокол WebTransport. По статистике Google в 2021 году около 1.25% сайтов, работающих по HTTP/2, использовали Server Push, а в 2022 году данный показатель снизился до 0.7%. Технология Server Push также присутствует в спецификации HTTP/3, но на практике многие серверные и клиентские программные продукты, включая браузер Chrome, изначально не реализовали её.
• Отключена возможность использования не-ASCII символов в доменах, указываемых в заголовке Cookie (для IDN-доменов следует указывать домены в формате punycode). Изменение приводит браузер в соответствие с требованиями RFC 6265bis и поведением, реализованным в Firefox.
• Предложены более ясные метки для идентификации экранов в многомониторных конфигурациях. Подобные метки могут выводиться в диалогах предоставления полномочий для открытия окна на внешнем экране. Например, вместо номера внешнего экрана ('External Display 1') теперь будет показываться название модели монитора ('HP Z27n').
• Улучшения в версии для Android:
  • На странице с историей посещений обеспечена поддержка механизма "Journey", обобщающего прошлую активность через группировку сведений о ранее выполненных поисковых запросах и просмотренных страницах. При вводе ключевых слов в адресной строке, если они ранее использовались в запросах, предлагается продолжить поиск с прерванной позиции.
  • На устройствах с платформой Android 11 предоставлена возможность блокировки страницы, открытой в режиме инкогнито, после переключения на другое приложение. Для продолжения просмотра после блокировки требуется прохождение аутентификации. По умолчанию блокировка отключена и требует активации в настройках приватности.
  • При попытке загрузки файлов из режима инкогнито, обеспечен вывод дополнительного запроса подтверждения сохранения файла и предупреждения о том, что загруженный файл смогут увидеть другие пользователи устройства, так как он будет сохранён в области менеджера загрузок.
• Прекращено предоставление API chrome.runtime для всех сайтов. Данный API теперь предоставляется только при наличии подключаемых к нему браузерных дополнений. Ранее chrome.runtime был доступен для всех сайтов так как его использовало встроенное дополнение CryptoToken с реализацией API U2F, поддержка которого прекращена.
• В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько новых API. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
  • Концепция анонимных iframe, позволяющих загрузить документ в отдельном контексте, не связанном с другими iframe и основным документом.
  • API Pop-Up для организации вывода элементов интерфейса поверх других элементов, например, для организации работы интерактивных меню, подсказок, инструментов выбора содержимого и обучающих систем. Для показа элемента на самом верхнем слое используется новый атрибут "popup". В отличие от диалогов, создаваемых при помощи элемента <dialog> новый API позволяет создавать немодальные диалоги, обрабатывать события, использовать анимацию и создавать гибкие средства управления всплывающей областью.
• Для свойств 'grid-template-columns' и 'grid-template-rows', применяемых в CSS Grid, реализована поддержка интерполяции для организации плавного перехода между разными состояниями сетки.
• В CSS-свойство 'forced-color-adjust' добавлена поддержка значения 'preserve-parent-color', при установке которого свойство "color" заимствует своё значение из родительского элемента.
• Свойство "-webkit-hyphenate-character" избавлено от префикса "-webkit-" и теперь доступно по именем "hyphenate-character". Указанное свойство можно использовать для установки последовательности символов, используемой вместо символа переноса конца слова на другую строку ("-").
• Реализована третья редакция API Intl.NumberFormat, в котором появились новые функции formatRange(), formatRangeToParts() и selectRange(), группировка множеств, новые опции округления и задания точности, возможность интерпретации строк как десятичных чисел.
• В API ReadableStream добавлена поддержка эффективной прямой передачи бинарных данных из последовательного порта в обход внутренних очередей и буферов. Прямая передача включается через задание режима BYOB - "port.readable.getReader({ mode: 'byob' })".
• В программные интерфейсы для работы со звуком и видео (AudioDecoder, AudioEncoder, VideoDecoder и VideoEncoder) добавлена поддержка события "dequeue" и связанных с ним callback-вызовов, активируемых когда кодек начнёт выполнение поставленных в очередь задач кодирования или декодирования содержимого.
• В API WebXR Device реализована возможность raw-доступа к текстурам изображений с камеры, синхронизированным с текущей позицией в виртуальном окружении.
• Внесены улучшения в инструменты для web-разработчиков. В панели Sources появилась возможность группировки файлов по источнику. Улучшена трассировка стека для асинхронных операций. Появилась возможность автоматического игнорирования при отладке известных сторонних скриптов. Добавлена возможность скрытия игнорируемых файлов в меню и панелях. Улучшена работа со стеком вызовов в отладчике.

  В панели Performance добавлен новый трек Interactions для визуализации взаимодействия со страницей и выявления потенциальных проблем с отзывчивостью интерфейса.

  

Кроме нововведений и исправления ошибок в новой версии устранено 20 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 16 премий на сумму 38500 долларов США (по одной премии в $9000, $7500, $7000, $5000, $4000, $3000, $2000 и $1000). Размер восьми вознаграждений пока не определён.

[Friend 1 247]

Релиз Chrome 108

Спойлер

Компания Google представила релиз web-браузера Chrome 108. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 109 запланирован на 10 января.

Основные изменения в Chrome 108:

• Изменено оформление диалога управления Cookie и данными сайтов (вызывается через ссылку Файлы Cookie после нажатия на замок в адресной строке). Диалог упрощён в теперь отображает информацию с разбивкой на сайты.
• Предложены два новых режима оптимизации работы браузера - Экономия памяти (Memory Saver) и Экономия энергии (Energy Saver), которые предложены в настройках производительности (Settings > Performance). Режимы пока доступны только на платформах ChromeOS, Windows и macOS.
• В менеджере паролей предоставлена возможность прикрепления примечания к каждому сохранённому паролю. Как и пароль примечание показывается на отдельной странице только после прохождения аутентификации.
• В версии для Linux по умолчанию задействован встроенный DNS-клиент, который ранее использовался только в версиях для Windows, macOS, Android и ChromeOS.
• На платформе Windows при установке Chrome в панели задач теперь автоматически закрепляется ярлык для запуска браузера.
• Добавлена возможность отслеживания изменения цен на избранные товары в некоторых интернет-магазинах (Shopping List). При снижении цены пользователю направляется уведомление или email (в Gmail). Добавление товара для отслеживания осуществляется через нажатие кнопки "Track price" в адресной строке при нахождении на странице товара. Отслеживаемые товары сохраняются вместе с закладками. Функция доступна только пользователям с активной учётной записью в Google, при включении синхронизации и активации сервиса "Web & App Activity".
• Включена возможность просмотра результатов поиска в боковой панели одновременно с просмотром другой страницы (в одном окне одновременно можно видеть как содержимое страницы, так и результат обращения к поисковой системе). После перехода на какой-то сайт со страницы с результатами поиска в Google перед полем ввода в адресной строке появляется пиктограмма с буквой "G", при клике на которую открывается боковая панель с результатами ранее предпринятого поиска.
• В API File System Access, позволяющее web-приложениям читать и записывать данные напрямую в файлы и каталоги на устройстве пользователя, методы getSize(), truncate(), flush() и close() в объекте FileSystemSyncAccessHandle переведены из асинхронной в синхронную модель выполнения, по аналогии с методами read() и write(). Изменение позволило предоставить полностью синхронно работающий API FileSystemSyncAccessHandle, позволяющий поднять производительность приложений на базе WebAssembly (WASM).
• Добавлена поддержка дополнительных размеров видимой области (viewport) - "small" (s), "large" (l) и "dynamic" (d), а также связанных с данными размерами единиц измерения - "*vi" (vi, svi, lvi и dvi), "*vb" (vb, svb, lvb и dvb), "*vh" (svh, lvh, dvh), "*vw" (svw, lvw, dvw), "*vmax" (svmax, lvmax, dvmax) и "*vmin" (svmin, lvmin и dvmin). Предложенные единицы измерения позволяют привязывать размер элементов к наименьшему, наибольшему и динамическому размеру видимой области в процентном соотношении (размер меняется в зависимости от показа, скрытия и состояния панели инструментов).
• Включена поддержка вариативных цветных векторных шрифтов в формате COLRv1 (подмножество шрифтов OpenType, содержащих помимо векторных глифов слой c информацией о цвете).
• Для проверки поддержки цветных шрифтов в CSS-правила @supports добавлены функции font-tech() и font-format(), а в CSS-правила @font-face добавлена функция tech().
• Предложен API Federated Credential Management (FedCM), позволяющий создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без механизмов межсайтового отслеживания, таких как обработка сторонних Cookie.
• Предоставлена возможность применения уже существующего CSS-свойства "overflow" к заменённым элементам, выводимым за границей содержимого, что в сочетании со свойством object-view-box можно использовать для создания изображений с собственной тенью.
• Добавлены CSS-свойства break-before, break-after и break-inside, позволяющие настроить поведение разрывов при фрагментированном выводе в разрезе отдельных страниц, столбцов и областей. Например, "figure { break-inside: avoid;}" запретит разрывать страницу внутри рисунка.
• В CSS-свойствах align-items, justify-items, align-self и justify-self предоставлена возможность использования значения "last baseline" для выравнивания в привязке к последней опорной линии в раскладке flex или grid.
• Добавлено событие ContentVisibilityAutoStateChanged, генерируемое для элементов со свойством "content-visibility: auto" при изменении состояния отрисовки элемента.
• Предоставлена возможность доступа к API Media Source Extensions в контексте worker-ов, что можно использовать, например, для повышения производительности буферизированного воспроизведения мультимедийных данных через создание объекта MediaSource в отдельном worker-е и трансляцию результатов его работы в HTMLMediaElement в основном потоке.
• В HTTP-заголовке Permissions-Policy, применяемом для делегирования полномочий и включения расширенных возможностей, разрешено использование масок, например, "https://*.bar.foo.com/".
• Удалены устаревшие API window.defaultStatus, window.defaultstatus, ImageDecoderInit.premultiplyAlpha, navigateEvent.restoreScroll(), navigateEvent.transitionWhile().
• Внесены улучшения в инструменты для web-разработчиков. В панели Styles добавлены подсказки для неактивных CSS-свойств. В панели Recorder реализовано автоматическое определение селекторов XPath и text. В отладчике предоставлена возможность пошагового прохода по разделённым запятой выражениям. Расширены настройки "Settings > Ignore List".

Кроме нововведений и исправления ошибок в новой версии устранено 28 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 10 премий на сумму 74 тысячи долларов США (по одной премии в $15000, $11000 и $6000, пять премий $5000, три премии по $3000 и $2000, две премии $1000). Размер 6 вознаграждений пока не определён.

 

[Peter15 19]

На форуме Google написали, что последняя поддерживаемая версия для Windows 7 и 8/8.1 будет с номером 109, т. к. поддержка Windows 7 ESU и Windows 8/8.1 будет осуществляться до 10 января 2023 года.

[Friend 1 247]

05.12.2022 в 22:45, Peter15 сказал:

На форуме Google написали, что последняя поддерживаемая версия для Windows 7 и 8/8.1 будет с номером 109, т. к. поддержка Windows 7 ESU и Windows 8/8.1 будет осуществляться до 10 января 2023 года.

А вот и  он:

Релиз Chrome 109 с поддержкой MathML

Спойлер

Компания Google представила релиз web-браузера Chrome 109. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 110 запланирован на 7 февраля.

Основные изменения в Chrome 109:

• Возвращена поддержка языка разметки MathML Core (Mathematical Markup Language) для определения математических формул, встраиваемых в документы HTML и SVG (MathML был удалён из движка Blink в 2013 году). Для настройки специфичного для MathML стиля предложены CSS-свойства math-style, math-depth и math-shift, а также значение "math" для свойств "display", значение math-auto для свойства text-transform и имя "math" для свойства "font-family". Для манипуляции MathML из JavaScript предложен интерфейс MathMLElement.
• Реализован встроенный в в адресную строку индикатор подтверждения полномочий, который показывается вместо пиктограммы с замком в течение 4 секунд после подтверждения или отклонения пользователем новых полномочий, запрошенных сайтом. Индикатор позволяет убедиться, что сделан верный выбор и при необходимости перейти к редактированию полномочий.
• На страницу, показываемую при открытии новой вкладки, в поисковую строку добавлена пиктограмма с камерой для поиска по изображению при помощи сервиса Google Lens. Изображение для поиска может быть указано как в форме URL, так и в виде локального файла.
• Предложен новый многоплатформенный движок установки обновлений, в котором повышена производительность и надёжность.
• При использовании на системе пользователя резолвера на базе DNS-провайдера Cox обеспечено автоматическое включение режима "DNS поверх HTTPS" (DoH, DNS over HTTPS).
• В режиме Safe Browsing при сканировании файлов на наличие вредоносного кода обеспечена распаковка архивов в формате 7z (ранее поддерживались только zip и rar).
• В рамках инициативы Privacy Sandbox реализован учёт использования сайтами Web API с целью выявления типовых сценариев косвенной идентификации (fingerprinting) пользователя.
• Добавлена страница "About this page" с информацией о странице, используемых источниках и тематике сайта.
• Добавлен вывод детальных предупреждений о загрузке опасного содержимого. Например, при определении, что загружаемый файл потенциально может привести к утечке информации пользователя, вместо общего уведомления о блокировке опасного содержимого теперь будет уточнено, что речь о вредоносном ПО для кражи персональных данных.
• На странице "chrome://settings/language" предложены расширенные настройки перевода, позволяющие выбрать текущий целевой язык, языки для которых не нужно выполнять перевод и языки для которых всегда следует выполнять перевод.
• Отключена возможность выполнения специализированных web-приложений Chrome Apps, на смену которым пришли обособленные web-приложения на базе технологии Progressive Web Apps (PWA) и стандартных Web API. Изначально Google объявил о намерении отказаться от Chrome Apps ещё 2016 году и планировал прекратить их поддержку до 2018 года, но потом отложил данный план.
• Добавлен API OPFS (Origin-Private FileSystem), представляющий собой расширение к API File System Access для размещения файлов в локальной ФС, привязанных к хранилищу, ассоциированному с текущим сайтом. Создаётся своеобразная привязанная к сайту виртуальная ФС (другие сайты не могут получить доступ), позволяющая web-приложениям читать, изменять и сохранять файлы и каталоги на устройстве пользователя,
• API HTMLElement.offsetParent, HTMLElement.offsetTop и HTMLElement.offsetLeft приведены к поведению Firefox и Safari, при использовании Shadow DOM.
• Изменено поведение генерации событий мыши - клик на элемент формы с атрибутом "disabled" теперь будет приводить к формированию других событий, включая события mousemove, mouseenter, mouseleave и mouseover, а отправка событий click, mouseup и mousedown для некоторых родительских обработчиков будет ограничена.
• При проверке заголовка Access-Control-Allow-Methods осуществлён переход на использование проверки с учётом регистра символов (автоматическое преобразование метода запроса в верхний регистр прекращено). Например, после выполнения fetch(url, {method: 'Foo'}) ответ "Access-Control-Allow-Methods: FOO" будет отклонён, а ответ "Access-Control-Allow-Methods: Foo" принят. Изменение не влияет на методы post и put, которые нормализуются в соответствии с требованиями спецификации.
• В версии для Android реализована поддержка API Secure Payment Confirmation, предоставляющего инструменты для дополнительного подтверждения совершаемой платёжной операции.
• Добавлены новые возможности, нацеленные на улучшение предоставления совместного доступа к экрану. Добавлен API Conditional Focus, добавляющий в getDisplayMedia() объект CaptureController, при помощи которого приложение, осуществляющее захват окна или вкладки, может управлять переводом фокуса на транслируемое окно или вкладку. Также добавлено свойство MediaTrackSupportedConstraints.suppressLocalAudioPlayback, позволяющее управлять тем, будет ли выводиться на локально подключённые колонки звук, воспроизводимый во вкладке, или будет только транслироваться на внешнюю систему, используемую, например, при показе презентации на конференции.
• Прекращена поддержка нестандартного API Event.path, вместо которого следует использовать метод Event.composedPath().
• Расширена поддержка спекулятивных правил (Speculation rules), позволяющих авторам сайтов передать браузеру сведения о наиболее вероятных страницах, на которые пользователь может перейти. Браузер использует эту информацию для упреждающей загрузки и отрисовки содержимого страниц. В Chrome 109 разрешено применение API Speculation Rules для организации упреждающей отрисовки ресурсов с других доменов (cross-origin) при условии подтверждения учётных данных и доступа к хранилищу, а также активации с помощью заголовка "Supports-Loading-Mode: credentialed-prerender".
• В поддерживаемых CSS-правилом @font-face параметрах font-weight, font-style и font-stretch разрешено указания значения "auto", определяющего начальные значения стиля вариативных шрифтов.
• В CSS добавлена новая единица измерения "lh", соответствующая вычисленному значению свойства line-height для элемента с которым оно используется. Например, при помощи "lh" для блока textarea можно выставить высоту, эквивалентную определённому числу строк текста.
• Добавлено CSS-свойство "hyphenate-limit-chars", которое можно использовать для указания минимального числа символов в частях слова, разделённых при переносе конца слова на другую строку.
• Поведение движка Blink приближено к движкам Gecko и WebKit при расчёте ширины границы и контура перед отрисовкой. Ранее при использовании нецелых значений ширины границы из-за округления мог возникать заметный однопиксельный разрыв между границей родительского элемента и фоном дочернего элемента (например, если свойство border-width было выставлено в 10.75px, оно округлялось во время отрисовки до 10px, а во время обработки макета до 11px).
• Решена проблема с низкой скоростью прокрутки в Linux при использовании Wayland.
• Внесены улучшения в инструменты для web-разработчиков. Улучшен отладчик JavaScript, в котором реализована деобфускация имён переменных в Generator и async-функциях, добавлено свойство new.target для определения вызова функции или конструктора при помощи оператора new, добавлен объект WeakRef для удержания ссылки на другой объект, чтобы он не был вытеснен сборщиком мусора. В панели Styles добавлены подсказки для неактивных CSS-свойств inline height/width, flex и grid. В панели Performance обеспечен вывод нормальных имён функций, определённых через sourcemap.

Кроме нововведений и исправления ошибок в новой версии устранено 17 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 14 премий на сумму 39 тысяч долларов США (по одной премии в $8000, $5000 и $4000, по три премии в $3000 и $2000, по две премии в $2500 и $1000). Размер одного вознаграждения пока не определён.
 

 

[Friend 1 247]

Усе, прекращена поддержка операционных систем Windows 7/8/8.1,
Релиз Chrome 110

Спойлер

Компания Google представила релиз web-браузера Chrome 110. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 111 запланирован на 7 марта.

Основные изменения в Chrome 110:

• Реализована опциональная возможность использования биометрической аутентификации перед каждым автоматическим заполнением полей с паролями.
• Для обособленных web-приложений реализована предлагаемая по умолчанию страница, показываемая в случае проблем с доступом к сети, если разработчики web-приложения не предусмотрели возможность работы в режиме offline.
• Обновлена реализация режима работы без вывода на экран (headless), который позволяет запускать браузер на системах без монитора и графической подсистемы, например, на серверах. Режим позволяет автоматически выполнять работы, требующие наличия полноценного web-браузера, например, можно автоматизировать настройку новых систем через web-интерфейсы, извлекать web-страницы и создавать собственные сервисы отрисовки web-содержимого. Новая реализация приближена к штатному режиму работы Chrome и поддерживает такие расширенные возможности, как учёт корпоративных политик.
• При включении расширенной защиты браузера (Safe Browsing > Enhanced protection) реализован сбор телеметрии об Сookie, запрашиваемых дополнениями, с целью выявления на стороне Google вредоносной активности в дополнениях и нецелевого доступа к передаваемым через Cookie идентификаторам. Кроме того, в новой версии на платформе Android обеспечена синхронизация белого списка для режимов "Enhanced Safe Browsing" и "Make Browsing Better" с использованием штатного компонента доставки обновлений, что повысит оперативность загрузки новых версий белого списка.
• Упрощён процесс смены пароля в случае выявления компрометации пользовательской базы на текущем сайте. В инструменте проверки паролей расширена база ссылок на формы смены паролей различных сайтов (теперь можно сразу перейти к смене пароля из уведомления о компрометации сайта).
• Активирована шестая стадия урезания информации в HTTP-заголовке User-Agent и JavaScript параметрах navigator.userAgent, navigator.appVersion и navigator.platform, реализуемая с целью сокращения информации, которая может использоваться для пассивной идентификации пользователя. В Chrome 110 сокращена выводимая в строке User-Agent информация о платформе Android (например, было "Android 9; SM-A205U", станет "Android 9; S").
• На странице "chrome://settings/language" предложены расширенные настройки перевода, позволяющие выбрать текущий целевой язык, языки для которых не нужно выполнять перевод и языки для которых всегда следует выполнять перевод.
• В CSS предложен псевдо-класс ":picture-in-picture", при помощи которого можно изменить оформление элементов интерфейса для просмотра видео в режиме "картинка в картинке".
• В манифесте обособленных web-приложений реализована поддержка блока launch_handler, при помощи которого можно управлять поведением при запуске web-приложения, например, открытием в отдельном или существующем окне.
• В элемент iframe добавлен новый атрибут "credentialless", позволяющий организовать встраивание через iframe стороннего контента, который будет обработан в изолированном от основного сайта окружении с пустыми Cookie и отдельными хранилищами, такими как LocalStorage и CacheStorage. Атрибут в iframe позволяет обойтись без выставления на сайте заголовка COEP (Cross-Origin Embedder Policy).
• Добавлено CSS-свойство initial-letter для задания размера и смещения на соседние строки начальных букв в абзацах. Например, при указании "initial-letter: 3;" первая буква абзаца займёт три строки:
• В API FileSystemHandle добавлен метод remove() для удаления файлов по файловому дескриптору, связанному с файлом, выбранным пользователем в диалоге showSaveFilePicker (речь ведётся не об удалении произвольных файлов, а о ситуации, когда пользователь выбрал в диалоге сохранения имя файла, web-приложение сохранило файл, но потом потребовалось удалить этот сохранённый файл).
• Добавлен метод AudioContext.setSinkId(), через который можно выбрать устройство для вывода звука, например, когда пользователю необходимо перенаправить звук на подключённое внешнее устройство.
• При обработке URL по аналогии с Firefox и Safari задействован утверждённый режим обработки интернационализированных имён в URL (IDNA 2008), который отличается от переходного временного режима тем, что в переходном режиме символ ß отражается в ss, ς в σ, а пустые разделители ZWJ и ZWNJ удаляются. Использование разных режимов, например, приводило к тому, что при обращении к домену faß.de в Firefox и Chrome открывались разные сайты.
• Прекращена поддержка операционных систем Windows 7/8/8.1, а также частично прекращена поддержка выпусков Windows Server 2012 и 2012 R2, для которых до 10 октября предусмотрена возможность формирования обновлений с устранением критических уязвимостей.
• С целью защиты от проведения MITM-атак запрещена обработка запросов WebAuthn на сайтах, имеющих проблемы с TLS-сертификатами.
• Полностью блокирована возможность использования API WebSQL, независимо от контекста (ранее использование WebSQL было запрещено только в скриптах, загруженных не с текущего сайта). Вместо WebSQL рекомендуется использовать API Web Storage и Indexed Database. Обработчик WebSQL основан на коде библиотеки SQLite. Поддержка WebSQL прекращена, так как данный API не поддерживался в других браузерах, привязывался к API внешней библиотеки и повышал риски проблем с безопасностью (WebSQL мог использоваться злоумышленниками для эксплуатации уязвимостей в SQLite).
• Удалён API управления квотами window.webkitStorageInfo, который числился устаревшим с 2013 года и был заменён на стандартизированный API StorageManager.
• Внесены улучшения в инструменты для web-разработчиков. Обеспечена очистка содержимого панели Performance при нажатии на кнопку перезагрузки страницы. В Recorder реализована подсветка кода, связанного с текущим этапом выполнения, предоставлена возможность редактирования содержимого не прерывая записи и добавлена возможность записи только определённых типов селекторов. В web-консоли расширены возможности автодополнения ввода. В панели Sources по умолчанию включён режим наглядного форматирования (pretty print) минифицированного JavaScript-кода и улучшена подсветка структур Vue, JSX, Dart, LESS, SCSS, SASS и inline CSS.

Кроме нововведений и исправления ошибок в новой версии устранено 15 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 10 премий на сумму 26.5 тысяч долларов США (по одной премии в $7000, $4000 и $1500, по две премии $3000 и $1000, три премии $2000).

 

[clenup 215]

Как заблокировать вкладки инкогнито в Google Chrome на iPhone и iPad с помощью Touch/Face ID

 

Источник: https://www.comss.ru/page.php?id=11451

[clenup 215]

Chrome 110: Как включить новые функции энергосбережения и оптимизации производительности

 

Источник: https://www.comss.ru/page.php?id=11473

 

[Friend 1 247]

Релиз Chrome 111

Спойлер

Компания Google представила релиз web-браузера Chrome 111. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 112 запланирован на 4 апреля.

Основные изменения в Chrome 111:

• Обновлены элементы интерфейса, связанные с инициативой Privacy Sandbox и позволяющие определять категории интересов пользователя и использовать их вместо отслеживающих Cookie для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей. В новой версии добавлен новый диалог, рассказывающий пользователям о возможностях Privacy Sandbox и перенаправляющий на страницу с настройками, на которой можно настроить передаваемую рекламным сетям информацию.
• Предложен новый диалог с информацией о включении возможности синхронизации между браузерами настроек, истории, закладок, базы автодополнения и других данных.
• На платформах Linux и Android операции определения имён в DNS вынесены из отдельного сетевого процесса в не изолированный процесс браузера, так как при работе с системным резолвером нельзя реализовать некоторые sandbox-ограничения, применяемые для других сетевых сервисов (их-за этого приходилось отключать sandbox-изоляцию процесса с сетевыми сервисами в Linux и Android).
• Добавлена поддержка автоматического входа пользователей в сервисы идентификации Microsoft (Azure AD SSO), используя информацию об учётной записи из Microsoft Windows.
• В механизме обновления Chrome в Windows и macOS обеспечена обработка обновлений для 12 последних версий браузера.
• Для использования API Payment Handler, который упрощает интеграцию с существующими платёжными системами, теперь требуется явное определение источника загружаемых данных через указание в CSP-параметре connect-src (Content-Security-Policy) доменов, к которым отправляются запросы.
• Удалён API PPB_VideoDecoder(Dev), который потерял актуальность после прекращения поддержки Adobe Flash.
• Добавлен API View Transitions, упрощающий создание переходных анимационных эффектов между разными состояниями DOM (например, плавный переход от одного изображения к другому).
• В CSS-запрос "@container" добавлена поддержка функции style() для применения стилей в зависимости от вычисленных значений пользовательских свойств родительского элемента.
• В CSS добавлены тригонометрические функции sin(), cos(), tan(), asin(), acos(), atan() и atan2().
• Добавлен экспериментальный (origin trial) API Document Picture in Picture для открытия в режиме "картинка в картинке" произвольного HTML-содержимого, а не только видео. В отличие от открытия окна через вызов window.open(), окна создаваемые через новый API всегда отображаются поверх других окон, не остаются после закрытия исходного окна, не поддерживают навигацию и не могут явно определять позицию вывода.
• Предоставлена возможность увеличения или уменьшения размера ArrayBuffer, а также увеличения размера SharedArrayBuffer.
• В WebRTC реализована поддержка расширений SVC (Scalable Video Coding) для адаптации видеопотока под пропускную способность клиента и передачи в одном потоке нескольких видеопотоков разного качества.
• В API Media Session добавлены действия "previousslide" и "nextslide" для организации навигации между прошлым и следующим слайдами.
• Добавлен новый синтаксис псевдо-классов ":nth-child(an + b)" и ":nth-last-child()", допускающий получение селектора для предварительной фильтрации дочерних элементов перед выполнения с ними основной логики выбора "An+B".
• В CSS добавлены новые единицы измерения размера шрифтов корневого элемента: rex, rch, ric и rlh.
• Реализована полная поддержка спецификации CSS Color Level 4, включая поддержку семи цветовых палитр (sRGB, RGB 98, Display p3, Rec2020, ProPhoto, CIE и HVS) и 12 цветовых пространств (sRGB Linear, LCH, okLCH, LAB, okLAB, Display p3, Rec2020, a98 RGB, ProPhoto RGB, XYZ, XYZ d50, XYZ d65), помимо ранее поддерживаемых цветов форматов Hex, RGB, HSL и HWB. Предоставлена возможность использования собственных цветовых пространств для анимации и градиентов.
• В CSS добавлена новая функция color(), которую можно использовать для определения цвета в любом цветовом пространстве, в котором цвета задаются при помощи каналов R, G и B.
• Добавлена функция color-mix(), определённая в спецификации CSS Color 5 и позволяющая смешивать цвета в любых цветовых пространствах на основании заданного процента (например, для добавления 10% синего к белому можно указать "color-mix(in srgb, blue 10%, white);").
• Внесены улучшения в инструменты для web-разработчиков. В панель Styles добавлена поддержка спецификации CSS Color Level 4 и предложенных в ней новых цветовых пространств и палитр. В инструменте определения цвета произвольных пикселей ("пипетка") добавлена поддержка новых цветовых пространств и возможность преобразования между разными форматами задания цветов. В отладчике JavaScript переработана панель управления точками останова.

Кроме нововведений и исправления ошибок в новой версии устранено 40 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 24 премии на сумму 92 тысячи долларов США (по одной премии в $15000 и $4000, по две премии в $10000 и $700, по три премии $5000, $2000 и $1000, пять премий $3000).

 

[clenup 215]

Релиз Chrome 112: исправления безопасности

Цитата

2023-04-05

4 апреля 2023 года компания Google выпустила новую версию браузера Chrome 112 Stable. Это преимущественно обновление безопасности, не включающее новые функции и крупные улучшения для обычных пользователей

Обновление Chrome

Новая версия Google Chrome 112 будет установлена автоматически на устройства в ближайшие недели.

Пользователи Google Chrome на платформах Windows, Linux или Mac могут запустить ручную проверку обновлений для установки Chrome 112.

Чтобы проверить версию Google Chrome, перейдите в меню > Справка > О браузере Google Chrome или откройте страницу chrome://settings/help. Если обновление доступно, то браузер автоматически скачает и установит свежую версию. Для завершения установки обновления потребуется перезапуск браузера.

Актуальные версии Chrome для различных платформ:

• Chrome для Linux and Mac: 112.0.5615.49
• Chrome для Windows: 112.0.5615.49 или 112.0.5615.50
• Chrome для Android: 112.0.5615.47 или 112.0.5615.48
• Chrome для iOS: 112.0.5615.46

 

Chrome 112: Что нового

Google Chrome 112 — это обновление безопасности для всех платформ. Компания устранила 16 различных проблем безопасности в браузере. На сайте Chrome Releases приводится информация только о проблемах безопасности, обнаруженных сторонними исследователями. Уровень опасности исправленных уязвимостей: низкая, средняя и высокая. Проблемы связаны с переполнением буфера кучи, использованием памяти после освобождения, выходом за границы области памяти или недостаточным применением политик.

О случаях реальной эксплуатации не сообщается. Тем не менее, рекомендуется обновиться до новой версии как можно скорее, чтобы защитить от потенциальных атак.

На странице Chrome Status перечислены улучшения для разработчиков:

• Установщик 'document.domain' больше не поддерживается.
• Добавлена поддержка необязательного параметра отправителя в конструктор FormData.
• Добавлена поддержка CSS-свойства animation-composition.
• Добавлена поддержка CSS Nesting.
• Добавлена поддержка RegExp v с установленной нотацией и свойствами строк.
• Информационная панель «Перезагрузить эту страницу» больше не отображается, если фрейм верхнего уровня наблюдает за изменениями разрешений.
• Добавлена поддержка WebAssembly Tail Call.
• WebGLContextEvent теперь может работать в Web Workers.
• Добавлены containerName и containerQuery, обновлено conditionText (с помощью флага)
• Добавлена поддержка свойства background-blur.
• Нестандартный атрибут `shadowroot` для декларативного теневого DOM больше не поддерживается
• FedCM: автоматическая повторная аутентификация (с помощью флага)
• UX минимального заголовка обработчика APIPayment (с помощью флага)
• Реализована сборка мусора WebAssembly (WasmGC) (исходная пробная версия).
• [WebRTC] Удалена устаревшая статистика «track» и «stream» из getStats() (пробная версия Origin).

Пользователи Chrome также могут заметить несколько небольших изменений. Одним из них является прекращение использования приложений Chrome (Chrome apps). Эти приложения больше не работают в Chrome 112. Google решил отказаться от этой технологии в пользу прогрессивных веб-приложений (PWA).

Chrome для iOS теперь будет по возможности автоматически обновлять смешанный контент до HTTPS. Раньше браузер блокировал смешанный контент. Также на iOS появилась возможность добавлять веб-сайты и PWA на главный экран.

В Chrome 112 появляется дополнение к функции проверки безопасности браузера. Браузер будет отзывать разрешения для сайтов, которые не посещались какое-то время. Google описывает эту функцию следующим образом:

Начиная с Chrome 112, проверка безопасности включает автоматический отзыв неиспользуемых разрешений для сайтов в Chrome. Chrome сбрасывает разрешения для сайтов, которые пользователи не посещали какое-то время. Chrome автоматически отменяет разрешения и предлагает варианты отказа или повторного предоставления. Разрешения, предоставленные политиками предприятия, не затрагиваются.

Администраторы и пользователи Chrome для Android теперь могут перейти на страницу chrome://policy/logs для устранения неполадок корпоративных политик.

Наконец, режим «Только HTTPS» в Chrome теперь включает новую политику, которая поддерживает force_enabled. Новый параметр «Всегда использовать безопасное соединение» находится в разделе chrome://settings/security.

 

[clenup 215]

Google выпускает очередное обновление безопасности для Chrome 112

 

Цитата

Настало время снова обновить свой браузер Chrome. Компания Google выпустила экстренное обновление безопасности для своего веб-браузера, исправляющее уязвимость, случаи эксплуатации которой уже были зарегистрированы

 

Обновление доступно для настольных версий Chrome, а также для мобильной версии Chrome для Android. Пользователям рекомендуется как можно скорее установить обновление, чтобы защититься от потенциальных атак с использованием исправленных уязвимостей.

Чтобы запустить проверку обновлений пользователи настольных компьютеров могут выбрать Меню > Справка > О браузере Google Chrome или ввести chrome://settings/help прямо в адресную строку.

Chrome покажет текущую версию браузера и проверит наличие обновлений. Если новая версия доступна, то она будет установлена автоматически. Для завершения обновления требуется перезапуск браузера.

 

Google Chrome 112: обновление безопасности

В блоге Chrome Releases Google приводит информацию о пяти из восьми исправленных уязвимостей. Компания не раскрывает сведения о проблемах безопасности, обнаруженных своими сотрудниками.

Исправлены следующие уязвимости:

• CVE-2023-2133, высокий риск: уязвимость выхода за границы памяти в Service Worker API.
• CVE-2023-2134, высокий риск: уязвимость выхода за границы памяти в Service Worker API.
• CVE-2023-2135, высокий риск: уязвимость использования данных после освобождения памяти в инструментах разработчика.
• CVE-2023-2136, высокий риск: уязвимость целочисленного переполнения в Skia.
• CVE-2023-2137, средний риск: переполнение буфера кучи в sqlite.

Сторонние исследователи получают вознаграждение за обнаружение ошибок, когда сообщают о проблемах безопасности в Google.

Google сообщает, что уязвимость CVE-2023-2136 активно эксплуатируется. На данный момент информация о масштабах атак ограничена. Согласно документации Chromium, Skia относится к компоненту Chrome, который отвечает «почти за все графические операции, включая рендеринг текста».

Пользователям других браузеров на Chromium следует обратить внимание на доступные обновления, так данная уязвимость их также затрагивает. В ближайшее время должны выйти обновления для Edge, Brave и других браузеров на этой кодовой базе.

Текущее обновление является уже вторым по счету обновлением безопасности для Chrome 112, которое устраняет активно эксплуатируемую уязвимость. Предыдущее обновление было выпущено 15 апреля 2023 года.

 

[Friend 1 247]

В Chrome решено убрать индикатор замка из адресной строки

Спойлер

Компания Google планирует в выпуске Chrome 117, намеченном на 12 сентября, модернизировать интерфейс браузера и заменить индикатор защищённой передачи данных, показываемый в адресной строке в виде замка, на нейтральный значок "настройки", не вызывающий ассоциаций с безопасностью. Для соединений, установленных без шифрования, продолжит показываться индикатор "не защищено". Изменение подчёркивает, что безопасность теперь является состоянием по умолчанию, а отдельной пометки требуют лишь отклонения и проблемы.

По данным Google, что значок с замком искажённо воспринимается некоторыми пользователями, которые считают его признаком общей безопасности сайта и доверия к нему, а не индикатором, связанным с применением шифрования трафика. Проведённый в 2021 году опрос показал, что только 11% пользователей понимают назначение индикатора с замком. Ситуация с непониманием назначения индикатора настолько плачевна, что ФБР вынужден был опубликовать рекомендации, поясняющие, что символ значка с замком не следует трактовать как безопасность сайта.

В настоящее время почти все сайты перешли на использование HTTPS (по статистике Google 95% страниц, открываются в Chrome по HTTPS) и шифрование трафика стало восприниматься нормой, а не отличительным признаком, требующим внимания. Кроме того, вредоносные и фишинговые сайты также используют шифрование и показ на них значка с замком создаёт ложные предпосылки.

Замена значка также позволит более явно показать, что нажатие на него приводит к выводу меню, о котором не подозревают некоторые пользователи. Значок в начале адресной строки теперь будет преподносится как кнопка для быстрого доступа к основным настройкам полномочий и параметрам текущего сайта. Новый интерфейс уже доступен в экспериментальных сборках Chrome Canary и может быть активирован через параметр "chrome://flags#chrome-refresh-2023".

 

[kmscom 2 288]

1 час назад, Friend сказал:

убрать

неверно. заменить.
убрать, это значит просто ничего не будет, а если вместо замка, просто другой значок, это замена.

 

 

1 час назад, Friend сказал:

Проведённый в 2021 году опрос показал, что только 11% пользователей понимают назначение индикатора с замком

они наверно опрос проводят среди тех же пользователей, как и ЛК, которые не понимают разницу между компонентами антивируса, хоть и с похожими названиями (теперь наверно, они  также не понимают разницу между компонентами, но уже с разными названиями)

 

Маленький офтоп, по поводу опросов.

Я на одном, вернее на двух ресурсах прохожу опросы и получаю за это вознаграждение. Конечно миллионы не заработаешь, но на оплату телефона вполне возможно или на карманные расходы.
Так вот, например проводится опрос о автомобилях, а я в них полный ноль, но я приложу усилия, чтобы пройти отбор на участие в опросе (например скажу, что я имею автомобиль или что то в таком роде), иначе денежек не видать, иногда получается, иногда нет. Конечно, таких хитрецов может быть отсеят основную массу, но может например и в опросах Гугла или ЛК принимают, какое то количество людей, которые и знать ничего не знают о предмете опроса.
Вывод - опросы должны быть безвозмездные, тогда в них примут участия заинтересованные в их результате, а не в вознаграждении, люди.

[ska79 1 329]

@kmscom разве ЛК за опросы платит? )

[kmscom 2 288]

@ska79 я высказал только предположение, что в опросах могут принимать люди, которые незнакомы с продукцией ЛК

маленький офтоп завершен

[Friend 1 247]

@kmscom обычно у ЛК опросы бесплатные и возникают через продукт, просто они могут возникнуть только у бабушек и дедушек или только у молодежи и тогда результат оставляет желать лучшего. А в целом, если не разбираешься в теме, то лучше в таких опросах не участвовать.

--------------------------------------------------------------------------------------------------------------------------------.

Релиз Chrome 113

Спойлер

Компания Google представила релиз web-браузера Chrome 113. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 114 запланирован на 30 мая.

Основные изменения в Chrome 113:

• Включена по умолчанию поддержка графического API WebGPU и языка шейдеров WGSL (WebGPU Shading Language). WebGPU предоставляет схожий с Vulkan, Metal и Direct3D 12 программный интерфейс для выполнения операций на стороне GPU, таких как рендеринг и вычисления, а также позволяет использовать язык шейдров для написания программ, работающих на стороне GPU. Поддержка WebGPU пока включена только в сборках для ChromeOS, macOS и Windows, а для Linux и Android будет активирована позднее.
• Продолжена работа по оптимизации производительности. Относительно ветки 112 скорость прохождение теста Speedometer 2.1 увеличилась на 5%.
• Для пользователей началось постепенное включение режима сегментирования хранилища, Service Worker-ов и коммуникационных API, которые при обработке страницы разделяются в привязке к доменам, что изолирует сторонние обработчики. Режим позволяет блокировать методы отслеживания перемещений пользователя между сайтами, основанные на хранении идентификаторов в общих хранилищах и областях, не предназначенных для постоянного хранения информации ("Supercookies"), например, работающих через оценку наличия определённых данных в браузерных кэшах. Изначально при обработке страницы все ресурсы хранились в общем пространстве имён (same-origin), независимо от исходного домена, что позволяло одному сайту определять загрузку ресурсов с другого сайта через манипуляции с локальным хранилищем, API IndexedDB или проверку наличия данных в кэше.

  При сегментировании к ключу, применяемому для извлечения объектов из кэша и браузерных хранилищ, прикрепляется отдельный признак, определяющий привязку к первичному домену, с которого открыта основная страница, что ограничивает область охвата для скриптов отслеживания перемещений, например, загружаемых через iframe с другого сайта. Для принудительной активации сегментирования не дожидаясь штатного включения можно использовать настройку "chrome://flags/#third-party-storage-partitioning".

  
• Предложен механизм First-Party Sets (FPS), позволяющий определить взаимосвязь между разными сайтами одной организации или проекта для общей обработки Cookie между ними. Возможность полезна, когда один сайт доступен через разные домены (например, opennet.ru и opennet.me). Cookie для подобных доменов полностью разделены, но при помощи FPS их теперь можно связать в общее хранилище. Для включения FPS можно использовать флаг "chrome://flags/enable-first-party-sets".
• Проведена существенная оптимизация программной реализации кодировщика видео в формате AV1 (libaom), которая позволила повысить производительность web-приложений, использующих WebRTC, таких как системы проведении видеоконференций. Добавлен новый режим скорости 10, подходящий для устройств с ограниченными ресурсами CPU. При тестировании приложения Google Meet на канале с пропускной способностью 40 kbps режим AV1 Speed 10 по сравнению с режимом VP9 speed 7 позволил добиться увеличения качества на 12% и прироста производительности на 25%.
• При включении расширенной защиты браузера (Safe Browsing > Enhanced protection) с целью выявления на стороне Google вредоносной активности в дополнениях реализован сбор телеметрии о работе браузерных дополнений, установленных не из каталоге Chrome Store. Отправляются такие данные как хэши файлов дополнения и содержимое manifest.json.
• У части пользователей включены дополнительные возможности автозаполенения форм, нацеленные на быстрое заполнение адреса доставки и платёжных реквизитов при совершении покупок в некоторых интернет-магазинах.
• Проведена реструктуризация меню, показываемого при нажатии на пиктограмму "три точки". На первый уровень меню перенесены пункты "Расширения" и "Chrome Web Store".
• Добавлена возможность перевода на другой язык только выделенного фрагмента страницы, а не только всей страницы (перевод инициируется из контекстного меню). Для управления включением частичного перевода предложена настройка "chrome://flags/#desktop-partial-translate".
• На странице, показываемой при открытии новой вкладки, добавлена возможность возобновления прерванных работ ("Journey"), например, можно продолжить поиск с прерванной позиции.
• В версии для Android реализована новая служебная страница "chrome://policy/logs" для отладки администратором выставленных для пользователей политик централизованного управления.
• В сборке для платформы Android реализована возможность показа более персонализированного содержимого в секции рекомендуемого контента (Discover). Кроме того, добавлена возможность настройки предпочитаемых типов выводимых рекомендаций (например, можно скрыть содержимое из некоторых источников) для пользователей не подключённых к учётной записи в Google.
• В версии для платформы Android предложен новый интерфейс для выбора мультимедийных файлов для загрузки фотографий и видео (вместо собственной реализации задействован штатный интерфейс Android Media Picker).
• В CSS реализован стандартный синтаксис функции image-set(), позволяющей выбрать изображение из набора вариантов с разным разрешением, наиболее подходящее для текущих параметров экрана и пропускной способности сетевого подключения. Ранее поддерживаемый вызов с префиксом -webkit-image-set(), предлагавший специфичный для Chrome синтаксис, теперь заменён на стандартный image-set.
• В CSS добавлена поддержка новых медиазапросов (@media) overflow-inline и overflow-block, позволяющих определить как будет обработан выход содержимого за изначальные границы блока.
• В CSS добавлен медиазапрос update, дающий возможность определения стилей при выводе на печать или при показе на медленных (например, экраны электронных книг) и быстрых (обычные мониторы) экранах.
• В CSS добавлена функция linear() для применения линейной интерполяции между заданным числом точек, что может использоваться для создания сложных анимаций, таких как эффекты отскакивания и растягивания.
• В методе Headers.getSetCookie() реализована возможность извлечения значений из переданных в одном запросе нескольких заголовков Set-Cookie без их объединения.
• В API WebAuthn добавлено расширение largeBlob для хранения больших бинарных данных, связанных с учётными данными.
• Включён API Private State Token для разделения пользователей без использования межсайтовых идентификаторов.
• Сайтам запрещена установка свойства document.domain для применения условий same-origin к ресурсам, загружаемым с разных поддоменов. При необходимости установки канала связи между поддоменами следует использовать функцию postMessage() или API Channel Messaging.
• Внесены улучшения в инструменты для web-разработчиков. В панели инспектирования сетевой активности появилась возможность переопределения или создания новых HTTP-заголовков ответов, возвращаемых web-сервером (Network > Headers > Response Headers). Дополнительно предоставлена возможность редактирования всех переопределений в одном месте через правку файла .headers в разделе Sources > Overrides и создания замен по маске. Улучшена отладка приложений, использующих web-фреймворки Nuxt, Vite и Rollup. Улучшена диагностика проблем с CSS в панели Styles (раздельно отмечаются ошибки в именах свойств и в присваиваемых значениях). В web-консоли добавлена возможность вывода рекомендаций автодополения при нажатии Enter (а не только при нажатии табуляции или стрелки вправо).

Кроме нововведений и исправления ошибок в новой версии устранено 15 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 10 премий на сумму 30.5 тысяч долларов США (по одной премии в $7500. $5000 и $4000, две премии $3000, три премии в $2000 и две премии в $1000).