Release von Chrome 118. Vorbereitung zur Blockierung von Third-Party-Cookies in Chrome

Google hat die Version 118 des Web-Browsers Chrome veröffentlicht. Gleichzeitig ist die stabile Version des freien Projekts Chromium verfügbar, das die Grundlage für Chrome bildet. Im Gegensatz zu Chromium verwendet der Chrome-Browser Googles Logos, bietet ein Benachrichtigungssystem für Abstürze, verfügt über Module zur Wiedergabe von kopiergeschütztem Videoinhalt (DRM), beinhaltet ein automatisches Update-System, hat permanent aktivierte Sandbox-Isolation, liefert Schlüssel für die Google APIs und überträgt RLZ-Parameter bei Suchanfragen. Für diejenigen, die mehr Zeit für Aktualisierungen benötigen, wird ein separater Extended Stable-Zweig mit einer Unterstützung von 8 Wochen angeboten. Die nächste Version, Chrome 119, ist für den 31. Oktober geplant.

Die wichtigsten Änderungen in Chrome 118:

  • Die Vorbereitungen zur Einstellung der Unterstützung von Drittanbieter-Cookies in Chrome haben begonnen. Diese Cookies werden verwendet, um das Surfverhalten von Nutzern auf Websites außerhalb der aktuellen Domain zu verfolgen. Sie kommen in Code von Werbenetzwerken, Social-Media-Widgets und Webanalyse-Systemen zum Einsatz. Diese Änderungen sind Teil der Privacy Sandbox-Initiative, die darauf abzielt, einen Kompromiss zwischen dem Bedürfnis der Nutzer nach Datenschutz und dem Wunsch von Werbenetzwerken und Websites, die Vorlieben der Besucher zu verfolgen, zu erreichen.

    In Chrome 118 wird in den Entwicklertools eine Warnung angezeigt, wenn Cookies gesendet werden, die in Zukunft blockiert werden. Es wurde auch eine Kommandozeilenoption „—test-third-party-cookie-phaseout“ hinzugefügt sowie die Einstellung „chrome://flags/#test-third-party-cookie-phaseout“, um die Blockierung zum Zwecke von Tests zu aktivieren. Die tatsächliche Blockierung von Drittanbieter-Cookies beginnt im ersten Quartal 2024 und wird während der Testphase bis zum dritten Quartal zunächst nur 1% der Chrome-Nutzer betreffen. Nach dem dritten Quartal 2024 wird die Blockierungsrate auf 100% erhöht.

    Anstelle von Tracking-Cookies wird empfohlen, die folgenden APIs zu verwenden:

    • FedCM (Federated Credential Management), ermöglicht die Erstellung kombinierter Identitätsdienste, die Datenschutz gewährleisten und ohne Drittanbieter-Cookies funktionieren.
    • Private State Tokens, ermöglichen die Unterscheidung zwischen verschiedenen Nutzern ohne die Verwendung von Cross-Site-Identifiers und die Übertragung von Benutzerauthentifizierungsdaten über verschiedene Kontexte hinweg.
    • Topics (Kritik) ermöglicht es, die Interessen Kategorien der Benutzer zu bestimmen, die verwendet werden können, um Gruppen von Benutzern mit ähnlichen Interessen zu identifizieren, ohne einzelne Benutzer durch Tracker-Cookies zu identifizieren. Die Interessen werden anhand der Aktivitäten des Benutzers im Browser berechnet und auf dem Gerät des Benutzers gespeichert. Durch die API Topics kann das Werbenetzwerk allgemeine Informationen über spezifische Interessen erhalten, ohne Zugang zu Informationen über die konkrete Aktivität des Benutzers zu haben.
    • Protected Audience, eine Lösung für Retargeting-Aufgaben und zur Bewertung des eigenen Publikums (Arbeit mit Benutzern, die die Website bereits besucht haben).
    • Attribution Reporting ermöglicht es, solche Leistungsmerkmale der Werbung zu bewerten, wie Klicks und Konversionen (Käufe auf der Website nach einem Klick).
    • Storage Access API kann verwendet werden, um den Benutzer um Erlaubnis zu bitten, auf den Cookie-Speicher zuzugreifen, wenn Drittanbieter-Cookies standardmäßig blockiert sind.
  • Für alle Benutzer ist die Unterstützung des ECH-Mechanismus (Encrypted Client Hello) aktiviert, der die Entwicklung von ESNI (Encrypted Server Name Indication) vorantreibt und zur Verschlüsselung von Informationen über die Parameter von TLS-Sitzungen verwendet wird, wie zum Beispiel dem angeforderten Domainnamen. Der entscheidende Unterschied zwischen ECH und ESNI besteht darin, dass bei ECH nicht nur einzelne Felder, sondern die gesamte TLS-Nachricht ClientHello verschlüsselt wird, was das Risiko von Datenlecks über Felder, die nicht von ESNI abgedeckt sind, wie das PSK (Pre-Shared Key) Feld, verringert. Zur Verwaltung der Aktivierung von ECH ist die Einstellung „chrome://flags#encrypted-client-hello“ vorgesehen.
  • Mit der Aktivierung des erweiterten Browserschutzes (Sichere Suche > Erweiterter Schutz) kann Google schädliche Erweiterungen, die nicht aus dem offiziellen Erweiterungskatalog stammen, aus der Ferne deaktivieren. Die Entscheidung über die Deaktivierung wird auf den Servern von Google basierend auf manuellen Prüfungen oder nach Auslösung des automatischen Erkennungssystems für Schadsoftware getroffen.
  • Mit der Aktivierung des Standard-Browserschutzes (Sichere Suche > Standard-Schutz) erfolgt in Echtzeit eine Sicherheitsüberprüfung der geöffneten URLs, die auf der Übertragung von Server teilweisen Hashes der vom Nutzer geöffneten URLs an Google basiert. Um eine Zuordnung zu vermeiden IP-Adressen Benutzer und Hash-Daten werden über einen Zwischenproxy übertragen. Zuvor erfolgte die Überprüfung durch den Upload einer lokalen Kopie der Liste unsicherer URLs auf das System des Benutzers. Das neue Schema ermöglicht eine schnellere Blockierung schädlicher URLs.
  • Das Design der Seiten wurde überarbeitet, die angezeigt werden, wenn der Zugriff auf eine als unsicher eingestufte Website versucht wird, basierend auf dem Safe Browsing-Mechanismus.
    Release von Chrome 118. Vorbereitung zur Blockierung von Third-Party-Cookies in Chrome
  • In der Telemetrie, die an die Google-Server gesendet wird, wenn der erweiterte Schutz des Browsers (Safe Browsing > Erweiterter Schutz) aktiviert ist, werden jetzt Anfragen von Erweiterungen an die API chrome.tabs berücksichtigt. Die Daten werden gesammelt, um schädliche Aktivitäten und Regelverstöße durch Erweiterungen zu identifizieren.
  • Bei aktivierter erweiterten Schutz des Browsers (Safe Browsing > Erweiterter Schutz) wird eine Unterstützung für das tiefgehende Scannen von verschlüsselten ZIP- und RAR-Archiven auf Seiten von Google bereitgestellt (der Benutzer wird nach dem Passwort für die Entpackung gefragt, danach wird der Inhalt zur Überprüfung an die Google-Server gesendet).
  • Im Konfigurator und in der Anleitung zum Datenschutz wurde neuer Text hinzugefügt, der die Grundlagen der Schutzebenen von Safe Browsing erklärt, sowie Links zu den entsprechenden Artikeln mit weiteren Informationen. Die Beschreibungen des Standard-Schutzes, der Deaktivierung des Schutzes und der Warnungen vor kompromittierten Passwörtern wurden vereinfacht.
    Release von Chrome 118. Vorbereitung zur Blockierung von Third-Party-Cookies in Chrome
  • In den Abschnitt Quests (Preisverfolgung in Online-Shops) der neuen Tab-Seite wurde Informationen über verfügbare Rabatte aufgenommen. Der Rabattindikator kann auch in der Adresszeile erscheinen, wenn Seiten mit Produkten aus Online-Shops geöffnet werden, die vom Google-Dienst überwacht werden.
  • Gemäß der Spezifikation RFC-6265bis wurde das Blockieren aller Cookies sichergestellt, die Steuerzeichen enthalten und über JavaScript gesetzt wurden. Zuvor wurden Cookies mit Nullzeichen, Wagenrücklauf und Zeilenumbruch am problematischen Zeichen abgeschnitten, anstatt blockiert zu werden, was in manchen Situationen für böswillige Aktionen missbraucht werden konnte. Um das neue Verhalten zu deaktivieren, kann die Option „—disable-features=BlockTruncatedCookies“ verwendet werden.
  • In den registrierten Service Worker-Erweiterungen wurde der Zugriff auf die WebUSB-API erlaubt.
  • Die Notwendigkeit der vorläufigen Aktivierung der Funktion zum Abrufen und Bestätigen von Zahlungen durch den Nutzer wurde entfernt.
  • Die Decodierung von ASCII-Zeichen in Form von Codes „%xx“ wurde eingestellt. Zum Beispiel wurde zuvor „http://example.com/“ vor der Speicherung in url.href in „http://example.com/A“ decodiert, jetzt bleibt es jedoch „http://example.com/“.
  • Die Möglichkeit der vertikalen Anordnung von Text in den web-Formular-Elementen select, meter, progress, button, textarea und input wurde hinzugefügt. Die Positionierung des Textes in Formularen wird über die CSS-Eigenschaft writing-mode festgelegt, die für eine vertikale Darstellung die Werte vertical-rl oder vertical-lr annehmen kann.
  • Im CSS-Eigenschaft «appearance» wurde die Unterstützung für nicht standardisierte Schlüsselwörter eingestellt: inner-spin-button, media-slider, media-sliderthumb, media-volume-slider, media-volume-sliderthumb, push-button, searchfield-cancel-button, slider-horizontal, sliderthumb-horizontal, sliderthumb-vertical und square-button. Um die Nutzung dieser Schlüsselwörter, die nicht in die Spezifikation aufgenommen wurden, zu bewerten, wurde eine Statistik erstellt, die zeigt, dass sie nur in 0,001 % der Fälle verwendet wurden.
  • Die CSS-Regel @scope wurde hinzugefügt, um CSS-Stile basierend auf der Nähe der Stildefinition zu den Elementen zu binden. Die Regel @scope kann verwendet werden, um die Standardanordnung der Stile, die auf der Reihenfolge der Elemente basieren, zu umgehen oder um den Stil einer Komponente zu ändern, ohne die Stile der darin enthaltenen Elemente zu beeinflussen. Zum Beispiel für verschachtelte div-Elemente: <div class="»lightpink-theme»"> <a href="/de/»/#»">Ich bin hellrosa!</a> <div class="»pink-theme»"> <a href="/de/»/#»">Anderes Pink!</a> </div> </div> Der gesamte Inhalt wird hellrosa eingefärbt, da der Stil "lightpink-theme" auf den gesamten Block angewendet wird, der im übergeordneten div angegeben ist. Mit @scope kann der Geltungsbereich geändert werden, sodass der stil "pink-theme" für das verschachtelte div basierend auf der Nähe der Stildefinition und nicht auf der Reihenfolge der Definition im Code angewendet wird: @scope (.pink-theme) { a { color: hotpink; } } @scope (.lightpink-theme){ a { color: lightpink; } }
  • Die Unterstützung für das Medienabfrage-Feature (@media) „scripting“ wurde hinzugefügt, um die Verfügbarkeit der Ausführungsmöglichkeiten von Skripten zu überprüfen (zum Beispiel kann in CSS festgestellt werden, ob die Unterstützung für JavaScript aktiviert ist).
  • Die Unterstützung der Medienabfrage prefers-reduced-transparency wurde hinzugefügt, um Änderungen in den Systemeinstellungen zu erkennen, die für die Reduzierung von Transparenzeffekten verantwortlich sind (zum Beispiel der Modus „Reduziere Transparenz“ in macOS, der zur Verbesserung der Lesbarkeit von Texten verwendet wird).
  • In CSS wurden neue Werte wie „float: inline-start“, „float: inline-end“, „clear: inline-start“, „clear: inline-end“, „resize: block“, „resize: inline“ hinzugefügt, die die logische Positionierung von Elementen steuern (für Sprachen, die nicht vertikal und von links nach rechts geschrieben werden, verwendet die logische Positionierung Konzepte von Anfang, Ende und Richtung des Texts).
  • Im CSS-Attribut „transform-box“ wurde die Unterstützung für die Werte stroke-box, content-box und border-box hinzugefügt, die es ermöglichen, die Methode zur Berechnung des Referenzbereichs für Transformationsoperationen zu ändern, zum Beispiel zur Umsetzung erweiterter grafischer Effekte.
  • Die Möglichkeit, den Fokus auf Scroll-Blöcke bei der Navigation mit der Tastatur zu setzen, wurde hinzugefügt (zum Beispiel kann der Fokus auf das Scrollen durch Drücken der Tab-Taste gesetzt und mit den Pfeiltasten gesteuert werden).
  • Verbesserungen wurden an den Werkzeugen für Webentwickler vorgenommen. Die Funktionen des Panels 'Sources' wurden erweitert, in dem anstelle des Bereichs 'Filesystem' ein Tab 'Workspace' angeboten wird, über den Änderungen, die über die Entwicklerwerkzeuge vorgenommen wurden, mit den Quell-Dateien synchronisiert werden können.

    Es wurde die Möglichkeit geschaffen, die Reihenfolge der Tabs im Panel 'Sources' durch Ziehen und Ablegen mit der Maus zu ändern. Außerdem wurde das Formatieren von JavaScript-Code, der in 'script'-Elementen mit den Typen 'module', 'importmap' und 'speculationrules' eingebettet ist, sichergestellt. Die Syntaxhervorhebung für Skripte mit den Typen 'importmap' und 'speculationrules' wurde hinzugefügt.

    Release von Chrome 118. Vorbereitung zur Blockierung von Third-Party-Cookies in Chrome

    Im Elements-Bereich der Registerkarte Styles wurde ein separater Abschnitt für benutzerdefinierte Eigenschaften hinzugefügt, der es ermöglicht, eigene CSS-Eigenschaften ohne die Ausführung von JavaScript zu definieren. In den Suchergebnissen werden nun alle Übereinstimmungen in der Zeile angezeigt, nicht nur die erste Übereinstimmung, was bei der Suche in JavaScript-Dateien, die zur Reduzierung der Größe gepackt sind, hilfreich ist (bei einem Klick auf das Ergebnis wird die Datei im Editor geöffnet und scrollt sowohl vertikal als auch horizontal, um die gefundene Position anzuzeigen).

    Release von Chrome 118. Vorbereitung zur Blockierung von Third-Party-Cookies in Chrome

In der neuen Version wurden neben neuen Funktionen und Fehlerbehebungen 20 Sicherheitsanfälligkeiten geschlossen. Viele dieser Lücken wurden durch automatisierte Tests mit den Tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL entdeckt. Unter anderem wurde in diesem Release eine kritische Schwachstelle mit der Bezeichnung CVE-2023-5218 behoben. Diese ist mit einem Zugriff auf den Speicher nach dessen Freigabe (Use after free) im Mechanismus zur Isolation von Webseiten verbunden. Diese Schwachstelle ermöglicht es, alle Schutzebenen des Browsers zu umgehen und Code außerhalb des Sandbox-Umgebung im System auszuführen. Im Rahmen des Programms zur Belohnung von Sicherheitsforschern hat Google für die aktuelle Version insgesamt 14 Prämien in Höhe von 30,5 Tausend US-Dollar ausgezahlt (eine Prämie von 6000 Dollar, zwei Prämien von 5000 Dollar, zwei Prämien von 3000 Dollar, eine Prämie von 2000 Dollar, sechs Prämien von 1000 Dollar und eine Prämie von 500 Dollar). Die Höhe einer einzelnen Belohnung ist bisher noch nicht festgelegt.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster