Die Google GmbH hat die Version 100 des Webbrowsers Chrome veröffentlicht. Gleichzeitig steht eine stabile Version des Open-Source-Projekts Chromium zur Verfügung, das die Grundlage für Chrome bildet. Der Browser Chrome zeichnet sich durch die Verwendung von Google-Logos, ein Benachrichtigungssystem bei Abstürzen, Module zur Wiedergabe von kopiergeschütztem Videoinhalt (DRM), ein automatisches Update-System und die Übertragung von RLZ-Parametern bei Suchanfragen aus. Die nächste Version Chrome 101 ist für den 26. April geplant.
Die wichtigsten Änderungen in Chrome 100:
- Da der Browser die Versionsnummer 100 erreicht hat, die aus drei Ziffern statt zwei besteht, sind Störungen auf einigen Websites, die inkorrekte Bibliotheken zur Analyse des User-Agent verwenden, nicht ausgeschlossen. Für den Fall von Problemen gibt es die Einstellung „chrome://flags##force-major-version-to-minor“, die es ermöglicht, den User-Agent-Header auf die Version 99 zurückzusetzen, während tatsächlich die Version 100 verwendet wird.
- Chrome 100 wird als die letzte Version mit vollständigem User-Agent-Inhalt markiert. In der nächsten Version wird die Information im HTTP-Header des User-Agent und die JavaScript-Parameter navigator.userAgent, navigator.appVersion und navigator.platform eingeschränkt. Im Header werden nur Informationen über den Browsernamen, die Hauptversion des Browsers, die Plattform und den Gerätetyp (Mobiltelefon, PC, Tablet) verbleiben. Für zusätzliche Informationen wie die genaue Version und erweiterte Plattformdaten wird das API User Agent Client Hints verwendet werden müssen. Für Websites, denen diese neuen Informationen nicht ausreichen und die noch nicht bereit sind, auf User Agent Client Hints umzustellen, ist bis Mai 2023 die Rückgabe des vollständigen User-Agent verfügbar.
- Eine experimentelle Funktion zur Anzeige eines Ladeindikators in der Adressleiste wurde hinzugefügt, bei dem ein Klick den Status der heruntergeladenen und hochgeladenen Dateien ähnlich der Seite chrome://downloads zeigt. Um den Indikator zu aktivieren, ist die Einstellung „chrome://flags#download-bubble“ vorgesehen.

- Die Möglichkeit, den Sound durch Klicken auf den Wiedergabeindikator, der auf der Registerkarte angezeigt wird, stummzuschalten, wurde wiederhergestellt (zuvor konnte der Sound über das Kontextmenü stummgeschaltet werden). Um diese Funktion zu aktivieren, wurde die Einstellung «chrome://flags#enable-tab-audio-muting» hinzugefügt.

- Die Einstellung «chrome://flags/#enable-lens-standalone» wurde hinzugefügt, um die Nutzung des Google Lens-Dienstes zur Bildersuche (Punkt „Bild suchen“ im Kontextmenü) zu deaktivieren.
- Bei der gemeinsamen Nutzung einer Registerkarte (tab-sharing) wird nun der bereitgestellte Inhalt nicht mehr mit einem blauen Rahmen um die gesamte Registerkarte hervorgehoben, sondern nur mit dem Teil, der an den anderen Benutzer übertragen wird.
- Das Logo des Browsers wurde geändert. Das neue Logo unterscheidet sich von der Version von 2014 durch einen etwas größeren Kreis in der Mitte, lebendigere Farben und das Fehlen von Schatten an den Farbkanten.

- Änderungen in der Android-Version:
- Der Datenmodus „Lite“, bei dem die Bitrate beim Laden von Videos gesenkt und eine zusätzliche Bildkompression angewendet wurde, wird nicht mehr unterstützt. Es wird festgestellt, dass der Modus aufgrund der sinkenden Kosten von Tarifen in Mobilfunknetzen und der Entwicklung anderer Methoden zur Reduzierung des Datenvolumens entfernt wurde.
- Die Möglichkeit, Aktionen direkt aus der Adressleiste des Browsers auszuführen, wurde hinzugefügt. So kann man beispielsweise "Verlauf löschen" eingeben, und der Browser schlägt vor, zur Seite zum Löschen des Verlaufs zu wechseln, oder "Passwörter bearbeiten" eingeben, und der Browser öffnet den Passwort-Manager. Für Desktop-Systeme wurde diese Funktion in Chrome 87 umgesetzt.
- Die Unterstützung für den Login bei Google über das Scannen eines QR-Codes, der auf einem anderen Gerät angezeigt wird, wurde implementiert.
- Ein Bestätigungsdialog für die Aktion wird jetzt angezeigt, wenn versucht wird, alle Tabs gleichzeitig zu schließen.
- Auf der Seite zum Öffnen eines neuen Tabs gibt es jetzt einen Umschalter zwischen der Ansicht von RSS-Abonnements (Following) und empfohlenen Inhalten (Discover).
- Die Verwendung von TLS 1.0/1.1 Protokollen im Android WebView-Komponenten wurde eingestellt. Im Browser selbst wurde die Unterstützung für TLS 1.0/1.1 mit der Version Chrome 98 entfernt. In der aktuellen Version wurde eine ähnliche Änderung auf mobile Anwendungen angewendet, die die WebView-Komponente nutzen, die nun keine Verbindung zu Servern herstellen können, die TLS 1.2 oder TLS 1.3 nicht unterstützen.
- Bei der Überprüfung von Zertifikaten mit dem Certificate Transparency-Mechanismus zur Bestätigung von Zertifikaten ist nun das Vorhandensein von signierten SCT-Einträgen (signed certificate timestamp) in beliebig zwei Logs erforderlich, die von unterschiedlichen Betreibern unterstützt werden (früher war ein Eintrag im Google-Log und in einem Log eines anderen Betreibers erforderlich). Certificate Transparency sorgt für die Führung unabhängiger öffentlicher Logs aller ausgegebenen und widerrufenen Zertifikate, die einen unabhängigen Audit aller Änderungen und Aktivitäten der Zertifizierungsstellen ermöglichen und es erlauben, alle Versuche der heimlichen Erstellung gefälschter Einträge nachzuvollziehen.
Für Benutzer, die den Safe Browsing-Modus aktiviert haben, ist standardmäßig die Überwachung von SCT-Einträgen, die in den Logs der Certificate Transparency verwendet werden, aktiviert. Diese Änderung führt zu zusätzlichen Anfragen an Google zur Bestätigung der Korrektheit des Logs. Überprüfungsanfragen werden sehr selten gesendet, etwa einmal für 10.000 TLS-Verbindungen. Bei der Feststellung von Problemen werden die Daten über die fehlerhafte Zertifikatskette und SCT an Google übermittelt (es werden nur bereits öffentlich verbreitete Daten über Zertifikate und SCT übermittelt).
- Beim Aktivieren des erweiterten Schutzmodus für gefährliche Websites (Enhanced Safe Browsing) und dem Anmelden bei Ihrem Google-Konto werden nun Tokens, die mit Ihrem Google-Konto verknüpft sind, in die an Google übermittelten Vorfalldaten einbezogen. Server Dies ermöglicht einen verbesserten Schutz vor Phishing, bösartiger Aktivität und anderen Bedrohungen im Web. In einem Inkognito-Modus werden solche Daten nicht übertragen.
- In der Desktop-Version von Chrome gibt es die Möglichkeit, Warnungen vor der Verwendung kompromittierter Passwörter abzulehnen.
- Die API für die Multi-Screen-Fensterplatzierung wurde hinzugefügt, mit der Sie Informationen zu den an den Computer angeschlossenen Monitoren abrufen und die Fenster auf den gewünschten Bildschirmen anordnen können. Mit der neuen API kann auch die genaue Position der angezeigten Fenster ausgewählt und der Übergang in den Vollbildmodus gesteuert werden, der durch die Methode Element.requestFullscreen() initiiert wird. Zu den Anwendungsbeispielen für die neue API zählen Präsentationssoftware (Ausgabe auf einen Projektor und Anzeige von Notizen auf dem Laptop-Bildschirm), Finanzanwendungen und Überwachungssysteme (Anordnung von Diagrammen auf verschiedenen Bildschirmen), medizinische Anwendungen (Anzeige von Bildern auf separaten hochauflösenden Bildschirmen), Spiele, Grafikeditoren und andere Arten von Multi-Fenster-Anwendungen.
- Im Rahmen der Origin Trials (experimentelle Funktionen, die eine separate Aktivierung erfordern) wurde die Unterstützung für den Zugriff auf Media Source Extensions aus dedizierten Workern implementiert. Dies kann beispielsweise verwendet werden, um die Leistung der gepufferten Medienwiedergabe zu verbessern, indem ein MediaSource-Objekt in einem separaten Worker erstellt und die Ergebnisse seiner Arbeit an ein HTMLMediaElement im Haupt-Thread übermittelt werden. Origin Trial bedeutet, dass die Nutzung der angegebenen API aus Anwendungen, die von localhost oder 127.0.0.1 geladen werden, möglich ist oder nach der Registrierung und dem Erhalt eines speziellen Tokens, das für eine begrenzte Zeit für eine bestimmte Website gültig ist.
- Ein stabilisiertes API für digitale Güter wurde allen Interessierten angeboten, um die Organisation von Käufen aus Webanwendungen zu vereinfachen. Es ermöglicht die Anbindung an Vertriebsdienste und in Android bietet es eine Anbindung an die Android Play Billing API.
- Die Methode AbortSignal.throwIfAborted() wurde hinzugefügt, um das Abbrechen der Ausführung des Signals unter Berücksichtigung des Zustands und der Ursache seines Abbruchs zu behandeln.
- Im HIDDevice-Objekt wurde die Methode forget() hinzugefügt, mit der die vom Benutzer erteilten Zugriffsrechte für Eingabegeräte widerrufen werden können.
- Im CSS-Eigenschaft mix-blend-mode, die das Mischverfahren beim Überlagern von Elementen definiert, wurde die Unterstützung für den Wert „plus-lighter“ hinzugefügt, um die Überlappungen zweier Elemente mit gemeinsamen Pixeln hervorzuheben.
- Im NDEFReader-Objekt wurde die Methode makeReadOnly() hinzugefügt, die es ermöglicht, NFC-Tags im Nur-Lese-Modus zu verwenden.
- Im WebTransport-API, das für den Versand und Empfang von Daten zwischen dem Browser und dem Server vorgesehen ist, wurde die Option serverCertificateHashes hinzugefügt, um die Verbindung zum Server durch den Hash des Zertifikats ohne Verwendung von Web PKI zu authentifizieren (zum Beispiel, wenn eine Verbindung zu Server oder einer virtuellen Maschine außerhalb des öffentlichen Netzwerks hergestellt wird).
- Eine Vielzahl von Verbesserungen wurden in die Werkzeuge für Webentwickler integriert. Die Recorder-Panel-Funktionen wurden erweitert, um die Aktionen der Benutzer auf der Seite aufzuzeichnen, wiederzugeben und zu analysieren. Bei der Durchsicht des Codes während der Fehlerbehebung werden die Werte von Eigenschaften angezeigt, wenn der Mauszeiger über Klassen oder Funktionen gehalten wird. Die Liste der emulierten Geräte für den User-Agent wurde für das iPhone auf die Version 13_2_3 aktualisiert. Im Navigationsbereich der CSS-Stile gibt es nun die Möglichkeit, die Regeln von „@supports“ anzusehen und zu bearbeiten.

Neben neuen Funktionen und Fehlerbehebungen wurden in der neuen Version 28 Sicherheitsanfälligkeiten behoben. Viele dieser Schwachstellen wurden durch automatisierte Tests mit den Tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL identifiziert. Kritische Probleme, die es ermöglichen, alle Schutzmaßnahmen des Browsers zu umgehen und Code außerhalb der Sandbox-Umgebung auszuführen, wurden nicht festgestellt. Im Rahmen des Programms zur Belohnung für das Auffinden von Sicherheitsanfälligkeiten hat Google für die aktuelle Version insgesamt 20 Prämien in Höhe von 51.000 US-Dollar vergeben (eine Prämie von 16.000 US-Dollar, zwei Prämien von 7.000 US-Dollar, drei Prämien von 5.000 US-Dollar sowie je eine Prämie von 3.000, 2.000 und 1.000 US-Dollar. Die Höhe von 11 Prämien ist noch nicht festgelegt.
Quelle: opennet.ru




