ProHoster > Блог > интернет новини > Chrome версия 102

Chrome версия 102

Google представи версията на уеб браузъра Chrome 102. В същото време е налична стабилна версия на безплатния проект Chromium, който служи като основа на Chrome. Браузърът Chrome се различава от Chromium в използването на лога на Google, наличието на система за изпращане на известия в случай на срив, модули за възпроизвеждане на защитено от копиране видео съдържание (DRM), система за автоматично инсталиране на актуализации, постоянно активиране на изолацията на Sandbox , доставяйки ключове към API на Google и предавайки RLZ- при търсене параметри. За тези, които се нуждаят от повече време за актуализиране, отделно се поддържа клонът Extended Stable, последван от 8 седмици. Следващото издание на Chrome 103 е насрочено за 21 юни.

Ключови промени в Chrome 102:

  • За да се блокира използването на уязвимости, причинени от достъп до вече освободени блокове памет (use-after-free), вместо обикновени указатели започна да се използва типът MiraclePtr (raw_ptr). MiraclePtr осигурява обвързване върху указатели, което извършва допълнителни проверки на достъпите до освободени области на паметта и се срива, ако такива достъпи бъдат открити. Въздействието на новия метод за защита върху производителността и консумацията на памет се оценява като незначително. Механизмът MiraclePtr не е приложим във всички процеси, по-специално не се използва в процесите на рендиране, но може значително да подобри сигурността. Например, в текущата версия, от 32 коригирани уязвимости, 12 са причинени от проблеми след употреба.
  • Дизайнът на интерфейса с информация за изтеглянията е променен. Вместо долния ред с данни за напредъка на изтеглянето, в панела с адресната лента е добавен нов индикатор, когато щракнете върху него, се показва напредъкът на изтеглянето на файлове и история със списък на вече изтеглените файлове. За разлика от долния панел, бутонът се показва постоянно на панела и ви позволява бързо да получите достъп до хронологията на изтеглянията. Понастоящем новият интерфейс се предлага по подразбиране само за някои потребители и ще бъде разширен за всички, ако няма проблеми. За да върнете стария интерфейс или да активирате нов, е предоставена настройката „chrome://flags#download-bubble“.
    Chrome версия 102
  • Когато търсите изображения чрез контекстното меню („Търсене на изображение с Google Lens“ или „Намиране чрез Google Lens“), резултатите вече се показват не на отделна страница, а в странична лента до съдържанието на оригиналната страница (в един прозорец можете едновременно да видите както съдържанието на страницата, така и резултата от достъпа до търсачката).
    Chrome версия 102
  • В секцията „Поверителност и сигурност“ на настройките е добавен раздел „Ръководство за поверителност“, който предлага общ преглед на основните настройки, които засягат поверителността с подробни обяснения за въздействието на всяка настройка. Например в раздела можете да дефинирате правилата за изпращане на данни към услугите на Google, да управлявате синхронизацията, обработката на бисквитки и запазването на историята. Функцията се предлага на някои потребители; за да я активирате, можете да използвате настройката „chrome://flags#privacy-guide“.
    Chrome версия 102
  • Осигурено е структуриране на историята на търсенията и прегледаните страници. Когато се опитате да търсите отново, в адресната лента се показва подсказка „Продължете вашето пътуване“, което ви позволява да продължите търсенето от мястото, където е било прекъснато последния път.
    Chrome версия 102
  • Уеб магазинът на Chrome предлага страница „Начален комплект за разширения“ с първоначална селекция от препоръчани добавки.
  • В тестов режим изпращането на CORS (Cross-Origin Resource Sharing) заявка за оторизация до основния сървър на сайта със заглавката „Access-Control-Request-Private-Network: true“ е разрешено, когато страницата има достъп до ресурс във вътрешната мрежа ( 192.168.xx, 10.xxx, 172.16.xx) или към localhost (128.xxx). Когато потвърждава операцията в отговор на тази заявка, сървърът трябва да върне заглавката „Access-Control-Allow-Private-Network: true“. В Chrome версия 102 резултатът от потвърждението все още не засяга обработката на заявката - ако няма потвърждение, се показва предупреждение в уеб конзолата, но самата заявка за подресурс не се блокира. Активирането на блокиране при липса на потвърждение от сървъра не се очаква до пускането на Chrome 105. За да активирате блокирането в по-ранни версии, можете да активирате настройката „chrome://flags/#private-network-access-respect-preflight- резултати".

    Проверката на правомощията от сървъра беше въведена, за да се засили защитата срещу атаки, свързани с достъп до ресурси в локалната мрежа или на компютъра на потребителя (localhost) от скриптове, заредени при отваряне на сайт. Такива заявки се използват от нападателите за извършване на CSRF атаки срещу рутери, точки за достъп, принтери, корпоративни уеб интерфейси и други устройства и услуги, които приемат заявки само от локалната мрежа. За да се предпази от подобни атаки, ако има достъп до подресурси във вътрешната мрежа, браузърът ще изпрати изрична заявка за разрешение за зареждане на тези подресурси.

  • Когато отваряте връзки в режим инкогнито през контекстното меню, някои параметри, които засягат поверителността, автоматично се премахват от URL адреса.
  • Стратегията за доставка на актуализация за Windows и Android е променена. За по-пълно сравняване на поведението на новата и старата версия, сега се генерират множество компилации на новата версия за изтегляне.
  • Технологията за сегментиране на мрежата е стабилизирана, за да се предпази от методи за проследяване на движенията на потребителите между сайтове въз основа на съхраняване на идентификатори в области, които не са предназначени за постоянно съхранение на информация („Супербисквитки“). Тъй като кешираните ресурси се съхраняват в общо пространство от имена, независимо от първоначалния домейн, един сайт може да определи, че друг сайт зарежда ресурси, като проверява дали този ресурс е в кеша. Защитата се основава на използването на мрежово сегментиране (Network Partitioning), чиято същност е да добави към споделените кеши допълнително свързване на записи към домейна, от който се отваря главната страница, което ограничава покритието на кеша само за скриптове за проследяване на движение към текущия сайт (скрипт от iframe няма да може да провери дали ресурсът е изтеглен от друг сайт). Споделянето на състоянието обхваща мрежови връзки (HTTP/1, HTTP/2, HTTP/3, websocket), DNS кеш, ALPN/HTTP2, TLS/HTTP3 данни, конфигурация, изтегляния и информация за заглавката на Expect-CT.
  • За инсталирани самостоятелни уеб приложения (PWA, Progressive Web App) е възможно да промените дизайна на областта на заглавието на прозореца с помощта на компонентите Window Controls Overlay, които разширяват областта на екрана на уеб приложението до целия прозорец. Уеб приложение може да контролира изобразяването и обработката на входа на целия прозорец, с изключение на блока за наслагване със стандартни бутони за управление на прозореца (затваряне, минимизиране, максимизиране), за да придаде на уеб приложението вид на обикновено настолно приложение.
    Chrome версия 102
  • В системата за автоматично попълване на формуляри е добавена поддръжка за генериране на номера на виртуални кредитни карти в полета с данни за плащане на стоки в онлайн магазини. Използването на виртуална карта, чийто номер се генерира при всяко плащане, ви позволява да не прехвърляте данни за реална кредитна карта, но изисква предоставянето на необходимата услуга от банката. В момента функцията е достъпна само за клиенти на американски банки. За да контролирате включването на функцията, се предлага настройката „chrome://flags/#autofill-enable-virtual-card“.
  • Механизмът „Capture Handle“ е активиран по подразбиране, което ви позволява да прехвърляте информация към приложения, които заснемат видео. API позволява да се организира взаимодействието между приложенията, чието съдържание се записва, и приложенията, които извършват записа. Например приложение за видеоконференции, което заснема видео за излъчване на презентация, може да извлече информация за контролите на презентацията и да ги покаже във видео прозореца.
  • Поддръжката за спекулативни правила е активирана по подразбиране, осигурявайки гъвкав синтаксис за определяне дали данните, свързани с връзката, могат да бъдат проактивно заредени, преди потребителят да кликне върху връзката.
  • Механизмът за опаковане на ресурси в пакети във формат Web Bundle е стабилизиран, което позволява да се повиши ефективността на зареждането на голям брой придружаващи файлове (CSS стилове, JavaScript, изображения, iframes). За разлика от пакетите във формата Webpack, форматът Web Bundle има следните предимства: не самият пакет се съхранява в HTTP кеша, а неговите съставни части; компилирането и изпълнението на JavaScript започва без изчакване на пълното изтегляне на пакета; Разрешено е да се включват допълнителни ресурси като CSS и изображения, които в webpack трябва да бъдат кодирани под формата на JavaScript низове.
  • Възможно е да се дефинира PWA приложение като манипулатор на определени типове MIME и файлови разширения. След дефиниране на обвързване чрез полето file_handlers в манифеста, приложението ще получи специално събитие, когато потребителят се опита да отвори файл, свързан с приложението.
  • Добавен е нов инертен атрибут, който ви позволява да маркирате част от DOM дървото като „неактивно“. За DOM възли в това състояние манипулаторите за избор на текст и курсор на мишката са деактивирани, т.е. Събитията с указател и CSS свойствата, избрани от потребителя, винаги са зададени на „няма“. Ако даден възел може да бъде редактиран, тогава в инертен режим той става нередактируем.
  • Добавен API за навигация, който позволява на уеб приложенията да прихващат операции за навигация на прозорци, да инициират навигация и да анализират хронологията на действията с приложението. API предоставя алтернатива на свойствата window.history и window.location, оптимизирани за уеб приложения с една страница.
  • Предложен е нов флаг „до намиране“ за атрибута „скрит“, което прави елемента достъпен за търсене в страницата и превъртане по текстова маска. Например, можете да добавите скрит текст към страница, чието съдържание ще бъде намерено при локално търсене.
  • В API WebHID, предназначен за достъп на ниско ниво до HID устройства (устройства с човешки интерфейс, клавиатури, мишки, геймпадове, тъчпадове) и организиране на работа без наличието на конкретни драйвери в системата, свойството exclusionFilters е добавено към requestDevice( ), който ви позволява да изключите определени устройства, когато браузърът покаже списък с налични устройства. Например, можете да изключите идентификатори на устройства, които имат известни проблеми.
  • Забранено е показването на формуляр за плащане чрез извикване на PaymentRequest.show() без изрично действие на потребителя, например щракване върху елемент, свързан с манипулатора.
  • Поддръжката за алтернативна реализация на протокола SDP (Session Description Protocol), използван за установяване на сесия в WebRTC, е преустановена. Chrome предложи две опции за SDP - унифицирана с други браузъри и специфична за Chrome. Оттук нататък остава само преносимият вариант.
  • Направени са подобрения в инструментите за уеб разработчици. Добавени са бутони към панела „Стилове“, за да се симулира използването на тъмна и светла тема. Защитата на раздела Preview в режим на проверка на мрежата е подсилена (прилагането на Content Security Policy е активирано). Дебъгерът прилага прекратяване на скрипта, за да презареди точките на прекъсване. Предложено е предварително внедряване на новия панел „Прозрения за ефективността“, който ви позволява да анализирате ефективността на определени операции на страницата.
    Chrome версия 102

В допълнение към иновациите и корекциите на грешки, новата версия елиминира 32 уязвимости. Много от уязвимостите бяха идентифицирани в резултат на автоматизирано тестване с помощта на инструментите AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. На един от проблемите (CVE-2022-1853) е присвоено критично ниво на опасност, което предполага възможност за заобикаляне на всички нива на защита на браузъра и изпълнение на код в системата извън средата на пясъчника. Подробности за тази уязвимост все още не са оповестени; известно е само, че е причинена от достъп до освободен блок памет (use-after-free) в изпълнението на API за индексирана база данни.

Като част от програмата за парични награди за откриване на уязвимости за текущата версия, Google изплати 24 награди на стойност $65600 10000 (една награда $7500 7000, една награда $5000 3000, две награди $2000 1000, три награди $500 7, четири награди $XNUMX XNUMX, две награди $XNUMX XNUMX, две награди $XNUMX и две $XNUMX бонуси). Размерът на XNUMX-те награди все още не е определен.

Източник: opennet.ru

Добавяне на нов коментар