Chrome версия 98

Google представи версията на уеб браузъра Chrome 98. В същото време е налична стабилна версия на безплатния проект Chromium, който служи като основа на Chrome. Браузърът Chrome се отличава с използването на лога на Google, наличието на система за изпращане на известия в случай на срив, модули за възпроизвеждане на защитено от копиране видео съдържание (DRM), система за автоматично инсталиране на актуализации и предаване на RLZ параметри, когато търсене. Следващото издание на Chrome 99 е планирано за 1 март.

Ключови промени в Chrome 98:

• Браузърът има собствено хранилище на основни сертификати на сертифициращи органи (Chrome Root Store), което ще се използва вместо външни хранилища, специфични за всяка операционна система. Магазинът е реализиран подобно на независимото хранилище на основни сертификати във Firefox, което се използва като първа връзка за проверка на веригата за доверие на сертификата при отваряне на сайтове през HTTPS. Новото хранилище все още не се използва по подразбиране. За да се улесни преходът на конфигурациите за системно съхранение и да се осигури преносимост, ще има преходен период, през който Chrome Root Store ще включва пълен набор от сертификати, одобрени на повечето поддържани платформи.
• Продължава изпълнението на плана за засилване на защитата срещу атаки, свързани с достъп до ресурси в локалната мрежа или на компютъра на потребителя (localhost) от скриптове, заредени при отваряне на сайта. Такива заявки се използват от нападателите за извършване на CSRF атаки срещу рутери, точки за достъп, принтери, корпоративни уеб интерфейси и други устройства и услуги, които приемат заявки само от локалната мрежа.

  За да се предпази от подобни атаки, ако има достъп до подресурси във вътрешната мрежа, браузърът ще започне да изпраща изрична заявка за разрешение за изтегляне на такива подресурси. Заявката за разрешения се извършва чрез изпращане на CORS (Cross-Origin Resource Sharing) заявка със заглавка „Access-Control-Request-Private-Network: true“ до главния сървър на сайта, преди да се осъществи достъп до вътрешната мрежа или локалния хост. Когато потвърждава операцията в отговор на тази заявка, сървърът трябва да върне заглавката „Access-Control-Allow-Private-Network: true“. В Chrome 98 проверката е реализирана в тестов режим и ако няма потвърждение, се показва предупреждение в уеб конзолата, но самата заявка за подресурс не се блокира. Блокирането не се планира да бъде активирано, докато Chrome 101 не бъде пуснат.

• Настройките на акаунта интегрират инструменти за управление на включването на подобрено безопасно сърфиране, което активира допълнителни проверки за защита срещу фишинг, злонамерена дейност и други заплахи в мрежата. Когато активирате режим в акаунта си в Google, сега ще бъдете подканени да активирате режима в Chrome.
• Добавен е модел за откриване на опити за фишинг от страна на клиента, реализиран с помощта на платформата за машинно обучение TFLite (TensorFlow Lite) и не изисква изпращане на данни за извършване на проверка от страна на Google (в този случай телеметрията се изпраща с информация за версията на модела и изчислени тегла за всяка категория). Ако бъде открит опит за фишинг, на потребителя ще бъде показана предупредителна страница, преди да отвори подозрителния сайт.
• В Client Hints API, който се разработва като заместител на заглавката User-Agent и ви позволява избирателно да изпращате данни за конкретни параметри на браузъра и системата (версия, платформа и т.н.) само след заявка от сървъра, е възможно е да се заменят фиктивни имена в списъка с идентификатори на браузъра, според аналогията с механизма GREASE (Generate Random Extensions And Sustain Extensibility), използван в TLS. Например, в допълнение към „„Chrome“; v="98″" и ""Chromium"; v="98″" произволен идентификатор на несъществуващ браузър "(Не; Браузър"; v="12″' може да се добави към списъка. Такова заместване ще помогне за идентифициране на проблеми с обработката на идентификатори на неизвестни браузъри, което води до факта, че алтернативните браузъри са принудени да се представят за други популярни браузъри, за да заобиколят проверката спрямо списъци с приемливи браузъри.
• От 17 януари уеб магазинът на Chrome вече не приема добавки, които използват версия 2023 на манифеста на Chrome. Нови допълнения вече ще се приемат само с третата версия на манифеста. Разработчиците на добавени по-рано добавки все още ще могат да публикуват актуализации с втората версия на манифеста. Пълното оттегляне на втората версия на манифеста е планирано за януари XNUMX г.
• Добавена е поддръжка за цветни векторни шрифтове във формат COLRv1 (подгрупа от шрифтове OpenType, които съдържат, в допълнение към векторните глифове, слой с информация за цвета), който може да се използва, например, за създаване на многоцветни емоджи. За разлика от поддържания преди това формат COLRv0, COLRv1 вече има способността да използва градиенти, наслагвания и трансформации. Форматът също така осигурява компактна форма за съхранение, осигурява ефективно компресиране и позволява повторно използване на контури, което позволява значително намаляване на размера на шрифта. Например, шрифтът Noto Color Emoji заема 9 MB в растерен формат и 1 MB във векторен формат COLRv1.85.
• Режимът Origin Trials (експериментални функции, които изискват отделно активиране) внедрява API за улавяне на региона, който ви позволява да изрязвате заснетото видео. Например може да е необходимо изрязване в уеб приложения, които заснемат видео със съдържанието на своя раздел, за да изрежете определено съдържание преди изпращане. Origin Trial предполага възможност за работа с посочения API от приложения, изтеглени от localhost или 127.0.0.1, или след регистрация и получаване на специален токен, който е валиден за ограничено време за конкретен сайт.
• CSS свойството "contain-intrinsic-size" вече поддържа стойността "auto", която ще използва последния запомнен размер на елемента (когато се използва с "content-visibility: auto", разработчикът не трябва да отгатва изобразения размер на елемента) .
• Добавено е свойство AudioContext.outputLatency, чрез което можете да разберете информация за прогнозираното забавяне преди аудио изход (закъснението между аудио заявката и началото на обработката на получените данни от аудио изходното устройство).
• CSS свойство color-scheme, което дава възможност да се определи в кои цветови схеми даден елемент може да бъде правилно показан („светло“, „тъмно“, „дневен режим“ и „нощен режим“), добавен е параметърът „само“ за предотвратяване на схеми за принудителна промяна на цвета за отделни HTML елементи. Например, ако посочите „div { color-scheme: only light }“, тогава само светлата тема ще се използва за елемента div, дори ако браузърът принуди тъмната тема да бъде активирана.
• Добавена е поддръжка за медийни заявки „динамичен диапазон“ и „видео-динамичен диапазон“ към CSS, за да се определи дали екранът поддържа HDR (висок динамичен диапазон).
• Добавена е възможност за избор дали да се отвори връзка в нов раздел, нов прозорец или изскачащ прозорец към функцията window.open(). Освен това свойството window.statusbar.visible вече връща "false" за изскачащи прозорци и "true" за раздели и прозорци. const popup = window.open('_blank',",'popup=1′); // Отваряне в изскачащ прозорец const tab = window.open('_blank',,"'popup=0′); // Отваряне в раздел
• Методът structuredClone() е внедрен за прозорци и работници, което ви позволява да създавате рекурсивни копия на обекти, които включват свойства не само на посочения обект, но и на всички други обекти, посочени от текущия обект.
• API за уеб удостоверяване добави поддръжка за разширението на спецификацията FIDO CTAP2, което ви позволява да зададете минималния допустим размер на ПИН кода (minPinLength).
• За инсталирани самостоятелни уеб приложения е добавен компонент Window Controls Overlay, който разширява площта на екрана на приложението до целия прозорец, включително областта на заглавието, върху която са стандартните бутони за управление на прозореца (затваряне, минимизиране, максимизиране ) се наслагват. Уеб приложението може да контролира изобразяването и обработката на входа на целия прозорец, с изключение на наслагвания блок с бутони за управление на прозореца.
• Добавено е свойство за обработка на сигнал към WritableStreamDefaultController, което връща обект AbortSignal, който може да се използва за незабавно спиране на записите в WritableStream, без да се чака да завършат.
• WebRTC премахна поддръжката за механизма за споразумение за ключове SDES, който беше отхвърлен от IETF през 2013 г. поради опасения за сигурността.
• По подразбиране U2F (Cryptotoken) API е деактивиран, който преди това беше отхвърлен и заменен от API за уеб удостоверяване. U2F API ще бъде напълно премахнат в Chrome 104.
• В API директорията полетоinstalled_browser_version е отхвърлено, заменено от ново поле pending_browser_version, което се различава по това, че съдържа информация за версията на браузъра, като се вземат предвид изтеглените, но неприложени актуализации (т.е. версията, която ще бъде валидна след браузърът се рестартира).
• Премахнати опции, които позволиха да се върне поддръжката за TLS 1.0 и 1.1.
• Направени са подобрения в инструментите за уеб разработчици. Добавен е раздел за оценка на работата на кеша за назад и напред, който осигурява незабавна навигация при използване на бутоните Назад и Напред. Добавена е възможност за емулиране на медийни заявки с принудителни цветове. Добавени са бутони към редактора на Flexbox за поддръжка на свойствата за обръщане на ред и колона. Разделът „Промени“ гарантира, че промените се показват след форматиране на кода, което опростява анализирането на минимизираните страници.

  Реализацията на панела за преглед на кода е актуализирана до изданието на редактора на код CodeMirror 6, което значително подобрява производителността при работа с много големи файлове (WASM, JavaScript), решава проблеми с произволни отмествания по време на навигация и подобрява препоръките на системата за автоматично довършване при редактиране на код. Възможността за филтриране на изхода по име или стойност на свойството е добавена към панела със свойства на CSS.

  

В допълнение към иновациите и корекциите на грешки, новата версия елиминира 27 уязвимости. Много от уязвимостите бяха идентифицирани в резултат на автоматизирано тестване с помощта на инструментите AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Не са идентифицирани критични проблеми, които биха позволили да се заобиколят всички нива на защита на браузъра и да се изпълни код на системата извън средата на пясъчника. Като част от програмата за парични награди за откриване на уязвимости за текущата версия, Google изплати 19 награди на стойност $88 хиляди (две $20000 12000 награди, една $7500 1000 награда, две $7000 5000 награди, четири $3000 2000 награди и по една от $XNUMX XNUMX, $XNUMX XNUMX, $XNUMX XNUMX и $XNUMX.

Източник: opennet.ru