Chrome версия 107

Google представи версията на уеб браузъра Chrome 107. В същото време е налична стабилна версия на безплатния проект Chromium, който е в основата на Chrome. Браузърът Chrome се различава от Chromium в използването на лога на Google, наличието на система за изпращане на известия в случай на срив, модули за възпроизвеждане на защитено от копиране видео съдържание (DRM), система за автоматично актуализиране, постоянно включване на изолация на Sandbox , доставката на ключове към Google API и предаването при търсене на RLZ-параметри. За тези, които се нуждаят от повече време за актуализиране, клонът Extended Stable се поддържа отделно, последван от 8 седмици. Следващото издание на Chrome 108 е насрочено за 29 ноември.

Ключови промени в Chrome 107:

• Добавена е поддръжка за механизма ECH (Encrypted Client Hello), който продължава развитието на ESNI (Encrypted Server Name Indication) и се използва за криптиране на информация за параметрите на TLS сесията, като например заявеното име на домейн. Ключовата разлика между ECH и ESNI е, че в ECH, вместо криптиране на ниво отделни полета, цялото TLS ClientHello съобщение е криптирано, което ви позволява да блокирате течове през полета, които не се покриват от ESNI, например PSK (Предварително споделен ключ). ECH също използва HTTPSSVC DNS запис вместо TXT запис, за да предаде информация за публичен ключ и използва удостоверено криптиране от край до край, базирано на механизма за шифроване на хибриден публичен ключ (HPKE), за получаване и криптиране на ключа. За да контролирате дали ECH е активиран, се предлага настройката „chrome://flags#encrypted-client-hello“.
• Активирана поддръжка за хардуерно ускорено декодиране на видео във формат H.265 (HEVC).
• Петият етап на изрязване на информация в HTTP заглавката на User-Agent и параметрите на JavaScript navigator.userAgent, navigator.appVersion и navigator.platform е активиран, за да се намали информацията, която може да се използва за пасивно идентифициране на потребител. В Chrome 107 низът на потребителския агент е намален в информацията за платформата и процесора за настолни потребители и съдържанието на параметъра navigator.platform на JavaScript е замразено. Промяната е забележима само във версиите за платформата Windows, за които конкретната версия на платформата е променена на „Windows NT 10.0“. В Linux съдържанието на платформата в User-Agent не е променено.

  Преди това номерата на MINOR.BUILD.PATCH, съставляващи версията на браузъра, бяха заменени с 0.0.0. Занапред заглавката ще съдържа само информация за името на браузъра, основната версия на браузъра, платформата и типа на устройството (мобилен телефон, компютър, таблет). За допълнителни данни, като точна версия и разширени данни за платформата, трябва да използвате API за клиентски съвети на потребителски агент. За сайтове, които нямат достатъчно нова информация и все още не са готови да преминат към съвети за клиентски агент на потребител, до май 2023 г. се предоставя възможност за връщане на пълния потребителски агент.

• Версията на Android вече не поддържа платформата Android 6.0, браузърът вече изисква поне Android 7.0.
• Променен е дизайнът на интерфейса за проследяване на състоянието на изтеглянията. Вместо долния ред с данни за напредъка на изтеглянето, в панела с адресната лента е добавен нов индикатор, при щракване върху който се показва напредъкът на изтегляне на файлове и история със списък на вече изтеглени файлове. За разлика от долната лента, бутонът се показва постоянно на лентата и ви позволява бързо да получите достъп до хронологията на изтеглянията. Новият интерфейс досега се предлагаше по подразбиране само на някои потребители и ще бъде разширен за всички, ако няма проблеми.
• За потребителите на настолни компютри е предоставена възможност за импортиране на пароли, записани във файл в CSV формат. Преди това паролите от файл към браузъра можеха да се прехвърлят само чрез услугата passwords.google.com, но сега това може да стане чрез вградения в браузъра мениджър на пароли (Google Password Manager).
• След като потребителят създаде нов профил, се предоставя подкана, която ви подканва да активирате синхронизирането и да отидете на настройките, чрез които можете да промените името на профила и да изберете цветова тема.
• Версията за платформата Android предлага нов интерфейс за избор на медийни файлове за качване на снимки и видеоклипове (вместо собствена реализация се използва стандартният Android Media Picker интерфейс).
• Активирано автоматично отнемане на разрешение за показване на известия за сайтове, уловени да изпращат известия и съобщения, които пречат на потребителя. Освен това за такива сайтове се спират исканията за получаване на разрешения за изпращане на известия.
• Добавени са нови свойства към API за заснемане на екрана, свързани със споделянето на екрана - selfBrowserSurface (позволява ви да изключите текущия раздел, когато извиквате getDisplayMedia()), surfaceSwitching (позволява ви да скриете бутона за превключване на раздели) и displaySurface (позволява ви да ограничаване на споделянето до раздел, прозорец или екран).
• Добавено е свойството renderBlockingStatus към API за производителност, за да се идентифицират ресурси, които причиняват пауза на изобразяването на страницата, докато не завършат зареждането.
• Няколко нови API бяха добавени към режима Origin Trials (експериментални функции, които изискват отделно активиране). Origin Trial предполага възможност за работа с посочения API от приложения, изтеглени от localhost или 127.0.0.1, или след регистрация и получаване на специален токен, който е валиден за ограничено време за конкретен сайт.
  • Декларативен API за PendingBeacon, който ви позволява да контролирате изпращането на данни, които не изискват отговор (маяк) към сървъра. Новият API ви позволява да делегирате изпращането на такива данни на браузъра, без да е необходимо да извиквате операции за изпращане в определен момент, например, за да организирате прехвърлянето на телеметрия, след като потребителят затвори страницата.
  • HTTP заглавката Permissions-Policy (Feature Policy), която се използва за делегиране на разрешения и активиране на разширени функции, сега поддържа стойността „unload“, която може да се използва за деактивиране на манипулатори на събития „unload“ на страницата.
• Да маркират добавена поддръжка за атрибута „rel“, който ви позволява да приложите параметъра „rel=noreferrer“ към навигация през уеб формуляри, за да деактивирате прехвърлянето на заглавката Referer или „rel=noopener“, за да деактивирате настройката на свойството Window.opener и да откажете достъп до контекста, от който е направен преходът.
• CSS Grid добавя поддръжка за интерполиране на свойствата на grid-template-columns и grid-template-rows, за да осигури плавен преход между различните състояния на мрежата.
• Направени са подобрения в инструментите за уеб разработчици. Добавена е възможност за персонализиране на клавишни комбинации. Подобрена проверка на паметта на C/C++ обекти на приложение, преобразувани във формат WebAssembly.

В допълнение към иновациите и корекциите на грешки, в новата версия са коригирани 14 уязвимости. Много от уязвимостите бяха идентифицирани в резултат на инструменти за автоматизирано тестване AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Не са идентифицирани критични проблеми, които позволяват заобикаляне на всички нива на защита на браузъра и изпълнение на код в системата извън средата на пясъчника. Като част от програмата за награди за уязвимост за текущата версия, Google изплати 10 награди на стойност $57 20000 (по една от $17000 7000, $3000 2000 и $1000 XNUMX, две награди от $XNUMX XNUMX, три награди от $XNUMX XNUMX и една награда от $XNUMX XNUMX). Размерът на една награда все още не е определен.

Източник: opennet.ru