Chrome versió 97

Google ha presentat el llançament del navegador web Chrome 97. Al mateix temps, està disponible una versió estable del projecte Chromium gratuït, que serveix de base per a Chrome. El navegador Chrome es distingeix per l'ús de logotips de Google, la presència d'un sistema per enviar notificacions en cas d'error, mòduls per reproduir contingut de vídeo protegit contra còpia (DRM), un sistema per instal·lar automàticament actualitzacions i transmetre paràmetres RLZ quan buscant. Per a aquells que necessiten més temps per actualitzar-se, hi ha una branca estable ampliada independent, seguida de 8 setmanes, que forma una actualització de la versió anterior de Chrome 96. La propera versió de Chrome 98 està programada per a l'1 de febrer.

Canvis clau a Chrome 97:

• Per a alguns usuaris, el configurador utilitza una nova interfície per gestionar les dades emmagatzemades al costat del navegador ("chrome://settings/content/all"). La diferència clau de la nova interfície és el seu enfocament a establir permisos i esborrar totes les galetes del lloc alhora, sense la possibilitat de veure informació detallada sobre les galetes individuals i eliminar-les selectivament. Segons Google, l'accés a la gestió de galetes individuals per a un usuari normal que no entén les complexitats del desenvolupament web pot provocar interrupcions imprevisibles en el funcionament dels llocs a causa de canvis irreflexius en els paràmetres individuals, així com la desactivació accidental de la privadesa. mecanismes de protecció activats mitjançant Cookies. Per a aquells que necessitin manipular Cookies individuals, es recomana utilitzar l'apartat de gestió d'emmagatzematge en eines per a desenvolupadors web (Aplicació/Emmagatzematge/Cookie).
• Al bloc amb informació sobre el lloc, es mostra una breu descripció del lloc (per exemple, una descripció de la Viquipèdia) si el mode d'optimització de cerca i navegació està activat a la configuració (l'opció "Fer millor les cerques i la navegació").
• Suport millorat per omplir automàticament camps en formularis web. Les recomanacions amb opcions d'emplenament automàtic ara es mostren amb un lleuger canvi i es proporcionen icones d'informació per a una visualització prèvia més còmoda i una identificació visual de la connexió amb el camp que s'està omplint. Per exemple, la icona del perfil deixa clar que l'emplenament automàtic proposat afecta els camps relacionats amb l'adreça i la informació de contacte.
• S'ha activat l'eliminació dels controladors de perfils d'usuari de la memòria després de tancar les finestres del navegador associades a ells. Anteriorment, els perfils romanien a la memòria i continuaven realitzant treballs relacionats amb la sincronització i l'execució d'scripts de complements en segon pla, la qual cosa va provocar un malbaratament innecessari de recursos en sistemes que utilitzen diversos perfils simultàniament (per exemple, un perfil de convidat i enllaçar a un compte de Google). ). A més, s'assegura una neteja més exhaustiva de les dades restants mentre es treballa amb el perfil.
• Pàgina millorada amb la configuració del motor de cerca (“Configuració>Gestiona els motors de cerca”). L'activació automàtica dels motors, la informació sobre la qual es proporciona quan s'obre un lloc a través de l'script d'OpenSearch, s'ha desactivat: els nous motors per processar consultes de cerca des de la barra d'adreces ara s'han d'activar manualment a la configuració (els motors anteriorment activats automàticament continuaran treballar sense canvis).
• A partir del 17 de gener, Chrome Web Store ja no acceptarà complements que utilitzin la versió XNUMX del manifest de Chrome, però els desenvolupadors de complements afegits anteriorment encara podran publicar actualitzacions.
• S'ha afegit suport experimental per a l'especificació WebTransport, que defineix un protocol i l'API JavaScript que l'acompanya per enviar i rebre dades entre el navegador i el servidor. El canal de comunicació s'organitza sobre HTTP/3 utilitzant el protocol QUIC com a transport. WebTransport es pot utilitzar en lloc del mecanisme WebSockets, que ofereix funcions addicionals com ara transmissió multi-stream, fluxos unidireccionals, lliurament fora de comanda, modes de lliurament fiables i poc fiables. A més, es pot utilitzar WebTransport en lloc del mecanisme Server Push, que Google ha abandonat a Chrome.
• Els mètodes findLast i findLastIndex s'han afegit als objectes JavaScript Array i TypedArrays, la qual cosa us permet cercar elements amb la sortida del resultat relativa al final de la matriu. [1,2,3,4].findLast((el) => el % 2 === 0) // → 4 (últim element par)
• Elements HTML tancats (sense atributs "oberts") , ara es poden cercar i enllaçar, i s'amplien automàticament quan s'utilitza la cerca de pàgines i la navegació per fragments (ScrollToTextFragment).
• Les restriccions de la política de seguretat de contingut (CSP) a les capçaleres de resposta del servidor ara s'apliquen als treballadors dedicats, que abans es tractaven com a documents separats.
• S'ha proporcionat una sol·licitud explícita perquè l'autoritat baixi qualsevol subrecurs de la xarxa interna: abans d'accedir a la xarxa interna o a l'host local, una sol·licitud CORS (Compartició de recursos entre orígens) amb la capçalera "Access-Control-Request-Private- Xarxa: veritable" ara s'envia al servidor del lloc principal que requereix confirmació de l'operació retornant la capçalera "Access-Control-Allow-Private-Network: true".
• S'ha afegit la propietat CSS font-synthesis, que us permet controlar si el navegador pot sintetitzar els estils de lletra que falten (oblics, negres i majúscules petites) que no es troben a la família de tipus de lletra seleccionada.
• Per a les transformacions CSS, la funció perspective() implementa un paràmetre "cap", que es tracta com un valor infinit quan s'organitza l'animació.
• La capçalera HTTP de Permissions-Policy (Feature Policy), que s'utilitza per delegar l'autoritat i habilitar funcions avançades, ara admet el valor del mapa del teclat, que permet l'ús de l'API del teclat. S'ha implementat el mètode Keyboard.getLayoutMap(), que permet determinar quina tecla es prem, tenint en compte diferents dissenys de teclat (per exemple, es prem una tecla en un disseny rus o anglès).
• S'ha afegit el mètode HTMLScriptElement.supports(), que unifica la definició de noves característiques disponibles a l'element "script", per exemple, podeu trobar la llista de valors admesos per a l'atribut "type".
• El procés de normalització de noves línies en enviar formularis web s'ha alineat amb els motors de navegador Gecko i WebKit. La normalització dels passos de línia i els retorns de carro (substituint /r i /n per \r\n) a Chrome ara es fa a l'etapa final i no a l'inici del processament d'enviament del formulari (és a dir, els processadors intermedis que utilitzen l'objecte FormData veuran les dades com afegit per l'usuari, i no en una forma normalitzada).
• La denominació dels noms de propietat s'ha estandarditzat per a l'API Client Hints, que s'està desenvolupant com a reemplaçament de la capçalera User-Agent i us permet proporcionar de manera selectiva dades sobre paràmetres específics del navegador i del sistema (versió, plataforma, etc.) només després de una sol·licitud del servidor. Ara les propietats s'especifiquen amb el prefix "sec-ch-", per exemple, sec-ch-dpr, sec-ch-width, sec-ch-viewport-width, sec-ch-device-memory, sec-ch-rtt , sec-ch-downlink i sec-ch-ect.
• S'ha aplicat la segona etapa d'interrupció del suport per a l'API de WebSQL, l'accés a la qual ara es bloquejarà des d'scripts de tercers. En el futur, tenim previst eliminar gradualment el suport per a WebSQL completament, independentment del context d'ús. El motor WebSQL es basa en codi SQLite i podria ser utilitzat pels atacants per explotar vulnerabilitats a SQLite.
• Per a la plataforma Windows, s'inclou un conjunt amb comprovacions d'integritat del flux d'execució (CFG, Control Flow Guard) que bloqueja els intents d'inserció de codi al procés de Chrome. A més, ara l'aïllament sandbox s'aplica als serveis de xarxa que s'executen en processos separats, limitant les capacitats del codi en aquests processos.
• Chrome per a Android inclou un mecanisme per actualitzar dinàmicament el registre dels certificats emesos i revocats (Certificate Transparency), que anteriorment s'activava a les tarifes dels sistemes d'escriptori.
• S'han fet millores a les eines per a desenvolupadors web. S'ha implementat suport experimental per sincronitzar la configuració de DevTools entre diferents dispositius. S'ha afegit un nou panell de gravador, amb el qual podeu gravar, reproduir i analitzar les accions de l'usuari a la pàgina.

  Quan es mostren errors a la consola web, es mostren els números de columna associats al problema, cosa que és convenient per depurar problemes en codi JavaScript minificat. S'ha actualitzat la llista de dispositius que es poden simular per avaluar la visualització de pàgines en dispositius mòbils. A la interfície d'edició de blocs HTML (Edita com a HTML), s'ha afegit el ressaltat de sintaxi i la possibilitat d'autocompletar l'entrada.

  

A més de les innovacions i correccions d'errors, la nova versió elimina 37 vulnerabilitats. Moltes de les vulnerabilitats es van identificar com a resultat de proves automatitzades mitjançant les eines AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. A una de les vulnerabilitats s'ha assignat l'estat d'un problema crític, la qual cosa permet passar per alt tots els nivells de protecció del navegador i executar codi al sistema, fora de l'entorn sandbox. Els detalls sobre la vulnerabilitat crítica (CVE-2022-0096) encara no s'han revelat, només se sap que està associada amb l'accés a una àrea de memòria ja alliberada al codi per treballar amb emmagatzematge intern (Storage API).

Com a part del programa per pagar recompenses en efectiu per descobrir vulnerabilitats per a la versió actual, Google va pagar 24 premis per valor de 54 dòlars (tres premis de 10000 dòlars, dos premis de 5000 dòlars, un premi de 4000 dòlars, tres premis de 3000 dòlars i un premi de 1000 dòlars). La mida de 14 recompenses encara no s'ha determinat.

Font: opennet.ru