Вышел Chrome 90



    14 апреля 2021 года Google выпустила Chrome 90 для Windows, Mac и Linux.

    В новой версии браузера 90.0.4430.72 по умолчанию используется протокол HTTPS, чтобы повысить безопасность при просмотре веб-страниц. Кроме того, поскольку многие сайты перенаправляют HTTP-соединения на HTTPS, это нововведение повышает производительность, поскольку браузер больше не будет перенаправлять запрос пользователя на этих сайтах.

    Также в Chrome 90 добавлен новый кодировщик AV1 и исправлены 37 различных уязвимостей безопасности, включая критические и нулевого дня.

    Примечательно, что Google на 1 день задержала выпуск Chrome 90 из-за срочного выпуска обновления Chrome 89.0.4389.128, в котором устранены уязвимости нулевого дня CVE-2021-21206 и CVE-2021-21220. Эксплойты для этих уязвимостей были опубликованы в Twitter 12 апреля и 14 апреля. Ранее эти уязвимости были обнаружены ИБ-специалистами в текущих версиях Google Chrome и Microsoft Edge на профильном соревновании хакеров Pwn2Own 2021.

    Ограничения для HTTPS по умолчанию; некоторые IP-адреса, одинарные домены и зарезервированные имена хостов, такие как test или localhost, по-прежнему будут использовать HTTP по умолчанию.

    В Сhrome 90 включена дополнительная защита от атак NAT Slipstreaming. Браузер блокирует FTP, HTTP и HTTPS соединения к порту 554.

    Кодировщик AV1, включенный в Сhrome 90, значительно повышает производительность программного обеспечения для видеоконференций с использованием WebRTC, по сравнению с кодеком VP9 и другими кодеками.

    Выпуск Сhrome 90 содержит множество новых API, пробных версий разных функций и изменений в Google Chrome для разработчиков, включая новое значение для свойства переполнения в CSS, новый способ реализовать и использовать Shadow DOM непосредственно в HTML, поддержку файлов только для чтения в буфере обмена, обработку исключений в WebAssembly и новые ограничения для URL-адресов файлов.

    Комментарии 20

      +2

      Объясните мне как не спецу. Я через хром 90 больше не смогу зайти на фтп сервера или он просто обрезает какуюто страшную уязвимость в этих серверах?

        0
        Если сервер на порту 554, то видимо не зайти
          +1
          У меня и хром 89 не заходит.
          Самое интересное, что почему-то нет ни одного хромоплагина для работы с FTP (по крайней мере, поиск в магазине расширений ничего не выдал).
          При открытии ссылки FTP хром в винде-десятке предлагает выбрать приложение, но список ограничен, если в системе не установлен FTP-клиент, то на выбор только сам Chrome, Internet Explorer, Edge и поиск в Store. Выбрать произвольный exe на диске нельзя.
          В разделе «Выбор стандартных приложений для протоколов» список тот же, и выбрать например проводник для FTP нельзя. Десятка в очередной раз демонстрирует свою ущербность.
          Остается только ставить ту же Filezilla.
          Другой вопрос, а зачем вообще заходить на FTP именно через браузер? Это же неудобно. Даже файловый менеджер удобнее, проводник в винде или наутилус и его аналоги в линуксах.
            0
            я через адресную строку заходил прям в хроме. файлзилла для меня показалась чем то страшно громоздким
              0
              На FTPшки можно заходить через любые файловые менеджеры любых платформ, в том числе и через Проводник в Windows.
                0
                в том числе и через Проводник в Windows.
                можно было, но уже нет.
              0

              В некоторых случаях FTP используется не для загрузки на сервер, а скорее для скачивания с сервера больших файлов. Некоторые размещают на сайте ссылки на скачивание какого-нибудь образа, но через FTP и в таких случаях FTP в самом браузере очень удобен — ничего не нужно скачивать, ходить по папкам в поиске нужного файла (урл то не вставишь)

                0
                В Experiments (chrome://flags/)
                можно включить просмотр ftp — chrome://flags/#enable-ftp
              0
              Есть ПК, у которых хватает ресурсов в реальном времени кодировать видео в AV1 и отсылать по WebRTC?

              Хотя да, вот пруф: www.chromestatus.com/feature/6206321818861568
                0

                Завист от разрешения. QVGA в какой-нибудь конференции на 50 человек, где больше не надо — наверно сработает на любом современном десктопном процессоре.

                0
                Ограничения для HTTPS по умолчанию; некоторые IP-адреса, одинарные домены и зарезервированные имена хостов, такие как test или localhost, по-прежнему будут использовать HTTP по умолчанию.

                «некоторые IP-адреса» — серты для IP такая редкость, что смысл в умолчательном https для ip околонулевой.
                «одинарные домены» — Одинарные? Домен domain.lo одинарным не является, и множество других вариаций доменов с незарегистрированными TLD суффиксами таковыми не являются, но активно используются в частных сетях. А обмазывать каждый такой домен своим PKI — так себе идея.
                  0

                  Одинарные домены, судя по описанию — это домены первого уровня. Тот же localhost относится к роду таких (хотя и не является публичным, конечно же). А другие можно и в hosts'ах прописать

                    0
                    У меня нет вопросов по одинарным доменам.
                    Есть вопрос по доменам неодинарным с незарегистрированным суффиксом.
                  0
                  Я как-то пропустил в своё время, может кто-нибудь пояснить — в чём смысл плодить мажорные версии? Мне всегда казалось, что изменение мажорной версии — дело серьёзное, вроде перехода от Windows 7 к Windows 8, или там PHP6 -> PHP 7. Но таких переходов никак не может быть 90 штук=) Так зачем? Почему версия 90, а не, скажем, 2.90?
                    +4
                    Потому что релиз выходит по графику, а не по наличию/готовности новых фич (неготовые фичи в релиз не попадут). А 90 короче, чем 2.90 — при прочих равных нет смысла плодить эти разряды.

                    На такую же нумерацию перешёл Firefox, когда стал релизиться по графику. К этому движется и ядро Linux (которое тоже выпускается по расписанию) — переход с 4.x на 5.x произошёл не из-за каких-то кардинальных изменений, а потому что Линус сказал «ну, по ощущениям пора, давайте». То есть, с тем же успехом релиз мог называться «4.x+1», по списку изменений он ничем таким не выделяется. Осталось сделать последний шаг и отбросить ненужный разряд.

                    Ну и в вашем примере с операционными системами: Windows тоже перешла на подобную схему. Windows 11 уже не будет, т.к. теперь выпуск идёт чётко дважды в год и нумеруется по году: 21H1, 21H2, 22H1… в отличие от прошлых лет, когда очередная версия Windows выходила по принципу «когда сделаем, тогда и выпустим». 21H1, как и 20H2 — хорошие примеры: новых фич практически нет (и на то есть причины), но выпуск всё равно состоится.
                      +1
                      Ну мне в случае вот таких вот регулярных релизов больше нравится подходу Win10(20H1) или у Яндекс.Браузера — привязанные ко времени выпуска
                        0
                        Упихивание даты в номер версии порождает проблемы в случае сдвига релиза. Это хорошо, когда вы релизитесь 2 раза в год, уж в полугодие (YYH1, YYH2) всяко уложитесь. А вот браузеры релизятся каждые 4 недели.

                        В итоге, вы получаете что-то типа OpenWrt 19.07, которая вышла в январе 2020 года: в такой ситуации дата в номере версии больше вводит в заблуждение, чем что-то полезное показывает (а показывает она только то, что в проекте OpenWrt реальность хронически отстаёт от планов), и одночное число было бы даже лучше.
                          0
                          Не совсем понятно — какие именно проблемы? Вы про два релиза в 1 месяц? У ЯБ это решается просто — допустим 17.2, 17.2.1, 17.2.2 и т.п.
                            +1
                            Ну вот у Firefox это уже не прокатит, т.к. там нумерация X.Y зарезервирована под ESR-выпуски с долгосрочной поддержкой (первое число указывает, какая версия Firefox взята за основу, а второе увеличивается каждый месяц, т.е 67.4 это четвертое обновление 67 версии с долгосрочной поддержкой).

                            Но я вообще не вижу преимуществ у 21.4 против 90. Фобии больших чисел у меня нет. Знание, что 21.4 выпущена в апреле 2021? Если очень надо, то график релизов лежит в интернете…
                    0
                    многие сайты перенаправляют HTTP-соединения на HTTPS, это нововведение повышает производительность, поскольку браузер больше не будет перенаправлять запрос пользователя на этих сайтах.
                    Смешно. Такое перенаправление выполняется настолько быстро, что абсолютно незаметно ни пользователю, ни кому ещё.
                    А на самом деле, это защита от атак типа MITM, когда атакующий полностью контролирует канал, и при установке соединения, атакующий не сообщает пользователю, что сайт поддерживает HTTPS, и оставляет соединение HTTP, контролируя весь трафик.
                    Да, HSTS скажете вы, но чтобы он работал, нужно хотя бы раз зайти на сайт, чтобы браузер запомнил это.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое