Vydání Chrome 98

Google odhalil vydání webového prohlížeče Chrome 98. Zároveň je k dispozici stabilní vydání bezplatného projektu Chromium, který je základem Chromu. Prohlížeč Chrome se vyznačuje použitím log Google, přítomností systému pro zasílání upozornění v případě havárie, moduly pro přehrávání videoobsahu chráněného proti kopírování (DRM), systémem automatických aktualizací a přenosem při vyhledávání RLZ parametry. Další vydání Chrome 99 je naplánováno na 1. března.

Klíčové změny v Chrome 98:

• Prohlížeč má vlastní úložiště kořenových certifikátů certifikačních autorit (Chrome Root Store), které bude použito namísto externích úložišť specifických pro každý operační systém. Úložiště je implementováno podobně jako nezávislé úložiště kořenových certifikátů ve Firefoxu, které se používá jako první odkaz pro kontrolu důvěryhodného řetězce certifikátů při otevírání stránek přes HTTPS. Nové úložiště se zatím ve výchozím nastavení nepoužívá. Pro usnadnění přechodu konfigurací systémových úložišť a zajištění přenositelnosti proběhne přechodné období, během kterého bude kořenový obchod Chrome obsahovat úplný výběr certifikátů schválených na většině podporovaných platforem.
• Pokračuje implementace plánu na posílení ochrany před útoky souvisejícími s přístupem ke zdrojům v lokální síti nebo na počítači uživatele (localhost) ze skriptů načítaných při otevření webu. Takové požadavky využívají útočníci k provádění CSRF útoků na routery, přístupové body, tiskárny, firemní webová rozhraní a další zařízení a služby, které přijímají požadavky pouze z lokální sítě.

  Pro ochranu proti takovým útokům, pokud dojde k přístupu k některým dílčím zdrojům v interní síti, prohlížeč začne odesílat výslovnou žádost o povolení ke stažení takových dílčích zdrojů. Požadavek na oprávnění se provádí odesláním požadavku CORS (Cross-Origin Resource Sharing) s hlavičkou „Access-Control-Request-Private-Network: true“ na hlavní server před přístupem k interní síti nebo localhost. Při potvrzení operace v reakci na tento požadavek musí server vrátit hlavičku „Access-Control-Allow-Private-Network: true“. V Chrome 98 je kontrola implementována v testovacím režimu a pokud nedojde k potvrzení, ve webové konzoli se zobrazí varování, ale samotný požadavek na subresource není blokován. Povolení blokování se plánuje až po vydání Chrome 101.

• Nastavení účtu integruje nástroje pro správu zahrnutí Vylepšeného bezpečného prohlížení, které aktivuje další kontroly na ochranu před phishingem, škodlivými aktivitami a dalšími hrozbami na webu. Když ve svém účtu Google aktivujete režim, budete nyní vyzváni k aktivaci režimu v prohlížeči Chrome.
• Přidán model pro detekci pokusů o phishing na straně klienta, implementovaný pomocí platformy strojového učení TFLite (TensorFlow Lite) a nevyžaduje odesílání dat k provedení ověření na straně Google (v tomto případě je telemetrie odesílána s informací o verzi modelu a vypočítané váhy pro každou kategorii). Pokud je detekován pokus o phishing, uživateli se před otevřením podezřelé stránky zobrazí stránka s varováním.
• V Client Hints API, které je vyvíjeno jako náhrada za hlavičku User-Agent a umožňuje selektivně zasílat data o konkrétních parametrech prohlížeče a systému (verze, platforma atd.) pouze na žádost serveru, je možné nahradit fiktivní jména do seznamu identifikátorů prohlížeče, podle analogií s mechanismem GREASE (Generate Random Extensions And Sustain Extensibility) používaným v TLS. Například kromě „Chrome“; v="98″" a '"Chromium"; v="98″' do seznamu lze přidat náhodný identifikátor neexistujícího prohlížeče '"(Not; Browser"; v="12″'. Takové nahrazení pomůže identifikovat problémy se zpracováním identifikátorů neznámých prohlížečů, což vede k tomu, že alternativní prohlížeče jsou nuceny předstírat, že jsou jinými populárními prohlížeči, aby obešly kontrolu podle seznamů přijatelných prohlížečů.
• Od 17. ledna Internetový obchod Chrome již nepřijímá doplňky, které používají verzi 2023 manifestu Chrome. Nové doplňky budou nyní přijímány pouze se třetí verzí manifestu. Vývojáři dříve přidaných doplňků budou moci stále publikovat aktualizace s druhou verzí manifestu. Úplné ukončení podpory druhé verze manifestu je plánováno na leden XNUMX.
• Přidána podpora barevných vektorových fontů ve formátu COLRv1 (podmnožina OpenType fontů, které obsahují kromě vektorových glyfů i vrstvu s barevnými informacemi), které lze využít například k vytváření vícebarevných emoji. Na rozdíl od dříve podporovaného formátu COLRv0 má nyní COLRv1 možnost používat přechody, překryvy a transformace. Formát také poskytuje kompaktní formu úložiště, poskytuje účinnou kompresi a umožňuje opětovné použití obrysů, což umožňuje výrazné zmenšení velikosti písma. Například písmo Noto Color Emoji zabírá 9 MB v rastrovém formátu a 1 MB ve vektorovém formátu COLRv1.85.
• Režim Origin Trials (experimentální funkce, které vyžadují samostatnou aktivaci) implementuje rozhraní Region Capture API, které umožňuje oříznout zachycené video. Oříznutí může být například potřeba ve webových aplikacích, které zachycují video s obsahem jejich záložky, aby bylo možné před odesláním vyjmout určitý obsah. Origin Trial znamená schopnost pracovat se zadaným API z aplikací stažených z localhost nebo 127.0.0.1, nebo po registraci a obdržení speciálního tokenu, který je platný po omezenou dobu pro konkrétní web.
• Vlastnost CSS "contain-intrinsic-size" nyní podporuje hodnotu "auto", která použije poslední zapamatovanou velikost prvku (při použití s ​​"content-visibility: auto" vývojář nemusí odhadovat vykreslenou velikost prvku) .
• Přidána vlastnost AudioContext.outputLatency, jejímž prostřednictvím lze zjistit informace o předpokládané prodlevě před zvukovým výstupem (prodleva mezi zvukovým požadavkem a začátkem zpracování přijatých dat výstupním zvukovým zařízením).
• CSS vlastnost color-scheme, která umožňuje určit, v jakých barevných schématech lze prvek správně zobrazit („světlý“, „tmavý“, „denní režim“ a „noční režim“), přidán parametr „jen“ aby se zabránilo vynuceným změnám barev schémat pro jednotlivé prvky HTML. Pokud například zadáte „div { barevné schéma: pouze světlé }“, bude pro prvek div použit pouze světlý motiv, i když prohlížeč vynutí povolení tmavého motivu.
• Přidána podpora pro dotazy na média „dynamic-range“ a „video-dynamic-range“ do CSS, aby se zjistilo, zda obrazovka podporuje HDR (High Dynamic Range).
• Přidána možnost vybrat si, zda chcete otevřít odkaz na funkci window.open() v nové kartě, novém okně nebo vyskakovacím okně. Navíc vlastnost window.statusbar.visible nyní vrací "false" pro vyskakovací okna a "true" pro karty a okna. const popup = window.open('_blank',",'popup=1′); // Otevřít ve vyskakovacím okně const tab = window.open('_blank',,"'popup=0′); // Otevřít v tab
• Pro okna a pracovníky byla implementována metoda structuredClone() , která umožňuje vytvářet rekurzivní kopie objektů, které zahrnují vlastnosti nejen zadaného objektu, ale také všech ostatních objektů, na které aktuální objekt odkazuje.
• Web Authentication API přidalo podporu pro rozšíření specifikace FIDO CTAP2, které umožňuje nastavit minimální povolenou velikost PIN kódu (minPinLength).
• Pro nainstalované samostatné webové aplikace byla přidána komponenta Window Controls Overlay, která rozšiřuje plochu obrazovky aplikace na celé okno, včetně oblasti nadpisu, na které jsou standardní tlačítka pro ovládání oken (zavřít, minimalizovat, maximalizovat ) se překrývají. Webová aplikace může řídit vykreslování a zpracování vstupu celého okna, kromě překryvného bloku s tlačítky pro ovládání oken.
• Do WritableStreamDefaultController byla přidána vlastnost zpracování signálů, která vrací objekt AbortSignal, který lze použít k okamžitému zastavení zápisů do WritableStream bez čekání na jejich dokončení.
• WebRTC odstranil podporu pro mechanismus klíčové dohody SDES, který IETF v roce 2013 z bezpečnostních důvodů zavrhl.
• Ve výchozím nastavení je zakázáno rozhraní API U2F (Cryptotoken), které bylo dříve zastaralé a nahrazeno rozhraním Web Authentication API. U2F API bude v Chrome 104 zcela odstraněno.
• V adresáři API bylo pole install_browser_version zastaralé a nahrazeno novým polem Pending_browser_version, které se liší tím, že obsahuje informace o verzi prohlížeče, přičemž bere v úvahu stažené, ale nepoužité aktualizace (tj. verzi, která bude platná po prohlížeč se restartuje).
• Odebrány možnosti, které umožňovaly vrátit podporu pro TLS 1.0 a 1.1.
• Vylepšeny byly nástroje pro webové vývojáře. Byla přidána karta pro vyhodnocení činnosti mezipaměti Back-forward, která poskytuje okamžitou navigaci při použití tlačítek Zpět a Vpřed. Přidána možnost emulovat požadavky na média s vynucenými barvami. Do editoru Flexbox přidána tlačítka pro podporu vlastností řádek-obrácení a sloupec-obrácení. Záložka „Změny“ zajišťuje, že se změny zobrazí po naformátování kódu, což zjednodušuje analýzu minifikovaných stránek.

  Implementace panelu pro kontrolu kódu byla aktualizována na vydání editoru kódu CodeMirror 6, který výrazně zlepšuje výkon práce s velmi velkými soubory (WASM, JavaScript), řeší problémy s náhodnými posuny během navigace a zlepšuje doporučení systém automatického doplňování při úpravě kódu. Do panelu vlastností CSS byla přidána možnost filtrovat výstup podle názvu vlastnosti nebo hodnoty.

  

Kromě inovací a oprav chyb nová verze odstraňuje 27 zranitelností. Mnoho zranitelností bylo identifikováno jako výsledek automatizovaného testování pomocí nástrojů AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Nebyly zjištěny žádné kritické problémy, které by umožnily obejít všechny úrovně ochrany prohlížeče a spustit kód v systému mimo prostředí sandbox. V rámci programu peněžních odměn za odhalení zranitelností pro aktuální verzi vyplatil Google 19 ocenění v hodnotě 88 tisíc dolarů (dvě ocenění 20000 12000 USD, jedno ocenění 7500 1000 USD, dvě ocenění 7000 5000 USD, čtyři ocenění 3000 2000 USD a po jednom XNUMX XNUMX, XNUMX XNUMX a XNUMX XNUMX USD

Zdroj: opennet.ru