Note di Matteo

Nuova vita per JPEG XL, che forse arriverà in Chrome e Firefox con la nuova implementazione in Rust.

I benefici:

• Lossless re-compression of JPEG images. This means you can re-compress your current JPEG library without losing information and benefit from a ~30% reduction in file size for free. This is a killer feature that no other format has.
• Support for wide gamut and HDR.
• Support for image sizes of up to 1,073,741,823x1,073,741,824. You won’t run out of image space anytime soon. AVIF is ridiculous in this aspect, capping at 8,193x4,320. WebP goes up to 16K, while the original 1992 JPEG supports 64K.
• Maximum of 32 bits per channel. No other format (except for the defunct JPEG 2000) offers this.
• Maximum of 4,099 channels. Most other formats support 4 or 5, with the exception of JPEG 2000, which supports 16,384.
• JXL is super resilient to generation loss.
• JXL supports progressive decoding, which is essential for web delivery, IMO. WebP or HEIC have no such feature. Progressive decoding in AVIF was added a few years back.
• Support for animation.
• Support for alpha transparency.
• Depth map support.

TIL una build di Chromium richiede 3-4 giorni in locale.

Rebuilds are notoriously slow. A full Chromium build can take 3-4 days on standard development hardware like a MacBook laptop, assuming nothing fails. Every modification means another full rebuild to validate changes, and iterating on patches under those conditions quickly turns into multi-week cycles.

Interessante in Firefox 145: lo shortcut sul desktop non è più uno shortcut ma un piccolo launcher eseguibile.

Nei Dev Tools di Chrome sarà possibile applicare il throttling solo a una richiesta specifica, utile!

In Chrome dall'ottobre 2026:

One year from now, with the release of Chrome 154 in October 2026, we will change the default settings of Chrome to enable “Always Use Secure Connections”. This means Chrome will ask for the user's permission before the first access to any public site without HTTPS.

How to win at CORS. Una buona risorsa completa per capire CORS (Cross-Origin Request Sharing).

Lavorare con Safari è una pena:

• i cookie Secure non vanno su localhost perché Safari non supporta Secure Context come gli altri browser.
• i sottodomini di localhost non funzionano fino a macOS 26, da cui starò alla larga per un po'.
• nella scheda Storage -> Cookies non si vedono i cookie di terze parti o dei sottodomini??? come in tutti gli altri browser.
• al momento non riesco a far funzionare un semplice cookie SameSite=Lax del tutto, su localhost con HTTPS. Nella risposta c'è, ma non lo salva. Con gli altri browser funziona.
• ok, non sono l'unico. Rinuncio.

Defunte definitivamente quasi tutte le iniziative di Chrome per uccidere i cookie di terze parti (Privacy Sandbox), restano solo i cookie partizionati e poco altro:

CHIPS and FedCM, which improve cookie privacy and security and streamline identity flows respectively, have seen broad adoption, including support from other browsers. We'll continue to support those APIs and evaluate opportunities for future enhancements. We'll also maintain Private State Tokens and explore additional approaches to help developers reduce fraud and abuse.

After evaluating ecosystem feedback about their expected value and in light of their low levels of adoption, we've decided to retire the following Privacy Sandbox technologies: Attribution Reporting API (Chrome and Android), IP Protection, On-Device Personalization, Private Aggregation (including Shared Storage), Protected Audience (Chrome and Android), Protected App Signals, Related Website Sets (including requestStorageAccessFor and Related Website Partition), SelectURL, SDK Runtime and Topics (Chrome and Android). We will follow Chrome and Android processes for phasing out these technologies and share updates on our developer site.

Un po' di risorse sulle tecniche moderne per la protezione da CSRF:

• The great SameSite confusion (2021).
• Un approfondimento sul comportamento di default quando non c'è l'attributo SameSite.
• Il nuovo approccio anti CSRF basato sull'header Sec-Fetch-Site:
  • riassunto sul blog di Simon Willison;
  • l'implementazione in Go;
  • le recenti ricerche sul tema di Filippo Valsorda;
  • la discussione su Lobsters;
  • la discussione su Bluesky;
  • un pezzo di discussione su X.

In Firefox 144 ora si può cercare un'immagine con Google Lens dal menù "tasto destro".

È arrivato Google AI Mode in Italia. Vediamo se è all'altezza di Perplexity. In Firefox, si può configurare come motore di ricerca personalizzato con questo URL:

https://www.google.com/search?udm=50&q=%s

E poi invocarlo ad esempio con @ai seguito dalla query di ricerca:

Ho sempre trovato scomodi i player video che quando sono in pausa o quando mostrano i controlli di riproduzione coprono o rendono più scuro il video. Si è unito Safari su macOS 26:

Safari darkens videos on iOS 18, iOS 26, and now macOS 26 when its native video controls are displayed. If you wait several seconds for the video controls to disappear, or you move your Mac mouse pointer out of the frame, the video returns to its normal level of lightness.

Seriously, why??? I thought Liquid Glass was supposed to “bring greater focus to content”? Darkening videos brings less focus to content!