Google пусна версия 142 на уеб браузъра Chrome. Налична е и стабилна версия на проекта с отворен код Chromium, основата на Chrome. Chrome се различава от Chromium по използването на лога на Google, система за известяване при сривове, модули за възпроизвеждане на видео съдържание, защитено от копиране (DRM), автоматично инсталиране на актуализации, изолация в пясъчник (sandbox) винаги включена, предоставяне на ключове за API на Google и предаване на RLZ параметри по време на търсене. За тези, които се нуждаят от повече време за актуализация, се поддържа отделен разширен стабилен клон (Extended Stable) за осем седмици. Следващата версия, Chrome 143, е насрочена за 2 декември.
Ключови промени в Chrome 142:
- Защитата на достъпа до локалната система е активирана при взаимодействие с публични уебсайтове. При достъп до уебсайт в публична или вътрешна мрежа (интранет), IP адреси При достъп до локалната система или интерфейса за обратна връзка (127.0.0.0/8), браузърът ще покаже на потребителя диалогов прозорец, изискващ потвърждение. Опитите за изтегляне на ресурси, заявките fetch() и вмъкването на iframe са защитени. Защитата в момента не се прилага за връзки чрез WebSockets, WebTransport и WebRTC, но ще бъде добавена за тези технологии по-късно.
Нападателите използват достъпа до вътрешни ресурси, за да извършват CSRF атаки срещу рутери, точки за достъп, принтери, корпоративни уеб интерфейси и други устройства и услуги, които приемат заявки само от локалната мрежа. Освен това, сканирането на вътрешни ресурси може да се използва за индиректна идентификация или за събиране на информация за локалната мрежа.
- Въведен е единен, опростен интерфейс за свързване с акаунт в Google и синхронизиране на данни, като например запазени пароли и отметки. Синхронизирането е интегрирано с влизането в акаунта и не е представено като отделна опция в настройките. Потребителите могат да свържат Chrome с акаунта си в Google и да го използват за съхраняване на пароли, отметки, история на сърфиране и раздели. Тази функция в момента е активна за някои потребители и ще бъде разширявана постепенно.
- Използва се нов модел за изолиране на процеси - „Изолиране на произхода“, при който всеки източник на съдържание (произход - обвързване на протокол, домейн и портът, например „https://foo.example.com“), е изолиран в отделен процес на рендиране. Тъй като увеличаването на гранулираността на изолацията може да доведе до увеличена консумация на памет и натоварване на процесора, новият режим на изолация е активиран само на системи с повече от 4 GB RAM. На хардуер с ниска мощност ще продължи да се използва старият подход за изолация, който изолира всички различни източници на съдържание, свързани с един сайт (например foo.example.com и bar.example.com), в отделен процес.
- В системи с Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Във версията за Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Имплементацията на протокола DTLS (Datagram Transport Layer Security, TLS аналог на UDP), използван за WebRTC връзки, включва използването на алгоритми за пост-квантово криптиране.
- Статусът на активиране, зададен по време на потребителска активност на страница, вече се запазва след преминаване към друга страница в същия домейн. Запазването на активирането ще опрости разработването на многостранични уеб приложения и ще реши проблеми като задаване на фокуса на въвеждане, когато сайтът показва виртуалната си клавиатура.
- Добавени са CSS псевдокласовете ":target-before" и ":target-after", за да се дефинират предишните и следващите маркери спрямо текущата позиция на превъртане (":target-current").
- Контейнерите за стил (@container) и функцията if() вече поддържат синтаксиса на диапазона, дефиниран в спецификацията Media Queries Level 4, който позволява използването на стандартни математически оператори за сравнение и логически оператори за дефиниране на диапазони от стойности. Например, вече можете да укажете „@container style(—inner-padding > 1em)“ и „background-color: if(style(attr(data-columns, type ) > 2): светлосиньо; иначе: бяло);"
- Елементите „ “ и „ “ вече поддържат атрибута „interestfor“. Този атрибут може да се използва за задействане на действия, като например показване на изскачащ прозорец, когато потребителят прояви интерес към елемента. Браузърът разпознава събития като задържане на курсора на мишката върху елемента, натискане на клавишни комбинации или задържане на докосване на сензорен екран като индикатори за интерес. Когато бъде идентифициран елемент с атрибут „interestfor“, браузърът генерира InterestEvent.
- Направени са подобрения в инструментите за уеб разработчици. В горния десен ъгъл е добавен бутон за бързо стартиране на AI асистента. Елементът от контекстното меню „Ask AI“ е преименуван на „Debug with AI“ и е разширен, за да включва възможността за извършване на незабавни действия в зависимост от контекста. В уеб конзолата и панела с код, Gemini AI асистентът вече може да генерира препоръки с код.
Инструментите за уеб разработчици вече се интегрират с програмата за разработчици на Google (GDP). Разработчиците вече могат да имат достъп до своя GDP профил директно от Chrome DevTools и да печелят награди за изпълнение на конкретни задачи в този интерфейс.
В допълнение към новите функции и корекциите на грешки, новата версия отстранява 20 уязвимости. Много от уязвимостите бяха идентифицирани чрез автоматизирано тестване с помощта на AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Не бяха идентифицирани критични проблеми, които биха могли да позволят заобикаляне на всички слоеве на защита на браузъра и изпълнение на код извън пясъчната среда. Като част от програмата за награди за уязвимости за текущата версия, Google е установила 20 награди на обща стойност 130 000 долара (две награди от 50 000 долара, една награда от 10 000 долара, три награди от 3000 долара, две награди от 2000 долара и три награди от 1000 долара). Размерът на осем от наградите все още не е определен.
Освен това, в двигателя Blink е идентифицирана неотстранена уязвимост, която води до срив и замръзване на браузъра при изпълнение на определен JavaScript код. Уязвимостта е причинена от архитектурни проблеми в двигателя за рендиране, свързани с липсата на ограничение за честотата на актуализиране на свойството "document.title". Тази липса на ограничение позволява "document.title" да се използва за извършване на десетки милиони промени в DOM в секунда. Това води до замръзване на интерфейса в рамките на няколко секунди поради блокиране на основната нишка и значителна консумация на памет. След 15-60 секунди браузърът се срива.
Източник: opennet.ru
