Chrome 77 arrive avec de nouvelles mesures de performances, des capacités de formulaire et des essais d’origine – Gratuit : Audit complet de votre site internet

Avant de commencer !

Chrome 77 arrive avec de nouvelles mesures de performances, des capacités de formulaire et des essais d'origine
Share on facebook
Share on twitter
Share on pinterest

Google a lancé aujourd’hui Chrome 77 pour Windows, Mac, Linux, Android et iOS. La version inclut de nouvelles mesures de performances, des capacités de formulaire et des essais d’origine. Vous pouvez désormais effectuer la mise à jour vers la dernière version à l’aide de la mise à jour intégrée de Chrome ou la télécharger directement sur google.com/chrome.

Avec plus d’un milliard d’utilisateurs, Chrome est à la fois un navigateur et une plateforme majeure que les développeurs Web doivent prendre en compte. En fait, avec les ajouts et modifications réguliers de Chrome, les développeurs doivent souvent rester au courant de tout ce qui est disponible, ainsi que de ce qui a été déconseillé ou supprimé. Chrome 77, par exemple, supprime les réseaux d’émetteurs de cartes de crédit comme noms de méthode de paiement (comme «amex», «mastercard» et «visa»).

Mesures de performances, formulaires et essais d’origine

Google est obsédé par l’accélération du Web, et Chrome est son principal outil pour le faire. Chrome 77 présente deux nouvelles mesures de performances pour aider les développeurs à mesurer la vitesse à laquelle le contenu principal d’une page Web se charge et est rendu visible aux utilisateurs.

VB Transform 2020 Online – 15-17 juillet. Rejoignez les principaux dirigeants de l’IA: inscrivez-vous au livestream gratuit.

Le premier ajout est Largest Contentful Paint, qui tente de fournir des données plus significatives en utilisant le plus grand élément de contenu comme proxy lorsque le contenu principal de la page est probablement visible pour les utilisateurs.

La seconde est l’interface PerformanceEventTiming, qui fournit des informations de synchronisation sur la latence de la première interaction utilisateur discrète. Plus précisément, Chrome mesure une touche vers le bas, une souris vers le bas, un clic ou la combinaison du pointeur vers le bas et du pointeur vers le haut. Il s’agit d’un sous-ensemble de l’API EventTiming, mais il peut être exposé à l’avance pour aider à mesurer et optimiser la réactivité.

Chrome 77 a également ajouté deux nouvelles fonctionnalités qui prennent en charge les contrôles de formulaire personnalisés. le formdata , qui est ajouté à l’élément de formulaire, permet aux sites d’utiliser JavaScript au lieu d’éléments masqués pour ajouter des données à un formulaire. L’événement passé comprend un FormData objet contenant les données soumises, qui peuvent maintenant être modifiées.

Enfin, Chrome 77 présente également Origin Trials qui vous permet d’essayer de nouvelles fonctionnalités et de fournir des commentaires sur la convivialité, l’aspect pratique et l’efficacité à la communauté des normes Web. La première nouvelle fonctionnalité est l’API Contact Picker, un sélecteur à la demande qui permet aux utilisateurs de sélectionner des entrées dans leur liste de contacts et de partager des détails limités des entrées sélectionnées avec un site Web.

Fonctionnalités d’entreprise

Chrome 77 inclut des améliorations d’isolation de site pour protéger les données intersites, telles que les cookies et les ressources HTTP, dans les sites Web contrôlés par des attaquants. L’isolement du site sera également désormais activé sur certains appareils Android pour les sites où les utilisateurs mobiles entrent des mots de passe.

Les administrateurs informatiques peuvent désormais définir l’URL d’un fichier XML qui ne déclenchera jamais un changement de navigateur à l’aide de la stratégie BrowserSwitcherExternalGreylistUrl. Il existe également une nouvelle page chrome: // browser-switch / internals pour vérifier que les règles de prise en charge des navigateurs hérités sont respectées.

Chrome 77 dispose également d’une expérience de première exécution mise à jour pour configurer de nouveaux utilisateurs avec des services Google populaires (Gmail, YouTube, Google Maps, Google Actualités et Google Translate). Il vous invite également à définir Chrome comme navigateur par défaut. Vous pouvez désactiver le nouveau flux avec la stratégie PromotionalTabsEnabled.

La nouvelle version vous permet également de lancer la navigation en tant qu’invité par défaut en utilisant le --guest indicateur de ligne de commande ou la nouvelle stratégie BrowserGuestModeEnforced. Avec la navigation en tant qu’invité, l’activité de navigation n’est pas écrite sur le disque et ne persiste pas entre les sessions du navigateur.

Android et iOS

Chrome 77 pour Android se déploie lentement sur Google Play, mais le journal des modifications complet n’est pas encore disponible.

Chrome 77 pour iOS est déployé sur l’App Store d’Apple. Il comprend quatre améliorations:

  • Une nouvelle page de paramètres de langue, vous donnant plus de contrôle sur les langues pour lesquelles Chrome propose des traductions.
  • Vous pouvez effacer vos données de navigation d’une plage de temps spécifique, comme la dernière heure ou le dernier jour.
  • Les suggestions Omnibox sont plus faciles à lire avec des miniatures et des icônes ajoutées.
  • Fermez facilement les onglets qui affichent de manière malveillante des dialogues JavaScript.

S’assurer que seules les langues que vous ne comprenez pas sont traduites devrait être pratique pour les polyglottes. Pour tous les autres, il existe des contrôles plus précis pour effacer les données du navigateur.

Correctifs de sécurité

Chrome 77 implémente 52 correctifs de sécurité. Des chercheurs externes ont découvert ce qui suit:

  • [$TBD][999311] Critique CVE-2019-5870: utilisation après libération dans les médias. Rapporté par Guang Gong de l’équipe Alpha, Qihoo 360 le 2019-08-29
  • [$7500][990570] CVE-2019-5871 élevé: débordement de tas dans Skia. Signalé par anonyme le 2019-08-03
  • [$3000][981492] CVE-2019-5872 élevé: utilisation après libération à Mojo. Rapporté par Zhe Jin (金 哲) , Luyao Liu (刘 路遥) de Chengdu Security Response Center de Qihoo 360 le 2019-07-05
  • [$3000][989497] Élevé CVE-2019-5873: usurpation de la barre d’URL sur iOS. Rapporté par Khalil Zhani le 2019-07-31
  • [$3000][989797] Élevé CVE-2019-5874: les URI externes peuvent déclencher d’autres navigateurs. Rapporté par James Lee (@Windowsrcer) le 2019-08-01
  • [$2000][979443] Élevé CVE-2019-5875: usurpation de la barre d’URL via la redirection de téléchargement. Signalé par Khalil Zhani le 2019-06-28
  • [$TBD][997190] Élevé CVE-2019-5876: utilisation après libération dans les médias. Rapporté par Man Yue Mo de l’équipe de recherche sur la sécurité de Semmle le 2019-08-23
  • [$TBD][999310] CVE-2019-5877 élevé: accès hors limites dans V8. Rapporté par Guang Gong de l’équipe Alpha, Qihoo 360 le 2019-08-29
  • [$TBD][1000217] CVE-2019-5878 élevé: utilisation après libération dans V8. Rapporté par Guang Gong de l’équipe Alpha, Qihoo 360 le 2019-09-03
  • [$3000][986043] Medium CVE-2019-5879: l’extension peut contourner la même politique d’origine. Rapporté par Jinseo Kim le 2019-07-20
  • [$2000][831725] Moyen CVE-2019-5880: contournement des cookies SameSite. Signalé par Jun Kokatsu (@shhnjk) le 2018-04-11
  • [$2000][980816] Medium CVE-2019-5881: lecture arbitraire dans SwiftShader. Rapporté par Zhe Jin (金 哲) , Luyao Liu (刘 路遥) de Chengdu Security Response Center de Qihoo 360 le 2019-07-03
  • [$1000][868846] Medium CVE-2019-13659: usurpation d’adresse URL. Rapporté par Lnyas Zhang le 30-07-2018
  • [$1000][882363] Moyen CVE-2019-13660: chevauchement des notifications en plein écran. Signalé par Wenxu Wu (@ ma7h1as) de Tencent Security Xuanwu Lab le 2018-09-10
  • [$1000][882812] Medium CVE-2019-13661: Usurpation de notification en plein écran. Signalé par Wenxu Wu (@ ma7h1as) de Tencent Security Xuanwu Lab le 2018-09-11
  • [$1000][967780] Medium CVE-2019-13662: contournement CSP. Signalé par David Erceg le 2019-05-28
  • [$500][863661] Medium CVE-2019-13663: usurpation IDN. Rapporté par Lnyas Zhang le 2018-07-14
  • [$500][915538] Moyen CVE-2019-13664: contournement CSRF. Rapporté par Thomas «Zemnmez» Shadwell le 2018-12-16
  • [$500][959640] Medium CVE-2019-13665: Contournement de la protection contre le téléchargement de fichiers multiples. Rapporté par Jun Kokatsu, recherche sur la vulnérabilité des navigateurs Microsoft le 2019-05-05
  • [$500][960305] Medium CVE-2019-13666: canal latéral utilisant une estimation de la taille de stockage. Rapporté par Tom Van Goethem de imec-DistriNet, KU Leuven le 2019-05-07
  • [$500][973056] CVE-2019-13667 moyen: usurpation de la barre d’URI lors de l’utilisation d’URI d’application externes. Signalé par Khalil Zhani le 2019-06-11
  • [$500][986393] Medium CVE-2019-13668: Fuite de fenêtre globale via la console. Signalé par David Erceg le 2019-07-22
  • [$N/A][968451] Moyen CVE-2019-13669: usurpation d’authentification HTTP. Rapporté par Khalil Zhani le 2019-05-30
  • [$N/A][980891] CVE-2019-13670 moyen: corruption de mémoire V8 dans l’expression régulière. Rapporté par Guang Gong de l’équipe Alpha, Qihoo 360 le 2019-07-03
  • [$TBD][696454] Moyen CVE-2019-13671: la boîte de dialogue ne montre pas l’origine. Rapporté par xisigr du laboratoire Xuanwu de Tencent le 2017-02-27
  • [$TBD][997925] Moyen CVE-2019-13673: fuite d’informations d’origine croisée à l’aide de devtools. Rapporté par David Erceg le 2019-08-26
  • [$500][896533] Faible CVE-2019-13674: usurpation d’identité. Rapporté par Khalil Zhani le 2018-10-18
  • [$500][929578] Faible CVE-2019-13675: les extensions peuvent être désactivées par une barre oblique de fin. Signalé par Jun Kokatsu, recherche sur la vulnérabilité des navigateurs Microsoft le 2019-02-07
  • [$TBD][875178] Faible CVE-2019-13676: l’URI de Google s’affiche pour l’avertissement de certificat. Rapporté par Wenxu Wu (@ ma7h1as) de Tencent Security Xuanwu Lab le 2018-08-17
  • [$TBD][939108] Faible CVE-2019-13677: l’origine de la boutique Web Chrome doit être isolée. Signalé par Jun Kokatsu, recherche sur la vulnérabilité des navigateurs Microsoft le 2019-03-06
  • [$TBD][946633] Faible CVE-2019-13678: usurpation de la boîte de dialogue de téléchargement. Rapporté par Ronni Skansing le 2019-03-27
  • [$TBD][968914] Faible CVE-2019-13679: geste utilisateur requis pour l’impression. Rapporté par Conrad Irwin, surhumain le 31/05/2019
  • [$TBD][969684] Faible CVE-2019-13680: usurpation d’adresse IP vers les serveurs. Signalé par Thijs Alkemade de Computest le 2019-06-03
  • [$TBD][970378] Faible CVE-2019-13681: Contourner les restrictions de téléchargement. Signalé par David Erceg le 2019-06-04
  • [$TBD][971917] Faible CVE-2019-13682: contournement d’isolement du site. Signalé par Jun Kokatsu, recherche sur les vulnérabilités des navigateurs Microsoft le 2019-06-07
  • [$TBD][987502] Faible CVE-2019-13683: Exceptions divulguées par devtools. Signalé par David Erceg le 2019-07-25
  • [1002279] Diverses corrections d’audits internes, de fuzzing et d’autres initiatives

Google a donc dépensé au moins 33 500 $ en primes de bogues pour cette version. Comme toujours, les correctifs de sécurité à eux seuls devraient être suffisamment incitatifs pour vous mettre à niveau.

Fonctionnalités pour les développeurs

Chrome 77 dispose également d’un moteur JavaScript V8 mis à jour. La version 7.7 comprend une allocation de commentaires paresseux, une compilation d’arrière-plan WebAssembly évolutive, des améliorations de trace de pile et de nouvelles fonctionnalités de langage JavaScript. Consultez le journal des modifications complet pour plus d’informations.

Les autres fonctionnalités de développement de cette version incluent:

  • Entrez l’indication clé: le enterkeyhint l’attribut de contenu est un attribut énuméré pour
    éléments qui spécifient le libellé (ou l’icône) d’action à présenter comme touche d’entrée sur les claviers virtuels. Cela permet aux auteurs de personnaliser la présentation de la touche Entrée pour la rendre plus utile pour les utilisateurs. L’attribut prend l’un des enter, done, go, next, previous, search, ou send.
  • Fonctionnalité Contrôle de stratégie sur Document.domain: la stratégie de domaine de document régit l’accès à document.domain. Il est activé par défaut et, s’il est désactivé, tente de définir document.domain va lancer une erreur.
  • Surveillance de l’instabilité de la mise en page: ajoute le LayoutShift interface avec l’API Performance, permettant aux développeurs de surveiller les modifications apportées à la position à l’écran d’un élément DOM.
  • Limitez la longueur de l’en-tête «référent» à 4 Ko: referer en-tête jusqu’à une origine lorsque sa taille dépasse 4 Ko.
  • Limiter l’argument url registerProtocolHandler () à http / https: registerProtocolHandler() accepte désormais uniquement les URL avec des schémas http ou https.
  • Nouvelles fonctionnalités pour Intl.NumberFormat: ce changement améliore Intl.NumberFormat en ajoutant la prise en charge des unités de mesure, des politiques d’affichage des devises et des signes et de la notation scientifique et compacte.
  • Overscroll Behavior Logical Longhands: ajoute CSS flow-relative propriétés pour contrôler le comportement de défilement à travers des dimensions logiques. flow-relative les propriétés sont celles qui sont interprétées par rapport au flux de contenu. Les nouvelles propriétés sont overscroll-behavior-inline et overscroll-behavior-block.
  • Indicateur tamponné PerformanceObserverInit: ajoute un buffered drapeau à observer.observe() pour que PerformanceObserver peut recevoir des entrées créées avant l’exécution de l’appel.
  • RTCPeerConnection.onicecandidateerror ajoute le incecandidateerror événement qui fournit des informations détaillées sur les échecs de collecte de candidats WebRTC ICE, y compris ceux définis par STUN (RFC5389) et TURN (RFC5766).
  • RTCPeerConnection.restartIce () ajoute une méthode pour déclencher un redémarrage ICE qui provoque une connexion WebRTC pour tenter de se reconnecter. Cette fonctionnalité est déjà disponible dans Chrome en passant le iceRestart argument à createOffer(). restartIce() est une version de cette méthode qui fonctionne indépendamment de signalingState.
  • Conserver les priorités des demandes via le Service Worker: préserve la priorité d’origine d’une demande lorsqu’elle passe par un service Service. Auparavant, toutes les demandes transitant par un travailleur des services avaient la priorité «Élevée».
  • Les travailleurs de service prennent en charge l’authentification HTTP de base: affiche les boîtes de dialogue d’authentification HTTP même si la demande provient d’un travailleur de service. Cela montre la boîte de dialogue de connexion native affichée lorsqu’une réponse HTTP 401 est reçue.
  • Arrêter l’action pour les sessions média: ajoute stop comme un MediaSessionAction pour les appels à MediaSession.setActionHandler(). Une action est un événement lié spécifiquement à une fonction multimédia courante telle que la pause ou la lecture. le stop le gestionnaire d’action est appelé lorsque le site doit arrêter la lecture et effacer l’état le cas échéant.
  • Paiements Web: lancez une erreur de type sur des données de «carte de base» non valides. le PaymentRequest constructeur jette maintenant un TypeError quand invalide supportedNetworks ou supportedTypes sont spécifiés pour le paiement par carte de base.

Pour un aperçu complet des nouveautés, consultez la liste de choix des jalons de Chrome 77.

Google publie une nouvelle version de son navigateur toutes les six semaines environ. Chrome 78 arrivera fin octobre.

Inscris-toi à notre newsletter !

Partage cet article avec tes amis !

Share on facebook
Share on google
Share on twitter
Share on linkedin