Chrome-Version 97

Google hat die Veröffentlichung des Webbrowsers Chrome 97 vorgestellt. Gleichzeitig ist eine stabile Version des kostenlosen Chromium-Projekts verfügbar, das als Basis für Chrome dient. Der Chrome-Browser zeichnet sich durch die Verwendung von Google-Logos, das Vorhandensein eines Systems zum Versenden von Benachrichtigungen im Falle eines Absturzes, Module zum Abspielen kopiergeschützter Videoinhalte (DRM), ein System zum automatischen Installieren von Updates und die Übertragung von RLZ-Parametern aus, wenn suchen. Für diejenigen, die mehr Zeit zum Aktualisieren benötigen, gibt es einen separaten Zweig „Extended Stable“, gefolgt von 8 Wochen, der ein Update zur vorherigen Version von Chrome 96 bildet. Die nächste Version von Chrome 98 ist für den 1. Februar geplant.

Wichtige Änderungen in Chrome 97:

• Für einige Nutzer nutzt der Konfigurator eine neue Schnittstelle zur Verwaltung der browserseitig gespeicherten Daten („chrome://settings/content/all“). Der Hauptunterschied der neuen Benutzeroberfläche besteht darin, dass sie sich auf das Festlegen von Berechtigungen und das gleichzeitige Löschen aller Cookies der Website konzentriert, ohne dass detaillierte Informationen zu einzelnen Cookies angezeigt und Cookies selektiv gelöscht werden können. Laut Google kann der Zugriff auf die Verwaltung einzelner Cookies für einen normalen Benutzer, der die Feinheiten der Webentwicklung nicht versteht, zu unvorhersehbaren Störungen im Betrieb von Websites aufgrund unvorsichtiger Änderungen einzelner Parameter sowie zu einer versehentlichen Deaktivierung der Privatsphäre führen Durch Cookies aktivierte Schutzmechanismen. Für diejenigen, die einzelne Cookies manipulieren müssen, wird empfohlen, den Abschnitt zur Speicherverwaltung in Tools für Webentwickler (Applocation/Storage/Cookie) zu verwenden.
• Im Block mit Informationen zur Website wird eine kurze Beschreibung der Website (z. B. eine Beschreibung aus Wikipedia) angezeigt, wenn in den Einstellungen der Such- und Navigationsoptimierungsmodus aktiviert ist (Option „Suchen und Surfen verbessern“).
• Verbesserte Unterstützung für das automatische Ausfüllen von Feldern in Webformularen. Empfehlungen mit Autofill-Optionen werden jetzt leicht verschoben angezeigt und mit Informationssymbolen versehen, um eine bequemere Vorschau und visuelle Identifizierung des Zusammenhangs mit dem auszufüllenden Feld zu ermöglichen. Das Profilsymbol macht beispielsweise deutlich, dass sich die vorgeschlagene Autovervollständigung auf Felder mit Bezug zu Adresse und Kontaktinformationen auswirkt.
• Das Entfernen von Benutzerprofil-Handlern aus dem Speicher nach dem Schließen der damit verbundenen Browserfenster wurde aktiviert. Zuvor blieben Profile im Speicher und führten weiterhin Arbeiten im Zusammenhang mit der Synchronisierung und Ausführung von Hintergrund-Add-on-Skripts aus, was zu unnötiger Ressourcenverschwendung auf Systemen führte, die mehrere Profile gleichzeitig verwenden (z. B. ein Gastprofil und die Verknüpfung mit einem Google-Konto). ). Darüber hinaus ist eine gründlichere Bereinigung der beim Arbeiten mit dem Profil verbleibenden Daten gewährleistet.
• Verbesserte Seite mit Suchmaschineneinstellungen („Einstellungen>Suchmaschinen verwalten“). Die automatische Aktivierung von Engines, über die beim Öffnen einer Site über das OpenSearch-Skript Informationen bereitgestellt werden, wurde deaktiviert. Neue Engines zur Verarbeitung von Suchanfragen aus der Adressleiste müssen jetzt manuell in den Einstellungen aktiviert werden (zuvor automatisch aktivierte Engines werden dies weiterhin tun). ohne Änderungen funktionieren).
• Ab dem 17. Januar akzeptiert der Chrome Web Store keine Add-ons mehr, die Version XNUMX des Chrome-Manifests verwenden. Entwickler zuvor hinzugefügter Add-ons können jedoch weiterhin Updates veröffentlichen.
• Es wurde experimentelle Unterstützung für die WebTransport-Spezifikation hinzugefügt, die ein Protokoll und eine zugehörige JavaScript-API zum Senden und Empfangen von Daten zwischen einem Browser und einem Netzwerk definiert. ServerDer Kommunikationskanal wird über HTTP/3 mit dem QUIC-Protokoll als Transportprotokoll aufgebaut. WebTransport kann anstelle von WebSockets verwendet werden und bietet zusätzliche Funktionen wie Multi-Streaming, unidirektionale Streams, Zustellung in beliebiger Reihenfolge sowie zuverlässige und unzuverlässige Zustellungsmodi. Darüber hinaus kann WebTransport anstelle von Server Push verwendet werden, das Google in Chrome als veraltet markiert hat.
• Den JavaScript-Objekten Array und TypedArrays wurden die Methoden findLast und findLastIndex hinzugefügt, sodass Sie nach Elementen suchen können, deren Ergebnis relativ zum Ende des Arrays ausgegeben wird. [1,2,3,4].findLast((el) => el % 2 === 0) // → 4 (letztes gerades Element)
• Geschlossene (kein „offenes“ Attribut) HTML-Elemente , sind jetzt durchsuchbar und verlinkbar und werden bei Verwendung der Seitensuche und der Fragmentnavigation (ScrollToTextFragment) automatisch erweitert.
• Einschränkungen der Content Security Policy (CSP) in Antwortheadern Server Dies gilt nun für fest zugeordnete Mitarbeiter, die zuvor als separate Dokumente behandelt wurden.
• Es wurde eine ausdrückliche Anfrage für die Berechtigung gestellt, alle Unterressourcen aus dem internen Netzwerk herunterzuladen – vor dem Zugriff auf das interne Netzwerk oder den lokalen Host wurde eine CORS-Anfrage (Cross-Origin Resource Sharing) mit dem Header „Access-Control-Request-Private-“ gestellt. „Network: true“ wird nun an den Hauptstandortserver gesendet und erfordert eine Bestätigung des Vorgangs durch Rückgabe des Headers „Access-Control-Allow-Private-Network: true“.
• Die CSS-Eigenschaft „font-synthesize“ wurde hinzugefügt, mit der Sie steuern können, ob der Browser fehlende Schriftstile (schräg, fett und Kapitälchen) synthetisieren kann, die nicht zur ausgewählten Schriftfamilie gehören.
• Für CSS-Transformationen implementiert die Funktion perspective() einen Parameter „none“, der beim Organisieren von Animationen als unendlicher Wert behandelt wird.
• Der HTTP-Header „Permissions-Policy“ (Feature Policy), der zum Delegieren von Berechtigungen und zum Aktivieren erweiterter Funktionen verwendet wird, unterstützt jetzt den Wert „keyboard-map“, der die Verwendung der Tastatur-API ermöglicht. Es wurde die Methode Keyboard.getLayoutMap() implementiert, mit der Sie unter Berücksichtigung verschiedener Tastaturlayouts bestimmen können, welche Taste gedrückt wird (z. B. wird eine Taste auf einem russischen oder englischen Layout gedrückt).
• Die Methode HTMLScriptElement.supports() wurde hinzugefügt, die die Definition neuer Funktionen vereinheitlicht, die im Element „script“ verfügbar sind. Sie können beispielsweise die Liste der unterstützten Werte für das Attribut „type“ herausfinden.
• Der Prozess der Normalisierung von Zeilenumbrüchen beim Senden von Webformularen wurde an die Browser-Engines Gecko und WebKit angepasst. Die Normalisierung von Zeilenvorschüben und Wagenrückläufen (Ersetzen von /r und /n durch \r\n) in Chrome erfolgt jetzt in der letzten Phase und nicht zu Beginn der Formularübermittlungsverarbeitung (d. h. Zwischenprozessoren, die das FormData-Objekt verwenden, sehen die Daten als vom Benutzer hinzugefügt und nicht in normalisierter Form).
• Die Benennung von Eigenschaftsnamen wurde für die Client Hints API standardisiert, die als Ersatz für den User-Agent-Header entwickelt wird und es Ihnen ermöglicht, Daten zu bestimmten Browser- und Systemparametern (Version, Plattform usw.) erst danach selektiv bereitzustellen eine Anfrage des Servers. Eigenschaften werden jetzt mit dem Präfix „sec-ch-“ angegeben, zum Beispiel sec-ch-dpr, sec-ch-width, sec-ch-viewport-width, sec-ch-device-memory, sec-ch-rtt , sec-ch-downlink und sec-ch-ect.
• Die zweite Stufe der Einstellung der Unterstützung für die WebSQL-API wurde angewendet. Der Zugriff darauf durch Skripts von Drittanbietern wird nun blockiert. Für die Zukunft planen wir, die Unterstützung für WebSQL unabhängig vom Nutzungskontext schrittweise vollständig einzustellen. Die WebSQL-Engine basiert auf SQLite-Code und könnte von Angreifern verwendet werden, um Schwachstellen in SQLite auszunutzen.
• Für Plattform Windows Ein Build mit Integritätsprüfungen durch Control Flow Guard (CFG) wurde aktiviert, um Versuche zum Einschleusen von Code in den Chrome-Prozess zu verhindern. Zusätzlich wird nun eine Sandbox für Netzwerkdienste verwendet, die in separaten Prozessen laufen, wodurch die Möglichkeiten des Codes innerhalb dieser Prozesse eingeschränkt werden.
• In Chrome für Android Der Mechanismus zur dynamischen Aktualisierung des Protokolls der ausgestellten und widerrufenen Zertifikate (Zertifikattransparenz), der zuvor in den Desktop-Versionen aktiviert war, wurde aktiviert.
• Es wurden Verbesserungen an den Tools für Webentwickler vorgenommen. Experimentelle Unterstützung für die Synchronisierung von DevTools-Einstellungen zwischen verschiedenen Geräten wurde implementiert. Es wurde ein neues Recorder-Panel hinzugefügt, mit dem Sie Benutzeraktionen auf der Seite aufzeichnen, wiedergeben und analysieren können.

  Beim Anzeigen von Fehlern in der Webkonsole werden die mit dem Problem verbundenen Spaltennummern angezeigt, was für die Fehlerbehebung bei Problemen in minimiertem JavaScript-Code praktisch ist. Die Liste der Geräte, die zur Auswertung der Seitendarstellung auf Mobilgeräten simuliert werden können, wurde aktualisiert. In der Schnittstelle zum Bearbeiten von HTML-Blöcken (Als HTML bearbeiten) wurden Syntaxhervorhebung und die Möglichkeit zur automatischen Vervollständigung von Eingaben hinzugefügt.

  

Neben Neuerungen und Fehlerbehebungen beseitigt die neue Version 37 Schwachstellen. Viele der Schwachstellen wurden als Ergebnis automatisierter Tests mit den Tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL identifiziert. Einer der Schwachstellen wurde der Status eines kritischen Problems zugewiesen, das es ermöglicht, alle Ebenen des Browserschutzes zu umgehen und Code auf dem System außerhalb der Sandbox-Umgebung auszuführen. Details zur kritischen Schwachstelle (CVE-2022-0096) wurden bisher nicht bekannt gegeben; es ist lediglich bekannt, dass sie mit dem Zugriff auf einen bereits freigegebenen Speicherbereich im Code für die Arbeit mit dem internen Speicher (Storage API) zusammenhängt.

Im Rahmen des Programms zur Zahlung von Geldprämien für die Entdeckung von Schwachstellen in der aktuellen Version zahlte Google 24 Auszeichnungen im Wert von 54 US-Dollar aus (drei Auszeichnungen im Wert von 10000 US-Dollar, zwei Auszeichnungen im Wert von 5000 US-Dollar, ein Preis im Wert von 4000 US-Dollar, drei Auszeichnungen im Wert von 3000 US-Dollar und ein Preis im Wert von 1000 US-Dollar). Die Höhe von 14 Belohnungen steht noch nicht fest.

Source: opennet.ru