Chrome 107 vrystelling

Google het die vrystelling van die Chrome 107-webblaaier onthul. Terselfdertyd is 'n stabiele vrystelling van die gratis Chromium-projek, wat as die basis van Chrome dien, beskikbaar. Die Chrome-blaaier verskil van Chromium in die gebruik van Google-logo's, die teenwoordigheid van 'n stelsel vir die stuur van kennisgewings in geval van 'n ongeluk, modules vir die speel van kopie-beskermde video-inhoud (DRM), 'n stelsel vir outomatiese installering van opdaterings, wat Sandbox-isolasie permanent moontlik maak , verskaf sleutels aan die Google API en stuur RLZ- wanneer jy soek.-parameters. Vir diegene wat meer tyd nodig het om op te dateer, word die Extended Stable-tak afsonderlik ondersteun, gevolg deur 8 weke. Die volgende weergawe van Chrome 108 is geskeduleer vir 29 November.

Sleutelveranderinge in Chrome 107:

• Bygevoeg ondersteuning vir die ECH (Encrypted Client Hello)-meganisme, wat die ontwikkeling van ESNI (Encrypted Server Name Indication) voortsit en word gebruik om inligting oor TLS-sessieparameters te enkripteer, soos die gevraagde domeinnaam. Die belangrikste verskil tussen ECH en ESNI is dat in plaas daarvan om op die vlak van individuele velde te enkripteer, ECH die hele TLS ClientHello-boodskap enkripteer, wat jou toelaat om lekkasies te blokkeer deur velde wat ESNI nie dek nie, byvoorbeeld die PSK (Pre-Shared) Sleutel) veld. ECH gebruik ook die HTTPSSVC DNS-rekord in plaas van die TXT-rekord om publieke sleutelinligting oor te dra, en gebruik geverifieerde end-tot-end-enkripsie gebaseer op die Hybrid Public Key Encryption (HPKE)-meganisme om die sleutel te verkry en te enkripteer. Om te beheer of ECH geaktiveer is, is die "chrome://flags#encrypted-client-hello"-instelling voorgestel.
• Ondersteuning vir hardeware versnelde video-dekodering in H.265 (HEVC)-formaat is geaktiveer.
• Die vyfde stadium van inligtingvermindering in die User-Agent HTTP-kopskrif en JavaScript-parameters navigator.userAgent, navigator.appVersion en navigator.platform is geaktiveer, geïmplementeer om inligting te verminder wat gebruik kan word om die gebruiker passief te identifiseer. Chrome 107 het die platform- en verwerkerinligting in die User-Agent-lyn vir rekenaargebruikers verminder, en die inhoud van die navigator.platform JavaScript-parameter gevries. Die verandering is slegs merkbaar in weergawes vir die Windows-platform, waarvoor die spesifieke platformweergawe na "Windows NT 10.0" verander word. Op Linux het die platforminhoud in die User-Agent nie verander nie.

  Voorheen is die MINOR.BUILD.PATCH-nommers waaruit die blaaierweergawe bestaan ​​het, vervang met 0.0.0. In die toekoms word beplan om slegs inligting oor die naam van die blaaier, hoofblaaierweergawe, platform en toesteltipe (selfoon, rekenaar, tablet) in die kopskrif te laat. Om bykomende data te verkry, soos die presiese weergawe en uitgebreide platformdata, moet jy die User Agent Client Hints API gebruik. Vir werwe wat nie genoeg nuwe inligting het nie en nog nie gereed is om oor te skakel na Gebruikersagent Kliëntwenke nie, het hulle tot Mei 2023 die geleentheid om die volledige Gebruikersagent terug te gee.

• Die Android-weergawe ondersteun nie meer die Android 6.0-platform nie; die blaaier benodig nou ten minste Android 7.0.
• Die koppelvlakontwerp vir die dop van die status van aflaaie is verander. In plaas van die onderste lyn met data oor die aflaaivordering, is 'n nuwe aanwyser by die paneel met die adresbalk gevoeg; wanneer jy daarop klik, word die vordering van die aflaai van lêers en 'n geskiedenis met 'n lys van reeds afgelaaide lêers gewys. Anders as die onderste paneel, word die knoppie voortdurend op die paneel gewys en kan jy vinnig toegang tot jou aflaaigeskiedenis kry. Die nuwe koppelvlak word tans by verstek slegs aan sommige gebruikers aangebied en sal na almal uitgebrei word as daar geen probleme is nie.
• Vir rekenaargebruikers is dit moontlik om wagwoorde wat in 'n lêer in CSV-formaat gestoor is, in te voer. Voorheen kon wagwoorde van 'n lêer na die blaaier slegs deur die passwords.google.com-diens oorgedra word, maar nou kan dit ook gedoen word deur die Google Password Manager wat in die blaaier ingebou is.
• Nadat die gebruiker 'n nuwe profiel geskep het, word 'n boodskap vertoon wat jou vra om sinchronisasie te aktiveer en na instellings te gaan, waardeur jy die profielnaam kan verander en 'n kleurtema kan kies.
• Die weergawe vir die Android-platform bied 'n nuwe koppelvlak vir die keuse van medialêers vir die oplaai van foto's en video's (in plaas van sy eie implementering, word die standaard Android Media Picker-koppelvlak gebruik).
• Outomatiese herroeping van toestemming om kennisgewings te vertoon, is voorsien vir werwe waar bevind is dat hulle kennisgewings en boodskappe stuur wat met die gebruiker inmeng. Boonop is versoeke om toestemming om kennisgewings te stuur vir sulke werwe opgeskort.
• Die Screen Capture API het nuwe eienskappe bygevoeg wat verband hou met skermdeling - selfBrowserSurface (laat jou toe om die huidige oortjie uit te sluit wanneer getDisplayMedia() geroep word), surfaceSwitching (laat jou toe om die knoppie te versteek om oortjies te skakel) en displaySurface (laat jou toe om deel te beperk tot 'n oortjie, venster of skerm).
• Het die renderBlockingStatus-eienskap by die Performance API gevoeg om hulpbronne te identifiseer wat veroorsaak dat bladsyweergawe onderbreek word totdat hulle klaar gelaai het.
• Verskeie nuwe API's is by die Origin Trials-modus gevoeg (eksperimentele kenmerke wat afsonderlike aktivering vereis). Oorsprongproef impliseer die vermoë om met die gespesifiseerde API te werk vanaf toepassings wat van localhost of 127.0.0.1 afgelaai is, of nadat 'n spesiale teken geregistreer en ontvang is wat vir 'n beperkte tyd geldig is vir 'n spesifieke webwerf.
  • Verklarende API PendingBeacon, wat jou toelaat om die stuur van data te beheer wat nie 'n reaksie (baken) na die bediener vereis nie. Die nuwe API laat jou toe om die stuur van sulke data na die blaaier te delegeer, sonder dat jy op 'n sekere tyd stuuroperasies hoef te bel, byvoorbeeld om die oordrag van telemetrie te organiseer nadat die gebruiker die bladsy gesluit het.
  • Die Permissions-Policy (Feature Policy) HTTP-opskrif, wat gebruik word om gesag te delegeer en gevorderde kenmerke te aktiveer, ondersteun nou die "ontlaai"-waarde, wat gebruik kan word om hanteerders vir die "ontlaai"-gebeurtenis op die bladsy te deaktiveer.
• Om te merk het ondersteuning bygevoeg vir die "rel"-kenmerk, wat jou toelaat om die "rel=noreferrer"-parameter toe te pas op navigasie deur webvorms om die oordrag van die Referer-opskrif te deaktiveer of "rel=noopener" om die instelling van die Window.opener-eienskap te deaktiveer en te verbied toegang tot die konteks waaruit die oorgang gemaak is.
• CSS Grid het ondersteuning bygevoeg vir die interpolering van die rooster-sjabloon-kolomme en rooster-sjabloon-rye eienskappe om 'n gladde oorgang tussen verskillende roostertoestande te verskaf.
• Verbeterings is aangebring aan nutsgoed vir webontwikkelaars. Bygevoeg die vermoë om snelsleutels op te stel. Verbeterde geheue-inspeksie van C/C++ toepassingsvoorwerpe wat na WebAssembly-formaat omgeskakel is.

Benewens innovasies en foutoplossings, skakel die nuwe weergawe 14 kwesbaarhede uit. Baie van die kwesbaarhede is geïdentifiseer as gevolg van outomatiese toetsing met behulp van die AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL-nutsgoed. Geen kritieke probleme is geïdentifiseer wat 'n mens sal toelaat om alle vlakke van blaaierbeskerming te omseil en kode buite die sandbox-omgewing op die stelsel uit te voer nie. As deel van die program om kontantbelonings te betaal vir die ontdekking van kwesbaarhede vir die huidige vrystelling, het Google 10 toekennings in die bedrag van 57 duisend Amerikaanse dollar betaal (een toekenning van $20000 17000, $7000 3000 en $2000 1000, twee toekennings van $XNUMX XNUMX, drie toekennings van $XNUMX XNUMX en een toekenning van $XNUMX). Die grootte van een beloning is nog nie bepaal nie.

Bron: opennet.ru