Blink
作者:Greg Simon 和 Eric Seidel
Blink 是 Chrome 的开源渲染引擎。Blink 团队正在推动网络发展,并致力于解决开发者遇到的问题。
自 4 月推出以来,我们已在幕后做出了一些改进。
首先,我们删除了一半的资料,但我们并不需要。我们还没有大功告成!我们并没有盲目地这样做:代码移除基于选择使用报告的 Chrome 用户匿名报告的汇总统计信息。
我们每六周发布一次新的开发者 API,这与 Chrome 的发布时间表相同。
在从 Blink 创建分支时,我们做出的一项重大变更是添加了一个 intent 系统:每次在变更 Web 平台之前,我们都会向 Blink 开发者版发布公告,告知我们添加或移除某项功能的意图。然后我们出发,编写代码!在完成发布之后的第二天,它就已经在我们的 Canary 版本中发布。此功能默认处于关闭状态,但您可以使用 about:flags 开启。
您可以访问 chromestatus.com,查看我们已经开发过的功能、已发布的功能以及我们计划弃用的功能。您也可以查看 Chromium 版本博客,其中包含指向错误和我们的跟踪器信息中心的链接。
另一大变化是我们将移除 WebKit 前缀。其意图不是使用 Blink 前缀,而是包含运行时标志(而不仅仅是编译时标志)。
Android WebView 是一项重大挑战,但 HTML5Test 表明,现在各项功能都在不断进步。我们离桌面更近一些,因为在任何位置都拥有一组网络平台 API(网络音频就是一个很好的例子!)
那么,香肠机是如何运作的呢?我们对 Blink 所做的每一项更改都会立即通过 30,000 多次测试,更不用说后续还会运行的所有 Chromium 测试。我们采用 24 小时的审查机制,对数以千计的漫游器、数千个基准和系统抛出数百万个损坏的网页,确保不会失败。我们知道,移动设备的运行速度明显变慢了,这也是我们一直努力改进的地方。
有哪些新变化?
- Web Components:请收听 Eric Bidelman 的演讲!
- 网页动画:复杂、同步的高性能动画,尽可能使用 GPU
- 部分布局:仅计算您需要的内容!
- CSS 网格
- 自适应图片:
srcset、srcN 或 ? - 更快地自动调整文本大小和一致的子像素字体
- Blink 使用的图形系统 Skia 正从 Windows 上的 GDI 迁移至 DirectWrite
我们希望了解您有何看法!
如果您熟悉 C++,并且想和我们一起编写 C++,那么我们的所有代码都是开放的。你不必告诉任何人或向我们推广。您只需发布补丁或提交错误即可!
幻灯片:Blink
安全性
开发者:Parisa Tabriz
如今,越来越多的人从更多地方连接到了网络,并且数量达到了前所未有的水平。
我们已经开始连接笔记本电脑、手机和平板电脑,可能很快就能使用个人设备和配件了。我们从不受信任的网络(有时甚至是恶意网络)访问互联网。随着我们生活中越来越多的信息转向线上,我们必须采取措施来保护自己的数据和用户数据。
首先,作为开发者,我们需要了解 SSL 的必要性和实用性。
什么是 SSL?它是“Secure Sockets Layer”(安全套接字层)的首字母缩写,是一种旨在提供互联网通信安全性的加密协议。它通过加密和完整性保证私密性,从而防范窥探或篡改您的互联网连接。SSL 有其缺点,但它是确保互联网上任何类型的数据通信安全的最主要方式,并且是唯一的唯一方式。
根据 SSL Pulse,一年前的 SSL 采用率约为不到 15%,而现在的采用率已超过 50%。
两个首字母缩写词:
TLS:对于大多数意图和用途而言,都与 SSL 相同。确切地说,SSL 3.1 已重命名为 TLS,而 TLS 则是 IETF 的标准名称。但它们可以互换使用!
HTTPS:这是一种基于 SSL 的 HTTP,只是 SSL 和标准 HTTP 的安全功能的分层。首先是客户端与服务器握手,使用公钥/私钥加密创建一个共享密钥,SSL 协议的第二部分使用该密钥对通信进行加密。
您可以畅享快速、安全、即时的互联网网络。感觉就像我们在与网站直接对话。但实际上,这两者之间并不是直接的联系。我们的通信会通过 Wi-Fi 路由器、ISP 以及您的设备与网站之间的其他中间代理进行。如果没有 HTTPS,我们所有的通信都将采用纯文本。
问题在于,用户很少输入指定 HTTPS 的完整网址,或者使用 HTTP 点击链接。更糟糕的是,可能会发起中间人攻击,并将 HTTPS 替换为 HTTP。2009 年推出的一款名为 SSLstrip 的工具可以实现此目的。自 2010 年起,Firesheep 刚刚开始用它在开放 Wi-Fi 网络中接收明确发送的 Cookie:这意味着你可以监听聊天内容,或登录某人的 Facebook 帐号。
但 SSL (相对)便宜、快速且易于部署(请参阅 ssllabs.com 和 Ilya Grigorik 的《高性能浏览器网络》一书)。公钥固定旨在为网站运营者提供一种方式,用于限制哪些证书授权机构可以为其网站实际颁发证书。
“今年 (2010 年) 1 月,Gmail 在默认情况下对所有内容都改用 HTTPS。为此,我们不需要部署额外的机器,也不需要部署任何特殊硬件。在我们的生产前端计算机上,SSL 占 CPU 负载的不到 1%,每个连接的内存不到 10 KB,网络开销也不到 2%...
如果您现在停止阅读,只需记住一件事:SSL 的计算开销不再很高。”
- Overclocking SSL,Adam Langley(Google)
最后,最常见的几个 bug:
- 混合内容:既使用 HTTP 又使用 HTTPS 的网站。您的用户会很恼火,因为他们必须点击权限按钮才能加载内容。(Chrome 和 Firefox 实际上会禁止来自 iframe 的混合内容。)通过使用相对网址或相对方案网址(例如
<style src="//foo.com/style.css">),确保 HTTPS 网页上的所有资源均通过 HTTPS 加载 - 不安全的 Cookie:通过 HTTP 连接以明文形式发送。为避免出现这种情况,请在 Cookie 标头上设置安全属性。您还可以使用新的“严格传输安全”标头来要求使用 SSL 传输安全 (HSTS)。
断球数
- 如果您重视用户数据的隐私性和完整性,则需要使用 SSL。与以往相比,现在更快速、更轻松、更便宜。
- 避免常见的实现问题,例如混合内容 bug 或未正确设置 HTTP 标头位。
- 使用相对网址或方案相对网址。
- 查看 HSTS 和证书固定等新功能
幻灯片:已经了解 SSL?
适用于多设备 Web 的 Media API
作者:Sam Dutton 和 Jan Linden
随着网络上不断涌现的新设备和平台,我们看到音频、视频和实时通信也实现了飞速增长。在线媒体正在改变我们使用各种媒体的方式。
英国政府的一项研究发现,53% 的成年人在看电视时会做“媒体多任务”,即使用移动设备分享和消费媒体内容。在许多国家/地区,电视观看量有所下降,在线观看量有所增加。例如,在 2012 年,北京只有 30% 的家庭看电视,这一比例在 2009 年的 70% 有所下降。根据 W3C 2013 亮点“过去一年,移动设备上的视频观看量翻了一番。今年,在美国,用户每天花在数字媒体上的平均时长将超过看电视的时间。观看不再是被动的行为。在美国,87% 的娱乐消费者表示,他们至少会用一台第二屏幕设备看电视。根据 Cisco 的研究,“到 2017 年,视频...在全球消费者流量的 80% 至 90% 之间。”这相当于每秒上传近 100 万分钟的视频。
那么,我们为网络开发者提供了什么呢?面向开放网络的媒体 API 生态系统:跨多个平台的标准化、互操作性技术。
断球数
- WebRTC 可在浏览器中提供实时通信,现已在移动设备和桌面设备上得到广泛支持。WebRTC 端点总数已超过 12 亿。
- Web Audio 提供了用于音频合成和处理的高级工具。
- 与网络音频集成的 Web MIDI 可实现与 MIDI 设备交互。
- 超过 85% 的移动浏览器和桌面浏览器现已支持音频和视频元素。
- Media Source Extensions 可用于自适应流式传输和时移。
- EME 允许播放受保护内容。
- 转录、字幕和跟踪元素可用于启用字幕、字幕、定时元数据、深层链接和深层链接。