ProHoster > Blog > internet nuus > Chrome 102 vrystelling

Chrome 102 vrystelling

Google het die vrystelling van die Chrome 102 webblaaier onthul. Terselfdertyd is 'n stabiele vrystelling van die gratis Chromium-projek, wat die basis van Chrome is, beskikbaar. Die Chrome-blaaier verskil van Chromium in die gebruik van Google-logo's, die teenwoordigheid van 'n stelsel vir die stuur van kennisgewings in geval van 'n ongeluk, modules vir die speel van kopie-beskermde video-inhoud (DRM), 'n outomatiese opdateringstelsel, die konstante insluiting van Sandbox-isolasie , die verskaffing van sleutels vir die Google API en transmissie wanneer na RLZ- parameters gesoek word. Vir diegene wat meer tyd nodig het om op te dateer, word die Extended Stable-tak afsonderlik ondersteun, gevolg deur 8 weke. Die volgende weergawe van Chrome 103 is geskeduleer vir 21 Junie.

Sleutelveranderinge in Chrome 102:

  • Om die uitbuiting van kwesbaarhede wat veroorsaak word deur toegang tot reeds vrygestelde geheueblokke (gebruik-na-vry) te blokkeer, het die gebruik van die MiraclePtr-tipe (raw_ptr) begin in plaas van gewone wysers. MiraclePtr verskaf 'n wyserbinding wat addisionele kontroles uitvoer vir toegang tot vrygemaakte geheue-areas en ineenstortings indien sulke toegang gevind word. Die impak van die nuwe beskermingsmetode op werkverrigting en geheueverbruik word as gering geraam. Die MiraclePtr-meganisme is nie in alle prosesse van toepassing nie, dit word veral nie in leweringsprosesse gebruik nie, maar dit kan sekuriteit aansienlik verbeter. Byvoorbeeld, in die huidige weergawe, uit 32 vaste kwesbaarhede, is 12 veroorsaak deur gebruik-na-vrye klasprobleme.
  • Die ontwerp van die koppelvlak met inligting oor aflaaie is verander. In plaas van die onderste lyn met data oor die aflaaivordering, is 'n nuwe aanwyser by die paneel met die adresbalk gevoeg, wanneer daarop geklik word, word die vordering van die aflaai van lêers en 'n geskiedenis met 'n lys van reeds afgelaaide lêers gewys. Anders as die onderste balk, word die knoppie permanent op die balk vertoon en kan jy vinnig toegang tot jou aflaaigeskiedenis kry. Die nuwe koppelvlak is tot dusver by verstek slegs aan sommige gebruikers aangebied en sal na almal uitgebrei word as daar geen probleme is nie. Om die ou koppelvlak terug te gee of 'n nuwe een te aktiveer, word die "chrome://flags#download-bubble"-instelling verskaf.
    Chrome 102 vrystelling
  • Wanneer daar na prente gesoek word via die kontekskieslys ("Soek prent met Google Lens" of "Vind via Google Lens"), word die resultate nou nie op 'n aparte bladsy gewys nie, maar in 'n sybalk langs die inhoud van die oorspronklike bladsy (in een venster, kan jy gelyktydig beide die inhoud van die bladsy en die resultaat van 'n oproep na 'n soekenjin sien).
    Chrome 102 vrystelling
  • Het 'n "Privaatheidsgids"-afdeling bygevoeg in die "Privaatheid en sekuriteit"-afdeling van die instellings, wat 'n oorsig bied van die hoofinstellings wat privaatheid beïnvloed, met gedetailleerde verduidelikings van die impak van elke instelling. Byvoorbeeld, in die afdeling kan jy 'n beleid definieer vir die stuur van data na Google-dienste, sinchronisasie bestuur, koekieverwerking en stoor van geskiedenis. Die funksie word aan sommige gebruikers gebied, jy kan die "chrome://flags#privacy-guide" instelling gebruik om dit te aktiveer.
    Chrome 102 vrystelling
  • Voorsien strukturering van soekgeskiedenis en bladsye wat bekyk is. Wanneer jy weer probeer soek, word die wenk "Hervat jou reis" in die adresbalk vertoon, wat jou toelaat om die soektog voort te sit vanaf die plek waar dit laas onderbreek is.
    Chrome 102 vrystelling
  • Die Chrome Webwinkel het 'n Extensions Starter Kit-bladsy met 'n aanvanklike keuse van aanbevole byvoegings.
  • In toetsmodus, stuur 'n CORS (Cross-Origin Resource Sharing)-magtigingsversoek met die "Access-Control-Request-Private-Network: true"-kopskrif na die bediener van die hoofwebwerf geaktiveer as 'n hulpbron op die interne netwerk (192.168. .xx) word verkry vanaf die bladsy 10.xxx, 172.16.xx) of na localhost (128.xxx). Wanneer die bewerking in reaksie op hierdie versoek bevestig word, moet die bediener die "Access-Control-Allow-Private-Network: true"-opskrif terugstuur. In Chrome weergawe 102 beïnvloed die bevestigingsresultaat nog nie die verwerking van die versoek nie - as daar geen bevestiging is nie, word 'n waarskuwing in die webkonsole vertoon, maar die subhulpbronversoek self word nie geblokkeer nie. Aktivering van blokkering in die afwesigheid van bevestiging van die bediener word nie vroeër as die vrystelling van Chrome 105 verwag nie. Om blokkering in vroeër vrystellings moontlik te maak, kan jy die "chrome://flags/#private-network-access-respect-preflight- aktiveer. resultate"-instelling.

    Bekragtiging deur die bediener is ingestel om beskerming teen aanvalle te versterk wat verband hou met toegang tot hulpbronne op die plaaslike netwerk of op die gebruiker se rekenaar (localhost) van skrifte wat gelaai word wanneer die webwerf oopgemaak word. Sulke versoeke word deur aanvallers gebruik om CSRF-aanvalle op roeteerders, toegangspunte, drukkers, korporatiewe webkoppelvlakke en ander toestelle en dienste uit te voer wat versoeke slegs vanaf die plaaslike netwerk aanvaar. Om teen sulke aanvalle te beskerm, indien toegang tot enige subbronne op die interne netwerk verkry word, sal die blaaier 'n eksplisiete versoek stuur vir die magtiging om hierdie subbronne af te laai.

  • Wanneer skakels in incognitomodus deur die kontekskieslys oopgemaak word, word sommige parameters wat privaatheid beïnvloed outomaties van die URL verwyder.
  • Veranderde opdateringsleweringstrategie vir Windows en Android. Om die gedrag van die nuwe en ou vrystellings beter te vergelyk, word verskeie weergawes van die nuwe weergawe nou gegenereer vir aflaai.
  • Netwerksegmenteringstegnologie is gestabiliseer om te beskerm teen metodes om gebruikersbewegings tussen werwe op te spoor gebaseer op die berging van identifiseerders in gebiede wat nie bedoel is vir permanente berging van inligting nie (“Superkoekies”). Omdat hulpbronne in 'n kas in 'n gemeenskaplike naamruimte gestoor word, ongeag die oorsprongdomein, kan een werf bepaal of 'n hulpbron vanaf 'n ander werf gelaai word deur te kontroleer of die hulpbron in die kas is. Beskerming is gebaseer op die gebruik van Network Partitioning, waarvan die essensie is om 'n bykomende binding van inskrywings by te voeg tot die domein waarvandaan die hoofbladsy oopgemaak word na die gedeelde kas, wat die omvang van die kas vir bewegingsopsporingsskrifte beperk tot slegs die huidige webwerf (die skrip vanaf die iframe sal nie kan kyk of die hulpbron van 'n ander webwerf gelaai is nie). Toestandskeiding dek netwerkverbindings (HTTP/1, HTTP/2, HTTP/3, websocket), DNS-kas, ALPN/HTTP2, TLS/HTTP3-data, konfigurasie, aflaaie en inligting in die Expect-CT-kopskrif.
  • Vir geïnstalleerde selfstandige webtoepassings (PWA, Progressive Web App), is die vermoë om die ontwerp van die venstertitelarea te verander deur gebruik te maak van die Vensterbeheer-oorlegkomponente, wat die skermarea van die webtoepassing na die hele venster uitbrei. verskaf. Die webtoepassing kan lewering en invoerverwerking in die hele venster beheer, behalwe vir die gesuperponeerde blok met gereelde vensterbeheerknoppies (toe, minimaliseer, maksimeer), om die webtoepassing die vorm van 'n gewone rekenaartoepassing te gee.
    Chrome 102 vrystelling
  • Bygevoeg ondersteuning vir die generering van virtuele kredietkaartnommers in die velde met betaling besonderhede in aanlyn winkels in die vorm outovul stelsel. Die gebruik van 'n virtuele kaart, waarvan die nommer vir elke betaling gegenereer word, laat jou toe om nie data oor 'n regte kredietkaart oor te dra nie, maar vereis die verskaffing van die nodige diens deur die bank. Tans kan die funksie slegs deur kliënte van sekere Amerikaanse banke gebruik word. Om die aktivering van die funksie te beheer, word die instelling "chrome://flags/#autofill-enable-virtual-card" voorgestel.
  • Die "Capture Handle"-meganisme is by verstek geaktiveer, wat jou toelaat om inligting oor te dra na toepassings wat video vasvang. Die API maak dit moontlik om die interaksie te organiseer tussen toepassings waarvan die inhoud opgeneem word en toepassings wat opneem. Byvoorbeeld, 'n videokonferensie-toepassing wat video vasvang om 'n aanbieding uit te saai, kan inligting oor die aanbiedingkontroles bekom en dit in die videovenster vertoon.
  • Ondersteuning vir spekulatiewe reëls is by verstek geaktiveer, wat 'n buigsame sintaksis bied om te bepaal of skakelverwante data proaktief gelaai kan word voordat die gebruiker op die skakel klik.
  • Die meganisme vir die verpakking van hulpbronne in pakkette in die Web Bundle-formaat is gestabiliseer, wat dit moontlik maak om die doeltreffendheid van die laai van 'n groot aantal verwante lêers (CSS-style, JavaScript, beelde, iframes) te verhoog. Anders as pakkette in die Webpack-formaat, het die Web Bundle-formaat die volgende voordele: nie die pakket self nie, maar sy samestellende dele, word in die HTTP-kas gestoor; samestelling en uitvoering van JavaScript begin sonder om te wag vir die volledige aflaai van die pakket; dit word toegelaat om bykomende hulpbronne in te sluit, soos CSS en beelde, wat in webpack geënkodeer moes gewees het in die vorm van JavaScript-stringe.
  • Verskaf die vermoë om 'n PWA-toepassing as 'n hanteerder vir sekere MIME-tipes en lêeruitbreidings te definieer. Sodra die binding gedefinieer is via die file_handlers-veld in die manifes, sal die toepassing 'n spesiale gebeurtenis ontvang wanneer die gebruiker probeer om die lêer oop te maak wat met die toepassing geassosieer word.
  • 'n Nuwe inerte eienskap is bygevoeg sodat jy 'n deel van die DOM-boom as "onaktief" kan merk. Vir DOM-nodusse in hierdie toestand is teksseleksie en sweefhanteerders gedeaktiveer, d.w.s. Die wyser-gebeurtenisse en gebruiker-geselekteerde CSS-eienskappe is altyd op 'geen' gestel. As die nodus wysiging toegelaat het, word dit in inerte modus onwysigbaar.
  • Die Navigation API is bygevoeg om webtoepassings in staat te stel om navigasiebewerkings in 'n venster te onderskep, 'n oorgang te begin en die toepassing se aktiwiteitgeskiedenis te ontleed. Die API bied 'n alternatief vir die window.history- en window.location-eienskappe wat vir enkelbladsy-webtoepassings geoptimaliseer is.
  • 'n Nuwe "tot gevind"-vlag is voorgestel vir die "versteekte" kenmerk, wat die element soekbaar op die bladsy maak en deur die teksmasker kan blaai. U kan byvoorbeeld versteekte teks by die bladsy voeg, waarvan die inhoud gevind sal word wanneer u plaaslik soek.
  • In die WebHID API, ontwerp vir laevlaktoegang tot HID-toestelle (menslike koppelvlaktoestelle, sleutelborde, muise, gamepads, raakpanele) en organisasie van werk sonder die teenwoordigheid van spesifieke drywers in die stelsel, is die exclusionFilters-eienskap by die requestDevice () voorwerp, wat jou toelaat om sekere toestelle uit te sluit wanneer 'n lys van beskikbare toestelle deur die blaaier vertoon word. Byvoorbeeld, jy kan toestel-ID's uitsluit wat bekende probleme het.
  • Dit is verbode om die betalingvorm via die PaymentRequest.show()-oproep te wys sonder 'n eksplisiete gebruikeraksie, soos om op die element te klik wat met die hanteerder geassosieer word.
  • Ondersteuning vir 'n alternatiewe implementering van die SDP (Session Description Protocol) protokol, wat gebruik word om 'n sessie in WebRTC te vestig, is gestaak. Chrome het twee weergawes van SDP aangebied - verenig met ander blaaiers en spesifiek vir Chrome. Van nou af bly net die draagbare weergawe oor.
  • Verbeterings is aangebring aan nutsgoed vir webontwikkelaars. Knoppies is by die Style-paneel gevoeg om die gebruik van donker en ligte temas te simuleer. Versterkte beskerming van die Voorskou-oortjie in die netwerkinspeksiemodus (het die gebruik van inhoudsekuriteitsbeleid geaktiveer). Die ontfouter implementeer skripvoltooiing om breekpunte te herlaai. 'n Voorlopige implementering van die nuwe "Prestasie-insigte"-paneel word voorgestel, wat jou toelaat om die prestasie van sekere bedrywighede op die bladsy te ontleed.
    Chrome 102 vrystelling

Benewens innovasies en foutoplossings, is 32 kwesbaarhede in die nuwe weergawe reggestel. Baie van die kwesbaarhede is geïdentifiseer as gevolg van outomatiese toetsinstrumente AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL. Een van die probleme (CVE-2022-1853) is 'n kritieke ernsvlak toegeken, wat die vermoë impliseer om alle blaaierbeskermingsvlakke te omseil en kode op die stelsel buite die sandbox-omgewing uit te voer. Besonderhede oor hierdie kwesbaarheid is nog nie bekend gemaak nie, dit is slegs bekend dat dit veroorsaak word deur toegang tot 'n vrygemaakte geheueblok (gebruik-na-vry) in die implementering van die Geindekseerde DB API.

As deel van die kwesbaarheidsprogram vir die huidige vrystelling, het Google 24 toekennings ter waarde van $65600 betaal (een $10000-toekenning, een $7500-toekenning, twee $7000-toekennings, drie $5000-toekennings, vier $3000-toekennings, twee $2000-toekennings en twee $1000-toekennings, twee $500) . Die bedrag van 7 belonings is nog nie bepaal nie.

Bron: opennet.ru

Voeg 'n opmerking