ProHoster > بلوق > أخبار الإنترنت > إصدار الكروم 102

إصدار الكروم 102

كشفت Google عن إصدار متصفح الويب Chrome 102. وفي الوقت نفسه، يتوفر إصدار مستقر لمشروع Chromium المجاني، والذي يعمل كأساس لمتصفح Chrome. يختلف متصفح Chrome عن Chromium في استخدام شعارات Google، ووجود نظام لإرسال الإشعارات في حالة حدوث عطل، ووحدات تشغيل محتوى فيديو محمي ضد النسخ (DRM)، ونظام تثبيت التحديثات تلقائيًا، وتمكين عزل Sandbox بشكل دائم وتوفير مفاتيح لواجهة برمجة تطبيقات Google وإرسال RLZ- عند البحث عن المعلمات. بالنسبة لأولئك الذين يحتاجون إلى مزيد من الوقت للتحديث، يتم دعم الفرع المستقر الممتد بشكل منفصل، يليه 8 أسابيع. من المقرر إطلاق الإصدار التالي من Chrome 103 في 21 يونيو.

التغييرات الرئيسية في Chrome 102:

  • لمنع استغلال الثغرات الأمنية الناجمة عن الوصول إلى كتل الذاكرة المحررة بالفعل (الاستخدام بعد الاستخدام)، بدلاً من المؤشرات العادية، بدأ استخدام نوع MiraclePtr (raw_ptr). يوفر MiraclePtr ربطًا على المؤشرات التي تقوم بإجراء فحوصات إضافية على الوصول إلى مناطق الذاكرة المحررة ويتعطل إذا تم اكتشاف عمليات الوصول هذه. تم تقييم تأثير طريقة الحماية الجديدة على الأداء واستهلاك الذاكرة على أنه لا يكاد يذكر. لا تنطبق آلية MiraclePtr على جميع العمليات، وعلى وجه الخصوص، لا يتم استخدامها في عمليات العرض، ولكنها يمكن أن تحسن الأمان بشكل كبير. على سبيل المثال، في الإصدار الحالي، من أصل 32 نقطة ضعف تم إصلاحها، كانت 12 منها ناجمة عن مشكلات الاستخدام بعد الاستخدام.
  • تم تغيير تصميم الواجهة التي تحتوي على معلومات حول التنزيلات. بدلاً من خلاصة البيانات المتعلقة بتقدم التنزيل، تمت إضافة مؤشر جديد إلى اللوحة باستخدام شريط العناوين، عند النقر فوقه، يتم عرض تقدم تنزيل الملفات والسجل مع قائمة الملفات التي تم تنزيلها بالفعل. على عكس اللوحة السفلية، يظهر الزر باستمرار على اللوحة ويسمح لك بالوصول بسرعة إلى سجل التنزيل الخاص بك. يتم تقديم الواجهة الجديدة افتراضيًا حاليًا لبعض المستخدمين فقط وسيتم توسيعها لتشمل الجميع إذا لم تكن هناك مشاكل. لإعادة الواجهة القديمة أو تمكين واجهة جديدة، يتم توفير الإعداد "chrome://flags#download-bubble".
    إصدار الكروم 102
  • عند البحث عن الصور من خلال قائمة السياق ("البحث عن صورة باستخدام Google Lens" أو "البحث عبر Google Lens")، لا تظهر النتائج الآن في صفحة منفصلة، ​​بل في شريط جانبي بجوار محتوى الصفحة الأصلية (في في نافذة واحدة يمكنك رؤية محتوى الصفحة ونتيجة الوصول إلى محرك البحث في نفس الوقت).
    إصدار الكروم 102
  • وفي قسم "الخصوصية والأمان" بالإعدادات، تمت إضافة قسم "دليل الخصوصية" الذي يقدم نظرة عامة على الإعدادات الرئيسية التي تؤثر على الخصوصية مع شرح تفصيلي لتأثير كل إعداد. على سبيل المثال، يمكنك في القسم تحديد سياسة إرسال البيانات إلى خدمات Google وإدارة المزامنة ومعالجة ملفات تعريف الارتباط وحفظ السجل. يتم تقديم الوظيفة لبعض المستخدمين، ولتنشيطها، يمكنك استخدام الإعداد "chrome://flags#privacy-guide".
    إصدار الكروم 102
  • يتم توفير هيكلة سجل البحث والصفحات التي تم عرضها. عند محاولة البحث مرة أخرى، يتم عرض تلميح "استأنف رحلتك" في شريط العناوين، مما يسمح لك بمواصلة البحث من المكان الذي تمت مقاطعته فيه في المرة السابقة.
    إصدار الكروم 102
  • يقدم سوق Chrome الإلكتروني صفحة "Extensions Starter Kit" مع مجموعة أولية من الوظائف الإضافية الموصى بها.
  • في وضع الاختبار، يتم تمكين إرسال طلب ترخيص CORS (مشاركة الموارد عبر الأصل) إلى خادم الموقع الرئيسي بالرأس "Access-Control-Request-Private-Network: true" عندما تصل الصفحة إلى مورد على الشبكة الداخلية ( 192.168.xx أو 10.xxx أو 172.16.xx) أو إلى المضيف المحلي (128.xxx). عند تأكيد العملية استجابة لهذا الطلب، يجب على الخادم إرجاع رأس "Access-Control-Allow-Private-Network: true". في الإصدار 102 من Chrome، لا تؤثر نتيجة التأكيد بعد على معالجة الطلب - إذا لم يكن هناك تأكيد، فسيتم عرض تحذير في وحدة تحكم الويب، ولكن لا يتم حظر طلب المورد الفرعي نفسه. لا يُتوقع تمكين الحظر في حالة عدم وجود تأكيد من الخادم حتى إصدار Chrome 105. ولتمكين الحظر في الإصدارات السابقة، يمكنك تمكين الإعداد "chrome://flags/#private-network-access-respect-preflight-" نتائج".

    تم تقديم التحقق من السلطة بواسطة الخادم لتعزيز الحماية ضد الهجمات المتعلقة بالوصول إلى الموارد الموجودة على الشبكة المحلية أو على كمبيوتر المستخدم (المضيف المحلي) من البرامج النصية التي تم تحميلها عند فتح الموقع. يستخدم المهاجمون مثل هذه الطلبات لتنفيذ هجمات CSRF على أجهزة التوجيه ونقاط الوصول والطابعات وواجهات الويب الخاصة بالشركة وغيرها من الأجهزة والخدمات التي تقبل الطلبات من الشبكة المحلية فقط. للحماية من مثل هذه الهجمات، إذا تم الوصول إلى أي موارد فرعية على الشبكة الداخلية، فسيرسل المتصفح طلبًا صريحًا للحصول على إذن لتحميل هذه الموارد الفرعية.

  • عند فتح الروابط في وضع التصفح المتخفي من خلال قائمة السياق، تتم إزالة بعض المعلمات التي تؤثر على الخصوصية تلقائيًا من عنوان URL.
  • تم تغيير استراتيجية تسليم التحديثات لنظامي التشغيل Windows وAndroid. لإجراء مقارنة كاملة لسلوك الإصدارات الجديدة والقديمة، يتم الآن إنشاء إصدارات متعددة من الإصدار الجديد للتنزيل.
  • تم تثبيت تقنية تجزئة الشبكة للحماية من أساليب تتبع تحركات المستخدم بين المواقع بناءً على تخزين المعرفات في مناطق غير مخصصة للتخزين الدائم للمعلومات ("Supercookies"). نظرًا لأنه يتم تخزين الموارد المخزنة مؤقتًا في مساحة اسم مشتركة، بغض النظر عن المجال الأصلي، يمكن لموقع واحد تحديد أن موقعًا آخر يقوم بتحميل الموارد عن طريق التحقق مما إذا كان هذا المورد موجودًا في ذاكرة التخزين المؤقت. تعتمد الحماية على استخدام تجزئة الشبكة (Network Partitioning)، وجوهرها هو إضافة ربط إضافي للسجلات إلى ذاكرات التخزين المؤقتة المشتركة بالمجال الذي يتم فتح الصفحة الرئيسية منه، مما يحد من تغطية ذاكرة التخزين المؤقت للبرامج النصية لتتبع الحركة فقط إلى الموقع الحالي (لن يتمكن البرنامج النصي من iframe من التحقق مما إذا كان قد تم تنزيل المورد من موقع آخر). تغطي مشاركة الحالة اتصالات الشبكة (HTTP/1، HTTP/2، HTTP/3، websocket)، ذاكرة التخزين المؤقت لـ DNS، ALPN/HTTP2، بيانات TLS/HTTP3، التكوين، التنزيلات، ومعلومات رأس Accept-CT.
  • بالنسبة لتطبيقات الويب المستقلة المثبتة (PWA، تطبيق الويب التقدمي)، من الممكن تغيير تصميم منطقة عنوان النافذة باستخدام مكونات Window Controls Overlay، التي تعمل على توسيع منطقة شاشة تطبيق الويب لتشمل النافذة بأكملها. يمكن لتطبيق الويب التحكم في العرض ومعالجة الإدخال للنافذة بأكملها، باستثناء كتلة التراكب باستخدام أزرار التحكم القياسية في النافذة (إغلاق، تصغير، تكبير)، لمنح تطبيق الويب مظهر تطبيق سطح المكتب العادي.
    إصدار الكروم 102
  • في نظام الملء التلقائي للنموذج، تمت إضافة الدعم لإنشاء أرقام بطاقات الائتمان الافتراضية في الحقول التي تحتوي على تفاصيل الدفع للسلع في المتاجر عبر الإنترنت. يتيح لك استخدام البطاقة الافتراضية، التي يتم إنشاء رقمها لكل دفعة، عدم نقل البيانات حول بطاقة ائتمان حقيقية، ولكنه يتطلب توفير الخدمة اللازمة من قبل البنك. الميزة متاحة حاليًا لعملاء البنوك الأمريكية فقط. للتحكم في إدراج الوظيفة، يُقترح إعداد "chrome://flags/#autofill-enable-virtual-card".
  • يتم تنشيط آلية "مقبض الالتقاط" افتراضيًا، مما يسمح لك بنقل المعلومات إلى التطبيقات التي تلتقط الفيديو. تتيح واجهة برمجة التطبيقات (API) تنظيم التفاعل بين التطبيقات التي يتم تسجيل محتواها والتطبيقات التي تقوم بالتسجيل. على سبيل المثال، يمكن لتطبيق مؤتمرات الفيديو الذي يقوم بالتقاط فيديو لبث عرض تقديمي استرداد معلومات حول عناصر التحكم في العرض التقديمي وعرضها في نافذة الفيديو.
  • يتم تمكين دعم القواعد التخمينية بشكل افتراضي، مما يوفر بناء جملة مرنًا لتحديد ما إذا كان يمكن تحميل البيانات المرتبطة بالارتباط بشكل استباقي قبل أن ينقر المستخدم على الارتباط.
  • تم تثبيت آلية تجميع الموارد في حزم بتنسيق Web Bundle، مما يسمح بزيادة كفاءة تحميل عدد كبير من الملفات المصاحبة (أنماط CSS، وJavaScript، والصور، وiframes). على عكس الحزم بتنسيق Webpack، يتمتع تنسيق Web Bundle بالمزايا التالية: ليست الحزمة نفسها هي التي يتم تخزينها في ذاكرة التخزين المؤقت HTTP، ولكن الأجزاء المكونة لها؛ يبدأ تجميع JavaScript وتنفيذه دون انتظار تنزيل الحزمة بالكامل؛ يُسمح بتضمين موارد إضافية مثل CSS والصور، والتي يجب ترميزها في حزمة الويب في شكل سلاسل JavaScript.
  • من الممكن تعريف تطبيق PWA كمعالج لأنواع MIME معينة وامتدادات الملفات. بعد تحديد الارتباط من خلال حقل file_handlers في البيان، سيتلقى التطبيق حدثًا خاصًا عندما يحاول المستخدم فتح ملف مرتبط بالتطبيق.
  • تمت إضافة سمة خاملة جديدة تسمح لك بوضع علامة على جزء من شجرة DOM على أنه "غير نشط". بالنسبة لعقد DOM في هذه الحالة، يتم تعطيل تحديد النص ومعالجات تمرير المؤشر، أي. يتم دائمًا تعيين أحداث المؤشر وخصائص CSS التي يحددها المستخدم على "لا شيء". إذا كان من الممكن تحرير العقدة، فإنها تصبح غير قابلة للتحرير في الوضع الخامل.
  • تمت إضافة واجهة برمجة تطبيقات التنقل، التي تسمح لتطبيقات الويب باعتراض عمليات التنقل في النوافذ، وبدء التنقل، وتحليل سجل الإجراءات باستخدام التطبيق. توفر واجهة برمجة التطبيقات (API) بديلاً لخصائص window.history وwindow.location، المُحسّنة لتطبيقات الويب ذات الصفحة الواحدة.
  • تم اقتراح علامة جديدة، "حتى يتم العثور عليه"، للسمة "المخفية"، مما يجعل العنصر قابلاً للبحث على الصفحة وقابلاً للتمرير باستخدام قناع النص. على سبيل المثال، يمكنك إضافة نص مخفي إلى الصفحة، حيث سيتم العثور على محتوياته في عمليات البحث المحلية.
  • في WebHID API، المصممة للوصول على مستوى منخفض إلى أجهزة HID (أجهزة الواجهة البشرية ولوحات المفاتيح والفئران ولوحات الألعاب ولوحات اللمس) وتنظيم العمل دون وجود برامج تشغيل محددة في النظام، تمت إضافة خاصية exclusionFilters إلى requestDevice( ) الكائن، والذي يسمح لك باستبعاد أجهزة معينة عندما يعرض المتصفح قائمة بالأجهزة المتاحة. على سبيل المثال، يمكنك استبعاد معرفات الأجهزة التي بها مشكلات معروفة.
  • يُحظر عرض نموذج دفع من خلال استدعاء PaymentRequest.show() دون إجراء مستخدم صريح، على سبيل المثال، النقر فوق عنصر مرتبط بالمعالج.
  • تم إيقاف دعم التنفيذ البديل لبروتوكول SDP (بروتوكول وصف الجلسة) المستخدم لإنشاء جلسة في WebRTC. يقدم Chrome خيارين لـ SDP - موحد مع المتصفحات الأخرى وخيار خاص بـ Chrome. من الآن فصاعدا، لم يتبق سوى الخيار المحمول.
  • تم إجراء تحسينات على الأدوات لمطوري الويب. تمت إضافة أزرار إلى لوحة الأنماط لمحاكاة استخدام السمة الداكنة والفاتحة. تم تعزيز حماية علامة التبويب "معاينة" في وضع فحص الشبكة (تم تمكين تطبيق سياسة أمان المحتوى). يقوم مصحح الأخطاء بتنفيذ إنهاء البرنامج النصي لإعادة تحميل نقاط التوقف. تم اقتراح تنفيذ أولي للوحة "رؤى الأداء" الجديدة، والتي تسمح لك بتحليل أداء عمليات معينة على الصفحة.
    إصدار الكروم 102

بالإضافة إلى الابتكارات وإصلاحات الأخطاء، يزيل الإصدار الجديد 32 نقطة ضعف. تم التعرف على العديد من نقاط الضعف نتيجة للاختبار الآلي باستخدام أدوات AddressSanitizer وMemorySanitizer وControl Flow Integrity وLibFuzzer وAFL. تم تعيين مستوى خطر حرج لإحدى المشكلات (CVE-2022-1853)، مما يعني القدرة على تجاوز جميع مستويات حماية المتصفح وتنفيذ التعليمات البرمجية على النظام خارج بيئة وضع الحماية. لم يتم الكشف عن تفاصيل حول هذه الثغرة الأمنية بعد، ومن المعروف فقط أن سببها هو الوصول إلى كتلة ذاكرة محررة (الاستخدام بعد الاستخدام) في تطبيق Indexed DB API.

كجزء من برنامج المكافآت النقدية لاكتشاف الثغرات الأمنية في الإصدار الحالي، دفعت Google 24 جائزة بقيمة 65600 دولارًا أمريكيًا (جائزة واحدة بقيمة 10000 دولار أمريكي، وجائزة واحدة بقيمة 7500 دولار أمريكي، وجائزتين بقيمة 7000 دولار أمريكي، وثلاث جوائز بقيمة 5000 دولار أمريكي، وأربع جوائز بقيمة 3000 دولار أمريكي، وجائزتين بقيمة 2000 دولار أمريكي، وجائزتين بقيمة 1000 دولار أمريكي، وجائزتين بقيمة 500 دولار أمريكي) 7 دولار مكافآت). لم يتم تحديد حجم المكافآت السبعة بعد.

المصدر: opennet.ru

إضافة تعليق