Компания Google представила релиз web-браузера Chrome 60. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.

Основные изменения в Chrome 60:

• Реализована возможность использования формата кодирования видео VP9 в медиаконтейнерах MP4 (ISO BMFF). Поддержка MP4 потребовала реализации нового строкового формата для определения параметров кодека VP9, который теперь доступен и в различных мультимедийных Web API;
• Добавлен Paint Timing API, позволяющий отследить время различных стадий отрисовки страницы. При помощи данного API можно выявить узкие места загрузки страницы и проблемные моменты, например, ситуации когда посетителю уже видна ссылка или форма ввода, но из-за того, что JavaScript ещё не загрузился, их обработчики недоступны;
• Добавлено CSS-свойство font-display и правило @font-face, которые дают возможность определить как и когда отображать текстовое содержимое, если шрифт ещё не загрузился. Ранее при использовании внешних шрифтов отрисовка текста не производилась до окончания загрузки шрифта. Теперь текст можно отобразить сразу, временно используя шрифт по умолчанию;
• В API Credential Management API, предоставляющий сайтам возможность сохранять и запрашивать учётные данные пользователя, добавлена возможность получения пользовательского пароля непосредственно в составе структуры PasswordCredential, без необходимости подключения обработчика при помощи метода fetch(). Для точного следования спецификациям, развиваемым рабочей группой W3C Web Authentication Working Group, свойство requireUserMediation переименовано в preventSilentAccess;
• В Chrome для настольных систем обеспечена возможность использования API Payment Request, позволяющего организовать быстрое совершение платежей при помощи кредитной карты, без необходимости повторного ручного ввода типовой информации, такой как данные о плательщике, номер карты (для подтверждения вводится CVC-код) и адрес доставки;
• Сайтам предоставлена возможность собирать платежи через собственные Android-приложения, используя Payment Request API;
• Добавлена поддержка нового синтаксиса клонирования и объединения объектов. Например, для клонирования вместо "Object.assign({}, data)" теперь можно указать "{ ...data }", а для объединения "{ ...defaultSettings, ...userSettings }";
• Представлен новый API Web Budget, который позволяет сайтам запросить права на отправку ограниченного числа push-сообщений, приводящих в выполнению фоновых работ, таких как синхронизация данных, без вывода видимого для пользователя уведомеления. API разработано в рамках инициативы по подавлению активности в фоновых вкладках;
• Добавлена поддержка формата Web Push Encryption (шифрованные push-сообщения), для определения использования которого можно применять свойство PushManager.supportedContentEncodings;
• Добавлен атрибут PushSubscription.expirationTime, который предоставляет информацию об истечении времени подписки на push-уведомления;
• Для увеличения производительности и предсказуемости поведения, события pointermove и mousemove, теперь доставляются один раз на каждый AnimationFrame, что соответствует поведению событий scroll и TouchEvents;
• Добавлен псевдо-класс CSS ":focus-within", влияющий на работу любых элементов, на которые действует псевдо-класс ":focus", а также на все их потомки;
• Реализована функция frames(), формирующая на основе заданного значения набор из равных интервалов;
• Для обеспечения перехвата операций редактирования в InputEvent добавлена возможность обработки пользовательского ввода при помощи скрипта;
• Для увеличения безопасности диалог BeforeUnload, который вызывается когда пользователь покидает сайт, теперь показывается только если на странице с которой осуществлён вызов производились какие-либо действия пользователя (если закрыть страницу сразу диалог не будет показан). На обработчики событий BeforeUnloadEvent данное изменение пока не распространяется;
• Переведена в разряд устаревших большая порция API, в том числе WebKitAnimationEvent, WebKitTransitionEvent, RTCPeerConnection.getStreamById(), SVGPathElement.getPathSegAtLength(), indexedDB.webkitGetDatabaseNames(), Headers.prototype.getAll().

Кроме нововведений и исправления ошибок в новой версии устранено 40 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity и LibFuzzer. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 21 премию на сумму 26 тысяч долларов США (по одной премии в $10000, $5000, $3000 и $2000, пять премии $1000 и две премии $500). Размер десяти вознаграждений пока не определён.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46918