Компания Google представила (https://chromereleases.googleblog.com/2018/03/stable-channel...) релиз web-браузера Chrome 65 (http://www.google.com/chrome). Одновременно доступен (https://www.chromium.org/developers/calendar) стабильный выпуск свободного проекта Chromium (http://dev.chromium.org/), выступающего основой Chrome. Браузер Chrome отличается (https://code.google.com/p/chromium/wiki/ChromiumBrowserVsGoo...) использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров (https://www.opennet.dev/opennews/art.shtml?num=26822).Основные (https://productforums.google.com/forum/#!topic/chrome/N1Go1_...) изменения (https://plus.google.com/+FrancoisBeaufort/posts) в (https://blog.chromium.org/2018/02/chrome-65-beta-css-paint-a...) Chrome (https://developers.google.com/web/updates/2018/) 65 (https://v8project.blogspot.ru/2018/02/v8-release-65.html):
- При вводе в адресной строке обеспечен показ пиктограмм сайтов (Favicons) в списке рекомендуемых ссылок;- Оформление интерфейса управления дополнениями ("Manage Extensions" в Omnibox) переработано и переведено в соответствие с концепцией Material Design;
- Представлено для тестирования новое оформление диалоговых окон и всплывающих сообщений, соответствующее концепции Material Design. Включение по умолчанию нового интерфейса запланировано на Chrome 66, а пока требует явной активации через "chrome://flags#secondary-ui-md";
- В мобильной версии для платформы Android добавлена возможность удаления загруженных файлов (в менеджере загрузок добавлено меню "..." с кнопками Share и Delete). В основное меню добавлена кнопка для настройки языка, через которую можно выбрать предпочитаемый язык, изменить приоритет языков и настроить функцию перевода;
- В настройки для людей с ограниченными возможностями добавлена опция для отображения страниц по возможности в упрощённом виде (Chrome menu → Settings → Accessibility → Simplified View) без нагромождения навигацией и прочими не связанными с контентом элементами;- В рамках обеспечения (https://www.opennet.dev/opennews/art.shtml?num=47543) защиты от автоматического открытия непрошенных страниц обеспечена блокировка замены текущей страницы при открытии ссылки в новой вкладке (когда кликнутая ссылка открывается в новой вкладке, а содержимое текущей вкладки перенаправляется на новый URL). При подобных пробросах теперь выводится предупреждение, требующее от пользователя подтвердить переход явным кликом. Автоматическое открытие рекламных страниц часто практикуется недобросовестными рекламодателями, использующими методы обхода механизмов верификации HTML-баннеров в рекламных сетях для подстановки автоматического перехода;
- Изменено (https://plus.google.com/+FrancoisBeaufort/posts/dtfastJppG8) кодовое слово для принудительного открытия страниц, на которых имеются проблемы с SSL-сертификатом (например, сертификат просрочен). Для открытия подобных страниц (https://expired.badssl.com/) вместо кодовой фразы "badidea" теперь нужно ввести "thisisnotsafe";
- Добавлен API CSS Paint (https://developers.google.com/web/updates/2018/01/paintapi) (CSS Custom Paint), позволяющий программно генерировать изображение для CSS-свойств. Вместо ссылки на ресурс с изображением можно использовать функцию paint() для указания обработчика, который сгенерирует изображение (например, в CSS можно указать "background-image: paint(checkerboard)", где checkerboard зарегистрированный Worklet для формирования фона);
- Добавлен API Server Timing (https://w3c.github.io/server-timing/), позволяющий серверу передать статистику о потреблении различных ресурсов при выполнении определённого запроса (CPU, обращение к ФС, операции с СУБД, запросы из кэша и т.п.). Новый API расширяет средства оценки производительности web-приложения на стороне браузера (API Navigation Timing и Resource Timing) возможностью получить сведения о скрытых от браузера затратах времени, которые потребовались для выполнения запроса на стороне сервера. Сведения передаются (https://umaar.com/dev-tips/136-server-timing/) через HTTP-заголовок Server-Timing, поддержка которого уже интегрирована в инструменты мониторинга Chrome Developer Tools;
- В CSS реализован псевдоселектор ":any-link (https://developer.mozilla.org/en-US/docs/Web/CSS/:any-link)" для применения CSS-свойств ко всем элементам гиперссылок по которым были и небыли переходы. Синтаксис определения цветовых координат HSL/HSLA и RGB/RGBA приведён в соответствие со спецификацией CSS Color 4 (https://drafts.csswg.org/css-color/#the-hsl-notation). Добавлена возможность использования свойства display:contents (https://drafts.csswg.org/css-display/#box-generation) для создания (https://rachelandrew.co.uk/archives/2016/01/29/vanishing-box.../) блоков для дочерних элементов и песевдоэлементов без генерации родительского блока (box);- Для HTML-элемента slot реализован метод assignedElements() (https://html.spec.whatwg.org/#dom-slot-assignedelements), который возвращает только элементы узлов, прикреплённых к указанному слоту (по аналогии с ранее доступным методом assignedNodes() для вывода узлов);
- Добавлено свойство HTMLAnchorElement.relList (https://www.chromestatus.com/feature/5631885325631488), которое показывает взаимосвязь между ресурсом, представляемым HTML-элементом "A" и текущим документом, заданную при помощи атрибута "rel";
- В заголовок Feature-Policy добавлен флаг sync-xhr (http://xhr.featurepolicy.rocks/), позволяющий выборочно включать и выключать синхронный режима работы XMLHttpRequest;
- Поддержка протокола TLS 1.3 приведена в соответствие с 23 черновиком спецификации (https://tools.ietf.org/html/draft-ietf-tls-tls13-23);
- Добавлена возможность использования Request.destination (https://fetch.spec.whatwg.org/#concept-request-destination) для определения, какие ресурсы были загружены для service worker;- Так как язык WebIDL (https://www.w3.org/TR/WebIDL-1/) признан устаревшим, в API PerformanceResourceTiming, PerformanceLongTaskTiming и TaskAttributionTiming добавлен метод toJSON (https://heycam.github.io/webidl/#idl-tojson-operation) для преобразования объектов в JSON;
- Для защиты от утечки информации на другие хосты (cross-origin) в Chrome теперь игнорируется наличие атрибута download для элементов "A (https://www.w3.org/MarkUp/1995-archive/Elements/A.html) с атрибутами cross-origin;
- Для соответствия требованиям спецификации HTML запрещено переопределение объекта document.all;- Прекращено доверие (https://www.opennet.dev/opennews/art.shtml?num=46941) к SSL-сертификатам Symante, выданным после 1 декабря 2017 года (изменение действует только для сайтов, отказавшихся заменить устаревший сертификат Symantec на новый сертификат от DigiCert).
Кроме нововведений и исправления ошибок в новой версии устранено 45 уязвимостей (https://bugs.chromium.org/p/chromium/issues/list?can=1&q=lab...). Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer (http://code.google.com/p/address-sanitizer/wiki/AddressSanit...), MemorySanitizer (https://code.google.com/p/memory-sanitizer/wiki/MemorySanitizer), Control Flow Integrity (https://sites.google.com/a/chromium.org/dev/developers/testi...), LibFuzzer (https://sites.google.com/a/chromium.org/dev/developers/testi...) и AFL (http://lcamtuf.coredump.cx/afl/). Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила ...URL: https://chromereleases.googleblog.com/2018/03/stable-channel...
Новость: https://www.opennet.dev/opennews/art.shtml?num=48216
Так, это что за зверь? CSS Paint? background-image: paint(checkerboard)Кто знает зачем это?
Очевидно, чтобы усилить векторы атаки :)
А, ну тогда все норм, а то я уже переживать начал))
Задаём обработчик на JavaSсript:
class MyPainter {
paint(ctx, geometry, properties) {
// ...
}
}registerPaint('myPainter', MyPainter);
Привязываем его в CSS:textarea {
background-image: paint(myPainter);
}
Спасибо. Только пока это не будет поддерживаться во всех браузерах - будут использовать полифиллы. А это раздует и без того большие бандлы.Вопрос тут в другом - хоть один реальный пример использования сей технологии есть?
Канвас 2.0. Ну или svg с возможностью читать js переменные при отрисовке. Это очень специфично, но бывают случаи где тебе не обойтись.
> В рамках обеспечения защиты от автоматического открытия непрошенных страниц обеспечена блокировка замены текущей страницы при открытии ссылки в новой вкладке (когда кликнутая ссылка открывается в новой вкладке, а содержимое текущей вкладки перенаправляется на новый URL).Ну это хорошо. Но это хоть какому-то стандарту соответсвует (который ещё не подогнали под необходимости гугл?)
Это где у хрома заголовок окна серый? Хочу в win10 такой же цвет, а не скучно белый.
выключить GTK тему, и использовать классическую
А я напоминаю каким должен быть браузер https://pastebin.com/raw/aD1mXv6X
>Так как язык WebIDL признан устаревшимКем признан?
признавшими
Что характерно, что-то не бросаются в глаза среди редакторов стандарта WebIDL люди из Гугла. Так что похоже что это классическое "придумано не нами".
А так та же Мозилла использует его очень активно и отказываться не собирается.
И WebKit использует. И Chromium использует. А в новости какая-то отсебятина аффтара
> И WebKit использует. И Chromium использует. А в новости какая-то отсебятина аффтараВот это что оказывается: https://github.com/w3c/resource-timing/issues/112
"WebIDL serializer has been deprecated in favor of toJSON operation". Сериалайзеры выкинули, а не WebIDL.
А можно узнать зачем оно надо вообще?
Опция --disable-infobars больше не поддерживается(
Где wayland ?
Где-то вдалеке. Повозка ведомая лебедем, раком, щукой, идёт с небольшой же скоростью.
Иногда на опеннете тот или иной аноним заявляет, что этот Хром "собирает всю информацию, до которой сможет дотянуться". Хотелось бы уточнить, что в этом случае имеется ввиду. У меня нет проверенных данных по *nix системам, но вот что удалось выяснить для Винды.Чтобы немножко ощутить глубину зондирования хомячковых локалхостов сабжем, достаточно запустить
perfmon.exe /res
И что же можно видеть? Оказывается, Хром теперь, не спрашивая и не уведомляя об этом, добавляет в "%AppData%\Local\Google\Chrome\ля\ля\ля\" каталог SwReport\ с непонятной утилитой "software_reporter_tool.exe", которую, судя по беглому гуглежу, сам Google позиционирует как нечто вроде антивируса (зачем в браузере антивирус для сканирования установленных на компе программ (да-да, эта НЁХ занимается, как минимум, этим!) - отдельный вопрос). При этом утилита появляется не при установке, не при обновлении, а при каждом (!) запуске Хрома. Ну, что же, скажете вы, это же отдельная специальная утилита, все в порядке, Гугл все правильно сделал - выделил свой spy-софт в отдельное приложение? Как бы не так! Сами многочисленные chrome.exe лезут, открывают содержимое каталогов в %ProgramFiles%, отдавая предпочтения файлам "вылеченной от жадности" проприетари. Но не только это!!! Если вы создавали где то свои каталоги со своими файлами, то, по данным perfmon, Хром может полезть и туда! Причем паттерн такого "шмона" от запуска к запуску отличается. Даже невинный крохотный демон GoogleUpdate.exe, про которого с самого начала говорилось, что это очень нужный, полезный демон, поддерживающий ваш браузер в актуальном состоянии, и больше ничего, так даже он во время своей работы читает лисий prefs.js в %AppData%. И вполне возможно что это только вершина айсберга, ведь GoogleUpdate запускается от имени "системы".
И ведь есть нечегоскрыватели, которые и на линуксах им обмазываются. Может оказаться, что он любую систему, на которой установлен, превращает в Десяточку. Как бы проверить его поведение на Линуксе, что лучше для этого использовать: strace, systemtap, или что то еще?
Как минимум, надо в песочнице его запускать, как и скайпик. Что бы никуда не лез, паскуда.Вот для этого подойдет flatpak, когда его допилят до лучшей изоляции, и будут сделаны адекватные рецепты для сборки. По крайней мере, потенциально, это решение простое и будет работать массово. Главное тут ответственно подойти к рецептам сборки flatpak, не разрешая ничего лишнего
Стыдно это признавать, но нагнал я FUD-у напрасно. Как выяснилось при более детальном рассмотрении, все эти программы, к файлам которых обращается Хром, так или иначе добавляют некоторые интеграции в систему - например пункты контекстного меню, могут с этим быть связаны эти чтения. А упомянутые "созданные пользователем каталоги" на самом деле содержат в себе, в частности, скачанные в свое время Хромом же файлы, наверное он читает их чтобы отобразить эскизы на странице загрузок. Единственное, что нашло подтверждение это поведение software reporter tool-a и чтение google updater-ом файла (одного) из профиля Firefox, но они, как ниже сказали, linux-юзерам не грозят. Приношу свои искренние ламерские извинения перед аудиторией opennet-а, а также перед Google Inc.
> Стыдно это признавать, но нагнал я FUD-у напрасно. Как выяснилось при более
> детальном рассмотрении, все эти программы, к файлам которых обращается Хром, так
> или иначе добавляют некоторые интеграции в систему - например пункты контекстного
> меню, могут с этим быть связаны эти чтения. А упомянутые "созданные
> пользователем каталоги" на самом деле содержат в себе, в частности, скачанные
> в свое время Хромом же файлы, наверное он читает их чтобы
> отобразить эскизы на странице загрузок. Единственное, что нашло подтверждение это поведение
> software reporter tool-a и чтение google updater-ом файла (одного) из профиля
> Firefox, но они, как ниже сказали, linux-юзерам не грозят. Приношу свои
> искренние ламерские извинения перед аудиторией opennet-а, а также перед Google Inc.Держишь слово и отвечаешь. Реальное уважение к тебе. Впервые такое на просторах интернета вижу, что человек может быть сильным и ответить за свои слова.
Ну, prefs.js это собственно главный файл настроек (всех) в ФФ. Однако ничего особо "криминально-интересного" в нем нет - папка куда класть загрузки, подключаться ли по прокси и так далее.
Ни паролей, ни кукисов - ничего конфиденциального в нем нет. Не исключаю, что Хром просто пытается угадать какие-то систменые настройки исходя из лисьего конфига.
> что лучше для этого использовать: strace, systemtap, или что то еще?+ еще можно воспользоваться lsof - list open files
> SwReporterНу ты и слоупок. Раньше надо было покровы срывать, его уже нет в хроме. Проверил на 65, разлочив папку.
strace -o /tmp/chrome-opens.txt -e trace=open <command>
SwReport - утилита для борьбы (жаль, не физической) с хомяками у которых после недели использования в браузере оказывается десяток панелей и дополнений, которые "они не ставили, оно само". В линуксах его нет, как и GoogleUpdate-а, по очевидным причинам. Не надо параноить на пустом месте.
Что-то часто пишут на opennet про Chrome. Юзаем?
у кого иконка загрузки крутится заторможено ?
https://yadi.sk/i/rBeMlyOl3T8BHT
Да, с каким то обновлением прилетели такие тормоза, причем иконка отвисает если перейти на вкладку которая полностью загружена. Там не только иконка загрузки, но и вся панель вкладок и интерфейс начинают тормозить...
Когда против часовой крутится, как будто кадры выпадают. По часовой нормально все.
Привет, парни. Может поможите советом?
Использую Cent Browser - сборка Хрома с возможностью отключить Direct Write и получить нормальные шрифты.
Сборки обновляются очень долго, а в последних двух версиях (на основе хромиума 63 и 64) еще и отключение Direct Write не работает должным образом.
Можно ли чтонибудь сделать с исходным хромиумом? Я не очень шарю, но вдруг есть сложная лазейка, типа скомпилить браузер с какиминибудь параметрами...
Пока пользуюсь Firefox 59, выкинул skia из backend'a. Вроде ничего, но браузер не такой шустрый(
Купить ЖК монитор в 2018 году не вариант?
У меня ЖК (Samsung S24A850DW, 1920 x 1200, 24"). Проблема в том, при чтении текста (любого шрифта и размера) в хромиуме быстро устают глаза. Минут за 20-30. Я бы не парился, если бы не это.
Кроме того, есть еще одна фишка которую трудно не заметить - Windows меняет тип сглаживания для шрифтов небольшого размера в проводнике. На значении в 10 пунктов. Mozilla Firefox меняет тип сглаживания на 15ти (значение можно поменять).
А вот хромиум не меняет. Из-за чего мелкий шрифт выглядит смазано и не контрастно. И на страницах, и в UI.
Вот сравнение на дефолтных настройках браузеров. https://i.imgur.com/SLLnw05.png
В хромобраузерах под виндой начиная с 30 какой-то версии шрифты стали светлыми и драными, включай не включай direct write. К тому же хром там обновляется без спроса, а если ему все-таки запретить, то начинает верещать, что устарел. Так что виндой лучше не пользоваться.
> Добавлен режим Local Overrides, позволяющий на лету изменять содержимое любых HTML-элементов страницы и сохранять эти изменения между загрузками страницыТ.е., больше не нужен никакой плагин типа Stylish?
Вообщем попробовал эту херь, не подхватывается при перезагрузке, как заявляется. Надо при перезагрузке обязательно кликнуть по плюсику "New Style Rule" с неважно каким стилем, например пустым, тогда как бы подключается этот локальный файлик. А так не плохо было бы стили сайтов менять под себя отказавшись от лишних расширений.
Вообще реально собрать хромиум из исходников на среднем по производительности ноуте? И сколько это может занять времени?
Как то читал мануал по сборке и там рекомендуют его собирать на отдельном ssd диске. Дальше экспериментировать не решился, но интерес остался:)