Chrome 97 vrystelling

Google het die vrystelling van die Chrome 97-webblaaier onthul. Terselfdertyd is 'n stabiele vrystelling van die gratis Chromium-projek, wat as die basis van Chrome dien, beskikbaar. Die Chrome-blaaier word onderskei deur die gebruik van Google-logo's, die teenwoordigheid van 'n stelsel vir die stuur van kennisgewings in geval van 'n ongeluk, modules vir die speel van kopie-beskermde video-inhoud (DRM), 'n stelsel vir outomatiese installering van opdaterings, en die oordrag van RLZ-parameters wanneer soek. Vir diegene wat meer tyd nodig het om op te dateer, is daar 'n aparte Extended Stable-tak, gevolg deur 8 weke, wat 'n opdatering van die vorige weergawe van Chrome 96 vorm. Die volgende vrystelling van Chrome 98 is geskeduleer vir 1 Februarie.

Sleutelveranderinge in Chrome 97:

• Vir sommige gebruikers gebruik die konfigurator 'n nuwe koppelvlak vir die bestuur van data wat aan die blaaierkant gestoor is ("chrome://settings/content/all"). Die belangrikste verskil van die nuwe koppelvlak is die fokus daarvan om toestemmings in te stel en alle koekies van die webwerf gelyktydig uit te vee, sonder die vermoë om gedetailleerde inligting oor individuele koekies te sien en koekies selektief uit te vee. Volgens Google kan toegang tot die bestuur van individuele koekies vir 'n gewone gebruiker wat nie die ingewikkeldhede van webontwikkeling verstaan ​​nie, lei tot onvoorspelbare ontwrigtings in die werking van werwe as gevolg van ondeurdagte veranderinge in individuele parameters, sowel as die toevallige deaktivering van privaatheid beskermingsmeganismes geaktiveer deur koekies. Vir diegene wat individuele koekies moet manipuleer, word dit aanbeveel om die bergingbestuurafdeling in nutsgoed vir webontwikkelaars (Toepassing/berging/koekie) te gebruik.
• In die blok met inligting oor die webwerf word 'n kort beskrywing van die webwerf (byvoorbeeld 'n beskrywing van Wikipedia) vertoon as die soek- en navigasieoptimeringsmodus in die instellings geaktiveer is (die "Maak soektogte en blaai beter" opsie).
• Verbeterde ondersteuning vir die outomatiese invul van velde in webvorms. Aanbevelings met outovul-opsies word nou met 'n effense verskuiwing vertoon en word voorsien van inligting-ikone vir 'n geriefliker voorskou en visuele identifikasie van die verband met die veld wat ingevul word. Die profielikoon maak dit byvoorbeeld duidelik dat die voorgestelde outovoltooi velde beïnvloed wat met adres en kontakinligting verband hou.
• Verwydering van gebruikersprofielhanteerders uit die geheue geaktiveer nadat blaaiervensters wat daarmee geassosieer is, gesluit is. Voorheen het profiele in die geheue gebly en voortgegaan om werk te verrig wat verband hou met sinchronisasie en uitvoering van agtergrondbyvoegingsskrifte, wat gelei het tot onnodige vermorsing van hulpbronne op stelsels wat veelvuldige profiele gelyktydig gebruik (byvoorbeeld 'n gasprofiel en koppeling aan 'n Google-rekening ). Daarbenewens word 'n meer deeglike skoonmaak van die data wat oorbly terwyl daar met die profiel gewerk word, verseker.
• Verbeterde bladsy met soekenjininstellings ("Instellings>Bestuur soekenjins"). Outomatiese aktivering van enjins, waaroor inligting verskaf word wanneer 'n webwerf deur die OpenSearch-skrip oopgemaak word, is gedeaktiveer - nuwe enjins vir die verwerking van soeknavrae vanaf die adresbalk moet nou met die hand in die instellings geaktiveer word (voorheen outomaties geaktiveerde enjins sal voortgaan om werk sonder veranderinge).
• Vanaf 17 Januarie sal die Chrome Webwinkel nie meer byvoegings aanvaar wat weergawe XNUMX van die Chrome-manifes gebruik nie, maar ontwikkelaars van voorheen bygevoegde byvoegings sal steeds opdaterings kan publiseer.
• Bygevoeg eksperimentele ondersteuning vir die WebTransport spesifikasie, wat 'n protokol en gepaardgaande JavaScript API definieer vir die stuur en ontvang van data tussen die blaaier en die bediener. Die kommunikasiekanaal word oor HTTP/3 georganiseer deur die QUIC-protokol as vervoer te gebruik. WebTransport kan gebruik word in plaas van die WebSockets-meganisme, wat bykomende kenmerke bied soos multi-stroom transmissie, eenrigting strome, buite-orde aflewering, betroubare en onbetroubare afleweringsmodusse. Boonop kan WebTransport gebruik word in plaas van die Server Push-meganisme, wat Google in Chrome laat vaar het.
• Die findLast- en findLastIndex-metodes is by die Array- en TypedArrays JavaScript-objekte gevoeg, wat jou toelaat om te soek vir elemente met die resultaat-uitvoer relatief tot die einde van die skikking. [1,2,3,4].findLast((el) => el % 2 === 0) // → 4 (laaste ewe element)
• Geslote (geen "oop" kenmerk) HTML-elemente , is nou soekbaar en koppelbaar, en word outomaties uitgebrei wanneer bladsysoektog en fragmentnavigasie (ScrollToTextFragment) gebruik word.
• Beperkings vir inhoudsekuriteitsbeleid (CSP) in bedienerantwoordopskrifte is nou van toepassing op toegewyde werkers, wat voorheen as aparte dokumente behandel is.
• 'n Eksplisiete versoek vir die magtiging om enige sub-hulpbronne van die interne netwerk af te laai is verskaf - voordat toegang tot die interne netwerk of plaaslike gasheer verkry word, 'n CORS (Cross-Origin Resource Sharing) versoek met die opskrif "Access-Control-Request-Private- Netwerk: waar" word nou na die hoofwerfbediener gestuur wat bevestiging van die bewerking vereis deur die "Access-Control-Allow-Private-Network: true"-kopskrif terug te stuur.
• Het die font-sintese CSS-eienskap bygevoeg, wat jou toelaat om te beheer of die blaaier ontbrekende fontstyle (skuins, vetdruk en kleinletters) kan sintetiseer wat nie in die geselekteerde fontfamilie is nie.
• Vir CSS-transformasies implementeer die perspektief()-funksie 'n 'geen'-parameter, wat as 'n oneindige waarde hanteer word wanneer animasie georganiseer word.
• Die toestemmingsbeleid (kenmerkbeleid) HTTP-opskrif, wat gebruik word om gesag te delegeer en gevorderde kenmerke te aktiveer, ondersteun nou die sleutelbordkaartwaarde, wat die gebruik van die sleutelbord-API toelaat. Die Keyboard.getLayoutMap() metode is geïmplementeer, wat jou toelaat om te bepaal watter sleutel gedruk word, met inagneming van verskillende sleutelborduitlegte (byvoorbeeld, 'n sleutel word gedruk op 'n Russiese of Engelse uitleg).
• Bygevoeg HTMLScriptElement.supports() metode, wat die definisie van nuwe kenmerke wat beskikbaar is in die "script" element verenig, byvoorbeeld, jy kan die lys van ondersteunde waardes vir die "tipe" kenmerk uitvind.
• Die proses om nuwe lyne te normaliseer wanneer webvorms ingedien word, is in lyn gebring met die Gecko- en WebKit-blaaier-enjins. Normalisering van lyntoevoer en karre-terugsendings (vervang /r en /n met \r\n) in Chrome word nou gedoen op die finale stadium eerder as aan die begin van vorm indiening verwerking (m.a.w. intermediêre verwerkers wat die FormData voorwerp gebruik sal die data sien as bygevoeg deur die gebruiker, en nie in 'n genormaliseerde vorm nie).
• Die benaming van eiendomsname is gestandaardiseer vir die Client Hints API, wat ontwikkel word as 'n plaasvervanger vir die User-Agent-opskrif en laat jou toe om selektief data oor spesifieke blaaier- en stelselparameters (weergawe, platform, ens.) slegs na 'n versoek deur die bediener. Eienskappe word nou gespesifiseer met die voorvoegsel "sec-ch-", byvoorbeeld, sec-ch-dpr, sec-ch-width, sec-ch-viewport-width, sec-ch-device-memory, sec-ch-rtt , sec- ch-downlink en sec-ch-ect.
• Die tweede fase van die beëindiging van ondersteuning vir die WebSQL API is toegepas, toegang waartoe vanaf derdeparty-skrifte nou geblokkeer sal word. In die toekoms beplan ons om ondersteuning vir WebSQL geleidelik heeltemal uit te faseer, ongeag die konteks van gebruik. Die WebSQL-enjin is gebaseer op SQLite-kode en kan deur aanvallers gebruik word om kwesbaarhede in SQLite te ontgin.
• Vir die Windows-platform is 'n samestelling met uitvoervloei-integriteitkontroles (CFG, Control Flow Guard) ingesluit, wat pogings om kode in die Chrome-proses in te voeg, blokkeer. Daarbenewens word sandbox-isolasie nou toegepas op netwerkdienste wat in aparte prosesse loop, wat die vermoëns van die kode in hierdie prosesse beperk.
• Chrome vir Android sluit 'n meganisme in om die logboek van uitgereikte en herroepe sertifikate (Sertifikaatdeursigtigheid) dinamies op te dateer, wat voorheen in fooie vir rekenaarstelsels geaktiveer is.
• Verbeterings is aangebring aan nutsgoed vir webontwikkelaars. Eksperimentele ondersteuning vir die sinchronisering van DevTools-instellings tussen verskillende toestelle is geïmplementeer. 'n Nuwe Opnemer-paneel is bygevoeg, waarmee jy gebruikershandelinge op die bladsy kan opneem, speel en ontleed.

  Wanneer foute in die webkonsole vertoon word, word die kolomnommers wat met die probleem geassosieer word, vertoon, wat gerieflik is om probleme in verkleinde JavaScript-kode te ontfout. Die lys toestelle wat gesimuleer kan word om bladsyvertoning op mobiele toestelle te evalueer, is opgedateer. In die koppelvlak vir die wysiging van HTML-blokke (Redigeer as HTML), is sintaks-verligting en die vermoë om invoer te outovoltooi bygevoeg.

  

Benewens innovasies en foutoplossings, skakel die nuwe weergawe 37 kwesbaarhede uit. Baie van die kwesbaarhede is geïdentifiseer as gevolg van outomatiese toetsing met behulp van die AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL-nutsgoed. Aan een van die kwesbaarhede is die status van 'n kritieke probleem toegeken, wat 'n mens in staat stel om alle vlakke van blaaierbeskerming te omseil en kode op die stelsel uit te voer, buite die sandbox-omgewing. Besonderhede oor die kritieke kwesbaarheid (CVE-2022-0096) is nog nie bekend gemaak nie; dit is slegs bekend dat dit geassosieer word met toegang tot 'n reeds vrygestelde geheue-area in die kode vir werk met interne berging (Storage API).

As deel van die program om kontantbelonings te betaal vir die ontdekking van kwesbaarhede vir die huidige vrystelling, het Google 24 toekennings ter waarde van $54 duisend betaal (drie $10000-toekennings, twee $5000-toekennings, een $4000-toekenning, drie $3000-toekennings en een $1000-toekenning). Die grootte van 14 belonings is nog nie bepaal nie.

Bron: opennet.ru