Chrome 和 Firefox 将在几个月内版本号超过 100。对于依赖浏览器版本号执行业务逻辑的网站来说，这有可能会导致问题。为什么版本号从两位数增加到三位数会出现问题？当浏览器版本号 12 年前从一位数增加到两位数时，User-Agent 解析库发现了很多问题。部分解析库可能含有硬编码的假设或 bug，没有考虑版本号突破三位数的情况。在版本号突破两位数后，很多解析库改进了解析逻辑，因而突破三位数造成的问题估计会更少。Firefox 计划在 3 月 8 日发布 Firefox 100 的首个 Nightly 版本，5 月 3 日发布正式版本。而 Chrome 将在 3 月 29 日发布 v100 版本。

Google 宣布了 Chrome OS 的一个新版本 Chrome OS Flex，设计运行在旧的 PC 和 Mac 上。Chrome OS Flex 的外观与运行在 Chromebook 笔记本电脑上的 Chrome OS 相同，基于相同的代码库和发布周期。Google 称，安装 Chrome OS Flex 非常简单，首先是创建一个可引导的 U 盘，然后用几分钟时间在设备上安装替代原操作系统。新系统仍然处于早期发布阶段（early access），Google 称其一大特性是支持 Google Assistant 智能助手和 Android 手机同步。Chromebook 在教育领域广泛使用。

为防止恶意脚本悄悄在浏览器上执行本地 HTTP 请求，Chrome 将实现名为 Private Network Access (PNA）的 W3C 新规格阻止这一被恶意程序滥用的行为。新功能将在今年上半年推出，PNA 将在 Chrome 中引入一个机制，外部域名在尝试与本地网络设备建立连接前需要征得系统许可，如果本地设备如服务器或路由器没有回应，尝试建立连接的请求将被阻止。

斯堪的纳维亚的一家连锁酒店上个月成为勒索软件攻击的受害者，酒店采取了一种新颖的应对方法——将所有受到影响的系统切换成 Chrome OS。Nordic Choice Hotels 在北欧经营着 200 多家酒店，12 月 2 日，酒店成了勒索软件攻击的受害者，黑客用 Conti 勒索软件对其部分内部系统进行加密。攻击让酒店员工无法访问客人的预订数据，也无法向新到来的客人发放房门卡。但是在刚刚发布的新闻稿中，Nordic Choice 表示，酒店没有联系黑客协商获得解锁受感染设备的解密密钥的赎金，而是选择将其整个 PC 机群从 Windows 迁移到 Chrome OS。

连锁酒店解释称：“在不到 24 小时内，第一家酒店就用上了 Google 的 Chrome OS 生态系统。在接下来的两天里，整个公司的 2000 台计算机都完成了切换，涉及在五个不同国家的 212 家酒店。”Nordic Choice Hotels 的技术副总裁 Kari Anna Fiskvik 表示，在攻击之前，该酒店就已在进行一个试点项目测试该工具，希望通过这种要求不高的操作系统重新使用旧电脑以节省资金。Fiskvik 表示：“因此当我们突然不得不应对网络攻击时，在几秒钟之内就做出了全力以赴加快项目进度的决定。”Nordic Choice 表示，除了在攻击期间迁移的 2,000 台计算机之外，它还计划将另外 2,000 台计算机迁移到 Chrome OS 上。这家连锁酒店表示，让旧电脑改用 Chrome OS 而不是购买新硬件，有望省下 670 万美元。

Alphabet 首席执行官 Sundar Picha 必须就 Google Chrome 浏览器隐身模式的隐私问题在加州联邦法院接受质询。提起诉讼的消费者律师想向 Pichai 询问用户在使用 Google Chrome 浏览器时对其在线隐私的误解。根据北加州地方法院周一发布的命令，Pichai 最多需要提供两个小时的证词。这起 2020 年 6 月提起的诉讼声称 Google 会跟踪用户，即使他们使用的是隐身模式在线浏览。Google 对此说法持有异议，称其隐私说明已清楚说明隐身浏览模式不会让用户的在线活动“隐形”。在一则更早的命令中，Lucy Koh 法官还允许消费者就隐身模式借隐私之名推广品牌向Google 的首席营销官 Lorraine Twohill 进行质询。Google 曾试图驳回消费者的要求，但是到目前为止，Koh 已让本案继续进行。 Google 还反对对 Pichai 进行质询，表示负责 Chrome 和隐身模式的是更低级别的员工，找他们回答关于隐私浏览的询问才更合适。

Google 本月初通知扩展开发者，宣布从 2022 年 1 月 17 日起 Chrome Web Store 将停止接受可见性设为 Public 或 Unlisted 的新 Manifest V2 扩展，到 6 月这一限制将扩大到设为 Private 的新扩展。Google 开始加速推广受争议的 Manifest V3 扩展。在安全、隐私和性能的名义下，Manifest v3 限制了广告和内容屏蔽功能，对扩展规则的数量设置了上限。此举将严重影响广告和内容屏蔽扩展的可用性。电子前哨基金会 EFF 就此向 Chrome 用户发出警告，称 Manifest V3 将严重损害到隐私保护方面的工作，Manifest V3 将限制广告和内容屏蔽扩展的性能， Google 是最大的网络广告公司，它的跟踪器安装在四分之三的网站上。它的限制“让人不寒而栗”。

Google 释出了 Chrome v95，主要变化包括：移除对 File Transfer Protocol(FTP) 协议的支持，不再支持网址如 ftp://；移除对 Universal 2nd Factor (U2F)标准的支持；浏览器 cookies 加入文件大小限制；移除对结尾为数字的非 IPv4 主机名网址的支持，如 http://example.0.1；加入了新的 UI 组件 Side Panel，可用于访问 Reading List 和书签，该组件需要手动启用；其他还有安全修正等等。

Chrome 安全团队在官方博客上表示 Google 正探索在 Chrome 中使用 Rust 语言。Google 安全研究人员去年指出 Chrome/Chromium 项目七成以上的严重安全 bug 是内存安全问题，主要是 C 或 C++ 语言中的指针错误导致的。在致力于让 C++ 更安全的同时，Google Chrome 也在探索使用 Rust 语言。Rust 是 Mozilla 开发的内存安全语言，能在编译时发现指针错误。但让 Rust 和 C++ 语言良好合作仍然是一个开放式问题。即使 Google 立即开始用 Rust 语言为 Chrome 开发大型组件，相当大一部分的安全漏洞在几年内是不会消失的。Google 开发者表示他们开始在 Chromium 源码树中尝试有限的不面向用户的 Rust 实验，但暂时不会将其用于 Chrome 产品。

Google 释出了 Chrome 94，主要变化包括：引入 Idle Detection API，移除 AppCache，新的 VirtualKeyboard API，新的 JavaScript Self Profiling API 允许开发者从终端用户收集 JS 性能档案，等等。其中最富有争议的是 Idle Detection API，它设计用于多用户应用如会议、聊天和游戏，当检测到用户空闲时通知应用，检测空闲根据鼠标键盘停止使用、锁屏、从当前应用运行窗口切换出去等信号。Mozilla 开发者 Tantek Çelik 认为 Idle Detection API 对监控资本主义非常有吸引力，能用于侵犯用户隐私，浪费计算机本地资源。

Chrome 是基于开源的 Chromium 项目，该项目由 Google 等公司合作开发，但主要由 Google 控制和管理。对 Chromium 源代码的分析发现了 PreconnectToSearch 功能，当该功能启用之后浏览器会预先打开和维护一个默认搜索引擎的连接。预连接会预先解析域名、与服务器协商和建立安全连接。所有这些都需要时间，预连接意味着可以节省时间更快的返回用户的查询结果。在比较慢的网络中，预连接能节省十几秒；在比较快的网络中能节省半秒。如果用户不执行搜索，预连接也可能会略微影响页面加载速度。但有一个问题是，Chromium 会检查默认搜索引擎设置，只在默认设置为 Google 时启用该功能。这使得其它搜索引擎在 Chrome 浏览器的搜索速度上相比 Google 处于竞争劣势。

2019 年， Google Chrome 浏览器引入了名为 Scroll to Text 的新功能，允许用户分享页面内特定语句或段落的链接。去年 Google 发布了扩展 Link to Text Fragment，将这项功能通过扩展提供给用户。现在，Chrome 90 直接整合了该功能。当用户访问一个网页，高亮一段文字，点击右键，选择“copy link to highlight”，会产生一个以 # 结尾的链接，用户可以与其他人分享该链接。

Google Chromium 博客宣布，从 Chrome v90 开始地址栏将默认使用 https。Google 称，当访问支持 https 的网站时，默认使用 https 能改进隐私保护提高加载速度。用户在地址栏手动输入网址时，通常不会包含 http:// 或 https://，如果是首次访问一个网站，Chrome 默认是使用 http://。这一做法源自过去，那个时候 https 的普及度还不高。随着 https 广泛使用，Chrome 将默认使用 https。对于不支持 https 的网站，Chrome 将在尝试失败之后后退到 http。 Chrome 桌面版和 Android 将率先支持这一变化，iOS 版本将在稍后支持。

在 Mozilla 的 Firefox 之后，Google Chrome 也开始加快发布频率。2019 年 9 月 Mozilla 宣布 Firefox 的发布周期从六到八周减少到四周。现在，Google 学习了 Mozilla 的做法，宣布 Chrome 的发布周期将从六周减少到四周。它将从今年第三季度开始采用这一发布周期。如果你担心更短的发布周期可能会引入破坏功能等兼容性问题，不用担心，Google 将同时推出一个扩展稳定版本（ Extended Stable），每八周发布大更新。

Google 本周释出了 Chrome 的安全更新 v89.0.4389.72，修复了 47 个漏洞，其中包括正被利用 0day。编号为 CVE-2021-21166 的漏洞是微软安全研究员 Alison Huffman 在 2 月 11 日报告的，Google 没有披露漏洞细节，只是表示它知道漏洞正被利用。这是 Google 在今年修复的第二个 0day，上一个是 2 月 4 日修复的 V8 堆溢出漏洞 CVE-2021-21148。

10 月份释出的 Chrome 86 改变了缓存系统，引入了缓存分区去储存不同网站的缓存，防止利用缓存共享资源的攻击方法。但新的缓存系统影响到了设计使用缓存的 Web 服务如 Google Fonts。Google Fonts 被数百万网站广泛使用，它允许网站使用一行代码加载托管在 Google 服务器里的任意字体。当字体下载到缓存之后，用户无需访问每个网站重新下载一遍字体。但新的缓存分区系统事实上让 Google Fonts 变得无用，因为新系统强迫用户访问一个网站后需要重新下载一遍字体，网站在自己的服务器上托管字体将比 Google 托管更高效。

Google 计划在 Chrome Web Store 商店页面加入一个新的区域，要求扩展开发者披露收集的用户数据以及如何处理用户信息。这一要求将于 2021 年 1 月 18 日生效。Google 现在已经在扩展开发者的 Web Store 控制面板中加入了相关选项。Google 不是唯一一个引入数据披露政策的公司，苹果在 WWDC 2020 上宣布所有 App Store 应用将要求展示隐私提示，列出应用收集的用户数据点，哪些数据点被用于跟踪用户。

Net Applications 的 NetMarketShare 工具被广泛用于跟踪桌面浏览器和操作系统市场份额，但上个月的报告将是它是最后一次记录桌面浏览器市场份额。它停止跟踪浏览器市场份额不是因为 Google Chrome 的市场地位难以动摇，而是因为 Google 准备做的事情。今年 1 月，Google 透露作为反指纹技术的一部分它计划淘汰 User-Agent 字符串，而 User-Agent 字符串被 Net Applications 用于识别浏览器和操作系统的版本和类型。Net Applications 称这一改变将会破坏它的设备检测技术，导致很长一段时间识别不精确。再加上过滤机器人程序防止结果偏差的问题，Net Applications 认为最好放弃这一持续了 14 年的记录。

基于 Debian Linux 和 Ubuntu 的桌面发行版 Linux Mint 项目决定构建自己的 Chromium 浏览器。多年来，Linux Mint 一直使用 Ubuntu 构建的 Chromium 版本。但 Ubuntu 的开发商 Canonical 发布的 Chromium 版本开始从 APT 兼容的 DEB 包迁移到 Snap 打包格式。Snap 通过整合需要加载的不同库来减少依赖问题，但也存在容量过大启动过慢的缺陷。Canonical 强推 Snap 打包格式的做法已经在社区引发了争议，而 Linux Mint 早些时候宣布不会安装任何 Snap 应用。它现在决定利用源代码构建自己的 Chromium 版本。为了加快构建速度，Linux Mint 项目为此分配了一台高端计算机——Ryzen 9 3900、128GB RAM、NMVe——将构建时间从 6 个多小时减少到 1 个多小时。

一位扩展开发者注意到，在 Chrome 的“Cookie 和网站数据”设置中，用户可以启用“关闭 Chrome 时删除 Cookie 与网站数据”。但在启用该选项之后，Google 旗下网站如搜索和 YouTube 的数据在关闭之后并没有删除。他对其进行了一番测试，在没有登陆 Chrome 或任何 Google 服务的情况下 YouTube 等 Google 服务的数据在浏览器关闭之后仍然保留了，也就是说 Google 旗下网站默认豁免于用户设置。Google 的做法再次引发了争议。

为了保护用户隐私，Chrome 改变了浏览器缓存系统的工作方式。HTTP Cache 或 Shared Cache 保存了网页加载的资源副本，如图像、CSS 文件和 JS 文件。如果用户重新访问了同一个网站或使用相同资源的网站，浏览器可以直接从内部缓存里加载资源，无需重新下载文件。这一缓存机制已经行之有效的工作了许多年，但最近几年被广告商和分析公司利用去跟踪用户，比如能检测用户访问了哪些网站，能发动跨站搜索攻击和实施跨站跟踪等等。从刚刚发布的 Chrome 86 开始，Google 将逐步改变缓存机制。Google 引入了名为 cache partitioning 的功能去改变资源的保存，以前资源的存储键只有一个项，现在将包含三个项，包括域名、当前帧和网址。新的机制能阻挡之前对缓存机制的攻击。