Chrome-Version 98

Google hat die Veröffentlichung des Webbrowsers Chrome 98 vorgestellt. Gleichzeitig ist eine stabile Version des kostenlosen Chromium-Projekts verfügbar, das als Basis von Chrome dient. Der Chrome-Browser zeichnet sich durch die Verwendung von Google-Logos, das Vorhandensein eines Systems zum Versenden von Benachrichtigungen im Falle eines Absturzes, Module zum Abspielen kopiergeschützter Videoinhalte (DRM), ein System zum automatischen Installieren von Updates und die Übertragung von RLZ-Parametern aus, wenn suchen. Die nächste Veröffentlichung von Chrome 99 ist für den 1. März geplant.

Wichtige Änderungen in Chrome 98:

• Der Browser verfügt über einen eigenen Speicher für Stammzertifikate von Zertifizierungsstellen (Chrome Root Store), der anstelle externer Speicher für jedes Betriebssystem verwendet wird. Der Speicher ist ähnlich wie der unabhängige Speicher für Stammzertifikate in Firefox implementiert, der als erster Link zur Überprüfung der Zertifikatsvertrauenskette beim Öffnen von Websites über HTTPS verwendet wird. Der neue Speicher wird standardmäßig noch nicht verwendet. Um den Übergang von Systemspeicherkonfigurationen zu erleichtern und die Portabilität sicherzustellen, wird es einen Übergangszeitraum geben, in dem der Chrome Root Store eine vollständige Auswahl an Zertifikaten enthält, die auf den meisten unterstützten Plattformen zugelassen sind.
• Der Plan, den Schutz vor Angriffen im Zusammenhang mit dem Zugriff auf Ressourcen im lokalen Netzwerk oder auf dem Computer des Benutzers (localhost) durch Skripte, die beim Öffnen der Site geladen werden, zu verstärken, wird weiterhin umgesetzt. Solche Anfragen werden von Angreifern verwendet, um CSRF-Angriffe auf Router, Zugangspunkte, Drucker, Unternehmens-Webschnittstellen und andere Geräte und Dienste durchzuführen, die Anfragen nur aus dem lokalen Netzwerk akzeptieren.

  Um sich vor solchen Angriffen zu schützen, sendet der Browser beim Zugriff auf Unterressourcen im internen Netzwerk eine explizite Anfrage um Erlaubnis zum Herunterladen dieser Unterressourcen. Die Anforderung von Berechtigungen erfolgt durch Senden einer CORS-Anfrage (Cross-Origin Resource Sharing) mit dem Header „Access-Control-Request-Private-Network: true“ an den Hauptstandortserver, bevor auf das interne Netzwerk oder den lokalen Host zugegriffen wird. Bei der Bestätigung des Vorgangs als Antwort auf diese Anfrage muss der Server den Header „Access-Control-Allow-Private-Network: true“ zurückgeben. In Chrome 98 wird die Prüfung im Testmodus durchgeführt und wenn keine Bestätigung erfolgt, wird eine Warnung in der Webkonsole angezeigt, die Subressourcenanforderung selbst wird jedoch nicht blockiert. Es ist nicht geplant, die Blockierung vor der Veröffentlichung von Chrome 101 zu aktivieren.

• In die Kontoeinstellungen sind Tools zur Verwaltung der Einbeziehung von Enhanced Safe Browsing integriert, das zusätzliche Prüfungen zum Schutz vor Phishing, böswilligen Aktivitäten und anderen Bedrohungen im Web aktiviert. Wenn Sie einen Modus in Ihrem Google-Konto aktivieren, werden Sie nun aufgefordert, den Modus in Chrome zu aktivieren.
• Es wurde ein Modell zur Erkennung von Phishing-Versuchen auf der Clientseite hinzugefügt, das mithilfe der TFLite-Plattform für maschinelles Lernen (TensorFlow Lite) implementiert wurde und keine Übermittlung von Daten zur Durchführung der Überprüfung auf der Google-Seite erfordert (in diesem Fall werden Telemetriedaten mit Informationen zur Modellversion gesendet). und berechnete Gewichte für jede Kategorie). Wenn ein Phishing-Versuch erkannt wird, wird dem Benutzer eine Warnseite angezeigt, bevor er die verdächtige Website öffnet.
• In der Client Hints API, die als Ersatz für den User-Agent-Header entwickelt wird und es Ihnen ermöglicht, Daten zu bestimmten Browser- und Systemparametern (Version, Plattform usw.) selektiv nur nach einer Anfrage durch den Server zu senden, ist dies der Fall Es ist möglich, fiktive Namen in die Liste der Browser-IDs einzufügen, entsprechend Analogien zum GREASE-Mechanismus (Generate Random Extensions And Sustain Extensibility), der in TLS verwendet wird. Zusätzlich zu „Chrome“; v="98″' und '"Chromium"; v="98″' eine zufällige Kennung eines nicht existierenden Browsers '"(Not; Browser"; v="12″' kann zur Liste hinzugefügt werden. Eine solche Ersetzung hilft, Probleme bei der Verarbeitung von Kennungen unbekannter Browser zu identifizieren, Dies führt dazu, dass alternative Browser gezwungen sind, sich als andere beliebte Browser auszugeben, um die Überprüfung anhand von Listen akzeptabler Browser zu umgehen.
• Ab dem 17. Januar akzeptiert der Chrome Web Store keine Add-ons mehr, die Version 2023 des Chrome-Manifests verwenden. Neuzugänge werden nun erst mit der dritten Version des Manifests akzeptiert. Entwickler zuvor hinzugefügter Add-ons können weiterhin Updates mit der zweiten Version des Manifests veröffentlichen. Die vollständige Abschaffung der zweiten Version des Manifests ist für Januar XNUMX geplant.
• Unterstützung für Farbvektorschriftarten im COLRv1-Format (eine Teilmenge von OpenType-Schriftarten, die zusätzlich zu Vektorglyphen eine Ebene mit Farbinformationen enthalten) hinzugefügt, die beispielsweise zum Erstellen mehrfarbiger Emojis verwendet werden kann. Im Gegensatz zum zuvor unterstützten COLRv0-Format bietet COLRv1 jetzt die Möglichkeit, Verläufe, Überlagerungen und Transformationen zu verwenden. Das Format bietet außerdem eine kompakte Speicherform, ermöglicht eine effiziente Komprimierung und ermöglicht die Wiederverwendung von Konturen, wodurch die Schriftgröße erheblich reduziert werden kann. Die Noto Color Emoji-Schriftart benötigt beispielsweise 9 MB im Rasterformat und 1 MB im COLRv1.85-Vektorformat.
• Der Origin Trials-Modus (experimentelle Funktionen, die eine separate Aktivierung erfordern) implementiert die Region Capture API, mit der Sie das aufgenommene Video zuschneiden können. Beispielsweise kann in Webanwendungen, die Videos mit den Inhalten ihrer Registerkarte erfassen, ein Zuschneiden erforderlich sein, um bestimmte Inhalte vor dem Senden auszuschneiden. Die Origin-Testversion impliziert die Möglichkeit, mit der angegebenen API aus Anwendungen zu arbeiten, die von localhost oder 127.0.0.1 heruntergeladen wurden, oder nach der Registrierung und dem Erhalt eines speziellen Tokens, das für eine begrenzte Zeit für eine bestimmte Site gültig ist.
• Die CSS-Eigenschaft „contain-intrinsic-size“ unterstützt jetzt den Wert „auto“, der die zuletzt gespeicherte Größe des Elements verwendet (bei Verwendung mit „content-visibility: auto“ muss der Entwickler die gerenderte Größe des Elements nicht erraten). .
• Die Eigenschaft AudioContext.outputLatency wurde hinzugefügt, mit der Sie Informationen über die vorhergesagte Verzögerung vor der Audioausgabe (die Verzögerung zwischen der Audioanforderung und dem Beginn der Verarbeitung der empfangenen Daten durch das Audioausgabegerät) herausfinden können.
• In der CSS-Eigenschaft color-scheme, mit der festgelegt werden kann, in welchen Farbschemata ein Element korrekt dargestellt werden kann („hell“, „dunkel“, „Tagmodus“ und „Nachtmodus“), wurde der Parameter „only“ hinzugefügt um erzwungene Farbänderungsschemata für einzelne HTML-Elemente zu verhindern. Wenn Sie beispielsweise „div { color-scheme: only light }“ angeben, wird nur das helle Design für das div-Element verwendet, auch wenn der Browser die Aktivierung des dunklen Designs erzwingt.
• Unterstützung für „Dynamic-Range“- und „Video-Dynamic-Range“-Medienabfragen zu CSS hinzugefügt, um zu bestimmen, ob ein Bildschirm HDR (High Dynamic Range) unterstützt.
• Der Funktion window.open() wurde die Möglichkeit hinzugefügt, auszuwählen, ob ein Link in einem neuen Tab, einem neuen Fenster oder einem Popup-Fenster geöffnet werden soll. Darüber hinaus gibt die Eigenschaft window.statusbar.visible jetzt „false“ für Popups und „true“ für Tabs und Fenster zurück. const popup = window.open('_blank',",'popup=1′); // In einem Popup-Fenster öffnen const tab = window.open('_blank',,"'popup=0′); // Im Tab öffnen
• Für Windows und Worker wurde die Methode „structuredClone()“ implementiert, mit der Sie rekursive Kopien von Objekten erstellen können, die nicht nur Eigenschaften des angegebenen Objekts, sondern auch aller anderen Objekte enthalten, auf die das aktuelle Objekt verweist.
• Die Web-Authentifizierungs-API hat Unterstützung für die Spezifikationserweiterung FIDO CTAP2 hinzugefügt, mit der Sie die minimal zulässige PIN-Codegröße (minPinLength) festlegen können.
• Für installierte eigenständige Webanwendungen wurde die Komponente Window Controls Overlay hinzugefügt, die den Bildschirmbereich der Anwendung auf das gesamte Fenster erweitert, einschließlich des Titelbereichs, auf dem sich die Standardschaltflächen zur Fenstersteuerung (Schließen, Minimieren, Maximieren) befinden ) werden überlagert. Die Webanwendung kann das Rendering und die Eingabeverarbeitung des gesamten Fensters steuern, mit Ausnahme des Overlay-Blocks mit Fenstersteuerungsschaltflächen.
• Dem WritableStreamDefaultController wurde eine Signalverarbeitungseigenschaft hinzugefügt, die ein AbortSignal-Objekt zurückgibt, das verwendet werden kann, um Schreibvorgänge in einen WritableStream sofort zu stoppen, ohne auf deren Abschluss zu warten.
• WebRTC hat die Unterstützung für den SDES-Schlüsselvereinbarungsmechanismus entfernt, der 2013 von der IETF aus Sicherheitsgründen abgelehnt wurde.
• Standardmäßig ist die U2F-API (Cryptotoken) deaktiviert, die zuvor veraltet war und durch die Web-Authentifizierungs-API ersetzt wurde. Die U2F-API wird in Chrome 104 vollständig entfernt.
• Im API-Verzeichnis ist das Feld „installed_browser_version“ veraltet und wurde durch ein neues Feld „pending_browser_version“ ersetzt, das sich dadurch unterscheidet, dass es Informationen über die Browserversion enthält und heruntergeladene, aber nicht angewendete Updates berücksichtigt (d. h. die Version, die nach dem gültig sein wird). Browser wird neu gestartet).
• Optionen entfernt, die es ermöglichten, die Unterstützung für TLS 1.0 und 1.1 wiederherzustellen.
• Es wurden Verbesserungen an den Tools für Webentwickler vorgenommen. Es wurde eine Registerkarte hinzugefügt, um den Betrieb des Back-Forward-Cache zu bewerten, der eine sofortige Navigation ermöglicht, wenn die Schaltflächen „Back“ und „Forward“ verwendet werden. Es wurde die Möglichkeit hinzugefügt, Medienanforderungen mit erzwungenen Farben zu emulieren. Dem Flexbox-Editor wurden Schaltflächen hinzugefügt, um die Eigenschaften „Zeilenumkehr“ und „Spaltenumkehr“ zu unterstützen. Die Registerkarte „Änderungen“ stellt sicher, dass Änderungen nach der Formatierung des Codes angezeigt werden, was das Parsen minimierter Seiten vereinfacht.

  Die Implementierung des Code-Review-Panels wurde auf die Veröffentlichung des Code-Editors CodeMirror 6 aktualisiert, was die Leistung beim Arbeiten mit sehr großen Dateien (WASM, JavaScript) erheblich verbessert, Probleme mit zufälligen Offsets während der Navigation löst und die Empfehlungen von verbessert das Autovervollständigungssystem beim Bearbeiten von Code. Dem CSS-Eigenschaftenfenster wurde die Möglichkeit hinzugefügt, die Ausgabe nach Eigenschaftsnamen oder -wert zu filtern.

  

Neben Neuerungen und Fehlerbehebungen beseitigt die neue Version 27 Schwachstellen. Viele der Schwachstellen wurden als Ergebnis automatisierter Tests mit den Tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer und AFL identifiziert. Es wurden keine kritischen Probleme identifiziert, die es ermöglichen würden, alle Ebenen des Browserschutzes zu umgehen und Code auf dem System außerhalb der Sandbox-Umgebung auszuführen. Im Rahmen des Geldprämienprogramms für die Entdeckung von Schwachstellen für die aktuelle Version zahlte Google 19 Auszeichnungen im Wert von 88 US-Dollar aus (zwei Auszeichnungen im Wert von 20000 US-Dollar, eine Auszeichnung im Wert von 12000 US-Dollar, zwei Auszeichnungen im Wert von 7500 US-Dollar, vier Auszeichnungen im Wert von vier 1000 US-Dollar und je einer im Wert von 7000 US-Dollar, 5000 US-Dollar, 3000 US-Dollar und 2000 US-Dollar).

Source: opennet.ru