ProHoster > Blog > internet nyheder > Chrome udgivelse 102

Chrome udgivelse 102

Google har løftet sløret for udgivelsen af ​​webbrowseren Chrome 102. Samtidig er en stabil udgivelse af det gratis Chromium-projekt, der fungerer som grundlaget for Chrome, tilgængelig. Chrome-browseren adskiller sig fra Chromium i brugen af ​​Google-logoer, tilstedeværelsen af ​​et system til afsendelse af meddelelser i tilfælde af et nedbrud, moduler til afspilning af kopibeskyttet videoindhold (DRM), et system til automatisk installation af opdateringer, der permanent muliggør Sandbox-isolering , leverer nøgler til Google API og sender RLZ-, når der søges i. parametre. For dem, der har brug for mere tid til at opdatere, understøttes Extended Stable-grenen separat, efterfulgt af 8 uger. Den næste udgivelse af Chrome 103 er planlagt til den 21. juni.

Vigtigste ændringer i Chrome 102:

  • For at blokere udnyttelsen af ​​sårbarheder forårsaget af adgang til allerede frigjorte hukommelsesblokke (use-after-free), i stedet for almindelige pointere, begyndte MiraclePtr (raw_ptr)-typen at blive brugt. MiraclePtr giver en binding over pointere, der udfører yderligere kontrol af adgange til frigjorte hukommelsesområder og går ned, hvis sådanne adgange opdages. Effekten af ​​den nye beskyttelsesmetode på ydeevne og hukommelsesforbrug vurderes som ubetydelig. MiraclePtr-mekanismen er ikke anvendelig i alle processer, især bruges den ikke i gengivelsesprocesser, men den kan forbedre sikkerheden markant. For eksempel, i den nuværende udgivelse, ud af 32 rettet sårbarheder, var 12 forårsaget af use-efter-free-problemer.
  • Designet af grænsefladen med information om downloads er blevet ændret. I stedet for bundlinjen med data om download-fremskridt, er en ny indikator blevet tilføjet til panelet med adresselinjen; når du klikker på den, vises status for download af filer og en historik med en liste over allerede downloadede filer. I modsætning til bundpanelet vises knappen konstant på panelet og giver dig hurtigt adgang til din downloadhistorik. Den nye grænseflade tilbydes i øjeblikket kun til nogle brugere som standard og vil blive udvidet til alle, hvis der ikke er problemer. For at returnere den gamle grænseflade eller aktivere en ny, leveres indstillingen "chrome://flags#download-bubble".
    Chrome udgivelse 102
  • Når du søger efter billeder gennem kontekstmenuen ("Søg billede med Google Lens" eller "Find via Google Lens"), vises resultaterne nu ikke på en separat side, men i en sidebjælke ved siden af ​​indholdet på den originale side (i ét vindue kan du samtidigt se både sideindholdet og og resultatet af at få adgang til søgemaskinen).
    Chrome udgivelse 102
  • I afsnittet "Privatliv og sikkerhed" i indstillingerne er der tilføjet en "Privatlivsvejledning", som giver et generelt overblik over de vigtigste indstillinger, der påvirker privatlivets fred med detaljerede forklaringer af virkningen af ​​hver indstilling. For eksempel kan du i afsnittet definere politikken for afsendelse af data til Google-tjenester, administrere synkronisering, cookiebehandling og lagring af historik. Funktionen tilbydes til nogle brugere; for at aktivere den kan du bruge indstillingen "chrome://flags#privacy-guide".
    Chrome udgivelse 102
  • Strukturering af søgehistorik og viste sider er tilvejebragt. Når du forsøger at søge igen, vises et tip "Genoptag din rejse" i adresselinjen, så du kan fortsætte søgningen fra det sted, hvor den blev afbrudt sidste gang.
    Chrome udgivelse 102
  • Chrome Webshop tilbyder en "Extensions Starter Kit"-side med et indledende udvalg af anbefalede tilføjelser.
  • I testtilstand er afsendelse af en CORS-godkendelsesanmodning (Cross-Origin Resource Sharing) til hovedwebstedets server med overskriften "Access-Control-Request-Private-Network: true" aktiveret, når siden får adgang til en ressource på det interne netværk ( 192.168.xx , 10.xxx, 172.16.xx) eller til localhost (128.xxx). Når du bekræfter handlingen som svar på denne anmodning, skal serveren returnere "Access-Control-Allow-Private-Network: true"-headeren. I Chrome version 102 påvirker bekræftelsesresultatet endnu ikke behandlingen af ​​anmodningen - hvis der ikke er nogen bekræftelse, vises en advarsel i webkonsollen, men selve subressourceanmodningen er ikke blokeret. Aktivering af blokering i mangel af bekræftelse fra serveren forventes ikke før udgivelsen af ​​Chrome 105. For at aktivere blokering i tidligere udgivelser kan du aktivere indstillingen "chrome://flags/#private-network-access-respect-preflight- resultater".

    Bekræftelse af autoritet af serveren blev indført for at styrke beskyttelsen mod angreb relateret til adgang til ressourcer på det lokale netværk eller på brugerens computer (localhost) fra scripts indlæst ved åbning af et websted. Sådanne anmodninger bruges af angribere til at udføre CSRF-angreb på routere, adgangspunkter, printere, virksomhedswebgrænseflader og andre enheder og tjenester, der kun accepterer anmodninger fra det lokale netværk. For at beskytte mod sådanne angreb vil browseren sende en eksplicit anmodning om tilladelse til at indlæse disse underressourcer, hvis der er adgang til nogle underressourcer på det interne netværk.

  • Når du åbner links i inkognitotilstand gennem kontekstmenuen, fjernes nogle parametre, der påvirker privatlivets fred, automatisk fra URL'en.
  • Opdateringsleveringsstrategien for Windows og Android er blevet ændret. For mere fuldstændigt at sammenligne adfærden af ​​de nye og gamle udgivelser, genereres der nu flere builds af den nye version til download.
  • Netværkssegmenteringsteknologi er blevet stabiliseret for at beskytte mod metoder til sporing af brugerbevægelser mellem websteder baseret på lagring af identifikatorer i områder, der ikke er beregnet til permanent lagring af information ("Supercookies"). Fordi cachelagrede ressourcer er gemt i et fælles navneområde, uanset det oprindelige domæne, kan et websted bestemme, at et andet websted indlæser ressourcer ved at kontrollere, om den ressource er i cachen. Beskyttelsen er baseret på brugen af ​​netværkssegmentering (netværkspartitionering), hvis essens er at tilføje til delte caches yderligere binding af poster til det domæne, hvorfra hovedsiden åbnes, hvilket begrænser cache-dækningen kun for bevægelsessporingsscripts til det aktuelle websted (et script fra en iframe vil ikke være i stand til at kontrollere, om ressourcen blev downloadet fra et andet websted). Tilstandsdeling dækker netværksforbindelser (HTTP/1, HTTP/2, HTTP/3, websocket), DNS-cache, ALPN/HTTP2, TLS/HTTP3-data, konfiguration, downloads og Expect-CT-headeroplysninger.
  • For installerede stand-alone webapplikationer (PWA, Progressive Web App) er det muligt at ændre designet af vinduets titelområde ved hjælp af Window Controls Overlay-komponenterne, som udvider webapplikationens skærmområde til hele vinduet. En webapplikation kan styre gengivelsen og inputbehandlingen af ​​hele vinduet, med undtagelse af overlejringsblokken med standard vindueskontrolknapper (luk, minimer, maksimer), for at give webapplikationen udseendet af en almindelig desktopapplikation.
    Chrome udgivelse 102
  • I formular autofill-systemet er der tilføjet support til generering af virtuelle kreditkortnumre i felter med betalingsoplysninger for varer i netbutikker. Brug af et virtuelt kort, hvis nummer genereres for hver betaling, giver dig mulighed for ikke at overføre data om et rigtigt kreditkort, men kræver levering af den nødvendige service fra banken. Funktionen er i øjeblikket kun tilgængelig for amerikanske bankkunder. For at kontrollere medtagelsen af ​​funktionen foreslås indstillingen "chrome://flags/#autofill-enable-virtual-card".
  • "Capture Handle"-mekanismen er aktiveret som standard, så du kan overføre information til programmer, der optager video. API'en gør det muligt at organisere interaktionen mellem applikationer, hvis indhold er optaget, og applikationer, der udfører optagelsen. For eksempel kan et videokonferenceprogram, der optager video for at udsende en præsentation, hente oplysninger om præsentationskontrollerne og vise dem i videovinduet.
  • Understøttelse af spekulative regler er aktiveret som standard, hvilket giver fleksibel syntaks til at bestemme, om link-relaterede data kan indlæses proaktivt, før brugeren klikker på linket.
  • Mekanismen til at pakke ressourcer ind i pakker i Web Bundle-formatet er blevet stabiliseret, hvilket gør det muligt at øge effektiviteten af ​​indlæsning af et stort antal ledsagende filer (CSS-stile, JavaScript, billeder, iframes). I modsætning til pakker i Webpack-formatet har Web Bundle-formatet følgende fordele: det er ikke selve pakken, der er gemt i HTTP-cachen, men dens komponentdele; kompilering og eksekvering af JavaScript begynder uden at vente på, at pakken er fuldt downloadet; Det er tilladt at inkludere yderligere ressourcer såsom CSS og billeder, som i webpack skal kodes i form af JavaScript-strenge.
  • Det er muligt at definere en PWA-applikation som en behandler af visse MIME-typer og filtypenavne. Efter at have defineret en binding gennem feltet file_handlers i manifestet, vil applikationen modtage en særlig hændelse, når brugeren forsøger at åbne en fil tilknyttet applikationen.
  • Tilføjet en ny inert attribut, der giver dig mulighed for at markere en del af DOM-træet som "inaktiv". For DOM-noder i denne tilstand er tekstudvælgelse og pointer-hover-handlere deaktiveret, dvs. Pointer-hændelser og brugervalgte CSS-egenskaber er altid sat til 'ingen'. Hvis en node kunne redigeres, bliver den i inert tilstand uredigerbar.
  • Tilføjet Navigation API, som gør det muligt for webapplikationer at opsnappe vinduesnavigationsoperationer, starte navigation og analysere historien om handlinger med applikationen. API'en giver et alternativ til egenskaberne window.history og window.location, optimeret til enkeltsidede webapplikationer.
  • Et nyt flag, "indtil-fundet", er blevet foreslået for attributten "skjult", som gør elementet søgbart på siden og rulles med tekstmaske. For eksempel kan du tilføje skjult tekst til en side, hvis indhold vil blive fundet i lokale søgninger.
  • I WebHID API, designet til lav-niveau adgang til HID-enheder (Human interface-enheder, tastaturer, mus, gamepads, touchpads) og organisering af arbejde uden tilstedeværelsen af ​​specifikke drivere i systemet, er exclusionFilters-egenskaben blevet tilføjet til requestDevice( ) objekt, som giver dig mulighed for at ekskludere visse enheder, når browseren viser en liste over tilgængelige enheder. Du kan f.eks. ekskludere enheds-id'er, der har kendte problemer.
  • Det er forbudt at vise en betalingsformular gennem et kald til PaymentRequest.show() uden en eksplicit brugerhandling, for eksempel at klikke på et element, der er knyttet til handleren.
  • Understøttelse af en alternativ implementering af SDP-protokollen (Session Description Protocol) brugt til at etablere en session i WebRTC er afbrudt. Chrome tilbød to SDP-muligheder - samlet med andre browsere og Chrome-specifikke. Fra nu af er der kun den bærbare mulighed tilbage.
  • Der er foretaget forbedringer af værktøjer til webudviklere. Tilføjede knapper til panelet Styles for at simulere brugen af ​​et mørkt og lyst tema. Beskyttelsen af ​​fanen Eksempel i netværksinspektionstilstand er blevet styrket (anvendelsen af ​​indholdssikkerhedspolitik er aktiveret). Debuggeren implementerer scriptterminering for at genindlæse breakpoints. En foreløbig implementering af det nye panel "Performance insights" er blevet foreslået, som giver dig mulighed for at analysere udførelsen af ​​visse operationer på siden.
    Chrome udgivelse 102

Ud over innovationer og fejlrettelser eliminerer den nye version 32 sårbarheder. Mange af sårbarhederne blev identificeret som et resultat af automatiseret test ved hjælp af AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL værktøjerne. Et af problemerne (CVE-2022-1853) er blevet tildelt et kritisk fareniveau, hvilket indebærer evnen til at omgå alle niveauer af browserbeskyttelse og eksekvere kode på systemet uden for sandkassemiljøet. Detaljer om denne sårbarhed er endnu ikke blevet afsløret; det er kun kendt, at det er forårsaget af adgang til en frigivet hukommelsesblok (use-after-free) i Indexed DB API-implementeringen.

Som en del af kontantbelønningsprogrammet for at opdage sårbarheder for den aktuelle udgivelse, udbetalte Google 24 priser til en værdi af $65600 (en pris på $10000, en pris på $7500, to priser på $7000, tre priser på $5000, fire priser på $3000, to priser på $2000, to $1000, to $500. $7 bonusser). Størrelsen af ​​de XNUMX belønninger er endnu ikke fastlagt.

Kilde: opennet.ru

Tilføj en kommentar