Chrome izdanje 98

Google je predstavio izdanje web pretraživača Chrome 98. U isto vrijeme, dostupno je i stabilno izdanje besplatnog Chromium projekta, koji služi kao osnova Chromea. Chrome pretraživač se odlikuje upotrebom Google logotipa, prisustvom sistema za slanje obavještenja u slučaju pada, modulima za reprodukciju video sadržaja zaštićenog od kopiranja (DRM), sistemom za automatsko instaliranje ažuriranja i prijenosom RLZ parametara kada traženje. Sljedeće izdanje Chrome-a 99 zakazano je za 1. mart.

Ključne promjene u Chrome 98:

• Pregledač ima vlastito skladište korijenskih certifikata certifikacijskih tijela (Chrome Root Store), koje će se koristiti umjesto eksternih skladišta specifičnih za svaki operativni sistem. Skladište je implementirano slično kao neovisno spremište korijenskih certifikata u Firefoxu, koje se koristi kao prva veza za provjeru lanca povjerenja certifikata prilikom otvaranja web lokacija preko HTTPS-a. Nova pohrana se još uvijek ne koristi po defaultu. Kako bi se olakšao prijelaz konfiguracija sistemske pohrane i kako bi se osigurala prenosivost, postojat će prijelazni period tokom kojeg će Chrome Root Store uključivati ​​puni izbor certifikata odobrenih na većini podržanih platformi.
• Plan za jačanje zaštite od napada vezanih za pristup resursima na lokalnoj mreži ili na računaru korisnika (localhost) od skripti učitanih prilikom otvaranja stranice nastavlja se s implementacijom. Takve zahtjeve napadači koriste za izvođenje CSRF napada na rutere, pristupne tačke, štampače, korporativne web interfejse i druge uređaje i servise koji prihvataju zahteve samo iz lokalne mreže.

  Da bi se zaštitio od takvih napada, ako se pristupi bilo kojem podresursu na internoj mreži, pretraživač će početi slati eksplicitni zahtjev za dozvolu za preuzimanje takvih podresursa. Zahtjev za dozvole se provodi slanjem CORS (Cross-Origin Resource Sharing) zahtjeva sa zaglavljem “Access-Control-Request-Private-Network: true” glavnom serveru stranice prije pristupa internoj mreži ili lokalnom hostu. Kada potvrđuje operaciju kao odgovor na ovaj zahtjev, server mora vratiti zaglavlje “Access-Control-Allow-Private-Network: true”. U Chrome 98 provjera je implementirana u test modu i ako nema potvrde, na web konzoli se prikazuje upozorenje, ali sam zahtjev podizvora nije blokiran. Blokiranje se ne planira omogućiti sve dok ne bude objavljen Chrome 101.

• Postavke naloga integriraju alate za upravljanje uključivanjem poboljšanog sigurnog pregledavanja, koje aktivira dodatne provjere radi zaštite od krađe identiteta, zlonamjernih aktivnosti i drugih prijetnji na webu. Kada aktivirate način rada na svom Google računu, od vas će se sada tražiti da aktivirate način rada u Chromeu.
• Dodan model za otkrivanje pokušaja krađe identiteta na strani klijenta, implementiran pomoću TFLite platforme za mašinsko učenje (TensorFlow Lite) i ne zahtijeva slanje podataka za provjeru na Google strani (u ovom slučaju se šalje telemetrija s informacijama o verziji modela i izračunate težine za svaku kategoriju). Ako se otkrije pokušaj krađe identiteta, korisniku će se prikazati stranica upozorenja prije otvaranja sumnjive stranice.
• U API-ju Client Hints, koji se razvija kao zamjena za zaglavlje User-Agent i koji vam omogućava da selektivno pružite podatke o određenim parametrima pretraživača i sistema (verzija, platforma, itd.) samo nakon zahtjeva servera, moguće zameniti izmišljena imena u listu identifikatora pretraživača, u skladu sa analogijama sa GREASE (Generate Random Extensions And Sustain Extensibility) mehanizmom koji se koristi u TLS-u. Na primjer, pored '"Chrome"; v="98″' i '"Chromium"; v="98″' nasumični identifikator nepostojećeg pretraživača '"(Not; Browser"; v="12"' može se dodati na listu. Takva zamjena će pomoći u identifikaciji problema s obradom identifikatora nepoznatih pretraživača, što dovodi do činjenice da su alternativni pretraživači primorani da se pretvaraju da su drugi popularni pretraživači kako bi zaobišli provjeru prema listama prihvatljivih pretraživača.
• Od 17. januara Chrome web trgovina više ne prihvaća dodatke koji koriste verziju 2023 Chrome manifesta. Novi dodaci sada će biti prihvaćeni samo uz treću verziju manifesta. Programeri prethodno dodatih dodataka i dalje će moći objavljivati ​​ažuriranja s drugom verzijom manifesta. Potpuna obustava druge verzije manifesta planirana je za januar XNUMX.
• Dodata podrška za vektorske fontove u boji u formatu COLRv1 (podskup OpenType fontova koji pored vektorskih glifova sadrže sloj sa informacijama o boji), koji se može koristiti, na primjer, za kreiranje višebojnih emotikona. Za razliku od prethodno podržanog formata COLRv0, COLRv1 sada ima mogućnost korištenja gradijenata, preklapanja i transformacija. Format takođe pruža kompaktnu formu za skladištenje, obezbeđuje efikasnu kompresiju i omogućava ponovnu upotrebu kontura, omogućavajući značajno smanjenje veličine fonta. Na primjer, Noto Color Emoji font zauzima 9 MB u rasterskom formatu i 1 MB u vektorskom formatu COLRv1.85.
• Origin Probni režim (eksperimentalne funkcije koje zahtevaju odvojenu aktivaciju) implementira API za snimanje regiona, koji vam omogućava da izrežete snimljeni video. Na primjer, izrezivanje može biti potrebno u web aplikacijama koje snimaju video sa sadržajem svoje kartice, kako bi se izrezao određeni sadržaj prije slanja. Origin Trial podrazumijeva mogućnost rada sa navedenim API-jem iz aplikacija preuzetih sa localhost ili 127.0.0.1, ili nakon registracije i primanja posebnog tokena koji važi ograničeno vrijeme za određenu lokaciju.
• CSS svojstvo "contain-intrinsic-size" sada podržava vrijednost "auto", koja će koristiti posljednju zapamćenu veličinu elementa (kada se koristi sa "content-visibility: auto", programer ne mora pogoditi prikazanu veličinu elementa) .
• Dodano svojstvo AudioContext.outputLatency, preko kojeg možete saznati informacije o predviđenom kašnjenju prije audio izlaza (kašnjenje između audio zahtjeva i početka obrade primljenih podataka od strane audio izlaznog uređaja).
• CSS svojstvo color-scheme, koje omogućava da se odredi u kojim shemama boja element može biti ispravno prikazan („svetlo“, „tamno“, „dnevni režim“ i „noćni režim“), dodat je parametar „jedini“ kako bi se spriječile prisilne promjene boja za pojedinačne HTML elemente. Na primjer, ako navedete “div { color-scheme: only light }”, tada će se za div element koristiti samo svijetla tema, čak i ako pretraživač prisilno omogući tamnu temu.
• Dodata podrška za medijske upite 'dynamic-range' i 'video-dynamic-range' u CSS kako bi se utvrdilo postoji li ekran koji podržava HDR (High Dynamic Range).
• Dodata mogućnost izbora da li da otvorite vezu u novoj kartici, novom prozoru ili iskačućem prozoru funkciji window.open(). Osim toga, svojstvo window.statusbar.visible sada vraća "false" za iskačuće prozore i "true" za kartice i prozore. const popup = window.open(‘_blank’,,”’popup=1′); // Otvori u iskačućem prozoru const tab = window.open(‘_blank’,,”’popup=0′); // Otvori u tab
• Metoda structuredClone() implementirana je za prozore i radnike, koja vam omogućava da kreirate rekurzivne kopije objekata koji uključuju svojstva ne samo specificiranog objekta, već i svih drugih objekata na koje upućuje trenutni objekt.
• API za Web Authentication je dodao podršku za ekstenziju specifikacije FIDO CTAP2, koja vam omogućava da postavite minimalnu dozvoljenu veličinu PIN koda (minPinLength).
• Za instalirane samostalne web aplikacije dodana je komponenta Window Controls Overlay koja proširuje područje ekrana aplikacije na cijeli prozor, uključujući područje naslova, na kojem se nalaze standardni kontrolni gumbi prozora (zatvori, minimizira, maksimizira ) su superponirani. Web aplikacija može kontrolirati renderiranje i obradu unosa cijelog prozora, osim preklapajućeg bloka sa dugmadima za kontrolu prozora.
• Dodano je svojstvo rukovanja signalom WritableStreamDefaultControlleru koje vraća objekat AbortSignal, koji se može koristiti za trenutno zaustavljanje upisivanja u WritableStream bez čekanja da se završe.
• WebRTC je uklonio podršku za mehanizam sporazuma o ključu SDES, koji je IETF zastario 2013. godine zbog sigurnosnih razloga.
• Prema zadanim postavkama, U2F (Cryptotoken) API je onemogućen, koji je prethodno bio zastario i zamijenjen API-jem za web autentifikaciju. U2F API će biti potpuno uklonjen u Chromeu 104.
• U API direktorijumu, polje Install_browser_version je zastarjelo, zamijenjeno novim poljem pending_browser_version, koje se razlikuje po tome što sadrži informacije o verziji preglednika, uzimajući u obzir preuzeta, ali neprimijenjena ažuriranja (tj. verziju koja će biti važeća nakon pretraživač se ponovo pokreće).
• Uklonjene su opcije koje su omogućavale vraćanje podrške za TLS 1.0 i 1.1.
• Napravljena su poboljšanja u alatima za web programere. Dodata je kartica za procjenu rada keš memorije Nazad-naprijed, koja pruža trenutnu navigaciju kada se koriste dugmad Nazad i Naprijed. Dodata mogućnost emulacije medijskih upita prisilnih boja. Dodata dugmad u Flexbox uređivač da podrže svojstva row-reverse i column-reverse. Kartica “Promjene” osigurava da se promjene prikazuju nakon formatiranja koda, što pojednostavljuje raščlanjivanje minimiziranih stranica.

  Implementacija panela za pregled koda je ažurirana do izdavanja CodeMirror 6 uređivača koda, koji značajno poboljšava performanse rada sa veoma velikim fajlovima (WASM, JavaScript), rešava probleme sa slučajnim pomacima tokom navigacije i poboljšava preporuke sistem automatskog dovršavanja prilikom uređivanja koda. Mogućnost filtriranja izlaza prema imenu svojstva ili vrijednosti je dodana na CSS panel svojstava.

  

Pored inovacija i ispravki grešaka, nova verzija eliminiše 27 ranjivosti. Mnoge ranjivosti su identifikovane kao rezultat automatizovanog testiranja pomoću alata AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Nisu identifikovani kritični problemi koji bi omogućili da se zaobiđu svi nivoi zaštite pretraživača i izvrši kod na sistemu izvan okruženja sandbox-a. Kao dio programa novčane nagrade za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 19 nagrada u vrijednosti od 88 hiljada dolara (dvije nagrade od 20000 dolara, jedna nagrada od 12000 dolara, dvije nagrade od 7500 dolara, četiri nagrade od 1000 dolara i po jedna od 7000, 5000 i 3000 dolara svaka .

izvor: opennet.ru