إصدار الكروم 98

كشفت Google عن إصدار متصفح الويب Chrome 98. وفي الوقت نفسه، يتوفر إصدار مستقر لمشروع Chromium المجاني، والذي يعمل كأساس لمتصفح Chrome. يتميز متصفح Chrome باستخدام شعارات Google، ووجود نظام لإرسال الإشعارات في حالة حدوث عطل، ووحدات لتشغيل محتوى فيديو محمي ضد النسخ (DRM)، ونظام لتثبيت التحديثات تلقائيًا، ونقل معلمات RLZ عندما يبحث. من المقرر إصدار الإصدار التالي من Chrome 99 في 1 مارس.

التغييرات الرئيسية في Chrome 98:

• يحتوي المتصفح على متجر خاص به من الشهادات الجذرية لسلطات التصديق (Chrome Root Store)، والتي سيتم استخدامها بدلاً من المتاجر الخارجية الخاصة بكل نظام تشغيل. يتم تنفيذ المتجر بشكل مشابه للمخزن المستقل للشهادات الجذرية في Firefox، والذي يُستخدم كرابط أول للتحقق من سلسلة ثقة الشهادة عند فتح المواقع عبر HTTPS. لم يتم استخدام وحدة التخزين الجديدة بشكل افتراضي بعد. لتسهيل عملية نقل تكوينات تخزين النظام ولضمان إمكانية النقل، ستكون هناك فترة انتقالية سيتضمن خلالها متجر Chrome Root مجموعة كاملة من الشهادات المعتمدة على معظم الأنظمة الأساسية المدعومة.
• ويستمر تنفيذ خطة تعزيز الحماية ضد الهجمات المتعلقة بالوصول إلى الموارد الموجودة على الشبكة المحلية أو على كمبيوتر المستخدم (المضيف المحلي) من البرامج النصية التي يتم تحميلها عند فتح الموقع. يستخدم المهاجمون مثل هذه الطلبات لتنفيذ هجمات CSRF على أجهزة التوجيه ونقاط الوصول والطابعات وواجهات الويب الخاصة بالشركة وغيرها من الأجهزة والخدمات التي تقبل الطلبات من الشبكة المحلية فقط.

  للحماية من مثل هذه الهجمات، إذا تم الوصول إلى أي موارد فرعية على الشبكة الداخلية، فسيبدأ المتصفح في إرسال طلب صريح للحصول على إذن لتنزيل هذه الموارد الفرعية. يتم تنفيذ طلب الأذونات عن طريق إرسال طلب CORS (مشاركة الموارد عبر الأصل) بالرأس "Access-Control-Request-Private-Network: true" إلى خادم الموقع الرئيسي قبل الوصول إلى الشبكة الداخلية أو المضيف المحلي. عند تأكيد العملية استجابة لهذا الطلب، يجب على الخادم إرجاع رأس "Access-Control-Allow-Private-Network: true". في Chrome 98، يتم تنفيذ التحقق في وضع الاختبار وإذا لم يكن هناك تأكيد، فسيتم عرض تحذير في وحدة تحكم الويب، ولكن لا يتم حظر طلب المورد الفرعي نفسه. ليس من المخطط تمكين الحظر حتى يتم إصدار Chrome 101.

• تدمج إعدادات الحساب أدوات لإدارة تضمين التصفح الآمن المحسّن، الذي يقوم بتنشيط عمليات فحص إضافية للحماية من التصيد الاحتيالي والأنشطة الضارة والتهديدات الأخرى على الويب. عند تنشيط أحد الأوضاع في حساب Google الخاص بك، سيُطلب منك الآن تنشيط الوضع في Chrome.
• تمت إضافة نموذج لاكتشاف محاولات التصيد من جانب العميل، ويتم تنفيذه باستخدام منصة التعلم الآلي TFLite (TensorFlow Lite) ولا يتطلب إرسال بيانات لإجراء التحقق من جانب Google (في هذه الحالة، يتم إرسال القياس عن بعد مع معلومات حول إصدار النموذج والأوزان المحسوبة لكل فئة). إذا تم اكتشاف محاولة تصيد، فستظهر للمستخدم صفحة تحذير قبل فتح الموقع المشبوه.
• في واجهة برمجة تطبيقات Client Hints، التي يتم تطويرها كبديل لرأس وكيل المستخدم وتسمح لك بإرسال بيانات بشكل انتقائي حول معلمات متصفح ونظام معينة (الإصدار، النظام الأساسي، وما إلى ذلك) فقط بعد طلب من الخادم، من الممكن استبدال أسماء وهمية في قائمة معرفات المتصفح، وفقًا للقياس مع آلية GREASE (إنشاء امتدادات عشوائية واستدامة التوسعة) المستخدمة في TLS. على سبيل المثال، بالإضافة إلى ""Chrome""؛ v='98″' و''الكروم'; v='98″' يمكن إضافة معرف عشوائي لمتصفح غير موجود '"(ليس؛ المتصفح"; v='12″' إلى القائمة. سيساعد هذا الاستبدال في تحديد المشكلات المتعلقة بمعالجة معرفات المتصفحات غير المعروفة، مما يؤدي إلى حقيقة أن المتصفحات البديلة تضطر إلى التظاهر بأنها متصفحات شائعة أخرى لتجاوز التحقق من قوائم المتصفحات المقبولة.
• بدءًا من 17 يناير، لم يعد سوق Chrome الإلكتروني يقبل الوظائف الإضافية التي تستخدم الإصدار 2023 من بيان Chrome. لن يتم قبول الإضافات الجديدة إلا مع الإصدار الثالث من البيان. سيظل مطورو الوظائف الإضافية المضافة مسبقًا قادرين على نشر التحديثات مع الإصدار الثاني من البيان. ومن المقرر أن يتم الإيقاف الكامل للنسخة الثانية من البيان في يناير XNUMX.
• تمت إضافة دعم لخطوط المتجهات الملونة بتنسيق COLRv1 (مجموعة فرعية من خطوط OpenType التي تحتوي، بالإضافة إلى الحروف الرسومية المتجهة، على طبقة تحتوي على معلومات الألوان)، والتي يمكن استخدامها، على سبيل المثال، لإنشاء رموز تعبيرية متعددة الألوان. على عكس تنسيق COLRv0 المدعوم سابقًا، يتمتع COLRv1 الآن بالقدرة على استخدام التدرجات والتراكبات والتحويلات. يوفر التنسيق أيضًا نموذج تخزين مضغوطًا، ويوفر ضغطًا فعالاً، ويسمح بإعادة استخدام الخطوط العريضة، مما يسمح بتقليل حجم الخط بشكل كبير. على سبيل المثال، يستهلك خط Noto Color Emoji 9 ميجابايت بتنسيق نقطي، و1 ميجابايت بتنسيق متجه COLRv1.85.
• يقوم وضع Origin Trials (الميزات التجريبية التي تتطلب تنشيطًا منفصلاً) بتطبيق Region Capture API، والذي يسمح لك باقتصاص الفيديو الملتقط. على سبيل المثال، قد تكون هناك حاجة إلى الاقتصاص في تطبيقات الويب التي تلتقط الفيديو بمحتويات علامة التبويب الخاصة بها، لقص محتوى معين قبل الإرسال. تتضمن تجربة الأصل القدرة على العمل مع واجهة برمجة التطبيقات المحددة من التطبيقات التي تم تنزيلها من المضيف المحلي أو 127.0.0.1، أو بعد التسجيل واستلام رمز خاص صالح لفترة محدودة لموقع معين.
• خاصية CSS "contain-intrinsic-size" تدعم الآن القيمة "auto"، والتي ستستخدم آخر حجم تم تذكره للعنصر (عند استخدامها مع "content-visibility: auto"، لا يتعين على المطور تخمين الحجم المعروض للعنصر) .
• تمت إضافة خاصية AudioContext.outputLatency والتي من خلالها يمكنك معرفة معلومات حول التأخير المتوقع قبل إخراج الصوت (التأخير بين طلب الصوت وبدء معالجة البيانات المستلمة بواسطة جهاز إخراج الصوت).
• نظام ألوان خاصية CSS، والذي يجعل من الممكن تحديد أنظمة الألوان التي يمكن عرض العنصر بها بشكل صحيح ("فاتح"، "داكن"، "الوضع النهاري" و"الوضع الليلي")، تمت إضافة المعلمة "فقط" لمنع مخططات التغييرات اللونية القسرية لعناصر HTML الفردية. على سبيل المثال، إذا قمت بتحديد "div { color-scheme: Only light }"، فسيتم استخدام المظهر الفاتح فقط لعنصر div، حتى إذا فرض المتصفح تمكين المظهر الداكن.
• تمت إضافة دعم لاستعلامات الوسائط "النطاق الديناميكي" و"النطاق الديناميكي للفيديو" إلى CSS لتحديد ما إذا كانت الشاشة تدعم HDR (النطاق الديناميكي العالي).
• تمت إضافة القدرة على اختيار ما إذا كنت تريد فتح رابط في علامة تبويب جديدة أو نافذة جديدة أو نافذة منبثقة إلى وظيفة window.open(). بالإضافة إلى ذلك، تقوم الخاصية window.statusbar.visible الآن بإرجاع "خطأ" للنوافذ المنبثقة و"صحيح" لعلامات التبويب والنوافذ. const popup = window.open('_blank',",'popup=1′); // فتح في نافذة منبثقة const tab = window.open('_blank',,"'popup=0′); // فتح في علامة التبويب
• تم تنفيذ طريقة StructuredClone() للنوافذ والعمال، مما يسمح لك بإنشاء نسخ متكررة من الكائنات التي تتضمن خصائص ليس فقط للكائن المحدد، ولكن أيضًا لجميع الكائنات الأخرى المشار إليها بواسطة الكائن الحالي.
• أضافت Web Authentication API دعمًا لملحق مواصفات FIDO CTAP2، والذي يسمح لك بتعيين الحد الأدنى المسموح به لحجم رمز PIN (minPinLength).
• بالنسبة لتطبيقات الويب المستقلة المثبتة، تمت إضافة مكون Window Controls Overlay، الذي يعمل على توسيع مساحة شاشة التطبيق إلى النافذة بأكملها، بما في ذلك منطقة العنوان، حيث توجد أزرار التحكم القياسية في النافذة (إغلاق، تصغير، تكبير) ) يتم فرضها. يمكن لتطبيق الويب التحكم في العرض ومعالجة الإدخال للنافذة بأكملها، باستثناء كتلة التراكب التي تحتوي على أزرار التحكم في النافذة.
• تمت إضافة خاصية معالجة الإشارة إلى WritableStreamDefaultController التي تُرجع كائن AbortSignal، والذي يمكن استخدامه لإيقاف عمليات الكتابة إلى WritableStream على الفور دون انتظار اكتمالها.
• قام WebRTC بإزالة الدعم لآلية اتفاقية مفتاح SDES، والتي تم إهمالها بواسطة IETF في عام 2013 بسبب مخاوف أمنية.
• افتراضيًا، يتم تعطيل واجهة برمجة تطبيقات U2F (Cryptotoken)، والتي تم إهمالها مسبقًا واستبدالها بواجهة برمجة تطبيقات مصادقة الويب. ستتم إزالة U2F API بالكامل في Chrome 104.
• في دليل واجهة برمجة التطبيقات (API)، تم إهمال الحقل install_browser_version، وتم استبداله بحقل hanging_browser_version جديد، والذي يختلف من حيث أنه يحتوي على معلومات حول إصدار المتصفح، مع الأخذ في الاعتبار التحديثات التي تم تنزيلها ولكن غير المطبقة (أي الإصدار الذي سيكون صالحًا بعد يتم إعادة تشغيل المتصفح).
• تمت إزالة الخيارات التي سمحت بإرجاع الدعم لـ TLS 1.0 و1.1.
• تم إجراء تحسينات على الأدوات لمطوري الويب. تمت إضافة علامة تبويب لتقييم تشغيل ذاكرة التخزين المؤقت للخلف، والتي توفر التنقل الفوري عند استخدام زري الخلف والأمام. تمت إضافة القدرة على محاكاة استعلامات الوسائط ذات الألوان القسرية. تمت إضافة أزرار إلى محرر Flexbox لدعم خصائص عكس الصف وعكس العمود. تضمن علامة التبويب "التغييرات" عرض التغييرات بعد تنسيق الكود، مما يبسط عملية تحليل الصفحات المصغرة.

  تم تحديث تنفيذ لوحة مراجعة التعليمات البرمجية إلى إصدار محرر التعليمات البرمجية CodeMirror 6، والذي يعمل على تحسين أداء العمل مع الملفات الكبيرة جدًا (WASM وJavaScript) بشكل كبير، ويحل مشكلات الإزاحات العشوائية أثناء التنقل، ويحسن توصيات نظام الإكمال التلقائي عند تحرير التعليمات البرمجية. تمت إضافة القدرة على تصفية المخرجات حسب اسم الخاصية أو قيمتها إلى لوحة خصائص CSS.

  

بالإضافة إلى الابتكارات وإصلاحات الأخطاء، يزيل الإصدار الجديد 27 نقطة ضعف. تم تحديد العديد من نقاط الضعف نتيجة للاختبار الآلي باستخدام أدوات AddressSanitizer وMemorySanitizer وControl Flow Integrity وLibFuzzer وAFL. لم يتم تحديد أي مشكلات حرجة من شأنها أن تسمح بتجاوز جميع مستويات حماية المتصفح وتنفيذ التعليمات البرمجية على النظام خارج بيئة وضع الحماية. كجزء من برنامج المكافآت النقدية لاكتشاف الثغرات الأمنية للإصدار الحالي، دفعت جوجل 19 جائزة بقيمة 88 ألف دولار (جائزتان بقيمة 20000 ألف دولار، وجائزة واحدة بقيمة 12000 ألف دولار، وجائزتين بقيمة 7500 دولار، وأربع جوائز بقيمة 1000 دولار، وواحدة لكل منها 7000 دولار، و5000 دولار، و3000 دولار، و2000 دولار).

المصدر: opennet.ru