ProHoster > Blog > ειδήσεις στο διαδίκτυο > Έκδοση Chrome 102

Έκδοση Chrome 102

Η Google αποκάλυψε την κυκλοφορία του προγράμματος περιήγησης ιστού Chrome 102. Ταυτόχρονα, είναι διαθέσιμη μια σταθερή έκδοση του δωρεάν έργου Chromium, το οποίο λειτουργεί ως βάση του Chrome. Το πρόγραμμα περιήγησης Chrome διαφέρει από το Chromium στη χρήση των λογότυπων της Google, την παρουσία συστήματος για την αποστολή ειδοποιήσεων σε περίπτωση σύγκρουσης, λειτουργικές μονάδες αναπαραγωγής περιεχομένου βίντεο με προστασία αντιγραφής (DRM), σύστημα αυτόματης εγκατάστασης ενημερώσεων, μόνιμη ενεργοποίηση της απομόνωσης Sandbox , παρέχοντας κλειδιά στο Google API και μεταδίδοντας RLZ- κατά την αναζήτηση παραμέτρων. Για όσους χρειάζονται περισσότερο χρόνο για ενημέρωση, ο κλάδος Extended Stable υποστηρίζεται ξεχωριστά, ακολουθούμενος από 8 εβδομάδες. Η επόμενη κυκλοφορία του Chrome 103 έχει προγραμματιστεί για τις 21 Ιουνίου.

Βασικές αλλαγές στο Chrome 102:

  • Για να μπλοκάρει την εκμετάλλευση των τρωτών σημείων που προκαλούνται από την πρόσβαση σε ήδη ελευθερωμένα μπλοκ μνήμης (χρήση-μετά-ελεύθερο), αντί για συνηθισμένους δείκτες, άρχισε να χρησιμοποιείται ο τύπος MiraclePtr (raw_ptr). Το MiraclePtr παρέχει μια δέσμευση πάνω από δείκτες που εκτελεί πρόσθετους ελέγχους στις προσβάσεις σε περιοχές ελευθερωμένης μνήμης και διακόπτεται εάν εντοπιστούν τέτοιες προσβάσεις. Ο αντίκτυπος της νέας μεθόδου προστασίας στην απόδοση και την κατανάλωση μνήμης εκτιμάται ως αμελητέος. Ο μηχανισμός MiraclePtr δεν είναι εφαρμόσιμος σε όλες τις διεργασίες, ιδιαίτερα δεν χρησιμοποιείται σε διαδικασίες απόδοσης, αλλά μπορεί να βελτιώσει σημαντικά την ασφάλεια. Για παράδειγμα, στην τρέχουσα έκδοση, από τις 32 ευπάθειες που επιδιορθώθηκαν, οι 12 προκλήθηκαν από προβλήματα μετά τη χρήση.
  • Ο σχεδιασμός της διεπαφής με πληροφορίες σχετικά με τις λήψεις έχει αλλάξει. Αντί για την κατώτατη γραμμή με δεδομένα σχετικά με την πρόοδο λήψης, μια νέα ένδειξη έχει προστεθεί στον πίνακα με τη γραμμή διευθύνσεων· όταν κάνετε κλικ σε αυτήν, εμφανίζεται η πρόοδος λήψης αρχείων και ένα ιστορικό με μια λίστα με ήδη ληφθέντα αρχεία. Σε αντίθεση με το κάτω πλαίσιο, το κουμπί εμφανίζεται συνεχώς στον πίνακα και σας επιτρέπει να έχετε γρήγορη πρόσβαση στο ιστορικό λήψεων. Η νέα διεπαφή προσφέρεται προς το παρόν από προεπιλογή μόνο σε ορισμένους χρήστες και θα επεκταθεί σε όλους εάν δεν υπάρχουν προβλήματα. Για να επιστρέψετε την παλιά διεπαφή ή να ενεργοποιήσετε μια νέα, παρέχεται η ρύθμιση "chrome://flags#download-bubble".
    Έκδοση Chrome 102
  • Κατά την αναζήτηση εικόνων μέσω του μενού περιβάλλοντος ("Αναζήτηση εικόνας με το Google Lens" ή "Find via Google Lens"), τα αποτελέσματα εμφανίζονται πλέον όχι σε ξεχωριστή σελίδα, αλλά σε μια πλαϊνή γραμμή δίπλα στο περιεχόμενο της αρχικής σελίδας (στο ένα παράθυρο μπορείτε να δείτε ταυτόχρονα τόσο το περιεχόμενο της σελίδας όσο και το αποτέλεσμα της πρόσβασης στη μηχανή αναζήτησης).
    Έκδοση Chrome 102
  • Στην ενότητα "Απόρρητο και ασφάλεια" των ρυθμίσεων, προστέθηκε μια ενότητα "Οδηγός απορρήτου", η οποία προσφέρει μια γενική επισκόπηση των κύριων ρυθμίσεων που επηρεάζουν το απόρρητο με λεπτομερείς επεξηγήσεις για τον αντίκτυπο κάθε ρύθμισης. Για παράδειγμα, στην ενότητα μπορείτε να ορίσετε την πολιτική για την αποστολή δεδομένων στις υπηρεσίες Google, τη διαχείριση του συγχρονισμού, την επεξεργασία cookie και την αποθήκευση ιστορικού. Η λειτουργία προσφέρεται σε ορισμένους χρήστες· για να την ενεργοποιήσετε, μπορείτε να χρησιμοποιήσετε τη ρύθμιση «chrome://flags#privacy-guide».
    Έκδοση Chrome 102
  • Παρέχεται η δομή του ιστορικού αναζήτησης και των σελίδων που προβλήθηκαν. Όταν προσπαθείτε να κάνετε ξανά αναζήτηση, εμφανίζεται μια υπόδειξη "Συνέχιση του ταξιδιού σας" στη γραμμή διευθύνσεων, επιτρέποντάς σας να συνεχίσετε την αναζήτηση από το σημείο όπου διακόπηκε την τελευταία φορά.
    Έκδοση Chrome 102
  • Το Chrome Web Store προσφέρει μια σελίδα "Extensions Starter Kit" με μια αρχική επιλογή από προτεινόμενα πρόσθετα.
  • Σε δοκιμαστική λειτουργία, η αποστολή ενός αιτήματος επιβεβαίωσης αρχής CORS (Cross-Origin Resource Sharing) με την κεφαλίδα "Access-Control-Request-Private-Network: true" στον κεντρικό διακομιστή τοποθεσίας είναι ενεργοποιημένη όταν η σελίδα αποκτά πρόσβαση σε έναν πόρο στο εσωτερικό δίκτυο (192.168.x.x, 10.x.x.x, 172.16.x.x) ή σε localhost (128.x.x.x). Κατά την επιβεβαίωση της λειτουργίας ως απόκριση σε αυτό το αίτημα, ο διακομιστής πρέπει να επιστρέψει την κεφαλίδα "Access-Control-Allow-Private-Network: true". Στην έκδοση 102 του Chrome, το αποτέλεσμα επιβεβαίωσης δεν επηρεάζει ακόμη την επεξεργασία του αιτήματος - εάν δεν υπάρχει επιβεβαίωση, εμφανίζεται μια προειδοποίηση στην κονσόλα Ιστού, αλλά το ίδιο το αίτημα δευτερεύοντος πόρου δεν έχει αποκλειστεί. Η ενεργοποίηση του αποκλεισμού απουσία επιβεβαίωσης από τον διακομιστή δεν αναμένεται μέχρι την κυκλοφορία του Chrome 105. Για να ενεργοποιήσετε τον αποκλεισμό σε προηγούμενες εκδόσεις, μπορείτε να ενεργοποιήσετε τη ρύθμιση "chrome://flags/#private-network-access-respect-preflight- Αποτελέσματα".

    Η επαλήθευση εξουσιοδότησης από τον διακομιστή εισήχθη για την ενίσχυση της προστασίας από επιθέσεις που σχετίζονται με την πρόσβαση σε πόρους στο τοπικό δίκτυο ή στον υπολογιστή του χρήστη (localhost) από σενάρια που φορτώθηκαν κατά το άνοιγμα ενός ιστότοπου. Τέτοια αιτήματα χρησιμοποιούνται από εισβολείς για να πραγματοποιήσουν επιθέσεις CSRF σε δρομολογητές, σημεία πρόσβασης, εκτυπωτές, εταιρικές διεπαφές ιστού και άλλες συσκευές και υπηρεσίες που δέχονται αιτήματα μόνο από το τοπικό δίκτυο. Για προστασία από τέτοιες επιθέσεις, εάν γίνει πρόσβαση σε οποιουσδήποτε δευτερεύοντες πόρους στο εσωτερικό δίκτυο, το πρόγραμμα περιήγησης θα στείλει ένα ρητό αίτημα για άδεια για τη φόρτωση αυτών των δευτερευουσών πόρων.

  • Όταν ανοίγετε συνδέσμους σε κατάσταση ανώνυμης περιήγησης μέσω του μενού περιβάλλοντος, ορισμένες παράμετροι που επηρεάζουν το απόρρητο καταργούνται αυτόματα από τη διεύθυνση URL.
  • Η στρατηγική παράδοσης ενημερώσεων για Windows και Android έχει αλλάξει. Για πληρέστερη σύγκριση της συμπεριφοράς της νέας και της παλιάς έκδοσης, δημιουργούνται τώρα πολλαπλές εκδόσεις της νέας έκδοσης για λήψη.
  • Η τεχνολογία τμηματοποίησης δικτύου έχει σταθεροποιηθεί για την προστασία από μεθόδους παρακολούθησης των κινήσεων των χρηστών μεταξύ τοποθεσιών που βασίζονται στην αποθήκευση αναγνωριστικών σε περιοχές που δεν προορίζονται για μόνιμη αποθήκευση πληροφοριών ("Supercookies"). Επειδή οι αποθηκευμένοι πόροι αποθηκεύονται σε έναν κοινό χώρο ονομάτων, ανεξάρτητα από τον αρχικό τομέα, ένας ιστότοπος μπορεί να προσδιορίσει ότι ένας άλλος ιστότοπος φορτώνει πόρους, ελέγχοντας εάν αυτός ο πόρος βρίσκεται στη μνήμη cache. Η προστασία βασίζεται στη χρήση τμηματοποίησης δικτύου (Network Partitioning), η ουσία της οποίας είναι η προσθήκη σε κοινόχρηστες κρυφές μνήμες πρόσθετης σύνδεσης εγγραφών στον τομέα από τον οποίο ανοίγει η κύρια σελίδα, η οποία περιορίζει την κάλυψη της κρυφής μνήμης μόνο για σενάρια παρακολούθησης κινήσεων στον τρέχοντα ιστότοπο (ένα σενάριο από ένα iframe δεν θα μπορεί να ελέγξει εάν ο πόρος έγινε λήψη από άλλο ιστότοπο). Η κοινή χρήση κατάστασης καλύπτει συνδέσεις δικτύου (HTTP/1, HTTP/2, HTTP/3, διαδικτυακή υποδοχή), κρυφή μνήμη DNS, δεδομένα ALPN/HTTP2, TLS/HTTP3, διαμόρφωση, λήψεις και πληροφορίες κεφαλίδας Expect-CT.
  • Για εγκατεστημένες αυτόνομες εφαρμογές Ιστού (PWA, Progressive Web App), είναι δυνατό να αλλάξετε τη σχεδίαση της περιοχής τίτλου παραθύρου χρησιμοποιώντας τα στοιχεία Επικάλυψης Ελέγχων παραθύρου, τα οποία επεκτείνουν την περιοχή της οθόνης της εφαρμογής Ιστού σε ολόκληρο το παράθυρο. Μια εφαρμογή Ιστού μπορεί να ελέγξει την απόδοση και την επεξεργασία εισόδου ολόκληρου του παραθύρου, με εξαίρεση το μπλοκ επικάλυψης με τυπικά κουμπιά ελέγχου παραθύρου (κλείσιμο, ελαχιστοποίηση, μεγιστοποίηση), για να δώσει στην εφαρμογή web την εμφάνιση μιας κανονικής εφαρμογής επιφάνειας εργασίας.
    Έκδοση Chrome 102
  • Στο σύστημα αυτόματης συμπλήρωσης φόρμας, προστέθηκε υποστήριξη για τη δημιουργία εικονικών αριθμών πιστωτικών καρτών σε πεδία με στοιχεία πληρωμής για αγαθά σε ηλεκτρονικά καταστήματα. Η χρήση μιας εικονικής κάρτας, ο αριθμός της οποίας δημιουργείται για κάθε πληρωμή, σας επιτρέπει να μην μεταφέρετε δεδομένα σχετικά με μια πραγματική πιστωτική κάρτα, αλλά απαιτεί την παροχή της απαραίτητης υπηρεσίας από την τράπεζα. Η λειτουργία είναι προς το παρόν διαθέσιμη μόνο σε πελάτες τραπεζών των ΗΠΑ. Για τον έλεγχο της συμπερίληψης της συνάρτησης, προτείνεται η ρύθμιση "chrome://flags/#autofill-enable-virtual-card".
  • Ο μηχανισμός "Capture Handle" είναι ενεργοποιημένος από προεπιλογή, επιτρέποντάς σας να μεταφέρετε πληροφορίες σε εφαρμογές που καταγράφουν βίντεο. Το API καθιστά δυνατή την οργάνωση της αλληλεπίδρασης μεταξύ των εφαρμογών των οποίων το περιεχόμενο καταγράφεται και των εφαρμογών που εκτελούν την εγγραφή. Για παράδειγμα, μια εφαρμογή τηλεδιάσκεψης που καταγράφει βίντεο για τη μετάδοση μιας παρουσίασης μπορεί να ανακτήσει πληροφορίες σχετικά με τα στοιχεία ελέγχου παρουσίασης και να τις εμφανίσει στο παράθυρο βίντεο.
  • Η υποστήριξη για κερδοσκοπικούς κανόνες είναι ενεργοποιημένη από προεπιλογή, παρέχοντας ευέλικτη σύνταξη για τον προσδιορισμό του εάν τα δεδομένα που σχετίζονται με τη σύνδεση μπορούν να φορτωθούν προληπτικά πριν ο χρήστης κάνει κλικ στη σύνδεση.
  • Ο μηχανισμός για τη συσκευασία πόρων σε πακέτα σε μορφή Web Bundle έχει σταθεροποιηθεί, επιτρέποντας την αύξηση της αποτελεσματικότητας της φόρτωσης μεγάλου αριθμού συνοδευτικών αρχείων (στυλ CSS, JavaScript, εικόνες, iframes). Σε αντίθεση με τα πακέτα σε μορφή Webpack, η μορφή Web Bundle έχει τα ακόλουθα πλεονεκτήματα: δεν είναι το ίδιο το πακέτο που αποθηκεύεται στην κρυφή μνήμη HTTP, αλλά τα συστατικά μέρη του. η μεταγλώττιση και η εκτέλεση του JavaScript ξεκινά χωρίς να περιμένει την πλήρη λήψη του πακέτου. Επιτρέπεται η συμπερίληψη πρόσθετων πόρων όπως CSS και εικόνες, οι οποίοι στο webpack θα πρέπει να κωδικοποιηθούν με τη μορφή συμβολοσειρών JavaScript.
  • Είναι δυνατό να ορίσετε μια εφαρμογή PWA ως χειριστή ορισμένων τύπων MIME και επεκτάσεων αρχείων. Αφού ορίσετε μια σύνδεση μέσω του πεδίου file_handlers στο μανιφέστο, η εφαρμογή θα λάβει ένα ειδικό συμβάν όταν ο χρήστης επιχειρήσει να ανοίξει ένα αρχείο που σχετίζεται με την εφαρμογή.
  • Προστέθηκε ένα νέο αδρανές χαρακτηριστικό που σας επιτρέπει να επισημάνετε μέρος του δέντρου DOM ως "ανενεργό". Για τους κόμβους DOM σε αυτήν την κατάσταση, οι χειριστές επιλογής κειμένου και αιώρησης δείκτη είναι απενεργοποιημένοι, π.χ. Τα συμβάντα-δείκτη και οι ιδιότητες CSS που επιλέγει ο χρήστης ορίζονται πάντα σε "κανένα". Εάν ένας κόμβος μπορούσε να επεξεργαστεί, τότε σε αδρανή λειτουργία γίνεται μη επεξεργάσιμος.
  • Προστέθηκε το Navigation API, το οποίο επιτρέπει στις εφαρμογές Ιστού να παρεμποδίζουν τις λειτουργίες πλοήγησης παραθύρων, να ξεκινούν την πλοήγηση και να αναλύουν το ιστορικό ενεργειών με την εφαρμογή. Το API παρέχει μια εναλλακτική στις ιδιότητες window.history και window.location, βελτιστοποιημένη για εφαρμογές web μιας σελίδας.
  • Μια νέα σημαία, "μέχρι να βρεθεί", έχει προταθεί για το χαρακτηριστικό "κρυφό", το οποίο καθιστά το στοιχείο δυνατότητα αναζήτησης στη σελίδα και δυνατότητα κύλισης με μάσκα κειμένου. Για παράδειγμα, μπορείτε να προσθέσετε κρυφό κείμενο σε μια σελίδα, τα περιεχόμενα της οποίας θα βρίσκονται σε τοπικές αναζητήσεις.
  • Στο WebHID API, σχεδιασμένο για πρόσβαση χαμηλού επιπέδου σε συσκευές HID (συσκευές ανθρώπινης διεπαφής, πληκτρολόγια, ποντίκια, επιφάνειες παιχνιδιών, επιφάνειες αφής) και οργάνωση εργασίας χωρίς την παρουσία συγκεκριμένων προγραμμάτων οδήγησης στο σύστημα, η ιδιότητα exclusionFilters έχει προστεθεί στο requestDevice( ) αντικείμενο, το οποίο σας επιτρέπει να εξαιρέσετε ορισμένες συσκευές όταν το πρόγραμμα περιήγησης εμφανίζει μια λίστα με τις διαθέσιμες συσκευές. Για παράδειγμα, μπορείτε να εξαιρέσετε αναγνωριστικά συσκευών που έχουν γνωστά προβλήματα.
  • Απαγορεύεται η εμφάνιση μιας φόρμας πληρωμής μέσω κλήσης στο PaymentRequest.show() χωρίς ρητή ενέργεια χρήστη, για παράδειγμα, κάνοντας κλικ σε ένα στοιχείο που σχετίζεται με το πρόγραμμα χειρισμού.
  • Η υποστήριξη για μια εναλλακτική υλοποίηση του πρωτοκόλλου SDP (Session Description Protocol) που χρησιμοποιείται για τη δημιουργία μιας περιόδου λειτουργίας στο WebRTC έχει διακοπεί. Το Chrome προσέφερε δύο επιλογές SDP - ενοποιημένες με άλλα προγράμματα περιήγησης και ειδικά για το Chrome. Από εδώ και πέρα ​​απομένει μόνο η φορητή επιλογή.
  • Έχουν γίνει βελτιώσεις σε εργαλεία για προγραμματιστές ιστού. Προστέθηκαν κουμπιά στον πίνακα Στυλ για την προσομοίωση της χρήσης ενός σκούρου και ανοιχτού θέματος. Η προστασία της καρτέλας Προεπισκόπηση σε λειτουργία επιθεώρησης δικτύου έχει ενισχυθεί (η εφαρμογή της Πολιτικής ασφάλειας περιεχομένου είναι ενεργοποιημένη). Το πρόγραμμα εντοπισμού σφαλμάτων εφαρμόζει τον τερματισμό του σεναρίου για να επαναφορτώσει τα σημεία διακοπής. Έχει προταθεί μια προκαταρκτική εφαρμογή του νέου πίνακα "Πληροφορίες απόδοσης", που σας επιτρέπει να αναλύετε την απόδοση ορισμένων λειτουργιών στη σελίδα.
    Έκδοση Chrome 102

Εκτός από τις καινοτομίες και τις διορθώσεις σφαλμάτων, η νέα έκδοση εξαλείφει 32 τρωτά σημεία. Πολλά από τα τρωτά σημεία εντοπίστηκαν ως αποτέλεσμα αυτοματοποιημένων δοκιμών χρησιμοποιώντας τα εργαλεία AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer και AFL. Σε ένα από τα προβλήματα (CVE-2022-1853) έχει εκχωρηθεί ένα κρίσιμο επίπεδο κινδύνου, το οποίο συνεπάγεται τη δυνατότητα παράκαμψης όλων των επιπέδων προστασίας του προγράμματος περιήγησης και εκτέλεσης κώδικα στο σύστημα εκτός του περιβάλλοντος sandbox. Λεπτομέρειες σχετικά με αυτήν την ευπάθεια δεν έχουν ακόμη αποκαλυφθεί· είναι γνωστό μόνο ότι προκαλείται από την πρόσβαση σε ένα μπλοκ ελευθερωμένης μνήμης (χρήση-μετά-δωρεάν) στην υλοποίηση του Indexed DB API.

Ως μέρος του προγράμματος ανταμοιβής μετρητών για την ανακάλυψη τρωτών σημείων για την τρέχουσα έκδοση, η Google κατέβαλε 24 βραβεία αξίας 65600 $ (ένα βραβείο $10000, ένα βραβείο $7500, δύο βραβεία $7000, τρία βραβεία $5000, τέσσερα βραβεία $3000, δύο βραβεία $2000 $ μπόνους 1000 $). Το μέγεθος των 500 ανταμοιβών δεν έχει ακόμη καθοριστεί.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο