Рэліз Chrome 103

Кампанія Google прадставіла рэліз web-браўзэра Chrome 103. Адначасова даступны стабільны выпуск вольнага праекта Chromium, які выступае асновай Chrome. Браўзэр Chrome адрозніваецца ад Chromium выкарыстаннем лагатыпаў Google, наяўнасцю сістэмы адпраўкі апавяшчэнняў у выпадку краху, модулямі для прайгравання абароненага ад капіявання відэакантэнту (DRM), сістэмай аўтаматычнай усталёўкі абнаўленняў, сталым уключэннем Sandbox-ізаляцыі, пастаўкай ключоў да Google API і перадачай пры пошуку RL параметраў. Для тых, каму неабходна больш часу на абнаўленне, асобна падтрымліваецца галінка Extended Stable, якая суправаджаецца 8 тыдняў. Наступны выпуск Chrome 104 запланаваны на 2 жніўня.

Асноўныя змены ў Chrome 103:

• Дададзены эксперыментальны рэдактар ​​малюнкаў, які выклікаецца для рэдагавання скрыншотаў старонак. У рэдактары даступныя такія функцыі, як кадраванне, вылучэнне вобласці, маляванне пэндзлем, выбар колеру, даданне тэкставых пазнак і выснова тыпавых постацяў і прымітываў, такіх як лініі, прастакутнікі, акружнасці і стрэлкі. Для ўключэння рэдактара неабходна актываваць наладкі "chrome://flags/#sharing-desktop-screenshots" і "chrome://flags/#sharing-desktop-screenshots-edit". Пасля стварэння скрыншота праз меню Share у адрасным радку, у рэдактар ​​можна перайсці, націснуўшы кнопку «Змяніць» («Edit») на старонцы з прадпраглядам скрыншота.
• Пашыраны магчымасці дададзенага ў Chrome 101 механізму папераджальнай адмалёўкі (prerender) змесціва рэкамендацый у адрасным радку Omnibox. Папераджальная адмалёўка дапаўняе раней даступную магчымасць загрузкі найболей верагодных для пераходу рэкамендацый не чакаючы кліку карыстача, Акрамя загрузкі, змесціва злучаных з рэкамендацыямі старонак зараз можа адмалёўваюцца ў буферы (у тым ліку выконваюцца скрыпты і фармуецца дрэва . Для кіравання папераджальнай адмалёўкай прапанаваны налады "chrome://flags/#enable-prerender2", "chrome://flags/#omnibox-trigger-for-prerender2" і "chrome://flags/#search-suggestion-for- prerender2».

  У Chrome 103 для Android дададзены API Speculations Rules, які дазваляе аўтарам сайтаў перадаваць браўзэру звесткі аб найболей верагодных старонках, на якія карыстач можа перайсці. Браўзэр выкарыстоўвае гэтую інфармацыю для папераджальнай загрузкі і адмалёўкі змесціва старонак.

• У версіі для Android задзейнічаны новы мэнэджар пароляў, які прапануе той жа ўніфікаваны інтэрфейс кіравання паролямі, што ўжываецца для Android-прыкладанняў.
• У версію для Android дададзеная падтрымка сэрвісу «With Google», які дазваляе карыстачу выказваць падзяку каханым сайтам, якія зарэгістраваліся ў сэрвісе, перадаючы платныя ці бясплатныя лічбавыя налепкі. Сэрвіс пакуль даступны толькі для карыстальнікаў са ЗША.
• Палепшана аўтазапаўненне палёў з нумарамі крэдытных і дэбетавых плацежных карт, у якім зараз падтрымліваюцца карты, захаваныя праз Google Pay.
• У версіі для Windows па змаўчанні задзейнічаны ўбудаваны DNS-кліент, якія таксама выкарыстоўваецца версіях для macOS, Android і Chrome OS.
• Стабілізаваны і прапанаваны ўсім жадаючым API Local Font Access, пры дапамозе якога можна вызначыць і выкарыстоўваць усталяваныя ў сістэме шрыфты, а таксама маніпуляваць шрыфтамі на нізкім узроўні (напрыклад, фільтраваць і трансфармаваць гліфы).
• Дададзена падтрымка кода HTTP-адказу 103, які дазваляе інфармаваць кліента аб утрыманні некаторых HTTP-загалоўкаў адразу пасля запыту, не чакаючы пакуль сервер выканае ўсе злучаныя з запытам аперацыі і пачне аддачу кантэнту. Падобнай выявай можна паведамляць падказкі аб злучаных з якая аддаецца старонкай элементах, якія могуць быць папярэдне загружаныя (напрыклад, могуць быць прыведзены спасылкі на выкарыстоўваныя на старонцы css і javascript). Атрымаўшы інфармацыю аб падобных рэсурсах браўзэр можа прыступіць да іх загрузкі не чакаючы канчаткі аддачы асноўнай старонкі, што дазваляе скараціць агульны час апрацоўкі запыту.
• У рэжыме Origin Trials (эксперыментальныя магчымасці, якія патрабуюць асобнай актывацыі) пакуль толькі ў зборках для платформы Android пачалося тэставанне API Federated Credential Management (FedCM), які дазваляе ствараць аб'яднаныя сэрвісы ідэнтыфікацыі, якія забяспечваюць захаванне прыватнасці і працуюць без механізмаў міжсайтавага адсочвання, такіх як . Origin Trial мае на ўвазе магчымасць працы з паказаным API з прыкладанняў, загружаных з localhost або 127.0.0.1, або пасля праходжання рэгістрацыі і атрымання спецыяльнага токена, які дзейнічае абмежаваны час для канкрэтнага сайта.
• У API Client Hints, які развіваецца ў якасці замены загалоўка User-Agent і які дазваляе выбарачна аддаваць дадзеныя аб пэўных параметрах браўзэра і сістэмы (версія, платформа і г.д.) толькі пасля запыту серверам, дададзеная магчымасць падстаноўкі ў спіс ідэнтыфікатараў браўзэра фіктыўных назваў, па аналогіі з выкарыстоўваным у TLS механізмам GREASE (Generate Random Extensions And Sustain Extensibility). Напрыклад, апроч '"Chrome"; v="103"' і '"Chromium"; v="103"' у спіс можа быць дададзены выпадковы ідэнтыфікатар неіснуючага браўзэра '"(Not;Browser"; v="12"'. Падобная падстаноўка дазволіць выяўляць праблемы з апрацоўкай ідэнтыфікатараў невядомых браўзэраў, якія прыводзяць да таго, што альтэрнатыўныя браўзэры змушаныя прыкідвацца іншымі папулярнымі браўзэрамі, каб абыйсці праверку па спісах дапушчальных браўзэраў.
• Файлы ў фармаце выяваў AVIF дададзены ў спіс дазволеных для абмену праз API iWeb Share.
• Дададзена падтрымка фармату сціску «deflate-raw», які дазваляе атрымаць доступ да голага сціснутага струменя без загалоўкаў і службовых фінальных блокаў, што можна выкарыстоўваць, напрыклад, для чытання і запісы zip-файлаў.
• Для элементаў web-формаў прадстаўлена магчымасць выкарыстання атрыбуту "rel", што дазваляе ўжываць да навігацыі праз web-формы параметр "rel=noreferrer" для адключэння перадачы загалоўка Referer або "rel=noopener" для адключэння выстаўлення ўласцівасці Window.opener і забароны доступу да кантэксце з якога быў выкананы пераход.
• Рэалізацыя падзеі popstate прыведзена ў адпаведнасць з паводзінамі Firefox. Падзея popstate зараз генеруецца адразу пасля змены URL без чакання наступу падзеі load.
• Для старонак, адчыненых без HTTPS і з блокаў iframe забаронена зварот да API Gampepad і API Battery Status.
• У аб'ект SerialPort дададзены метад forget() для адмовы ад раней атрыманых ад карыстача паўнамоцтваў для доступу да паслядоўнага порта.
• У CSS-уласцівасць overflow-clip-margin дададзены атрыбут visual-box, які вызначае з якога месца варта пачынаць абразанне кантэнту, які выйшаў за мяжу вобласці (можа прымаць значэнні content-box, padding-box і border-box).
• У блоках iframe з атрыбутам sandbox забаронены выклік вонкавых пратаколаў і запуск вонкавых прыкладанняў-апрацоўшчыкаў. Для адмены абмежавання варта выкарыстоўваць уласцівасці allow-popups, allow-top-navigation і allow-top-navigation-with-user-activation.
• Спынена падтрымка элемента , які страціў сэнс пасля спынення падтрымкі плагінаў.
• Унесены паляпшэнні ў інструменты для web-распрацоўшчыкаў. Напрыклад, у панэлі Styles з'явілася магчымасць вызначэння колеру кропкі па-за акном браўзэра. Палепшаны прадпрагляд значэнняў параметраў у адладчыку. Дададзена магчымасць змены парадку прытрымлівання панэляў у інтэрфейсе Elements.

Акрамя новаўвядзенняў і выпраўленні памылак у новай версіі ўхілена 14 уразлівасцяў. Многія з уразлівасцяў выяўлены ў выніку аўтаматызаванага тэсціравання інструментамі AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Адной з праблем (CVE-2022-2156) прысвоены крытычны ўзровень небяспекі, які мае на ўвазе магчымасць абыйсці ўсе ўзроўні абароны браўзэра і выканаць код у сістэме за межамі sandbox-акружэнні. Дэталі па дадзенай уразлівасці пакуль не выдаюцца, вядома толькі, што яна выкліканая зваротам да вызваленага блока памяці (use-after-free).

У рамках праграмы па выплаце грашовай узнагароды за выяўленне ўразлівасцяў для бягучага рэлізу кампанія Google выплаціла 9 прэмій на суму 44 тысячы даляраў ЗША (адна прэмія $20000, адна прэмія $7500, адна прэмія $7000, дзве прэміі $3000 і па адной прэміі ў $2000, $1000 ). Памер узнагароджання за крытычную ўразлівасць пакуль не вызначаны.

Крыніца: opennet.ru