ProHoster > blog > newyddion rhyngrwyd > Rhyddhad Chrome 102

Rhyddhad Chrome 102

Mae Google wedi datgelu rhyddhau porwr gwe Chrome 102. Ar yr un pryd, mae datganiad sefydlog o'r prosiect Chromium rhad ac am ddim, sy'n gwasanaethu fel sail Chrome, ar gael. Mae porwr Chrome yn wahanol i Chromium yn y defnydd o logos Google, presenoldeb system ar gyfer anfon hysbysiadau rhag ofn y bydd damwain, modiwlau ar gyfer chwarae cynnwys fideo wedi'i warchod gan gopi (DRM), system ar gyfer gosod diweddariadau yn awtomatig, gan alluogi ynysu Sandbox yn barhaol , cyflenwi allweddi i'r API Google a throsglwyddo RLZ- wrth chwilio paramedrau. I'r rhai sydd angen mwy o amser i ddiweddaru, cefnogir y gangen Stabl Estynedig ar wahân, ac yna 8 wythnos. Mae'r datganiad nesaf o Chrome 103 wedi'i drefnu ar gyfer Mehefin 21st.

Newidiadau mawr yn Chrome 102:

  • Er mwyn atal ymelwa ar wendidau a achosir gan gyrchu blociau cof a ryddhawyd eisoes (di-ddefnydd ar ôl), yn lle awgrymiadau cyffredin, dechreuwyd defnyddio'r math MiraclePtr (raw_ptr). Mae MiraclePtr yn darparu awgrymiadau rhwymol sy'n cynnal gwiriadau ychwanegol ar fynediad i ardaloedd cof rhydd a damweiniau os canfyddir mynediadau o'r fath. Asesir effaith y dull amddiffyn newydd ar berfformiad a defnydd cof yn ddibwys. Nid yw'r mecanwaith MiraclePtr yn berthnasol ym mhob proses, yn arbennig ni chaiff ei ddefnyddio mewn prosesau rendro, ond gall wella diogelwch yn sylweddol. Er enghraifft, yn y datganiad cyfredol, allan o 32 o wendidau sefydlog, achoswyd 12 gan broblemau di-ddefnydd.
  • Mae dyluniad y rhyngwyneb gyda gwybodaeth am lawrlwythiadau wedi'i newid. Yn lle'r llinell waelod gyda data ar y cynnydd lawrlwytho, mae dangosydd newydd wedi'i ychwanegu at y panel gyda'r bar cyfeiriad; pan fyddwch chi'n clicio arno, dangosir cynnydd lawrlwytho ffeiliau a hanes gyda rhestr o ffeiliau sydd wedi'u lawrlwytho eisoes. Yn wahanol i'r panel gwaelod, mae'r botwm yn cael ei ddangos yn gyson ar y panel ac yn caniatáu ichi gyrchu'ch hanes lawrlwytho yn gyflym. Ar hyn o bryd mae'r rhyngwyneb newydd yn cael ei gynnig yn ddiofyn i rai defnyddwyr yn unig a bydd yn cael ei ymestyn i bawb os nad oes unrhyw broblemau. I ddychwelyd yr hen ryngwyneb neu alluogi un newydd, darperir y gosodiad “chrome://flags#download-bubble”.
    Rhyddhad Chrome 102
  • Wrth chwilio am ddelweddau trwy'r ddewislen cyd-destun (“Chwilio delwedd gyda Google Lens” neu “Find trwy Google Lens”), mae'r canlyniadau bellach yn cael eu dangos nid ar dudalen ar wahân, ond mewn bar ochr wrth ymyl cynnwys y dudalen wreiddiol (yn un ffenestr gallwch weld cynnwys y dudalen a chanlyniad cyrchu'r peiriant chwilio ar yr un pryd).
    Rhyddhad Chrome 102
  • Yn adran "Preifatrwydd a Diogelwch" y gosodiadau, mae adran "Canllaw Preifatrwydd" wedi'i hychwanegu, sy'n cynnig trosolwg cyffredinol o'r prif osodiadau sy'n effeithio ar breifatrwydd gydag esboniadau manwl o effaith pob lleoliad. Er enghraifft, yn yr adran gallwch ddiffinio'r polisi ar gyfer anfon data i wasanaethau Google, rheoli cydamseru, prosesu cwcis ac arbed hanes. Cynigir y swyddogaeth i rai defnyddwyr; i'w actifadu, gallwch ddefnyddio'r gosodiad “chrome://flags#privacy-guide”.
    Rhyddhad Chrome 102
  • Darperir strwythuro hanes chwilio a thudalennau a welwyd. Pan geisiwch chwilio eto, dangosir awgrym “Ailgychwyn eich taith” yn y bar cyfeiriad, sy'n eich galluogi i barhau â'r chwiliad o'r man lle y torrwyd ar ei draws y tro diwethaf.
    Rhyddhad Chrome 102
  • Mae Chrome Web Store yn cynnig tudalen "Pecyn Cychwyn Estyniadau" gyda dewis cychwynnol o ychwanegion a argymhellir.
  • Yn y modd prawf, mae anfon cais cadarnhad awdurdod CORS (Cross-Origin Resource Sharing) gyda'r pennawd “Access-Control-Request-Private-Network: true” i weinydd prif wefan wedi'i alluogi pan fydd y dudalen yn cyrchu adnodd ar y rhwydwaith mewnol (192.168.x.x , 10.x.x.x, 172.16.x.x) neu i localhost (128.x.x.x). Wrth gadarnhau'r gweithrediad mewn ymateb i'r cais hwn, rhaid i'r gweinydd ddychwelyd y pennawd “Access-Control-Allow-Private-Network: true”. Yn fersiwn Chrome 102, nid yw canlyniad y cadarnhad eto'n effeithio ar brosesu'r cais - os nad oes cadarnhad, mae rhybudd yn cael ei arddangos yn y consol gwe, ond nid yw'r cais is-adnodd ei hun wedi'i rwystro. Ni ddisgwylir galluogi blocio yn absenoldeb cadarnhad gan y gweinydd hyd nes y rhyddheir Chrome 105. Er mwyn galluogi blocio mewn datganiadau cynharach, gallwch alluogi'r gosodiad "chrome://flags/#private-network-access-respect-preflight-- canlyniadau".

    Cyflwynwyd dilysu awdurdod gan y gweinydd i gryfhau amddiffyniad rhag ymosodiadau sy'n ymwneud â chyrchu adnoddau ar y rhwydwaith lleol neu ar gyfrifiadur y defnyddiwr (localhost) o sgriptiau a lwythwyd wrth agor gwefan. Mae ceisiadau o'r fath yn cael eu defnyddio gan ymosodwyr i gyflawni ymosodiadau CSRF ar lwybryddion, pwyntiau mynediad, argraffwyr, rhyngwynebau gwe corfforaethol a dyfeisiau a gwasanaethau eraill sy'n derbyn ceisiadau gan y rhwydwaith lleol yn unig. Er mwyn amddiffyn rhag ymosodiadau o'r fath, os ceir mynediad i unrhyw is-adnoddau ar y rhwydwaith mewnol, bydd y porwr yn anfon cais penodol am ganiatâd i lwytho'r is-adnoddau hyn.

  • Wrth agor dolenni mewn modd anhysbys trwy'r ddewislen cyd-destun, mae rhai paramedrau sy'n effeithio ar breifatrwydd yn cael eu tynnu'n awtomatig o'r URL.
  • Mae'r strategaeth cyflwyno diweddariadau ar gyfer Windows ac Android wedi'i newid. Er mwyn cymharu ymddygiad y datganiadau newydd a hen yn llawnach, mae sawl adeiladwaith o'r fersiwn newydd bellach yn cael ei gynhyrchu i'w lawrlwytho.
  • Mae technoleg segmentu rhwydwaith wedi'i sefydlogi i ddiogelu rhag dulliau o olrhain symudiadau defnyddwyr rhwng safleoedd yn seiliedig ar storio dynodwyr mewn ardaloedd nad ydynt wedi'u bwriadu ar gyfer storio gwybodaeth yn barhaol (“Supercookies”). Oherwydd bod adnoddau wedi'u storio yn cael eu storio mewn gofod enw cyffredin, waeth beth fo'r parth gwreiddiol, gall un safle benderfynu bod gwefan arall yn llwytho adnoddau trwy wirio a yw'r adnodd hwnnw yn y storfa. Mae'r amddiffyniad yn seiliedig ar y defnydd o segmentu rhwydwaith (Rhannu Rhwydwaith), a'i hanfod yw ychwanegu rhwymiad cofnodion ychwanegol at y caches a rennir i'r parth yr agorir y brif dudalen ohono, sy'n cyfyngu ar gwmpas y storfa ar gyfer sgriptiau olrhain symudiadau yn unig i'r safle presennol (ni fydd sgript o iframe yn gallu gwirio a gafodd yr adnodd ei lawrlwytho o wefan arall). Mae rhannu gwladwriaeth yn cwmpasu cysylltiadau rhwydwaith (HTTP/1, HTTP/2, HTTP/3, websocket), storfa DNS, ALPN/HTTP2, data TLS/HTTP3, ffurfweddiad, lawrlwythiadau, a gwybodaeth pennawd Disgwyl-CT.
  • Ar gyfer cymwysiadau gwe annibynnol wedi'u gosod (PWA, Progressive Web App), mae'n bosibl newid dyluniad ardal teitl y ffenestr gan ddefnyddio'r cydrannau Troshaen Rheolaethau Ffenestr, sy'n ymestyn ardal sgrin y cymhwysiad gwe i'r ffenestr gyfan. Gall cymhwysiad gwe reoli rendro a phrosesu mewnbwn y ffenestr gyfan, ac eithrio'r bloc troshaen gyda botymau rheoli ffenestr safonol (cau, lleihau, mwyhau), i roi ymddangosiad cymhwysiad bwrdd gwaith rheolaidd i'r rhaglen we.
    Rhyddhad Chrome 102
  • Yn y system awtolenwi ffurflenni, mae cymorth wedi'i ychwanegu ar gyfer cynhyrchu rhifau cardiau credyd rhithwir mewn meysydd gyda manylion talu am nwyddau mewn siopau ar-lein. Mae defnyddio cerdyn rhithwir, y mae ei rif yn cael ei gynhyrchu ar gyfer pob taliad, yn caniatáu ichi beidio â throsglwyddo data am gerdyn credyd go iawn, ond mae angen i'r banc ddarparu'r gwasanaeth angenrheidiol. Ar hyn o bryd dim ond i gwsmeriaid banc yr Unol Daleithiau y mae'r nodwedd ar gael. Er mwyn rheoli cynnwys y swyddogaeth, cynigir y gosodiad “chrome://flags/#autofill-enable-virtual-card”.
  • Mae'r mecanwaith “Capture Handle” yn cael ei actifadu yn ddiofyn, sy'n eich galluogi i drosglwyddo gwybodaeth i gymwysiadau sy'n dal fideo. Mae'r API yn ei gwneud hi'n bosibl trefnu'r rhyngweithio rhwng rhaglenni y mae eu cynnwys yn cael ei recordio a chymwysiadau sy'n perfformio'r recordiad. Er enghraifft, gall cymhwysiad fideo-gynadledda sy'n dal fideo i ddarlledu cyflwyniad adalw gwybodaeth am y rheolaethau cyflwyno a'u harddangos yn y ffenestr fideo.
  • Mae cefnogaeth ar gyfer rheolau hapfasnachol yn cael ei alluogi yn ddiofyn, gan ddarparu cystrawen hyblyg ar gyfer penderfynu a ellir llwytho data sy'n gysylltiedig â dolenni yn rhagweithiol cyn i'r defnyddiwr glicio ar y ddolen.
  • Mae'r mecanwaith ar gyfer pecynnu adnoddau i becynnau yn fformat Bwndel y We wedi'i sefydlogi, gan ganiatáu cynyddu effeithlonrwydd llwytho nifer fawr o ffeiliau cysylltiedig (arddulliau CSS, JavaScript, delweddau, iframes). Yn wahanol i becynnau yn fformat Webpack, mae gan fformat Bwndel Gwe y manteision canlynol: nid y pecyn ei hun sy'n cael ei storio yn y storfa HTTP, ond ei gydrannau; mae llunio a gweithredu JavaScript yn dechrau heb aros i'r pecyn gael ei lawrlwytho'n llawn; Caniateir iddo gynnwys adnoddau ychwanegol megis CSS a delweddau, y byddai'n rhaid eu hamgodio mewn pecyn gwe ar ffurf llinynnau JavaScript.
  • Mae'n bosibl diffinio cymhwysiad PWA fel triniwr rhai mathau MIME ac estyniadau ffeil. Ar ôl diffinio rhwymiad trwy'r maes file_handlers yn y maniffest, bydd y rhaglen yn derbyn digwyddiad arbennig pan fydd y defnyddiwr yn ceisio agor ffeil sy'n gysylltiedig â'r rhaglen.
  • Ychwanegwyd priodoledd anadweithiol newydd sy'n eich galluogi i farcio rhan o'r goeden DOM fel un "anactif". Ar gyfer nodau DOM yn y cyflwr hwn, mae dewis testun a thrinwyr hofran pwyntydd yn anabl, h.y. Mae'r digwyddiadau pwyntydd a'r priodweddau CSS a ddewisir gan ddefnyddwyr bob amser wedi'u gosod i 'dim'. Pe bai modd golygu nod, yna yn y modd anadweithiol mae'n dod yn anaddas.
  • Ychwanegwyd yr API Navigation, sy'n caniatáu i gymwysiadau gwe ryng-gipio gweithrediadau llywio ffenestri, cychwyn llywio, a dadansoddi hanes gweithredoedd gyda'r rhaglen. Mae'r API yn darparu dewis arall i'r priodweddau window.history a window.location, wedi'i optimeiddio ar gyfer cymwysiadau gwe un dudalen.
  • Mae baner newydd, "nes ei chanfod", wedi'i chynnig ar gyfer y briodwedd "cudd", sy'n gwneud yr elfen yn chwiliadwy ar y dudalen ac yn sgrolio gyda mwgwd testun. Er enghraifft, gallwch ychwanegu testun cudd i dudalen, a bydd ei chynnwys i'w gweld mewn chwiliadau lleol.
  • Yn yr API WebHID, a ddyluniwyd ar gyfer mynediad lefel isel i ddyfeisiau HID (dyfeisiau rhyngwyneb dynol, bysellfyrddau, llygod, padiau gêm, padiau cyffwrdd) a threfnu gwaith heb bresenoldeb gyrwyr penodol yn y system, mae'r eiddo ExclusionFilters wedi'i ychwanegu at y requestDevice ( ) gwrthrych, sy'n eich galluogi i eithrio rhai dyfeisiau pan fydd y porwr yn dangos rhestr o'r dyfeisiau sydd ar gael. Er enghraifft, gallwch eithrio IDau dyfais sydd â phroblemau hysbys.
  • Gwaherddir arddangos ffurflen dalu trwy alwad i PaymentRequest.show() heb weithred defnyddiwr penodol, er enghraifft, clicio ar elfen sy'n gysylltiedig â'r triniwr.
  • Mae cefnogaeth i weithrediad amgen o brotocol y CDY (Protocol Disgrifiad o'r Sesiwn) a ddefnyddiwyd i sefydlu sesiwn yn WebRTC wedi dod i ben. Cynigiodd Chrome ddau opsiwn SDP - unedig â phorwyr eraill a Chrome-benodol. O hyn ymlaen, dim ond yr opsiwn cludadwy sydd ar ôl.
  • Mae gwelliannau wedi'u gwneud i offer ar gyfer datblygwyr gwe. Ychwanegwyd botymau at y panel Styles i efelychu'r defnydd o thema dywyll a golau. Mae amddiffyniad y tab Rhagolwg yn y modd arolygu rhwydwaith wedi'i gryfhau (galluogir cymhwyso Polisi Diogelwch Cynnwys). Mae'r dadfygiwr yn gweithredu terfyniad sgript i ail-lwytho torbwyntiau. Mae gweithrediad rhagarweiniol o'r panel “Mewnwelediad perfformiad” newydd wedi'i gynnig, sy'n eich galluogi i ddadansoddi perfformiad rhai gweithrediadau ar y dudalen.
    Rhyddhad Chrome 102

Yn ogystal ag arloesiadau a thrwsio namau, mae'r fersiwn newydd yn dileu 32 o wendidau. Nodwyd llawer o'r gwendidau o ganlyniad i brofion awtomataidd gan ddefnyddio'r offer AddressSanitizer, MemorySanitizer, Union Flow Control, LibFuzzer ac AFL. Mae lefel perygl critigol wedi'i neilltuo i un o'r problemau (CVE-2022-1853), sy'n awgrymu'r gallu i osgoi pob lefel o amddiffyniad porwr a gweithredu cod ar y system y tu allan i'r amgylchedd blwch tywod. Nid yw manylion y bregusrwydd hwn wedi'u datgelu eto; dim ond trwy gyrchu bloc cof wedi'i ryddhau (di-ddefnydd-ar-ôl-ddefnydd) y mae'n cael ei achosi yng ngweithrediad API Mynegai DB.

Fel rhan o'r rhaglen gwobrau arian parod ar gyfer darganfod gwendidau ar gyfer y datganiad cyfredol, talodd Google 24 o ddyfarniadau gwerth $65600 (un dyfarniad $10000, un dyfarniad $7500, dau ddyfarniad $7000, tri dyfarniad $5000, pedwar dyfarniad $3000, dau ddyfarniad $2000, dau ddyfarniad $1000, dau ddyfarniad $500). $7 bonws). Nid yw maint y XNUMX gwobr wedi'i bennu eto.

Ffynhonnell: opennet.ru

Ychwanegu sylw