ProHoster > Blogi > internetiuudised > Chrome'i väljalase 102

Chrome'i väljalase 102

Google avalikustas veebibrauseri Chrome 102 väljalase. Samal ajal on saadaval ka Chrome'i aluseks oleva tasuta Chromiumi projekti stabiilne väljalase. Chrome'i brauser erineb Chromiumist Google'i logode kasutamise, krahhi korral teadete saatmise süsteemi olemasolu, kopeerimiskaitsega videosisu (DRM) esitamise moodulite, värskenduste automaatse installimise süsteemi, liivakasti isoleerimise püsiva lubamise poolest. , annab võtmed Google API-le ja edastab otsimisel RLZ-. Neile, kes vajavad värskendamiseks rohkem aega, toetatakse eraldi laiendatud stabiilset haru, millele järgneb 8 nädalat. Chrome 103 järgmine väljalase ilmub 21. juunil.

Peamised muudatused Chrome'is 102:

  • Juba vabastatud mäluplokkidele ligipääsust põhjustatud haavatavuste ärakasutamise tõkestamiseks (use-after-free) hakati tavaliste osutite asemel kasutama MiraclePtr (raw_ptr) tüüpi. MiraclePtr pakub linkide sidumist, mis kontrollib täiendavalt juurdepääsu vabastatud mälupiirkondadele ja krahhi, kui sellised juurdepääsud tuvastatakse. Uue kaitsemeetodi mõju jõudlusele ja mälutarbimisele hinnatakse tühiseks. MiraclePtr mehhanism ei ole kõigis protsessides rakendatav, eriti seda ei kasutata renderdusprotsessides, kuid see võib oluliselt parandada turvalisust. Näiteks praeguses versioonis oli 32 parandatud turvaaugust 12 põhjustatud pärast tasuta kasutamise probleemidest.
  • Allalaadimiste teabega liidese kujundust on muudetud. Allalaadimise edenemise andmete all oleva rea ​​asemel on aadressiribaga paneelile lisatud uus indikaator, millel klõpsates kuvatakse failide allalaadimise käik ja ajalugu koos juba allalaaditud failide loendiga. Erinevalt alumisest paneelist kuvatakse nuppu paneelil pidevalt ja see võimaldab teil kiiresti oma allalaadimisajaloole juurde pääseda. Uut liidest pakutakse praegu vaikimisi ainult mõnele kasutajale ja probleemide puudumisel laiendatakse seda kõigile. Vana liidese tagastamiseks või uue lubamiseks pakutakse seadet „chrome://flags#download-bubble”.
    Chrome'i väljalase 102
  • Kui otsite pilte kontekstimenüü kaudu (“Otsi pilti Google Lensiga” või “Otsi Google Lensi kaudu”), ei kuvata tulemusi nüüd mitte eraldi lehel, vaid külgribal algse lehe sisu kõrval (in ühes aknas näete üheaegselt nii lehe sisu kui ka otsingumootorile juurdepääsu tulemust).
    Chrome'i väljalase 102
  • Seadete jaotisesse "Privaatsus ja turvalisus" on lisatud jaotis "Privaatsusjuhend", mis annab üldise ülevaate peamistest privaatsust mõjutavatest sätetest koos üksikasjalike selgitustega iga seadistuse mõju kohta. Näiteks saate jaotises määratleda Google'i teenustesse andmete saatmise reeglid, hallata sünkroonimist, küpsiste töötlemist ja ajaloo salvestamist. Funktsiooni pakutakse mõnele kasutajale, selle aktiveerimiseks saate kasutada seadet "chrome://flags#privacy-guide".
    Chrome'i väljalase 102
  • Pakutakse otsinguajaloo ja vaadatud lehtede struktureerimist. Kui proovite uuesti otsida, kuvatakse aadressiribal vihje "Jätka oma reisi", mis võimaldab teil otsingut jätkata kohast, kus see eelmisel korral katkestati.
    Chrome'i väljalase 102
  • Chrome'i veebipood pakub lehte „Laienduste stardikomplekt”, kus on esialgne valik soovitatud lisandmoodulitest.
  • Testrežiimis on CORS-i (Cross-Origin Resource Sharing) autoriseerimistaotluse saatmine saidi põhiserverisse päisega „Juurdepääs-kontroll-Taotlus-Privaatvõrk: tõsi” lubatud, kui leht pääseb juurde sisevõrgu ressursile ( 192.168.xx , 10.xxx, 172.16.xx) või kohalikule hostile (128.xxx). Sellele päringule vastuseks toimingu kinnitamisel peab server tagastama päise „Access-Control-Allow-Private-Network: true”. Chrome'i versioonis 102 ei mõjuta kinnituse tulemus veel päringu töötlemist – kui kinnitust pole, kuvatakse veebikonsoolis hoiatus, kuid alamressursi taotlust ennast ei blokeerita. Blokeerimise lubamist serveri kinnituse puudumisel ei eeldata enne Chrome 105 väljalaskmist. Varasemates versioonides blokeerimise lubamiseks saate lubada sätte "chrome://flags/#private-network-access-respect-preflight- tulemused".

    Volituste kontrollimine serveri poolt võeti kasutusele, et tugevdada kaitset rünnakute eest, mis on seotud saidi avamisel laaditud skriptide juurdepääsuga kohaliku võrgu või kasutaja arvuti (localhost) ressurssidele. Ründajad kasutavad selliseid päringuid CSRF-rünnakute läbiviimiseks ruuterite, pääsupunktide, printerite, ettevõtte veebiliideste ja muude seadmete ja teenuste vastu, mis võtavad vastu ainult kohaliku võrgu päringuid. Selliste rünnete eest kaitsmiseks saadab brauser, kui sisevõrgus on juurdepääs alamressurssidele, selgesõnalise loataotluse nende alamressursside laadimiseks.

  • Kui avada linke inkognito režiimis kontekstimenüü kaudu, eemaldatakse URL-ist automaatselt mõned privaatsust mõjutavad parameetrid.
  • Windowsi ja Androidi värskenduste edastamise strateegiat on muudetud. Uue ja vana versiooni käitumise täielikumaks võrdlemiseks luuakse nüüd allalaadimiseks mitu uue versiooni järge.
  • Võrgu segmenteerimise tehnoloogia on stabiliseeritud, et kaitsta kasutajate liikumiste jälgimise meetodite eest saitide vahel, mis põhinevad identifikaatorite salvestamisel aladel, mis ei ole ette nähtud teabe alaliseks salvestamiseks (“superküpsised”). Kuna vahemällu salvestatud ressursid on salvestatud ühisesse nimeruumi, olenemata päritoludomeenist, saab üks sait kindlaks teha, et teine ​​sait laadib ressursse, kontrollides, kas see ressurss on vahemälus. Kaitse põhineb võrgu segmenteerimise (Network Partitioning) kasutamisel, mille põhiolemus on lisada jagatud vahemäludesse kirjete täiendav sidumine domeeniga, kust avaleht avatakse, mis piirab vahemälu katvust ainult liikumise jälgimise skriptide jaoks. praegusele saidile (iframe'i skript ei saa kontrollida, kas ressurss laaditi alla teiselt saidilt). Oleku jagamine hõlmab võrguühendusi (HTTP/1, HTTP/2, HTTP/3, veebisocket), DNS-i vahemälu, ALPN/HTTP2, TLS/HTTP3 andmeid, konfiguratsiooni, allalaadimisi ja Expect-CT päise teavet.
  • Installitud eraldiseisvate veebirakenduste (PWA, Progressive Web App) puhul on võimalik akna pealkirja ala kujundust muuta, kasutades Window Controls Overlay komponente, mis laiendavad veebirakenduse ekraaniala tervele aknale. Veebirakendus saab juhtida kogu akna renderdamist ja sisendtöötlust, välja arvatud standardsete akna juhtnuppudega (sulgemine, minimeerimine, maksimeerimine) ülekatteplokk, et anda veebirakendusele tavalise töölauarakenduse välimus.
    Chrome'i väljalase 102
  • Vormi automaattäite süsteemis on lisatud tugi virtuaalsete krediitkaardinumbrite genereerimiseks veebipoodides kaupade makseandmetega väljadele. Virtuaalse kaardi kasutamine, mille number genereeritakse iga makse jaoks, võimaldab mitte edastada andmeid päris krediitkaardi kohta, vaid eeldab panga poolt vajaliku teenuse osutamist. Funktsioon on praegu saadaval ainult USA pangaklientidele. Funktsiooni kaasamise kontrollimiseks soovitatakse seadet „chrome://flags/#autofill-enable-virtual-card”.
  • Mehhanism „Võttekäepide” on vaikimisi aktiveeritud, võimaldades teil edastada teavet videot jäädvustavatesse rakendustesse. API võimaldab korraldada suhtlust rakenduste vahel, mille sisu on salvestatud, ja rakenduste vahel, mis salvestavad. Näiteks videokonverentsirakendus, mis salvestab esitluse edastamiseks videot, saab hankida teavet esitluse juhtelementide kohta ja kuvada need videoaknas.
  • Spekulatiivsete reeglite tugi on vaikimisi lubatud, pakkudes paindlikku süntaksit, et teha kindlaks, kas linkidega seotud andmeid saab ennetavalt laadida enne, kui kasutaja lingil klõpsab.
  • Ressursside pakkimise mehhanism Web Bundle'i vormingus pakettidesse on stabiliseeritud, mis võimaldab suurendada suure hulga kaasnevate failide (CSS-stiilid, JavaScript, pildid, iframe) laadimise efektiivsust. Erinevalt Webpack-vormingus pakettidest on Web Bundle'i vormingul järgmised eelised: HTTP vahemällu ei salvestata paketti ennast, vaid selle osi; JavaScripti koostamine ja käivitamine algab paketi täielikku allalaadimist ootamata; Lubatud on lisada täiendavaid ressursse, nagu CSS ja pildid, mis veebipaketis peaksid olema JavaScripti stringide kujul kodeeritud.
  • PWA-rakendust on võimalik määratleda teatud MIME tüüpide ja faililaiendite töötlejana. Pärast sidumise määratlemist manifesti välja file_handlers kaudu saab rakendus erisündmuse, kui kasutaja proovib avada rakendusega seotud faili.
  • Lisatud uus inertne atribuut, mis võimaldab märkida osa DOM-puust "mitteaktiivseks". Selles olekus DOM-sõlmede puhul on tekstivaliku ja kursori hõljumise töötlejad keelatud, st. Kursori sündmused ja kasutaja valitud CSS-i atribuudid on alati seatud väärtusele "puudub". Kui sõlme sai redigeerida, siis inertrežiimis muutub see muutmatuks.
  • Lisatud on Navigation API, mis võimaldab veebirakendustel akende navigeerimise toiminguid pealt kuulata, navigeerimist algatada ja rakendusega tehtud toimingute ajalugu analüüsida. API pakub atribuutidele window.history ja window.location alternatiivi, mis on optimeeritud üheleheliste veebirakenduste jaoks.
  • Atribuudi "varjatud" jaoks on pakutud uus lipp "kuni leitud", mis muudab elemendi lehel otsitavaks ja tekstimaski abil keritavaks. Näiteks saate lehele lisada peidetud teksti, mille sisu leitakse kohalikes otsingutes.
  • WebHID API-s, mis on mõeldud madala tasemega juurdepääsuks HID-seadmetele (inimese liidese seadmed, klaviatuurid, hiired, mängupuldid, puuteplaadid) ja töö korraldamiseks ilma konkreetsete draiverite olemasoluta süsteemis, on atribuut exclusionFilters lisatud päringule requestDevice ( ) objekt, mis võimaldab teil teatud seadmed välistada, kui brauser kuvab saadaolevate seadmete loendi. Näiteks saate välistada teadaolevate probleemidega seadmete ID-d.
  • Keelatud on kuvada maksevormi PaymentRequest.show() kutse kaudu ilma selgesõnalise kasutaja tegevuseta, näiteks klõpsates töötlejaga seotud elemendil.
  • WebRTC-s seansi loomiseks kasutatava SDP (Session Description Protocol) protokolli alternatiivse juurutamise tugi on lõpetatud. Chrome pakkus kahte SDP-valikut – ühendatud teiste brauseritega ja Chrome'i spetsiifilist. Edaspidi on jäänud vaid kaasaskantav võimalus.
  • Veebiarendajatele mõeldud tööriistu on täiustatud. Stiilide paneelile on lisatud nupud, et simuleerida tumeda ja heleda teema kasutamist. Võrgukontrolli režiimis on vahekaardi Eelvaade kaitset tugevdatud (sisu turbepoliitika rakendus on lubatud). Siluja rakendab katkestuspunktide uuesti laadimiseks skripti lõpetamist. Välja on pakutud uue “Performance Insights” paneeli esialgne juurutamine, mis võimaldab analüüsida lehel teatud toimingute toimivust.
    Chrome'i väljalase 102

Lisaks uuendustele ja veaparandustele kõrvaldab uus versioon 32 turvaauku. Paljud haavatavused tuvastati AddressSanitizeri, MemorySanitizeri, Control Flow Integrity, LibFuzzeri ja AFL-i tööriistu kasutades automatiseeritud testimise tulemusena. Ühele probleemile (CVE-2022-1853) on määratud kriitiline ohutase, mis tähendab võimalust mööda minna brauseri kõigist kaitsetasemetest ja käivitada süsteemis koodi väljaspool liivakastikeskkonda. Selle haavatavuse üksikasju pole veel avalikustatud; on teada, et see on põhjustatud juurdepääsust vabastatud mäluplokile (kasuta pärast tasuta) indekseeritud DB API juurutuses.

Osana rahalise preemia programmi praeguse versiooni haavatavuste avastamise eest maksis Google 24 auhinda väärtuses 65600 10000 dollarit (üks 7500 7000 dollari auhind, üks 5000 dollari auhind, kaks 3000 dollarit, kolm 2000 dollarit, neli 1000 dollarit ja kaks 500 dollarit, 7 kaks XNUMX dollarit, XNUMX XNUMX dollarit boonust). XNUMX preemia suurust pole veel kindlaks määratud.

Allikas: opennet.ru

Lisa kommentaar