🥇Chrome 92 väljalase

Google avalikustas veebibrauseri Chrome 92 väljalase. Samal ajal on saadaval ka Chrome'i aluseks oleva tasuta Chromiumi projekti stabiilne väljalase. Chrome'i brauserit eristab Google'i logode kasutamine, krahhi korral teadete saatmise süsteem, kaitstud videosisu (DRM) esitamise moodulid, värskenduste automaatse installimise süsteem ja RLZ-parameetrite edastamine otsimisel. Chrome 93 järgmine väljalase ilmub 31. augustil.

Peamised muudatused Chrome'is 92:

Seadetesse on lisatud tööriistad privaatsusliivakasti komponentide kaasamise kontrollimiseks. Kasutajale antakse võimalus keelata FLoC-tehnoloogia (Federated Learning of Cohorts), mida Google arendab, et asendada liikumise jälgimise küpsised "kohortidega", mis võimaldavad tuvastada sarnaste huvidega kasutajaid ilma isikuid tuvastamata. Kohordid arvutatakse brauseri poolel, rakendades sirvimisajaloo andmetele ja brauseris avatavale sisule masinõppe algoritme.
Lauaarvutite kasutajate jaoks on vaikimisi lubatud tagasi-edasi vahemälu, mis tagab kohese navigeerimise, kui kasutate nuppe Tagasi ja Edasi või kui navigeerite praeguse saidi varem vaadatud lehtedel. Varem oli vahemälu saadaval ainult Androidi platvormi versioonides.
Saitide ja lisandmoodulite isoleeritus erinevates protsessides. Kui varem tagas Site Isolation mehhanism saitide üksteisest eraldamise erinevates protsessides ning eraldas ka kõik lisandmoodulid eraldi protsessiks, siis uus väljalase rakendab brauseri lisandmoodulite eraldamist üksteisest iga lisa liigutamisega. eraldi protsessiks, mis võimaldas luua veel ühe tõkke kaitseks pahatahtlike lisandmoodulite eest.
Märkimisväärselt suurenenud andmepüügi tuvastamise tootlikkus ja tõhusus. Kohaliku pildianalüüsi põhjal õngitsemise tuvastamise kiirus tõusis pooltel juhtudel kuni 50 korda ning 99% juhtudest osutus see vähemalt 2.5 korda kiiremaks. Keskmiselt vähenes andmepüügi pildi järgi klassifitseerimise aeg 1.8 sekundilt 100 ms-ni. Kokkuvõttes vähenes kõigi renderdusprotsesside tekitatud protsessori koormus 1.2%.
Portid 989 (ftps-data) ja 990 (ftps) on lisatud keelatud võrguportide nimekirja. Varem olid pordid 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 ja 10080 juba blokeeritud. Mustas nimekirjas olevate portide puhul on HTTP, HTTPS ja FTP päringute saatmine NAT-i kaitsmiseks blokeeritud. slipstreaming rünnak, mis võimaldab ründaja poolt spetsiaalselt koostatud veebilehe avamisel brauseris luua võrguühenduse ründaja serverist kasutaja süsteemi mis tahes UDP- või TCP-pordiga, hoolimata sisemise aadressivahemiku (192.168.xx) kasutamisest. , 10.xxx).
Kasutusele on võetud nõue kasutada Chrome'i veebipoes uute täienduste või versioonivärskenduste avaldamisel kahefaktorilist arendaja kinnitust.
Nüüd on võimalik brauseris juba installitud lisandmoodulid keelata, kui need reeglite rikkumise tõttu Chrome'i veebipoest eemaldatakse.
DNS-päringute saatmisel küsitakse klassikaliste DNS-serverite kasutamise korral lisaks IP-aadresside määramise kirjetele “A” ja “AAAA” nüüd ka “HTTPS” DNS-kirjet, mille kaudu edastatakse kiirendamiseks parameetreid. HTTPS-ühenduste loomine, nagu protokolli sätted, TLS ClientHello krüpteerimisvõtmed ja aliaste alamdomeenide loend.
JavaScripti dialoogide window.alert, window.confirm ja window.prompt kutsumine on keelatud iframe'i plokkide puhul, mis on laaditud muudest domeenidest peale praeguse lehe domeeni. Muudatus aitab kaitsta kasutajaid kuritarvituste eest, mis on seotud katsetega esitada kolmanda osapoole teatis põhisaidilt päringuna.
Uuel vahelehel on kõige populaarsemate Google Drive'i salvestatud dokumentide loend.
PWA (Progressive Web Apps) rakenduste nime ja ikooni on võimalik muuta.
Väikese juhusliku arvu veebivormide puhul, mis nõuavad aadressi või krediitkaardi numbri sisestamist, keelatakse automaattäite soovitused katsena.
Töölauaversioonis on pildiotsingu valik (kontekstimenüüs üksus "Otsi pilt") lülitatud kasutama Google Lensi teenust tavapärase Google'i otsingumootori asemel. Kui klõpsate kontekstimenüüs vastavat nuppu, suunatakse kasutaja eraldi veebirakendusse.
Inkognito režiimi liideses on sirvimisajaloo lingid peidetud (lingid on kasutud, kuna need viisid tünni avamiseni teabega, et ajalugu ei koguta).
Lisatud uued käsud, mis parsitakse aadressiribale sisestamisel. Näiteks selleks, et kuvada nupp kiireks paroolide ja lisandmoodulite turvalisuse kontrollimise lehele minemiseks, tippige lihtsalt "turvakontroll" ning turva- ja sünkroonimisseadete avamiseks tippige lihtsalt "manage security settings" ja " hallata sünkroonimist”.
Konkreetsed muudatused Chrome'i Androidi versioonis:
- Paneelil on uus kohandatav nupp “Magic Toolbar”, mis näitab kasutaja hetketegevuse põhjal valitud erinevaid otseteid ja sisaldab linke, mida hetkel tõenäoliselt vaja läheb.
- Andmepüügikatsete tuvastamiseks on seadmesisese masinõppe mudeli rakendamine värskendatud. Andmepüügikatsete tuvastamisel saadab brauser lisaks hoiatuslehe kuvamisele nüüd teavet masinõppemudeli versiooni, iga kategooria arvutatud kaalu ja lipukese kohta uue mudeli rakendamiseks välisele ohutu sirvimise teenusele. .
- Eemaldati seade „Kuva sarnaste lehtede soovitused, kui lehte ei leita”, mille tulemusel soovitati sarnaseid lehti Google'ile päringu saatmise alusel, kui lehte ei leitud. See seade eemaldati varem töölauaversioonist.
- Laiendatud on saidi eraldamise režiimi kasutamist üksikute protsesside jaoks. Ressursikasutuse kaalutlustel on seni eraldi protsessidesse viidud ainult valitud suured saidid. Uues versioonis hakkab isoleerimine kehtima ka saitidele, kuhu kasutaja on OAuthi kaudu autentimisega sisse logitud (näiteks ühendub Google'i konto kaudu) või mis seavad Cross-Origin-Opener-Policy HTTP päise. Neile, kes soovivad lubada isolatsiooni kõigi saitide üksikutes protsessides, pakutakse seadet „chrome://flags/#enable-site-per-process”.
- V8 mootori sisseehitatud kaitsemehhanismid külgkanalite rünnakute (nt Spectre) vastu on keelatud, mida ei peeta nii tõhusaks kui kohtade isoleerimist eraldi protsessides. Töölauaversioonis keelati need mehhanismid tagasi Chrome 70 väljalaske ajal.
- Lihtsustatud juurdepääs saidi lubade seadetele, nagu mikrofon, kaamera ja asukoha juurdepääs. Lubade loendi kuvamiseks klõpsake aadressiribal tabaluku sümbolil ja seejärel valige jaotis „Load”.
Origin Trials režiimi on lisatud mitu uut API-d (eksperimentaalsed funktsioonid, mis nõuavad eraldi aktiveerimist). Origin Trial tähendab võimalust töötada määratud API-ga kohalikest hostidest või versioonist 127.0.0.1 alla laaditud rakendustes või pärast registreerimist ja spetsiaalse loa saamist, mis kehtib konkreetse saidi jaoks piiratud aja.
- API File Handling, mis võimaldab registreerida veebirakendusi failitöötlejatena. Näiteks PWA (Progressive Web Apps) režiimis töötav tekstiredaktoriga veebirakendus saab end registreerida “.txt” failitöötlejana, misjärel saab seda kasutada süsteemi failihalduris tekstifailide avamiseks.
- Shared Element Transitions API, mis võimaldab kasutada brauseri pakutavaid valmisefekte, mis visualiseerivad liidese oleku muutusi ühelehelises (SPA, ühelehelised rakendused) ja mitmelehelises (MPA, mitmelehelised rakendused) ) veebirakendused.
@font-face CSS-i reeglile on lisatud parameeter size-adjust, mis võimaldab skaleerida glüüfi suurust konkreetse fondi stiili jaoks ilma fondi suuruse CSS-i atribuudi väärtust muutmata (tähemärgi all olev ala jääb samaks , kuid glüüfi suurus selles piirkonnas muutub).
JavaScriptis rakendavad objektid Array, String ja TypedArray meetodit at(), mis võimaldab kasutada suhtelist indekseerimist (suhteline asukoht määratakse massiiviindeksina), sealhulgas määrata negatiivsed väärtused lõpu suhtes (näiteks "arr.at(-1)" tagastab massiivi viimase elemendi).
JavaScript-konstruktorisse Intl.DateTimeFormat on lisatud atribuut dayPeriod, mis võimaldab kuvada ligikaudset kellaaega (hommik, õhtu, pärastlõuna, öö).
Kui kasutate SharedArrayBuffersi objekte, mis võimaldavad teil ühismälus massiive luua, peate nüüd määratlema HTTP-päised Cross-Origin-Opener-Policy ja Cross-Origin-Embedder-Policy, ilma milleta päring blokeeritakse.
Meediumiseansi API-le on lisatud toimingud „lülitusmikrofon”, „togglecamera” ja „hangup”, mis võimaldab videokonverentsisüsteeme rakendavatel saitidel lisada oma vaigistamise/vaigistuse tühistamise, kaamera välja/sisse ja lõpetamisnuppude töötlejad. pilt-pildis liidese kõne.
Web Bluetooth API on lisanud võimaluse filtreerida leitud Bluetoothi seadmeid tootja ja toote identifikaatorite järgi. Filter seadistatakse parameetri “options.filters” kaudu Bluetooth.requestDevice() meetodis.
Rakendatud on User-Agent HTTP-päise sisu kärpimise esimene etapp: vahekaardil DevTools Issues kuvatakse nüüd hoiatus failide navigator.userAgent, navigator.appVersion ja navigator.platform aegumise kohta.
Veebiarendajate tööriistadesse on tehtud osa täiustusi. Veebikonsool võimaldab "const" avaldisi uuesti määratleda. Paneelil Elements on iframe'i elementidel võimalus kiiresti vaadata üksikasju kontekstimenüü kaudu, mis kuvatakse elemendil paremklõpsates. Täiustatud CORS-i (ülese päritoluga ressursside jagamise) vigade silumine. Võrgutegevuse kontrollimise paneelile on lisatud võimalus filtreerida WebAssembly võrgupäringuid. Välja on pakutud uus CSS Grid redaktor ("display: grid" ja "display: inline-grid") koos funktsiooniga muudatuste eelvaateks.

Lisaks uuendustele ja veaparandustele kõrvaldab uus versioon 35 turvaauku. Paljud haavatavused tuvastati AddressSanitizeri, MemorySanitizeri, Control Flow Integrity, LibFuzzeri ja AFL-i tööriistu kasutades automatiseeritud testimise tulemusena. Pole tuvastatud ühtegi kriitilist probleemi, mis võimaldaks brauseri kõigist kaitsetasemetest mööda minna ja süsteemis koodi käivitada väljaspool liivakastikeskkonda. Osana rahalise preemia maksmise programmi praeguse versiooni haavatavuste avastamise eest maksis Google välja 24 auhinda väärtuses 112000 15000 dollarit (kaks 10000 8500 dollari suurust auhinda, neli 7500 5000 dollarit, üks 3000 dollarit, kaks 500 dollarit, kolm 11 dollarit ja üks XNUMX dollarit, XNUMX ). XNUMX preemia suurust pole veel kindlaks määratud.

Allikas: opennet.ru

Chrome'i väljalase 92

Lisa kommentaar Tühista vastus