Release von Chrome 107

Google hat die Version 107 des Webbrowsers Chrome veröffentlicht. Gleichzeitig ist die stabile Version des Open-Source-Projekts Chromium verfügbar, das die Grundlage für Chrome bildet. Der Chrome-Browser unterscheidet sich von Chromium durch die Verwendung von Google-Logos, ein Benachrichtigungssystem im Falle eines Absturzes, Module zur Wiedergabe von kopiergeschütztem Videoinhalt (DRM), ein automatisches Update-System, fortlaufend aktivierte Sandbox-Isolation, Bereitstellung von Schlüsseln für Google APIs und die Übertragung von RLZ-Parametern bei der Suche. Für diejenigen, die mehr Zeit für das Update benötigen, wird zusätzlich ein Extended Stable-Zweig angeboten, der über 8 Wochen unterstützt wird. Die nächste Version von Chrome, 108, ist für den 29. November geplant.

Die wichtigsten Änderungen in Chrome 107:

  • Die Unterstützung für den ECH-Mechanismus (Encrypted Client Hello) wurde hinzugefügt, der die Entwicklung von ESNI (Encrypted Server Name Indication) vorantreibt. ECH wird verwendet, um Informationen über die Parameter von TLS-Sitzungen, wie den angeforderten Domänennamen, zu verschlüsseln. Der entscheidende Unterschied zwischen ECH und ESNI besteht darin, dass bei ECH anstelle der Verschlüsselung auf der Ebene einzelner Felder die gesamte TLS-Nachricht ClientHello verschlüsselt wird. Dadurch können Lecks über Felder, die von ESNI nicht abgedeckt werden, wie das PSK-Feld (Pre-Shared Key), blockiert werden. ECH verwendet auch einen HTTPSSVC-DNS-Eintrag anstelle eines TXT-Eintrags zur Übertragung von Informationen zum öffentlichen Schlüssel und implementiert authentifizierte End-to-End-Verschlüsselung auf der Basis des HPKE-Mechanismus (Hybrid Public Key Encryption) zur Schlüsselgenerierung und -verschlüsselung. Zur Steuerung der Aktivierung von ECH wurde die Einstellung „chrome://flags#encrypted-client-hello“ vorgeschlagen.
  • Die Unterstützung für die Hardwarebeschleunigung bei der Dekodierung von Videos im H.265-Format (HEVC) wurde aktiviert.
  • Die fünfte Phase der Reduktion von Informationen in den HTTP-Headern User-Agent sowie in den JavaScript-Parametern navigator.userAgent, navigator.appVersion und navigator.platform wurde aktiviert. Diese Maßnahme dient der Verringerung der Informationen, die zur passiven Identifizierung von Nutzern verwendet werden können. In Chrome 107 wurde die Informationsmenge über die Plattform und den Prozessor für Nutzer von Desktop-Systemen im User-Agent reduziert, und der Inhalt des JavaScript-Parameters navigator.platform wurde eingefroren. Diese Änderung ist nur in den Versionen für die Plattform Windows bemerkbar, bei der die spezifische Versionsangabe durch „Windows NT 10.0“ ersetzt wurde. Unter Linux blieb der Plattforminhalt im User-Agent unverändert.

    In der vorherigen Version des Browsers wurden die MINOR.BUILD.PATCH-Zahlen durch 0.0.0 ersetzt. Zukünftig wird im Header nur noch der Name des Browsers, die Hauptversion, die Plattform und der Gerätetyp (Mobiltelefon, PC, Tablet) angegeben. Für weitere Daten, wie die genaue Version und erweiterte Plattforminformationen, muss die API User Agent Client Hints verwendet werden. Websites, die mit diesen neuen Informationen nicht zurechtkommen und noch nicht bereit sind, auf User Agent Client Hints umzusteigen, können bis Mai 2023 weiterhin den vollständigen User-Agent zurückgeben.

  • In der Android-Version wird die Unterstützung für die Plattform Android 6.0 eingestellt. Für die Nutzung des Browsers ist nun mindestens die Version Android 7.0 erforderlich.
  • Das Design der Benutzeroberfläche zur Überwachung des Download-Status wurde geändert. Anstelle der unteren Leiste mit Informationen zum Fortschritt des Downloads wurde ein neuer Indikator zur Adressleiste hinzugefügt, auf den man klicken kann, um den Fortschritt der Dateidownloads und eine Historie bereits heruntergeladener Dateien anzuzeigen. Im Gegensatz zur unteren Leiste wird die Schaltfläche ständig in der Leiste angezeigt und ermöglicht einen schnellen Zugriff auf die Download-Historie. Die neue Benutzeroberfläche wird derzeit standardmäßig nur einer ausgewählten Gruppe von Nutzern angeboten und wird bei fehlenden Problemen für alle Nutzer verfügbar gemacht.
    Release von Chrome 107
  • Benutzern von Desktop-Systemen wird die Möglichkeit geboten, Passwörter, die in einer CSV-Datei gespeichert sind, zu importieren. Zuvor konnten Passwörter nur über den Dienst passwords.google.com in den Browser übertragen werden, jetzt ist dies auch über den integrierten Passwortmanager des Browsers (Google Passwortmanager) möglich.
  • Nach der Erstellung eines neuen Profils durch den Benutzer wird eine Aufforderung angezeigt, die Synchronisierung zu aktivieren und zu den Einstellungen zu wechseln, über die der Benutzer den Profilnamen ändern und das Farbthema auswählen kann.
  • In der Android-Version wurde eine neue Benutzeroberfläche zur Auswahl von Multimediadateien für das Hochladen von Fotos und Videos eingeführt (anstatt einer eigenen Implementierung wird die Standardoberfläche des Android Media Pickers verwendet).
    Release von Chrome 107
  • Eine automatische Widerrufung der Berechtigung zur Anzeige von Benachrichtigungen für Websites, die beim Versenden störender Benachrichtigungen und Nachrichten erwischt wurden, wurde implementiert. Zudem wurde die Anzeige von Anfragen zur Erteilung von Berechtigungen für den Versand von Benachrichtigungen für diese Websites ausgesetzt.
  • Im API Screen Capture wurden neue Eigenschaften hinzugefügt, die mit dem Teilen des Bildschirms zusammenhängen: selfBrowserSurface (ermöglicht das Ausschließen des aktuellen Tabs beim Aufruf von getDisplayMedia()), surfaceSwitching (ermöglicht das Verbergen der Schaltfläche zum Wechseln zwischen Tabs) und displaySurface (ermöglicht die Eingrenzung des Bildschirmteilens auf einen Tab, ein Fenster oder den gesamten Bildschirm).
  • Im API Performance wurde die Eigenschaft renderBlockingStatus hinzugefügt, um Ressourcen zu identifizieren, die das Rendern der Seite bis zum Abschluss ihres Ladevorgangs blockieren.
  • Im Origin Trials-Modus (experimentelle Funktionen, die eine separate Aktivierung erfordern) wurden mehrere neue APIs hinzugefügt. Der Origin Trial ermöglicht die Nutzung der angegebenen API aus Anwendungen, die von localhost oder 127.0.0.1 geladen werden, oder nach Registrierung und Erhalt eines speziellen Tokens, das für einen bestimmten Zeitraum für eine bestimmte Website gültig ist.
    • Ein deklaratives API PendingBeacon, das das Management des Sendens ermöglicht. der Server Daten, die keine Antwort erfordern (Beacon). Die neue API ermöglicht es, das Senden solcher Daten dem Browser zu delegieren, ohne dass zu bestimmten Zeiten Sendeoperationen aufgerufen werden müssen, beispielsweise um die Übertragung von Telemetriedaten nach dem Schließen der Seite durch den Nutzer zu organisieren.
    • In dem HTTP-Header Permissions-Policy (Feature Policy), der zur Delegierung von Berechtigungen und zur Aktivierung erweiterter Funktionen verwendet wird, wurde die Unterstützung für den Wert „unload“ hinzugefügt, mit dem die Ereignisbehandler für „unload“ auf der Seite deaktiviert werden können.
  • Im Tag wurde die Unterstützung für das Attribut „rel“ hinzugefügt, das es ermöglicht, für die Navigation über Webformulare den Parameter „rel=noreferrer“ zu verwenden, um die Übertragung des Referer-Headers zu deaktivieren, oder „rel=noopener“, um die Eigenschaft Window.opener zu deaktivieren und den Zugriff auf den Kontext zu verbieten, aus dem die Weiterleitung durchgeführt wurde.
  • In CSS Grid wurde die Unterstützung für die Interpolation der Eigenschaften grid-template-columns und grid-template-rows zur Organisation eines fließenden Übergangs zwischen verschiedenen Zuständen des Grids hinzugefügt.
  • Verbesserungen der Tools für Webentwickler wurden implementiert. Die Möglichkeit zur Anpassung von Tastenkombinationen wurde hinzugefügt. Die Inspektion des Speichers für C/C++-Anwendungsobjekte, die in das WebAssembly-Format umgewandelt wurden, wurde verbessert.

Neben neuen Funktionen und Fehlerbehebungen wurden in der neuen Version 14 Schwachstellen beseitigt. Viele dieser Schwachstellen wurden durch automatisierte Tests mit den Werkzeugen AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL entdeckt. Kritische Probleme, die es ermöglichen könnten, alle Schutzmaßnahmen des Browsers zu umgehen und Code außerhalb der Sandbox-Umgebung auszuführen, wurden nicht gefunden. Im Rahmen des Belohnungsprogramms für die Entdeckung von Schwachstellen hat Google für die aktuelle Version 10 Prämien in Höhe von 57.000 US-Dollar vergeben (eine Prämie über $20.000, $17.000 und $7.000, zwei Prämien über $3.000, drei Prämien über $2.000 und eine Prämie über $1.000). Die Höhe einer einzelnen Prämie ist noch nicht festgelegt.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster