Chrome izdanje 102

Google je predstavio izdanje web pretraživača Chrome 102. U isto vrijeme, dostupno je i stabilno izdanje besplatnog Chromium projekta, koji služi kao osnova Chromea. Chrome pretraživač se razlikuje od Chromium-a po korištenju Google logotipa, prisutnosti sistema za slanje obavještenja u slučaju pada, modula za reprodukciju video sadržaja zaštićenog od kopiranja (DRM), sistema za automatsko instaliranje ažuriranja, trajnog omogućavanja Sandbox izolacije , dostavljanje ključeva Google API-ju i prijenos RLZ- parametara prilikom pretraživanja. Za one kojima je potrebno više vremena za ažuriranje, proširena stabilna grana je posebno podržana, nakon čega slijedi 8 sedmica. Sljedeće izdanje Chromea 103 zakazano je za 21. jun.

Ključne promjene u Chrome 102:

• Za blokiranje iskorištavanja ranjivosti uzrokovanih pristupom već oslobođenim memorijskim blokovima (use-after-free), umjesto običnih pokazivača, počeo se koristiti tip MiraclePtr (raw_ptr). MiraclePtr pruža povezivanje preko pokazivača koji vrši dodatne provjere pristupa oslobođenim memorijskim područjima i ruši ako se takvi pristupi otkriju. Utjecaj nove metode zaštite na performanse i potrošnju memorije procjenjuje se kao zanemarljiv. Mehanizam MiraclePtr nije primjenjiv u svim procesima, posebno se ne koristi u procesima renderiranja, ali može značajno poboljšati sigurnost. Na primjer, u trenutnom izdanju, od 32 popravljene ranjivosti, 12 je uzrokovano problemima bez upotrebe.
• Dizajn interfejsa sa informacijama o preuzimanjima je promenjen. Umjesto donjeg reda sa podacima o toku preuzimanja, na panel sa adresnom trakom dodat je novi indikator, kada kliknete na njega, prikazuje se napredak preuzimanja datoteka i historija sa listom već preuzetih datoteka. Za razliku od donjeg panela, dugme je stalno prikazano na panelu i omogućava vam brz pristup istoriji preuzimanja. Novo sučelje je trenutno standardno ponuđeno samo nekim korisnicima i bit će prošireno na sve ako ne bude problema. Da biste vratili stari interfejs ili omogućili novi, obezbeđena je postavka „chrome://flags#download-bubble”.
• Kada pretražujete slike kroz kontekstni meni („Traži sliku pomoću Google Lensa” ili „Pronađi preko Google Lensa”), rezultati se sada ne prikazuju na posebnoj stranici, već na bočnoj traci pored sadržaja originalne stranice (u u jednom prozoru možete istovremeno vidjeti i sadržaj stranice i rezultat pristupa tražilici).
• U odjeljku "Privatnost i sigurnost" postavki dodat je odjeljak "Vodič za privatnost" koji nudi opći pregled glavnih postavki koje utiču na privatnost sa detaljnim objašnjenjima utjecaja svake postavke. Na primjer, u odjeljku možete definirati politiku slanja podataka Google servisima, upravljati sinhronizacijom, obradom kolačića i čuvanjem historije. Funkcija je ponuđena nekim korisnicima; da biste je aktivirali, možete koristiti postavku "chrome://flags#privacy-guide".
• Omogućeno je strukturiranje historije pretraživanja i pregledanih stranica. Kada ponovo pokušate da pretražujete, u adresnoj traci se prikazuje nagoveštaj „Nastavite sa putovanjem“, što vam omogućava da nastavite pretragu sa mesta gde je bila prekinuta prošli put.
• Chrome web trgovina nudi stranicu "Extensions Starter Kit" sa početnim izborom preporučenih dodataka.
• U test modu, slanje CORS (Cross-Origin Resource Sharing) zahtjeva za autorizaciju glavnom serveru stranice sa zaglavljem “Access-Control-Request-Private-Network: true” je omogućeno kada stranica pristupi resursu na internoj mreži ( 192.168.xx , 10.xxx, 172.16.xx) ili na lokalni host (128.xxx). Kada potvrđuje operaciju kao odgovor na ovaj zahtjev, server mora vratiti zaglavlje “Access-Control-Allow-Private-Network: true”. U Chrome verziji 102, rezultat potvrde još ne utječe na obradu zahtjeva - ako nema potvrde, na web konzoli se prikazuje upozorenje, ali sam zahtjev podizvora nije blokiran. Omogućavanje blokiranja u nedostatku potvrde sa servera se ne očekuje do izlaska Chromea 105. Da biste omogućili blokiranje u ranijim izdanjima, možete omogućiti postavku "chrome://flags/#private-network-access-respect-preflight- rezultati“.

  Provjera ovlaštenja od strane servera uvedena je kako bi se ojačala zaštita od napada vezanih za pristup resursima na lokalnoj mreži ili na korisnikovom računalu (localhost) od skripti učitanih prilikom otvaranja stranice. Takve zahtjeve napadači koriste za izvođenje CSRF napada na rutere, pristupne tačke, štampače, korporativne web interfejse i druge uređaje i servise koji prihvataju zahteve samo iz lokalne mreže. Da bi se zaštitio od takvih napada, ako se pristupi bilo kojem podresursu na internoj mreži, pretraživač će poslati eksplicitni zahtjev za dozvolu za učitavanje ovih podresursa.

• Prilikom otvaranja linkova u anonimnom načinu putem kontekstnog izbornika, neki parametri koji utiču na privatnost se automatski uklanjaju iz URL-a.
• Strategija isporuke ažuriranja za Windows i Android je promijenjena. Da bi se potpunije uporedilo ponašanje novih i starih izdanja, sada se generira više verzija nove verzije za preuzimanje.
• Tehnologija segmentacije mreže je stabilizirana kako bi se zaštitila od metoda praćenja kretanja korisnika između lokacija na osnovu pohranjivanja identifikatora u područjima koja nisu namijenjena za trajno skladištenje informacija (“Superkolačići”). Budući da su keširani resursi pohranjeni u zajedničkom imenskom prostoru, bez obzira na izvornu domenu, jedna lokacija može utvrditi da druga lokacija učitava resurse provjeravanjem da li je taj resurs u kešu. Zaštita se zasniva na korištenju mrežne segmentacije (Network Partitioning), čija je suština da se zajedničkim kešovima doda dodatno vezivanje zapisa za domen sa kojeg se otvara glavna stranica, čime se ograničava pokrivenost keša samo za skripte za praćenje kretanja na trenutnu lokaciju (skripta iz iframe-a neće moći provjeriti da li je resurs preuzet sa druge stranice). Dijeljenje stanja pokriva mrežne veze (HTTP/1, HTTP/2, HTTP/3, websocket), DNS keš, ALPN/HTTP2, TLS/HTTP3 podatke, konfiguraciju, preuzimanja i informacije zaglavlja Expect-CT.
• Za instalirane samostalne web aplikacije (PWA, Progressive Web App), moguće je promijeniti dizajn područja naslova prozora pomoću komponenti Window Controls Overlay, koje proširuju područje ekrana web aplikacije na cijeli prozor. Web aplikacija može kontrolirati renderiranje i obradu unosa cijelog prozora, s izuzetkom bloka preklapanja sa standardnim kontrolnim gumbima prozora (zatvori, minimiziraj, maksimiziraj), kako bi web aplikaciji dao izgled obične desktop aplikacije.
• U sistemu automatskog popunjavanja formulara dodata je podrška za generisanje virtuelnih brojeva kreditnih kartica u poljima sa detaljima plaćanja za robu u online prodavnicama. Korištenje virtuelne kartice, čiji se broj generira za svako plaćanje, omogućava vam da ne prenosite podatke o stvarnoj kreditnoj kartici, ali zahtijeva pružanje potrebne usluge od strane banke. Funkcija je trenutno dostupna samo klijentima američkih banaka. Za kontrolu uključivanja funkcije predlaže se postavka "chrome://flags/#autofill-enable-virtual-card".
• Mehanizam “Capture Handle” je aktiviran prema zadanim postavkama, omogućavajući vam da prenesete informacije u aplikacije koje snimaju video. API omogućava organiziranje interakcije između aplikacija čiji se sadržaj snima i aplikacija koje vrše snimanje. Na primjer, aplikacija za video konferencije koja snima video za emitiranje prezentacije može dohvatiti informacije o kontrolama prezentacije i prikazati ih u video prozoru.
• Podrška za spekulativna pravila je omogućena prema zadanim postavkama, pružajući fleksibilnu sintaksu za određivanje da li se podaci vezani za vezu mogu proaktivno učitati prije nego što korisnik klikne na vezu.
• Mehanizam pakovanja resursa u pakete u formatu Web Bundle je stabilizovan, što omogućava povećanje efikasnosti učitavanja velikog broja pratećih fajlova (CSS stilovi, JavaScript, slike, iframeovi). Za razliku od paketa u formatu Webpack, format Web Bundle ima sljedeće prednosti: nije sam paket pohranjen u HTTP keš memoriji, već njegovi sastavni dijelovi; kompilacija i izvršavanje JavaScripta počinje bez čekanja da se paket u potpunosti preuzme; Dozvoljeno je uključiti dodatne resurse kao što su CSS i slike, koje bi u web paketu morale biti kodirane u obliku JavaScript stringova.
• Moguće je definirati PWA aplikaciju kao rukovaoca određenim MIME tipovima i ekstenzijama datoteka. Nakon definiranja povezivanja kroz polje file_handlers u manifestu, aplikacija će primiti poseban događaj kada korisnik pokuša otvoriti datoteku povezanu s aplikacijom.
• Dodan je novi inertni atribut koji vam omogućava da označite dio DOM stabla kao "neaktivan". Za DOM čvorove u ovom stanju, odabir teksta i rukovanje pokazivačem su onemogućeni, tj. Događaji pokazivača i CSS svojstva za odabir korisnika uvijek su postavljeni na 'none'. Ako se čvor može uređivati, tada u inertnom modu postaje nemoguć za uređivanje.
• Dodan API za navigaciju, koji omogućava web aplikacijama da presretnu operacije navigacije kroz prozore, započnu navigaciju i analiziraju historiju radnji s aplikacijom. API pruža alternativu svojstvima window.history i window.location, optimiziran za web aplikacije na jednoj stranici.
• Za atribut "hidden" predložena je nova zastavica, "dok se ne pronađe", koja čini element pretraživim na stranici i pomicanjem po tekstualnoj maski. Na primjer, možete dodati skriveni tekst na stranicu čiji će se sadržaj pronaći u lokalnim pretragama.
• U WebHID API-ju, dizajniranom za pristup niskog nivoa HID uređajima (Ljudski interfejs uređaji, tastature, miševi, gamepadi, touchpadi) i organizovanje rada bez prisustva određenih drajvera u sistemu, svojstvo exclusionFilters je dodato u requestDevice( ) objekt, koji vam omogućava da isključite određene uređaje kada pretraživač prikaže listu dostupnih uređaja. Na primjer, možete isključiti ID-ove uređaja koji imaju poznate probleme.
• Zabranjeno je prikazivanje obrasca za plaćanje putem poziva PaymentRequest.show() bez eksplicitne radnje korisnika, na primjer, klikom na element povezan s rukovaocem.
• Podrška za alternativnu implementaciju SDP (Session Description Protocol) protokola koji se koristi za uspostavljanje sesije u WebRTC-u je ukinuta. Chrome je ponudio dvije SDP opcije – objedinjene sa drugim pretraživačima i specifične za Chrome. Od sada ostaje samo prenosiva opcija.
• Napravljena su poboljšanja u alatima za web programere. Dodata dugmad na panel Stilovi za simulaciju upotrebe tamne i svijetle teme. Pojačana je zaštita kartice Pregled u modu inspekcije mreže (omogućena je primjena Politike sigurnosti sadržaja). Debugger implementira završetak skripte za ponovno učitavanje tačaka prekida. Predložena je preliminarna implementacija novog panela “Performance insights” koji vam omogućava da analizirate performanse određenih operacija na stranici.

Pored inovacija i ispravki grešaka, nova verzija eliminiše 32 ranjivosti. Mnoge ranjivosti su identifikovane kao rezultat automatizovanog testiranja pomoću alata AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Jednom od problema (CVE-2022-1853) je dodijeljen kritični nivo opasnosti, koji podrazumijeva mogućnost zaobilaženja svih nivoa zaštite pretraživača i izvršavanja koda na sistemu izvan okruženja sandbox-a. Detalji o ovoj ranjivosti još nisu objavljeni; poznato je samo da je uzrokovana pristupom oslobođenom memorijskom bloku (use-after-free) u implementaciji API-ja indeksirane DB.

Kao dio programa novčane nagrade za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 24 nagrade u vrijednosti od 65600 dolara (jedna nagrada od 10000 dolara, jedna nagrada od 7500 dolara, dvije nagrade od 7000 dolara, tri nagrade od 5000 dolara, četiri nagrade od 3000 dolara, dvije nagrade od 2000 dolara i dvije nagrade od 1000 dolara 500 dolara bonusa). Veličina 7 nagrada još nije određena.

izvor: opennet.ru