Рэліз Chrome 98

Кампанія Google прадставіла рэліз web-браўзэра Chrome 98. Адначасова даступны стабільны выпуск вольнага праекта Chromium, які выступае асновай Chrome. Браўзэр Chrome адрозніваецца выкарыстаннем лагатыпаў Google, наяўнасцю сістэмы адпраўкі апавяшчэнняў у выпадку краху, модулямі для прайгравання абароненага ад капіявання відэакантэнту (DRM), сістэмай аўтаматычнай усталёўкі абнаўленняў і перадачай пры пошуку RLZ-параметраў. Наступны выпуск Chrome 99 запланаваны на 1 сакавіка.

Асноўныя змены ў Chrome 98:

• У браўзэр убудавана ўласнае сховішча каранёвых сертыфікатаў якія сведчаць цэнтраў (Chrome Root Store), якое будзе выкарыстоўвацца замест вонкавых сховішчаў, спецыфічных для кожнай аперацыйнай сістэмы. Сховішча рэалізавана па аналогіі з незалежным сховішчам каранёвых сертыфікатаў у Firefox, выкарыстоўваным у якасці першага звяна для праверкі ланцужкі даверу сертыфікатаў пры адкрыцці сайтаў па HTTPS. Новае сховішча пакуль не выкарыстоўваецца па змаўчанні. Для спрашчэння перакладу канфігурацый, завязаных на сістэмныя сховішчы, і для забеспячэння пераноснасці, нейкі час будзе дзейнічаць пераходны перыяд, на працягу якога ў Chrome Root Store будзе ўключаная поўная падборка сертыфікатаў, ухваленых на большасці падтрымоўваных платформаў.
• Працягваецца рэалізацыя плана па ўзмацненні абароны ад нападаў, злучаных са зваротам да рэсурсаў у лакальнай сетцы або на кампутары карыстача (localhost) з скрыптоў, загружаных пры адкрыцці сайта. Падобныя запыты выкарыстоўваюцца зламыснікамі для ажыццяўлення CSRF-нападаў на маршрутызатары, кропкі доступу, друкаркі, карпаратыўныя web-інтэрфейсы і іншыя прылады і сэрвісы, якія прымаюць запыты толькі з лакальнай сеткі.

  Для абароны ад падобных нападаў у выпадку звароту да любых субрэсурсаў ва ўнутранай сетцы, браўзэр пачне адпраўляць відавочны запыт паўнамоцтвы загрузкі падобных субрэсурсаў. Запыт паўнамоцтваў ажыццяўляецца праз адпраўку на сервер асноўнага сайта запыту CORS (Cross-Origin Resource Sharing) з загалоўкам "Access-Control-Request-Private-Network: true", перад зваротам да ўнутранай сеткі або да localhost. Пры пацверджанні аперацыі ў адказ на дадзены запыт сервер павінен вярнуць загаловак "Access-Control-Allow-Private-Network: true". У Chrome 98 праверка рэалізаваная ў тэставым рэжыме і ў выпадку адсутнасці пацверджання ў web-кансолі адлюстроўваецца папярэджанне, але сам запыт субрэсурсу не блакуецца. Блакаванне плануецца ўключыць не раней за выпуск Chrome 101.

• У налады ўліковага запісу інтэграваныя сродкі для кіравання ўключэннем пашыранага рэжыму абароны ад небяспечных сайтаў (Enhanced Safe Browsing), у якім актывуюцца дадатковыя праверкі для абароны ад фішынгу, шкоднаснай актыўнасці і іншых пагроз у Web. Пры актывацыі рэжыму ва ўліковым запісе Google зараз будзе выводзіцца прапанова актываваць рэжым і ў Chrome.
• Дададзена мадэль для выяўлення спроб фішынгу на баку кліента, рэалізаваная з выкарыстаннем платформы машыннага навучання TFLite (TensorFlow Lite) і не патрабуе адпраўкі дадзеных для выканання праверкі на баку Google (пры гэтым адпраўляецца тэлеметрыя c інфармацыяй аб версіі мадэлі і вылічаных вагавых каэфіцыентах для кожнай катэгорыі) . Пры выяўленні спробы фішынгу карыстачу перад адкрыццём падазронага сайта будзе паказана старонка з папярэджаннем.
• У API Client Hints, які развіваецца ў якасці замены загалоўка User-Agent і які дазваляе выбарачна аддаваць дадзеныя аб пэўных параметрах браўзэра і сістэмы (версія, платформа і г.д.) толькі пасля запыту серверам, рэалізаваная магчымасць падстаноўкі ў спіс ідэнтыфікатараў браўзэра фіктыўных назваў, па аналогіі з выкарыстоўваным у TLS механізмам GREASE (Generate Random Extensions And Sustain Extensibility). Напрыклад, акрамя 'Chrome'; v="98"' і '"Chromium"; v="98"' у спіс можа быць дададзены выпадковы ідэнтыфікатар неіснуючага браўзэра '"(Not;Browser"; v="12"'. Падобная падстаноўка дазволіць выяўляць праблемы з апрацоўкай ідэнтыфікатараў невядомых браўзэраў, якія прыводзяць да таго, што альтэрнатыўныя браўзэры змушаныя прыкідвацца іншымі папулярнымі браўзэрамі, каб абыйсці праверку па спісах дапушчальных браўзэраў.
• Пачынальна з 17 студзеня ў каталог Chrome Web Store перасталі прымацца дадаткі, якія выкарыстоўваюць другую версію маніфесту Chrome. Новыя дапаўненні зараз будуць прымацца толькі з трэцяй версіяй маніфеста. Распрацоўнікі раней дададзеных дадаткаў, як і раней, змогуць публікаваць абнаўленні з другой версіяй маніфесту. Поўнае спыненне падтрымкі другой версіі маніфеста запланавана на студзень 2023 года.
• Дададзена падтрымка каляровых вектарных шрыфтоў у фармаце COLRv1 (падмноства шрыфтоў OpenType, якія змяшчаюць акрамя вектарных гліфаў пласт c інфармацыяй пра колер), якія могуць ужывацца, напрыклад, для стварэння шматколерных emoji. У адрозненне ад раней падтрымліваемага фармату COLRv0 у COLRv1 з'явілася магчымасць выкарыстання градыентаў, накладанняў і трансфармацый. Фармат таксама падае кампактную форму захоўвання, забяспечвае эфектыўны сціск і дапушчае паўторнае выкарыстанне контураў, што дазваляе істотна паменшыць памер шрыфта. Напрыклад, шрыфт Noto Color Emoji ў растравым уяўленні займае 9MB, а ў вектарным фармаце COLRv1 – 1.85MB.
• У рэжыме Origin Trials (эксперыментальныя магчымасці, якія патрабуюць асобнай актывацыі) рэалізаваны API Region Capture, які дазваляе кадраваць захаплянае відэа. Напрыклад, кадраванне можа спатрэбіцца ў web-прыкладаннях, якія здзяйсняюць захоп відэа са змесцівамі сваёй укладкі, для выразання вызначанага змесціва перад адпраўкай. Origin Trial мае на ўвазе магчымасць працы з паказаным API з прыкладанняў, загружаных з localhost або 127.0.0.1, або пасля праходжання рэгістрацыі і атрымання спецыяльнага токена, які дзейнічае абмежаваны час для канкрэтнага сайта.
• У CSS-уласцівасць "contain-intrinsic-size" дададзена падтрымка значэння "auto", пры ўказанні якога будзе выкарыстаны апошні запомнены памер элемента (пры выкарыстанні разам з "content-visibility: auto" распрацоўніку не трэба адгадваць адмаляваны памер элемента).
• Дададзена ўласцівасць AudioContext.outputLatency, праз якое можна пазнаць звесткі аб прагназуемай затрымцы перад высновай гуку (затрымка паміж запытам гуку і пачаткам апрацоўкі атрыманых дадзеных прыладай высновы гуку).
• CSS-уласцівасць color-scheme, якое дае магчымасць вызначыць у якіх каляровых схемах можа быць карэктна паказаны элемент ("light", "dark", "day mode" і "night mode"), дададзены параметр "only", які дазваляе выключыць прымусовую змену каляровай. схемы для асобных HTML-элементаў. Напрыклад, для калі паказаць "div { color-scheme: only light }", то для элемента div будзе выкарыстоўвацца толькі светлая тэма, нават калі ў браўзэры будзе прымусова ўключана цёмнае афармленне.
• У CSS дададзена падтрымка media-запытаў 'dynamic-range' і 'video-dynamic-range' для вызначэння наяўнасці экрана, які падтрымлівае HDR (High Dynamic Range).
• У функцыю window.open() дададзена магчымасць выбару адкрыцця спасылкі ў новай укладцы, новым акне або ўсплываючым акне. Акрамя таго, уласцівасць window.statusbar.visible зараз вяртае "false" для ўсплываючых вокнаў і "true" для ўкладак і вокнаў. const popup = window.open('_blank',»,'popup=1′); // Адкрыць ва ўсплываючым акне const tab = window.open('_blank',»,’popup=0′); // Адкрыць ва ўкладцы
• Для вокнаў і worker-ов рэалізаваны метад structuredClone(), які дазваляе ствараць рэкурсіўныя копіі аб'ектаў, улучальныя ўласцівасці не толькі паказанага аб'екта, але і ўсіх іншых аб'ектаў, на якія спасылаецца бягучы аб'ект.
• У Web Authentication API дададзена падтрымка пашырэння спецыфікацыі FIDO CTAP2, які дазваляе задаць мінімальны дапушчальны памер PIN-кода (minPinLength).
• Для усталёўваных адасобленых web-прыкладанняў дададзены кампанент Window Controls Overlay, які пашырае экранную вобласць прыкладання на ўсё акно, уключаючы вобласць загалоўка, на які накладваюцца штатныя кнопкі кіравання акном (зачыненне, мінімізацыя, максімізацыя). Web-дадатак можа кіраваць адмалёўкай і апрацоўкай уводу ва ўсім акне, за выключэннем накладзенага блока з кнопкамі кіравання акном.
• У WritableStreamDefaultController дададзена ўласцівасць апрацоўкі сігналаў, якое вяртае аб'ект AbortSignal, пры дапамозе якога можна адразу спыняць аперацыі запісы ў WritableStream, не чакаючы іх завяршэння.
• У WebRTC выдалена падтрымка механізму ўзгаднення ключоў SDES, які ў 2013 годзе быў аб'яўлены арганізацыяй IETF састарэлым з-за праблем з бяспекай.
• Па змаўчанні адключаны API U2F (Cryptotoken), які раней абвешчаны састарэлым і яму на змену прыйшоў API Web Authentication. API U2F будзе цалкам выдалены ў Chrome 104.
• У API Directory абвешчана састарэлым поле installed_browser_version, замест якога прапанавана новае поле pending_browser_version, адрознае тым, што ў ім утрымоўваецца інфармацыя аб версіі браўзэра з улікам загружаных, але не ўжытых абнаўленняў (г.зн. версія, якая будзе дзейнічаць пасля перазапуску брауз).
• Прыбраныя параметры, якія дазвалялі вярнуць падтрымку TLS 1.0 і 1.1.
• Унесены паляпшэнні ў інструменты для web-распрацоўшчыкаў. Дададзена ўкладка для адзнакі працы кэша пераходу (Back-forward cache), які забяспечвае імгненны пераход пры выкарыстанні кнопак «Назад» і «Наперад». Дададзена магчымасць эмуляцыі медазапытаў forced-colors. У рэдактары Flexbox дададзены кнопкі для падтрымкі ўласцівасцяў row-reverse і column-reverse. Ва ўкладцы "Changes" забяспечана адлюстраванне змяненняў пасля фарматавання кода, што спрашчае разбор мініфікаваных старонак.

  Рэалізацыя панэлі прагляду кода абноўлена да выпуску рэдактара кода CodeMirror 6, у якім значна падвышаная прадукцыйнасць працы з вельмі вялікімі файламі (WASM, JavaScript), вырашаны праблемы са выпадковымі зрушэннямі пры навігацыі і палепшаны рэкамендацыі сістэмы аўтададатку пры рэдагаванні кода. У панэль з CSS-уласцівасцямі дададзена магчымасць фільтрацыі высновы па імі ці значэнні ўласцівасці.

  

Акрамя новаўвядзенняў і выпраўленні памылак у новай версіі ўхілена 27 уразлівасцяў. Многія з уразлівасцяў выяўлены ў выніку аўтаматызаванага тэсціравання інструментамі AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Крытычных праблем, якія дазваляюць абыйсці ўсе ўзроўні абароны браўзэра і выканаць код у сістэме за межамі sandbox-акружэнні, не выяўлена. У рамках праграмы па выплаце грашовай узнагароды за выяўленне ўразлівасцяў для бягучага рэлізу кампанія Google выплаціла 19 прэмій на суму 88 тысяч даляраў ЗША (дзве прэміі $20000, адна прэмія $12000, дзве прэміі $7500, чатыры прэміі $1000 і па адной прэміі ў $7000, $ і $5000.

Крыніца: opennet.ru