ProHoster > Bloc > notícies d'internet > Chrome versió 102

Chrome versió 102

Google ha presentat el llançament del navegador web Chrome 102. Al mateix temps, està disponible una versió estable del projecte Chromium gratuït, que serveix de base per a Chrome. El navegador Chrome es diferencia de Chromium per l'ús dels logotips de Google, la presència d'un sistema d'enviament de notificacions en cas d'error, mòduls per reproduir contingut de vídeo protegit contra còpies (DRM), un sistema per instal·lar automàticament actualitzacions, habilitant permanentment l'aïllament Sandbox , subministrant claus a l'API de Google i transmetent paràmetres RLZ- en cercar. Per a aquells que necessiten més temps per actualitzar-se, la branca Extended Stable és compatible per separat, seguida de 8 setmanes. La propera versió de Chrome 103 està programada per al 21 de juny.

Canvis clau a Chrome 102:

  • Per bloquejar l'explotació de vulnerabilitats provocades per l'accés a blocs de memòria ja alliberats (use-after-free), en comptes dels punters habituals, es va començar a utilitzar el tipus MiraclePtr (raw_ptr). MiraclePtr proporciona una vinculació sobre punters que realitza comprovacions addicionals dels accessos a les àrees de memòria alliberades i es bloqueja si es detecten aquests accessos. L'impacte del nou mètode de protecció en el rendiment i el consum de memòria es valora com a insignificant. El mecanisme MiraclePtr no és aplicable a tots els processos, en particular no s'utilitza en processos de renderització, però pot millorar significativament la seguretat. Per exemple, a la versió actual, de les 32 vulnerabilitats solucionades, 12 van ser causades per problemes d'ús després de la lliure.
  • S'ha canviat el disseny de la interfície amb informació sobre les descàrregues. En lloc de la línia inferior amb dades sobre el progrés de la descàrrega, s'ha afegit un nou indicador al panell amb la barra d'adreces; quan hi feu clic, es mostra el progrés de la descàrrega de fitxers i un historial amb una llista dels fitxers ja descarregats. A diferència del tauler inferior, el botó es mostra constantment al tauler i us permet accedir ràpidament al vostre historial de descàrregues. Actualment, la nova interfície s'ofereix per defecte només a alguns usuaris i s'estendrà a tots si no hi ha problemes. Per tornar la interfície antiga o activar-ne una de nova, es proporciona la configuració "chrome://flags#download-bubble".
    Chrome versió 102
  • Quan cerqueu imatges a través del menú contextual ("Cerca imatge amb Google Lens" o "Cerca mitjançant Google Lens"), els resultats ara no es mostren en una pàgina separada, sinó en una barra lateral al costat del contingut de la pàgina original (en una finestra es pot veure simultàniament tant el contingut de la pàgina com el resultat d'accedir al cercador).
    Chrome versió 102
  • A la secció "Privadesa i seguretat" de la configuració, s'ha afegit una secció "Guia de privadesa", que ofereix una visió general de les principals configuracions que afecten la privadesa amb explicacions detallades de l'impacte de cada configuració. Per exemple, a l'apartat podeu definir la política d'enviament de dades als serveis de Google, gestionar la sincronització, el tractament de les galetes i l'emmagatzematge de l'historial. La funció s'ofereix a alguns usuaris; per activar-la, podeu utilitzar la configuració "chrome://flags#privacy-guide".
    Chrome versió 102
  • Es proporciona l'estructuració de l'historial de cerca i de les pàgines vistes. Quan intenteu cercar de nou, es mostra una pista "Reprèn el viatge" a la barra d'adreces, que us permetrà continuar la cerca des del lloc on es va interrompre l'última vegada.
    Chrome versió 102
  • Chrome Web Store ofereix una pàgina "Extensions Starter Kit" amb una selecció inicial de complements recomanats.
  • En mode de prova, l'enviament d'una sol·licitud d'autorització CORS (Cross-Origin Resource Sharing) al servidor del lloc principal amb la capçalera "Access-Control-Request-Private-Network: true" està activat quan la pàgina accedeix a un recurs de la xarxa interna ( 192.168.xx , 10.xxx, 172.16.xx) o a localhost (128.xxx). En confirmar l'operació en resposta a aquesta sol·licitud, el servidor ha de retornar la capçalera "Access-Control-Allow-Private-Network: true". A la versió 102 de Chrome, el resultat de la confirmació encara no afecta el processament de la sol·licitud; si no hi ha confirmació, es mostra un avís a la consola web, però la sol·licitud de subrecurs no es bloqueja. No s'espera activar el bloqueig en absència de confirmació del servidor fins al llançament de Chrome 105. Per habilitar el bloqueig en versions anteriors, podeu activar la configuració "chrome://flags/#private-network-access-respect-preflight- resultats".

    Es va introduir la verificació de l'autoritat per part del servidor per reforçar la protecció contra atacs relacionats amb l'accés a recursos a la xarxa local o a l'ordinador de l'usuari (localhost) a partir dels scripts carregats en obrir un lloc. Aquestes sol·licituds són utilitzades pels atacants per dur a terme atacs CSRF a encaminadors, punts d'accés, impressores, interfícies web corporatives i altres dispositius i serveis que accepten sol·licituds només de la xarxa local. Per protegir-se d'aquests atacs, si s'accedeix a algun subrecurs a la xarxa interna, el navegador enviarà una sol·licitud explícita de permís per carregar aquests subrecursos.

  • Quan obriu enllaços en mode d'incògnit mitjançant el menú contextual, alguns paràmetres que afecten la privadesa s'eliminen automàticament de l'URL.
  • S'ha canviat l'estratègia de lliurament d'actualitzacions per a Windows i Android. Per comparar més completament el comportament de les versions noves i antigues, ara es generen diverses versions de la nova versió per a la seva baixada.
  • La tecnologia de segmentació de xarxa s'ha estabilitzat per protegir-se dels mètodes de seguiment dels moviments dels usuaris entre llocs basats en l'emmagatzematge d'identificadors en àrees no destinades a l'emmagatzematge permanent d'informació ("Supercookies"). Com que els recursos de la memòria cau s'emmagatzemen en un espai de noms comú, independentment del domini d'origen, un lloc pot determinar que un altre lloc està carregant recursos comprovant si aquest recurs es troba a la memòria cau. La protecció es basa en l'ús de la segmentació de la xarxa (Network Partitioning), l'essència de la qual és afegir a les memòries cau compartides enllaços addicionals de registres al domini des del qual s'obre la pàgina principal, la qual cosa limita la cobertura de la memòria cau només per als scripts de seguiment de moviments. al lloc actual (un script d'un iframe no podrà comprovar si el recurs s'ha baixat d'un altre lloc). L'estat compartit cobreix connexions de xarxa (HTTP/1, HTTP/2, HTTP/3, websocket), memòria cau DNS, dades ALPN/HTTP2, TLS/HTTP3, configuració, descàrregues i informació de la capçalera Expect-CT.
  • Per a les aplicacions web autònomes instal·lades (PWA, Progressive Web App), és possible canviar el disseny de l'àrea del títol de la finestra mitjançant els components de superposició de controls de finestres, que estenen l'àrea de pantalla de l'aplicació web a tota la finestra. Una aplicació web pot controlar la representació i el processament d'entrada de tota la finestra, amb l'excepció del bloc de superposició amb botons de control de finestra estàndard (tancar, minimitzar, maximitzar), per donar a l'aplicació web l'aspecte d'una aplicació d'escriptori normal.
    Chrome versió 102
  • En el sistema d'emplenament automàtic de formularis, s'ha afegit suport per a la generació de números de targetes de crèdit virtuals en camps amb dades de pagament per a mercaderies a les botigues en línia. L'ús d'una targeta virtual, el número de la qual es genera per a cada pagament, permet no transferir dades sobre una targeta de crèdit real, però requereix la prestació del servei necessari per part del banc. Actualment, la funció només està disponible per als clients bancaris dels EUA. Per controlar la inclusió de la funció, es proposa la configuració "chrome://flags/#autofill-enable-virtual-card".
  • El mecanisme "Capture Handle" està activat de manera predeterminada i us permet transferir informació a aplicacions que capturen vídeo. L'API permet organitzar la interacció entre les aplicacions el contingut de les quals s'enregistra i les aplicacions que realitzen l'enregistrament. Per exemple, una aplicació de videoconferència que està capturant vídeo per transmetre una presentació pot recuperar informació sobre els controls de la presentació i mostrar-los a la finestra de vídeo.
  • El suport per a regles especulatives està activat per defecte, proporcionant una sintaxi flexible per determinar si les dades relacionades amb l'enllaç es poden carregar de manera proactiva abans que l'usuari faci clic a l'enllaç.
  • S'ha estabilitzat el mecanisme per empaquetar recursos en paquets en format Web Bundle, permetent augmentar l'eficiència de càrrega d'un gran nombre de fitxers acompanyants (estils CSS, JavaScript, imatges, iframes). A diferència dels paquets en format Webpack, el format Web Bundle té els següents avantatges: no és el paquet en si mateix el que s'emmagatzema a la memòria cau HTTP, sinó els seus components; la compilació i l'execució de JavaScript comença sense esperar que el paquet es descarregui completament; Es permet incloure recursos addicionals com ara CSS i imatges, que al webpack s'haurien de codificar en forma de cadenes de JavaScript.
  • És possible definir una aplicació PWA com a gestor de determinats tipus MIME i extensions de fitxer. Després de definir una vinculació mitjançant el camp file_handlers del manifest, l'aplicació rebrà un esdeveniment especial quan l'usuari intenti obrir un fitxer associat a l'aplicació.
  • S'ha afegit un nou atribut inert que permet marcar part de l'arbre DOM com a "inactiu". Per als nodes DOM en aquest estat, els controladors de selecció de text i de desplaçament del punter estan desactivats, és a dir. Els esdeveniments de punter i les propietats CSS seleccionades per l'usuari sempre s'estableixen a "cap". Si es pot editar un node, aleshores en mode inert no es pot editar.
  • S'ha afegit l'API de navegació, que permet a les aplicacions web interceptar les operacions de navegació de finestres, iniciar la navegació i analitzar l'historial d'accions amb l'aplicació. L'API proporciona una alternativa a les propietats window.history i window.location, optimitzades per a aplicacions web d'una sola pàgina.
  • S'ha proposat una nova bandera, "fins a trobar", per a l'atribut "ocult", que fa que l'element es pugui cercar a la pàgina i es pugui desplaçar per màscara de text. Per exemple, podeu afegir text ocult a una pàgina, el contingut del qual es trobarà a les cerques locals.
  • A l'API WebHID, dissenyada per a l'accés de baix nivell a dispositius HID (dispositius d'interfície humana, teclats, ratolins, gamepads, touchpads) i organitzar el treball sense la presència de controladors específics al sistema, la propietat exclusionFilters s'ha afegit a requestDevice( ), que us permet excloure determinats dispositius quan el navegador mostra una llista de dispositius disponibles. Per exemple, podeu excloure els identificadors de dispositiu que tinguin problemes coneguts.
  • Està prohibit mostrar un formulari de pagament mitjançant una trucada a PaymentRequest.show() sense una acció explícita de l'usuari, per exemple, fent clic en un element associat amb el gestor.
  • S'ha interromput el suport per a una implementació alternativa del protocol SDP (Session Description Protocol) utilitzat per establir una sessió a WebRTC. Chrome oferia dues opcions SDP: unificades amb altres navegadors i específiques de Chrome. A partir d'ara només queda l'opció portàtil.
  • S'han fet millores a les eines per a desenvolupadors web. S'han afegit botons al tauler Estils per simular l'ús d'un tema fosc i clar. S'ha reforçat la protecció de la pestanya Vista prèvia en mode d'inspecció de xarxa (l'aplicació de la Política de seguretat de contingut està habilitada). El depurador implementa la terminació de l'script per tornar a carregar els punts d'interrupció. S'ha proposat una implementació preliminar del nou panell "Performance insights", que permet analitzar el rendiment de determinades operacions a la pàgina.
    Chrome versió 102

A més de les innovacions i correccions d'errors, la nova versió elimina 32 vulnerabilitats. Moltes de les vulnerabilitats es van identificar com a resultat de proves automatitzades mitjançant les eines AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. A un dels problemes (CVE-2022-1853) s'ha assignat un nivell crític de perill, que implica la capacitat de saltar tots els nivells de protecció del navegador i executar codi al sistema fora de l'entorn sandbox. Els detalls sobre aquesta vulnerabilitat encara no s'han revelat; només se sap que es produeix per accedir a un bloc de memòria alliberat (ús després de lliure) a la implementació de l'API de base de dades indexada.

Com a part del programa de recompenses en efectiu per descobrir vulnerabilitats per a la versió actual, Google va pagar 24 premis per valor de 65600 $ (un premi de 10000 $, un premi de 7500 $, dos premis de 7000 $, tres premis de 5000 $, quatre premis de 3000 $, dos premis de 2000 $ i dos premis de $ 1000 i dos bonificacions de 500 dòlars). La mida de les 7 recompenses encara no s'ha determinat.

Font: opennet.ru

Afegeix comentari