Google publikigis version 142 de la retumilo Chrome. Stabila eldono de la malfermfonteca projekto Chromium, la fundamento de Chrome, ankaŭ haveblas. Chrome diferencas de Chromium per sia uzo de Google-emblemoj, sistemo de kraŝsciigoj, moduloj por ludi kopi-protektitan videenhavon (DRM), aŭtomata instalado de ĝisdatigoj, ĉiam aktiva sablokest-izolado, provizado de Google API-ŝlosiloj, kaj la transdono de RLZ-parametroj dum serĉado. Por tiuj, kiuj bezonas pli da tempo por ĝisdatigi, aparta branĉo Extended Stable estas konservata dum ok semajnoj. La sekva eldono, Chrome 143, estas planita por la 2-a de decembro.
Ŝanĝoj en Chrome 142:
- Protekto de aliro al la loka sistemo estas ebligita dum interagado kun publikaj retejoj. Kiam oni aliras retejon en publika aŭ interna reto (intraneto), IP-adresoj Kiam oni aliras la lokan sistemon aŭ bukloreligan interfacon (127.0.0.0/8), la retumilo montros dialogujon al la uzanto petante konfirmon. Provoj elŝuti rimedojn, fetch() petojn, kaj iframe-enmetojn estas kovritaj. Protekto nuntempe ne aplikiĝas al konektoj per WebSockets, WebTransport, kaj WebRTC, sed estos aldonita por ĉi tiuj teknologioj poste.
Atakantoj ekspluatas internan aliron al rimedoj por efektivigi CSRF-atakojn kontraŭ enkursigiloj, alirpunktoj, presiloj, entreprenaj retinterfacoj, kaj aliaj aparatoj kaj servoj, kiuj akceptas petojn nur de la loka reto. Krome, skanado de internaj rimedoj povas esti uzata por nerekta identigo aŭ por kolekti informojn pri la loka reto.
- Unuopa, simpligita interfaco estis enkondukita por ligi al Google-konto kaj sinkronigi datumojn, kiel ekzemple konservitajn pasvortojn kaj legosignojn. Sinkronigado estas integrita kun ensaluto al konto kaj ne estas prezentita kiel aparta opcio en agordoj. Uzantoj povas konekti Chrome al sia Google-konto kaj uzi ĝin por konservi pasvortojn, legosignojn, foliumhistorion kaj langetojn. Ĉi tiu funkcio estas nuntempe aktiva por iuj uzantoj, kaj estos vastigita iom post iom.
- Nova modelo de proceza izolado estas uzata - "Origina Izolado", en kiu ĉiu enhavfonto (origino - protokola ligado, domajno kaj pordo, ekzemple, "https://foo.example.com"), estas izolita en aparta bildiga procezo. Ĉar pliigi la izoladan detalecon povas konduki al pliigita memorkonsumo kaj CPU-ŝarĝo, la nova izolada reĝimo estas ebligita nur ĉe sistemoj kun pli ol 4 GB da RAM. Ĉe malalt-energia aparataro, la malnova izolada metodo daŭre estos uzata, kiu izolas ĉiujn malsamajn enhavfontojn asociitajn kun ununura retejo (ekzemple, foo.example.com kaj bar.example.com) en aparta procezo.
- Sur sistemoj kun Windows и macOSPor aplikaĵoj kiuj ne uzas centralizitan administradon de Chrome, ni efektivigis aŭtomatan malŝalton de perforte instalitaj retumilaj aldonaĵoj, kiuj malobservas negravajn regulojn de Chrome Web Store. Negravaj malobservoj inkluzivas eblajn vundeblecojn, puŝ-bazitajn aldonaĵojn sen la scio de la uzanto, metadatenajn manipuladojn, malobservojn de uzantdatumaj reguloj kaj misgvidan funkcion. Uzantoj povas restarigi malŝaltitajn aldonaĵojn se ili tion elektas.
- En la versio por AndroidSimile al komputilaj versioj, oni efektivigis averton pri fraŭdaj paĝoj detektitaj de granda lingva modelo bazita sur enhavanalizo. AI estas uzata en la plibonigita sekura foliumada reĝimo de la retumilo. La AI-modelo funkcias klientflanke, sed se oni detektis suspektindan enhavon, plia kontrolo estas farata sur la serviloj de Google.
- La efektivigo de la protokolo DTLS (Datagram Transport Layer Security, TLS-analogo por UDP) uzata por WebRTC-konektoj inkluzivas la uzon de post-kvantumaj ĉifradaj algoritmoj.
- La aktiviga stato, agordita dum uzanta agado sur paĝo, nun konserviĝas post navigado al alia paĝo sur la sama domajno. Konservado de la aktivigo simpligos la disvolvon de plurpaĝaj TTT-aplikaĵoj kaj solvos problemojn kiel ekzemple agordi enigan fokuson kiam la retejo montras sian virtualan klavaron.
- La CSS-pseŭdoklasoj ":target-before" kaj ":target-after" estis aldonitaj por difini la antaŭajn kaj sekvajn markilojn relative al la aktuala rulpozicio (":target-current").
- Stilujoj (@ujo) kaj la funkcio if() nun subtenas la Intervalan Sintakson difinitan en la specifo Media Queries Nivelo 4, kiu permesas la uzon de normaj matematikaj komparoperatoroj kaj logikaj operatoroj por difini intervalojn de valoroj. Ekzemple, vi nun povas specifi "@ujo stilo(—interna-plenigo > 1em)" kaj "fono-koloro: if(stilo(attr(datumaj-kolumnoj, tipo)" ) > 2): helblua; alie: blanka);"
- La elementoj " " kaj " " nun subtenas la atributon "interestfor". Ĉi tiu atributo povas esti uzata por ekigi agojn, kiel ekzemple montri ŝprucfenestron, kiam la uzanto montras intereson pri la elemento. La retumilo rekonas tiajn eventojn kiel ŝvebi kaj teni la montrilon super la elemento, premi rapidklavojn aŭ teni tuŝon sur tuŝekrano kiel indikilojn de intereso. Kiam elemento kun la atributo "interestfor" estas identigita, la retumilo generas InterestEvent.
- Plibonigoj estis faritaj al la iloj por retprogramistoj. Butono por rapida lanĉo por la AI-asistanto estis aldonita al la supra dekstra angulo. La kunteksta menuero "Demandi al AI" estis renomita al "Sencimigi per AI" kaj vastigita por inkluzivi la eblecon plenumi tujajn agojn depende de la kunteksto. En la retkonzolo kaj kodpanelo, la AI-asistanto Gemini nun povas generi rekomendojn per kodo.
Iloj por TTT-programistoj nun integriĝas kun la Programo por Google-Programistoj (GDP). Programistoj nun povas aliri sian GDP-profilon rekte el Chrome DevTools kaj gajni rekompencojn pro plenumado de specifaj taskoj ene de ĉi tiu interfaco.
Aldone al novaj funkcioj kaj cimo-riparoj, la nova versio traktas 20 vundeblecojn. Multaj el la vundeblecoj estis identigitaj per aŭtomata testado uzante AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer kaj AFL. Neniuj kritikaj problemoj, kiuj povus ebligi preteriron de ĉiuj tavoloj de retumila protekto kaj ekzekuti kodon ekster la sablokestmedio, estis identigitaj. Kiel parto de la vundebleca rekompencprogramo por la nuna eldono, Google establis 20 rekompencojn kun sumo de 130 000 dolaroj (du rekompencoj de 50 000 dolaroj, unu de 10 000 dolaroj, tri de 3 000 dolaroj, du de 2 000 dolaroj kaj tri de 1 000 dolaroj). La sumoj de ok el la rekompencoj ankoraŭ ne estas determinitaj.
Plie, neriparita vundebleco estis identigita en la Blink-motoro, kaŭzante kraŝon kaj frostigon de la retumilo dum efektivigo de certa JavaScript-kodo. La vundebleco estas kaŭzita de arkitekturaj problemoj en la bildiga motoro rilataj al la manko de limo pri ĝisdatigo de la eco "document.title". Ĉi tiu manko de limigo permesas uzi "document.title" por fari dekojn da milionoj da ŝanĝoj al la DOM po sekundo. Tio kaŭzas, ke la interfaco frostiĝas post kelkaj sekundoj pro blokado de la ĉefa fadeno kaj signifa memorkonsumo. Post 15-60 sekundoj, la retumilo kraŝas.
fonto: opennet.ru
