ProHoster > Blog > internet nuus > Chrome 98 vrystelling

Chrome 98 vrystelling

Google het die vrystelling van die Chrome 98 webblaaier onthul. Terselfdertyd is 'n stabiele vrystelling van die gratis Chromium-projek, wat as die basis van Chrome dien, beskikbaar. Die Chrome-blaaier word onderskei deur die gebruik van Google-logo's, die teenwoordigheid van 'n stelsel vir die stuur van kennisgewings in geval van 'n ongeluk, modules vir die speel van kopie-beskermde video-inhoud (DRM), 'n stelsel vir outomatiese installering van opdaterings, en die oordrag van RLZ-parameters wanneer soek. Die volgende Chrome 99-vrystelling is geskeduleer vir 1 Maart.

Sleutelveranderinge in Chrome 98:

  • Die blaaier het sy eie winkel van wortelsertifikate van sertifiseringsowerhede (Chrome Root Store), wat gebruik sal word in plaas van eksterne winkels spesifiek vir elke bedryfstelsel. Die winkel word soortgelyk aan die onafhanklike winkel van wortelsertifikate in Firefox geïmplementeer, wat gebruik word as die eerste skakel om die sertifikaatvertroueketting na te gaan wanneer werwe oor HTTPS oopgemaak word. Die nuwe berging word nog nie by verstek gebruik nie. Om die oorgang van stelselbergingkonfigurasies te vergemaklik en oordraagbaarheid te verseker, sal daar 'n oorgangstydperk wees waartydens die Chrome Root Winkel 'n volledige keuse van sertifikate sal insluit wat op die meeste ondersteunde platforms goedgekeur is.
  • Die plan om beskerming teen aanvalle te versterk wat verband hou met toegang tot hulpbronne op die plaaslike netwerk of op die gebruiker se rekenaar (localhost) van skrifte wat gelaai word wanneer die webwerf oopgemaak word, word steeds geïmplementeer. Sulke versoeke word deur aanvallers gebruik om CSRF-aanvalle op routers, toegangspunte, drukkers, korporatiewe webkoppelvlakke en ander toestelle en dienste uit te voer wat versoeke slegs vanaf die plaaslike netwerk aanvaar.

    Om teen sulke aanvalle te beskerm, sal die blaaier 'n eksplisiete versoek om toestemming om sulke sub-hulpbronne af te laai, indien toegang tot enige sub-hulpbronne op die interne netwerk verkry word, begin stuur. Die versoek om toestemmings word uitgevoer deur 'n CORS-versoek (Cross-Origin Resource Sharing) met die kopskrif "Access-Control-Request-Private-Network: true" na die hoofwerfbediener te stuur voordat toegang tot die interne netwerk of plaaslike gasheer verkry word. Wanneer die bewerking in reaksie op hierdie versoek bevestig word, moet die bediener die "Access-Control-Allow-Private-Network: true"-opskrif terugstuur. In Chrome 98 word die kontrole in toetsmodus geïmplementeer en as daar geen bevestiging is nie, word 'n waarskuwing in die webkonsole vertoon, maar die subhulpbronversoek self word nie geblokkeer nie. Blokkering word nie beplan om geaktiveer te word totdat Chrome 101 vrygestel is nie.

  • Rekeninginstellings integreer nutsgoed vir die bestuur van die insluiting van Verbeterde Veilige Blaai, wat bykomende kontroles aktiveer om teen uitvissing, kwaadwillige aktiwiteite en ander bedreigings op die web te beskerm. Wanneer jy 'n modus in jou Google-rekening aktiveer, sal jy nou gevra word om die modus in Chrome te aktiveer.
  • Het 'n model bygevoeg vir die opsporing van phishing-pogings aan die kliëntkant, geïmplementeer met behulp van die TFLite-masjienleerplatform (TensorFlow Lite) en vereis nie die stuur van data om verifikasie aan die Google-kant uit te voer nie (in hierdie geval word telemetrie gestuur met inligting oor die modelweergawe en berekende gewigte vir elke kategorie). As 'n uitvissingpoging bespeur word, sal die gebruiker 'n waarskuwingsbladsy gewys word voordat die verdagte werf oopgemaak word.
  • In die Client Hints API, wat ontwikkel word as 'n plaasvervanger vir die User-Agent-kopskrif en laat jou toe om data oor spesifieke blaaier- en stelselparameters (weergawe, platform, ens.) selektief te stuur slegs na 'n versoek deur die bediener, is dit moontlik om fiktiewe name in die lys blaaieridentifiseerders te vervang, volgens analogieë met die GREASE (Generate Random Extensions And Sustain Extensibility) meganisme wat in TLS gebruik word. Byvoorbeeld, bykomend tot '"Chrome"; v="98″' en '"Chromium"; v="98″' 'n ewekansige identifiseerder van 'n nie-bestaande blaaier '"(Not; Browser"; v="12″' kan by die lys gevoeg word. So 'n vervanging sal help om probleme met die verwerking van identifiseerders van onbekende blaaiers te identifiseer, wat daartoe lei dat alternatiewe blaaiers gedwing word om voor te gee dat hulle ander gewilde blaaiers is om kontrolering teen lyste van aanvaarbare blaaiers te omseil.
  • Vanaf 17 Januarie aanvaar die Chrome Webwinkel nie meer byvoegings wat weergawe 2023 van die Chrome-manifes gebruik nie. Nuwe toevoegings sal nou eers met die derde weergawe van die manifes aanvaar word. Ontwikkelaars van voorheen bygevoegde byvoegings sal steeds opdaterings met die tweede weergawe van die manifes kan publiseer. Die volledige afskaffing van die tweede weergawe van die manifes word vir Januarie XNUMX beplan.
  • Bygevoeg ondersteuning vir kleurvektor-lettertipes in die COLRv1-formaat ('n subset van OpenType-lettertipes wat, benewens vektorgliewe, 'n laag met kleurinligting bevat), wat byvoorbeeld gebruik kan word om veelkleurige emoji's te skep. Anders as die voorheen ondersteunde COLRv0-formaat, het COLRv1 nou die vermoë om gradiënte, oorleggings en transformasies te gebruik. Die formaat bied ook 'n kompakte stoorvorm, bied doeltreffende kompressie, en maak voorsiening vir hergebruik van buitelyne, wat aansienlike vermindering in lettergrootte moontlik maak. Byvoorbeeld, die Noto Color Emoji-lettertipe neem 9MB in rasterformaat op, en 1MB in COLRv1.85 vektorformaat.
    Chrome 98 vrystelling
  • Oorsprongproewe-modus (eksperimentele kenmerke wat afsonderlike aktivering vereis) implementeer die Region Capture API, wat jou toelaat om die vasgelegde video te sny. Sny kan byvoorbeeld nodig wees in webtoepassings wat video met die inhoud van hul oortjie vasvang, om sekere inhoud uit te sny voordat dit gestuur word. Oorsprongproef impliseer die vermoë om met die gespesifiseerde API te werk vanaf toepassings wat van localhost of 127.0.0.1 afgelaai is, of nadat 'n spesiale teken geregistreer en ontvang is wat vir 'n beperkte tyd geldig is vir 'n spesifieke webwerf.
  • Die CSS-eienskap "contain-intrinsic-size" ondersteun nou die waarde "auto", wat die element se laas onthoude grootte sal gebruik (wanneer dit gebruik word met "content-visibility: auto", hoef die ontwikkelaar nie die element se gelewerde grootte te raai nie) .
  • Het die AudioContext.outputLatency-eienskap bygevoeg, waardeur jy inligting kan uitvind oor die voorspelde vertraging voor oudio-uitvoer (die vertraging tussen die oudio-versoek en die begin van die verwerking van die ontvangde data deur die oudio-uitvoertoestel).
  • CSS-eienskap kleurskema, wat dit moontlik maak om te bepaal in watter kleurskemas 'n element korrek vertoon kan word (“lig”, “donker”, “dagmodus” en “nagmodus”), is die “enigste” parameter bygevoeg om gedwonge kleurveranderingskemas vir individuele HTML-elemente te voorkom. Byvoorbeeld, as jy "div { color-scheme: only light }" spesifiseer, sal slegs die ligte tema vir die div-element gebruik word, selfs al dwing die blaaier die donker tema om geaktiveer te word.
  • Ondersteuning vir 'dinamiese reeks' en 'video-dinamiese reeks' medianavrae is by CSS gevoeg om te bepaal of 'n skerm HDR (High Dynamic Range) ondersteun.
  • Het die vermoë om te kies of 'n skakel in 'n nuwe oortjie, nuwe venster of opspringvenster oop te maak by die window.open() funksie gevoeg. Daarbenewens gee die window.statusbar.visible eiendom nou "false" vir opspringers en "true" vir oortjies en vensters. const popup = window.open('_blank',",'popup=1′); // Maak oop in 'n opspringvenster const tab = window.open('_blank',,"'popup=0′); // Maak oop in oortjie
  • Die structuredClone()-metode is geïmplementeer vir vensters en werkers, wat jou toelaat om rekursiewe kopieë van voorwerpe te skep wat eienskappe insluit nie net van die gespesifiseerde voorwerp nie, maar ook van alle ander voorwerpe waarna verwys word deur die huidige voorwerp.
  • Die Web Authentication API het ondersteuning bygevoeg vir die FIDO CTAP2 spesifikasie uitbreiding, wat jou toelaat om die minimum toelaatbare PIN-kode grootte (minPinLength) in te stel.
  • Vir geïnstalleerde selfstandige webtoepassings is die Window Controls Overlay-komponent bygevoeg, wat die skermarea van die toepassing uitbrei na die hele venster, insluitend die titelarea, waarop die standaard vensterbeheerknoppies (maak toe, minimaliseer, maksimeer) ) word op mekaar geplaas. Die webtoepassing kan die weergawe en invoerverwerking van die hele venster beheer, behalwe vir die oorlegblok met vensterbeheerknoppies.
  • Het 'n seinhanteringseienskap by WritableStreamDefaultController gevoeg wat 'n AbortSignal-voorwerp terugstuur, wat gebruik kan word om skryfwerk onmiddellik na 'n WritableStream te stop sonder om te wag dat dit voltooi is.
  • WebRTC het ondersteuning vir die SDES-sleutelooreenkomsmeganisme verwyder, wat in 2013 deur die IETF afgekeur is weens sekuriteitsbekommernisse.
  • By verstek is die U2F (Cryptotoken) API gedeaktiveer, wat voorheen opgeskort en vervang is deur die Web Authentication API. Die U2F API sal heeltemal verwyder word in Chrome 104.
  • In die API-gids is die installed_browser_version-veld afgekeur, vervang deur 'n nuwe hangende_browser_version-veld, wat verskil deurdat dit inligting oor die blaaierweergawe bevat, met inagneming van afgelaaide maar nie toegepaste opdaterings nie (d.w.s. die weergawe wat geldig sal wees na die blaaier word herbegin).
  • Verwyder opsies wat toegelaat het om ondersteuning vir TLS 1.0 en 1.1 terug te gee.
  • Verbeterings is aangebring aan nutsgoed vir webontwikkelaars. 'n Oortjie is bygevoeg om die werking van die Terug-vorentoe-kas te evalueer, wat onmiddellike navigasie bied wanneer die Terug- en Vorentoe-knoppies gebruik word. Bygevoeg die vermoë om gedwonge-kleure media versoeke na te boots. Het knoppies by die Flexbox-redigeerder gevoeg om die ry-omgekeerde en kolom-omgekeerde eienskappe te ondersteun. Die "Verandering"-oortjie verseker dat veranderinge vertoon word nadat die kode geformateer is, wat die ontleding van verkleinde bladsye vereenvoudig.
    Chrome 98 vrystelling

    Die implementering van die kode-oorsigpaneel is opgedateer na die vrystelling van die CodeMirror 6-koderedigeerder, wat die werkverrigting van werk met baie groot lêers (WASM, JavaScript) aansienlik verbeter, probleme oplos met ewekansige afwykings tydens navigasie, en die aanbevelings van die outovoltooistelsel wanneer kode gewysig word. Die vermoë om uitset volgens eiendomnaam of waarde te filter, is by die CSS-eienskappepaneel gevoeg.

    Chrome 98 vrystelling

Benewens innovasies en foutoplossings, skakel die nuwe weergawe 27 kwesbaarhede uit. Baie van die kwesbaarhede is geïdentifiseer as gevolg van outomatiese toetsing met behulp van die AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL-nutsgoed. Geen kritieke probleme is geïdentifiseer wat 'n mens sal toelaat om alle vlakke van blaaierbeskerming te omseil en kode buite die sandbox-omgewing op die stelsel uit te voer nie. As deel van die kontantbeloningsprogram vir die ontdekking van kwesbaarhede vir die huidige vrystelling, het Google 19 toekennings ter waarde van $88 duisend betaal (twee $20000-toekennings, een $12000-toekenning, twee $7500-toekennings, vier $1000-toekennings en een elk van $7000, $5000, $3000 en $2000.

Bron: opennet.ru

Voeg 'n opmerking