كشفت Google عن إصدار متصفح الويب Chrome 97. وفي الوقت نفسه، يتوفر إصدار مستقر لمشروع Chromium المجاني، والذي يعمل كأساس لمتصفح Chrome. يتميز متصفح Chrome باستخدام شعارات Google، ووجود نظام لإرسال الإشعارات في حالة حدوث عطل، ووحدات لتشغيل محتوى فيديو محمي ضد النسخ (DRM)، ونظام لتثبيت التحديثات تلقائيًا، ونقل معلمات RLZ عندما يبحث. بالنسبة لأولئك الذين يحتاجون إلى مزيد من الوقت للتحديث، يوجد فرع ممتد ثابت منفصل، يتبعه 8 أسابيع، والذي يشكل تحديثًا للإصدار السابق من Chrome 96. ومن المقرر إطلاق الإصدار التالي من Chrome 98 في الأول من فبراير.
التغييرات الرئيسية في Chrome 97:
- بالنسبة لبعض المستخدمين، يستخدم المكوّن واجهة جديدة لإدارة البيانات المخزنة على جانب المتصفح ("chrome://settings/content/all"). يتمثل الاختلاف الرئيسي في الواجهة الجديدة في تركيزها على تعيين الأذونات ومسح جميع ملفات تعريف الارتباط الخاصة بالموقع مرة واحدة، دون القدرة على عرض معلومات مفصلة حول ملفات تعريف الارتباط الفردية وحذف ملفات تعريف الارتباط بشكل انتقائي. وفقًا لشركة Google، فإن الوصول إلى إدارة ملفات تعريف الارتباط الفردية للمستخدم العادي الذي لا يفهم تعقيدات تطوير الويب يمكن أن يؤدي إلى اضطرابات غير متوقعة في تشغيل المواقع بسبب التغييرات غير المدروسة في المعلمات الفردية، فضلاً عن تعطيل الخصوصية عن طريق الخطأ. آليات الحماية التي يتم تفعيلها من خلال ملفات تعريف الارتباط. بالنسبة لأولئك الذين يحتاجون إلى التعامل مع ملفات تعريف الارتباط الفردية، فمن المستحسن استخدام قسم إدارة التخزين في أدوات مطوري الويب (Applocation/Storage/Cookie).
- في الكتلة التي تحتوي على معلومات حول الموقع، يتم عرض وصف موجز للموقع (على سبيل المثال، وصف من ويكيبيديا) إذا تم تنشيط وضع تحسين البحث والتنقل في الإعدادات (خيار "جعل عمليات البحث والتصفح أفضل").
- تحسين الدعم لملء الحقول تلقائيًا في نماذج الويب. يتم الآن عرض التوصيات ذات خيارات الملء التلقائي بإزاحة طفيفة ويتم تزويدها بأيقونات معلومات لمعاينة أكثر ملاءمة وتحديد مرئي للاتصال بالحقل الذي يتم ملؤه. على سبيل المثال، يوضح رمز الملف الشخصي أن الإكمال التلقائي المقترح يؤثر على الحقول المتعلقة بالعنوان ومعلومات الاتصال.
- تمكين إزالة معالجات ملف تعريف المستخدم من الذاكرة بعد إغلاق نوافذ المتصفح المرتبطة بها. في السابق، كانت الملفات الشخصية تظل في الذاكرة وتستمر في أداء العمل المتعلق بالمزامنة وتنفيذ البرامج النصية للخلفية الإضافية، مما أدى إلى هدر غير ضروري للموارد على الأنظمة التي تستخدم ملفات تعريف متعددة في وقت واحد (على سبيل المثال، ملف تعريف الضيف والربط بحساب Google) ). بالإضافة إلى ذلك، يتم ضمان تنظيف أكثر شمولاً للبيانات المتبقية أثناء العمل مع الملف الشخصي.
- صفحة محسّنة تحتوي على إعدادات محرك البحث ("الإعدادات>إدارة محركات البحث"). تم تعطيل التنشيط التلقائي للمحركات، والمعلومات التي يتم توفيرها عند فتح موقع من خلال البرنامج النصي OpenSearch - تحتاج الآن المحركات الجديدة لمعالجة استعلامات البحث من شريط العناوين إلى التنشيط يدويًا في الإعدادات (ستستمر المحركات التي تم تنشيطها تلقائيًا في السابق العمل دون تغييرات).
- بدءًا من 17 يناير، لن يقبل سوق Chrome الإلكتروني بعد الآن الوظائف الإضافية التي تستخدم الإصدار XNUMX من بيان Chrome، ولكن سيظل مطورو الوظائف الإضافية المضافة مسبقًا قادرين على نشر التحديثات.
- تمت إضافة دعم تجريبي لمواصفات WebTransport، التي تحدد البروتوكول وواجهة برمجة تطبيقات JavaScript المصاحبة لإرسال واستقبال البيانات بين المتصفح والخادم. يتم تنظيم قناة الاتصال عبر HTTP/3 باستخدام بروتوكول QUIC كوسيلة نقل. يمكن استخدام WebTransport بدلاً من آلية WebSockets، مما يوفر ميزات إضافية مثل النقل متعدد الدفق، والتدفقات أحادية الاتجاه، والتسليم خارج الطلب، وأنماط التسليم الموثوقة وغير الموثوقة. بالإضافة إلى ذلك، يمكن استخدام WebTransport بدلاً من آلية دفع الخادم، والتي تخلت عنها Google في Chrome.
- تمت إضافة أساليب findLast وfindLastIndex إلى كائنات Array وTypedArrays JavaScript، مما يسمح لك بالبحث عن العناصر ذات نتائج الإخراج المتعلقة بنهاية المصفوفة. [1,2,3,4].findLast((el) => el % 2 === 0) // → 4 (آخر عنصر زوجي)
- عناصر HTML مغلقة (بدون سمة "مفتوحة"). ، أصبحت الآن قابلة للبحث والربط، ويتم توسيعها تلقائيًا عند استخدام البحث في الصفحة والتنقل بين الأجزاء (ScrollToTextFragment).
- تنطبق الآن قيود سياسة أمان المحتوى (CSP) في رؤوس استجابة الخادم على العاملين المخصصين، والتي كانت تُعامل سابقًا كمستندات منفصلة.
- تم تقديم طلب صريح للسلطة لتنزيل أي موارد فرعية من الشبكة الداخلية - قبل الوصول إلى الشبكة الداخلية أو المضيف المحلي، طلب CORS (مشاركة الموارد عبر الأصل) بالرأس "Access-Control-Request-Private-" يتم الآن إرسال "الشبكة: صحيح" إلى خادم الموقع الرئيسي الذي يتطلب تأكيد العملية عن طريق إرجاع رأس "Access-Control-Allow-Private-Network: true".
- تمت إضافة خاصية تركيب الخطوط في CSS، والتي تتيح لك التحكم فيما إذا كان المتصفح يمكنه تجميع أنماط الخطوط المفقودة (المائلة والغامقة والأحرف الكبيرة الصغيرة) غير الموجودة في عائلة الخطوط المحددة.
- بالنسبة لتحويلات CSS، تنفذ وظيفة المنظور () معلمة "لا شيء"، والتي يتم التعامل معها كقيمة لا نهائية عند تنظيم الرسوم المتحركة.
- رأس HTTP لسياسة الأذونات (سياسة الميزات)، المستخدم لتفويض السلطة وتمكين الميزات المتقدمة، يدعم الآن قيمة خريطة لوحة المفاتيح، والتي تسمح باستخدام Keyboard API. تم تنفيذ طريقة Keyboard.getLayoutMap()، والتي تتيح لك تحديد المفتاح الذي يتم الضغط عليه، مع الأخذ في الاعتبار تخطيطات لوحة المفاتيح المختلفة (على سبيل المثال، يتم الضغط على المفتاح على تخطيط روسي أو إنجليزي).
- تمت إضافة طريقة HTMLScriptElement.supports()، والتي تعمل على توحيد تعريف الميزات الجديدة المتوفرة في عنصر "script"، على سبيل المثال، يمكنك معرفة قائمة القيم المدعومة للسمة "type".
- لقد أصبحت عملية تطبيع الأسطر الجديدة عند إرسال نماذج الويب متوافقة مع محركات متصفح Gecko وWebKit. تتم الآن تسوية خلاصات الأسطر وأحرف الإرجاع (استبدال /r و /n بـ \r\n) في Chrome في المرحلة النهائية وليس في بداية معالجة إرسال النموذج (أي أن المعالجات الوسيطة التي تستخدم كائن FormData سترى البيانات على أنها تمت إضافتها من قبل المستخدم، وليس في شكل عادي).
- تم توحيد تسمية أسماء الخصائص لـ Client Hints API، والتي يتم تطويرها كبديل لرأس User-Agent وتسمح لك بتقديم بيانات بشكل انتقائي حول معلمات المتصفح والنظام المحددة (الإصدار والنظام الأساسي وما إلى ذلك) فقط بعد طلب من الخادم. يتم الآن تحديد الخصائص باستخدام البادئة "sec-ch-"، على سبيل المثال، sec-ch-dpr، sec-ch-width، sec-ch-viewport-width، sec-ch-device-memory، sec-ch-rtt ، ثانية-ch-الوصلة الهابطة وثانية-ch-إلخ.
- تم تطبيق المرحلة الثانية من إيقاف دعم WebSQL API، وسيتم الآن حظر الوصول إليها من البرامج النصية التابعة لجهات خارجية. في المستقبل، نخطط للتخلص التدريجي من دعم WebSQL تمامًا، بغض النظر عن سياق الاستخدام. يعتمد محرك WebSQL على كود SQLite ويمكن للمهاجمين استخدامه لاستغلال الثغرات الأمنية في SQLite.
- بالنسبة لنظام التشغيل Windows، يتم تضمين مجموعة مع فحوصات تكامل تدفق التنفيذ (CFG، Control Flow Guard)، مما يمنع محاولات إدراج التعليمات البرمجية في عملية Chrome. بالإضافة إلى ذلك، يتم الآن تطبيق عزل آلية الحماية على خدمات الشبكة التي تعمل في عمليات منفصلة، مما يحد من إمكانيات التعليمات البرمجية في هذه العمليات.
- يتضمن Chrome لنظام Android آلية للتحديث الديناميكي لسجل الشهادات الصادرة والملغاة (شفافية الشهادة)، والتي تم تفعيلها مسبقًا في رسوم أنظمة سطح المكتب.
- تم إجراء تحسينات على الأدوات لمطوري الويب. تم تنفيذ الدعم التجريبي لمزامنة إعدادات DevTools بين الأجهزة المختلفة. تمت إضافة لوحة مسجل جديدة، والتي يمكنك من خلالها تسجيل وتشغيل وتحليل إجراءات المستخدم على الصفحة.
عند عرض الأخطاء في وحدة تحكم الويب، يتم عرض أرقام الأعمدة المرتبطة بالمشكلة، وهو أمر مناسب لتصحيح الأخطاء في كود JavaScript المصغر. تم تحديث قائمة الأجهزة التي يمكن محاكاتها لتقييم عرض الصفحة على الأجهزة المحمولة. في واجهة تحرير كتل HTML (التحرير بتنسيق HTML)، تمت إضافة تمييز بناء الجملة والقدرة على الإكمال التلقائي للإدخال.
بالإضافة إلى الابتكارات وإصلاحات الأخطاء، يزيل الإصدار الجديد 37 نقطة ضعف. تم التعرف على العديد من نقاط الضعف نتيجة للاختبار الآلي باستخدام أدوات AddressSanitizer وMemorySanitizer وControl Flow Integrity وLibFuzzer وAFL. تم تعيين حالة إحدى الثغرات الأمنية على أنها مشكلة حرجة، مما يسمح بتجاوز جميع مستويات حماية المتصفح وتنفيذ التعليمات البرمجية على النظام، خارج بيئة وضع الحماية. لم يتم الكشف بعد عن تفاصيل حول الثغرة الأمنية الحرجة (CVE-2022-0096)، ومن المعروف فقط أنها مرتبطة بالوصول إلى منطقة ذاكرة محررة بالفعل في التعليمات البرمجية للعمل مع وحدة التخزين الداخلية (Storage API).
كجزء من برنامج دفع مكافآت نقدية لاكتشاف الثغرات الأمنية للإصدار الحالي، دفعت جوجل 24 جائزة بقيمة 54 ألف دولار (ثلاث جوائز بقيمة 10000 دولار، وجائزتين بقيمة 5000 دولار، وجائزة واحدة بقيمة 4000 دولار، وثلاث جوائز بقيمة 3000 دولار، وجائزة واحدة بقيمة 1000 دولار). ولم يتم تحديد حجم المكافآت الـ 14 بعد.
المصدر: opennet.ru