ProHoster > Blog > internetové zprávy > Vydání Chrome 102

Vydání Chrome 102

Google odhalil vydání webového prohlížeče Chrome 102. Zároveň je k dispozici stabilní vydání bezplatného projektu Chromium, který slouží jako základ Chromu. Prohlížeč Chrome se od Chromia liší použitím log Google, přítomností systému pro zasílání upozornění v případě pádu, moduly pro přehrávání videoobsahu chráněného proti kopírování (DRM), systémem pro automatickou instalaci aktualizací, trvale umožňující izolaci Sandbox , dodává klíče do Google API a přenáší RLZ- při vyhledávání. Pro ty, kteří potřebují více času na aktualizaci, je samostatně podporována větev Extended Stable, po níž následuje 8 týdnů. Další vydání Chrome 103 je naplánováno na 21. června.

Klíčové změny v Chrome 102:

  • Pro zablokování zneužití zranitelností způsobených přístupem k již uvolněným blokům paměti (use-after-free) se místo běžných ukazatelů začal používat typ MiraclePtr (raw_ptr). MiraclePtr poskytuje vazbu přes ukazatele, která provádí dodatečné kontroly přístupů k uvolněným oblastem paměti a zhroutí se, pokud jsou takové přístupy detekovány. Vliv nového způsobu ochrany na výkon a spotřebu paměti je hodnocen jako zanedbatelný. Mechanismus MiraclePtr není použitelný ve všech procesech, zejména se nepoužívá v procesech vykreslování, ale může výrazně zlepšit zabezpečení. Například v aktuální verzi bylo z 32 opravených zranitelností 12 způsobeno problémy po použití.
  • Změnil se design rozhraní s informacemi o stahování. Místo spodního řádku s údaji o průběhu stahování přibyl na panelu s adresním řádkem nový ukazatel, po kliknutí na něj se zobrazí průběh stahování souborů a historie se seznamem již stažených souborů. Na rozdíl od spodního panelu je tlačítko na panelu neustále zobrazeno a umožňuje rychlý přístup k historii stahování. Nové rozhraní je aktuálně standardně nabízeno pouze některým uživatelům a pokud nenastanou problémy, bude rozšířeno na všechny. Chcete-li vrátit staré rozhraní nebo povolit nové, je k dispozici nastavení „chrome://flags#download-bubble“.
    Vydání Chrome 102
  • Při vyhledávání obrázků pomocí kontextové nabídky („Vyhledat obrázek pomocí Google Lens“ nebo „Najít přes Google Lens“) se nyní výsledky nezobrazují na samostatné stránce, ale v postranním panelu vedle obsahu původní stránky (v v jednom okně můžete současně vidět jak obsah stránky, tak i výsledek přístupu k vyhledávači).
    Vydání Chrome 102
  • V části nastavení „Ochrana osobních údajů a zabezpečení“ byla přidána část „Průvodce soukromím“, která nabízí obecný přehled hlavních nastavení ovlivňujících soukromí s podrobným vysvětlením dopadu jednotlivých nastavení. V sekci můžete například definovat zásady pro odesílání dat do služeb Google, spravovat synchronizaci, zpracování souborů cookie a ukládání historie. Funkce je nabízena některým uživatelům, pro její aktivaci lze použít nastavení „chrome://flags#privacy-guide“.
    Vydání Chrome 102
  • Je poskytována struktura historie vyhledávání a prohlížených stránek. Když se pokusíte hledat znovu, v adresním řádku se zobrazí nápověda „Obnovit cestu“, která vám umožní pokračovat v hledání od místa, kde bylo naposledy přerušeno.
    Vydání Chrome 102
  • Internetový obchod Chrome nabízí stránku „Rozšíření Starter Kit“ s počátečním výběrem doporučených doplňků.
  • V testovacím režimu je odesílání požadavku na autorizaci CORS (Cross-Origin Resource Sharing) na server hlavního webu se záhlavím „Access-Control-Request-Private-Network: true“, když stránka přistupuje ke zdroji v interní síti ( 192.168.xx, 10.xxx, 172.16.xx) nebo na localhost (128.xxx). Při potvrzení operace v reakci na tento požadavek musí server vrátit hlavičku „Access-Control-Allow-Private-Network: true“. Ve verzi Chrome 102 výsledek potvrzení ještě neovlivňuje zpracování požadavku – pokud potvrzení není, ve webové konzoli se zobrazí varování, ale samotný požadavek na podzdroj není blokován. Povolení blokování v případě absence potvrzení ze serveru se očekává až ve verzi Chrome 105. Chcete-li povolit blokování v dřívějších verzích, můžete povolit nastavení „chrome://flags/#private-network-access-respect-preflight- Výsledek".

    Ověřování oprávnění serverem bylo zavedeno pro posílení ochrany před útoky souvisejícími s přístupem ke zdrojům v místní síti nebo na počítači uživatele (localhost) ze skriptů načítaných při otevírání webu. Takové požadavky využívají útočníci k provádění CSRF útoků na routery, přístupové body, tiskárny, firemní webová rozhraní a další zařízení a služby, které přijímají požadavky pouze z lokální sítě. Pro ochranu proti takovým útokům, pokud dojde k přístupu k některým dílčím zdrojům v interní síti, prohlížeč odešle výslovnou žádost o povolení načíst tyto dílčí zdroje.

  • Při otevírání odkazů v anonymním režimu prostřednictvím kontextové nabídky jsou z adresy URL automaticky odstraněny některé parametry, které ovlivňují soukromí.
  • Strategie doručování aktualizací pro Windows a Android byla změněna. Aby bylo možné lépe porovnat chování nového a starého vydání, je nyní ke stažení generováno několik sestavení nové verze.
  • Technologie segmentace sítě byla stabilizována, aby chránila před metodami sledování pohybu uživatelů mezi stránkami na základě ukládání identifikátorů v oblastech, které nejsou určeny k trvalému ukládání informací („Supercookies“). Protože prostředky uložené v mezipaměti jsou uloženy ve společném oboru názvů, bez ohledu na původní doménu, může jeden web zjistit, že zdroje načítá jiný web, kontrolou, zda je tento prostředek v mezipaměti. Ochrana je založena na použití segmentace sítě (Network Partitioning), jejíž podstatou je přidat do sdílených keší další vazbu záznamů na doménu, ze které se otevírá hlavní stránka, což omezuje pokrytí cache pouze pro skripty pro sledování pohybu na aktuální web (skript z prvku iframe nebude schopen zkontrolovat, zda byl zdroj stažen z jiného webu). Sdílení stavu pokrývá síťová připojení (HTTP/1, HTTP/2, HTTP/3, websocket), mezipaměť DNS, data ALPN/HTTP2, TLS/HTTP3, konfiguraci, stahování a informace v záhlaví Expect-CT.
  • U nainstalovaných samostatných webových aplikací (PWA, Progressive Web App) je možné změnit design oblasti záhlaví okna pomocí komponent Window Controls Overlay, které rozšiřují plochu obrazovky webové aplikace na celé okno. Webová aplikace může ovládat vykreslování a zpracování vstupu celého okna, s výjimkou překryvného bloku se standardními tlačítky pro ovládání oken (zavřít, minimalizovat, maximalizovat), aby webová aplikace získala vzhled běžné desktopové aplikace.
    Vydání Chrome 102
  • V systému automatického vyplňování formulářů byla přidána podpora pro generování čísel virtuálních kreditních karet v polích s platebními údaji za zboží v internetových obchodech. Použití virtuální karty, jejíž číslo je generováno pro každou platbu, umožňuje nepřenášet údaje o skutečné kreditní kartě, ale vyžaduje poskytnutí potřebné služby bankou. Tato funkce je v současnosti dostupná pouze pro zákazníky amerických bank. Pro kontrolu zahrnutí funkce je navrženo nastavení „chrome://flags/#autofill-enable-virtual-card“.
  • Ve výchozím nastavení je aktivován mechanismus „Capture Handle“, který umožňuje přenášet informace do aplikací, které zachycují video. API umožňuje organizovat interakci mezi aplikacemi, jejichž obsah je zaznamenáván, a aplikacemi, které záznam provádějí. Například aplikace pro videokonference, která zachycuje video pro vysílání prezentace, může načíst informace o ovládacích prvcích prezentace a zobrazit je v okně videa.
  • Podpora spekulativních pravidel je ve výchozím nastavení povolena a poskytuje flexibilní syntaxi pro určení, zda lze data související s odkazem proaktivně načíst, než uživatel klikne na odkaz.
  • Mechanismus balení zdrojů do balíčků ve formátu Web Bundle byl stabilizován, což umožňuje zvýšit efektivitu načítání velkého množství doprovodných souborů (CSS styly, JavaScript, obrázky, iframe). Na rozdíl od balíčků ve formátu Webpack má formát Web Bundle následující výhody: v mezipaměti HTTP není uložen samotný balíček, ale jeho součásti; kompilace a provádění JavaScriptu začíná bez čekání na úplné stažení balíčku; Je povoleno zahrnout další zdroje, jako jsou CSS a obrázky, které by ve webpacku musely být kódovány ve formě řetězců JavaScript.
  • Je možné definovat aplikaci PWA jako obslužnou rutinu určitých typů MIME a přípon souborů. Po definování vazby prostřednictvím pole file_handlers v manifestu aplikace obdrží speciální událost, když se uživatel pokusí otevřít soubor spojený s aplikací.
  • Přidán nový atribut inert, který umožňuje označit část stromu DOM jako „neaktivní“. Pro uzly DOM v tomto stavu jsou rutiny pro výběr textu a ukazatel myši zakázány, tzn. Vlastnosti ukazatele-události a uživatelsky vybrané CSS jsou vždy nastaveny na 'none'. Pokud lze uzel upravit, pak se v inertním režimu stane neupravitelným.
  • Přidáno Navigační API, které umožňuje webovým aplikacím zachytit operace navigace v okně, zahájit navigaci a analyzovat historii akcí s aplikací. Rozhraní API poskytuje alternativu k vlastnostem window.history a window.location, optimalizované pro jednostránkové webové aplikace.
  • Pro atribut „hidden“ byl navržen nový příznak „until-found“, díky kterému lze prvek na stránce vyhledávat a rolovat pomocí textové masky. Můžete například přidat skrytý text na stránku, jejíž obsah bude nalezen v místním vyhledávání.
  • V rozhraní WebHID API, navrženém pro nízkoúrovňový přístup k zařízením HID (zařízení s lidským rozhraním, klávesnice, myši, gamepady, touchpady) a organizaci práce bez přítomnosti konkrétních ovladačů v systému, byla do requestDevice( ) objekt, který umožňuje vyloučit určitá zařízení, když prohlížeč zobrazí seznam dostupných zařízení. Můžete například vyloučit ID zařízení se známými problémy.
  • Je zakázáno zobrazovat platební formulář prostřednictvím volání PaymentRequest.show() bez výslovné akce uživatele, například kliknutí na prvek spojený s obsluhou.
  • Podpora alternativní implementace protokolu SDP (Session Description Protocol) používaného k vytvoření relace ve WebRTC byla ukončena. Chrome nabízel dvě možnosti SDP – sjednocené s ostatními prohlížeči a specifické pro Chrome. Od této chvíle zbývá pouze přenosná možnost.
  • Vylepšeny byly nástroje pro webové vývojáře. Do panelu Styly byla přidána tlačítka pro simulaci použití tmavého a světlého motivu. Byla posílena ochrana záložky Náhled v režimu kontroly sítě (je povolena aplikace Zásad zabezpečení obsahu). Ladicí program implementuje ukončení skriptu pro opětovné načtení zarážek. Byla navržena předběžná implementace nového panelu „Statistiky výkonu“, který umožňuje analyzovat výkon určitých operací na stránce.
    Vydání Chrome 102

Kromě inovací a oprav chyb nová verze odstraňuje 32 zranitelností. Mnoho zranitelností bylo identifikováno jako výsledek automatizovaného testování pomocí nástrojů AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Jedním z problémů (CVE-2022-1853) byla přiřazena kritická úroveň nebezpečí, což znamená schopnost obejít všechny úrovně ochrany prohlížeče a spustit kód v systému mimo prostředí sandboxu. Podrobnosti o této zranitelnosti zatím nebyly zveřejněny, ví se pouze, že je způsobena přístupem k uvolněnému paměťovému bloku (use-after-free) v implementaci Indexed DB API.

V rámci programu peněžních odměn za objevení zranitelností pro aktuální verzi vyplatil Google 24 ocenění v hodnotě 65600 10000 USD (jedno ocenění 7500 7000 USD, jedno ocenění 5000 3000 USD, dvě ocenění 2000 1000 USD, tři ocenění 500 7 USD, čtyři ocenění XNUMX XNUMX USD, dvě ocenění XNUMX XNUMX USD a dvě ceny XNUMX XNUMX USD, dvě bonusy XNUMX $). Velikost XNUMX odměn zatím nebyla stanovena.

Zdroj: opennet.ru

Přidat komentář