ProHoster > Blogi > internetiuudised > Chrome'i väljalase 98

Chrome'i väljalase 98

Google avalikustas veebibrauseri Chrome 98 versiooni. Samal ajal on saadaval ka Chrome'i aluseks oleva tasuta Chromiumi projekti stabiilne väljalase. Chrome'i brauserit eristab Google'i logode kasutamine, krahhi korral teadete saatmise süsteem, kopeerimiskaitsega videosisu (DRM) esitamise moodulid, värskenduste automaatse installimise süsteem ja RLZ-parameetrite edastamine, kui otsimine. Järgmine Chrome 99 väljalase ilmub 1. märtsil.

Peamised muudatused Chrome'is 98:

  • Brauseril on oma sertifitseerimisasutuste juursertifikaatide pood (Chrome Root Store), mida kasutatakse iga operatsioonisüsteemi jaoks spetsiifiliste väliste poodide asemel. Pood on rakendatud sarnaselt Firefoxi sõltumatule juursertifikaatide poele, mida kasutatakse HTTPS-i kaudu saitide avamisel esimese lingina serdi usaldusahela kontrollimiseks. Uut salvestusruumi vaikimisi veel ei kasutata. Süsteemi salvestuskonfiguratsioonide ülemineku hõlbustamiseks ja teisaldatavuse tagamiseks toimub üleminekuperiood, mille jooksul Chrome'i juurpood sisaldab täielikku valikut enamikul toetatud platvormidel heaks kiidetud sertifikaatidest.
  • Jätkuvalt rakendatakse plaani tugevdada kaitset rünnakute eest, mis on seotud saidi avamisel laaditud skriptide kaudu juurdepääsuga ressurssidele kohalikus võrgus või kasutaja arvutis (localhost). Ründajad kasutavad selliseid päringuid CSRF-rünnakute läbiviimiseks ruuterite, pääsupunktide, printerite, ettevõtte veebiliideste ja muude seadmete ja teenuste vastu, mis võtavad vastu ainult kohaliku võrgu päringuid.

    Selliste rünnakute eest kaitsmiseks hakkab brauser saatma selgesõnalist taotlust selliste alamressursside allalaadimise loa saamiseks, kui sisevõrgus on juurdepääs alamressurssidele. Lubade taotlemine toimub CORS-i (Cross-Origin Resource Sharing) päringu saatmisega päisega „Juurdepääs-kontroll-Taotlus-Privaatvõrk: tõene“ saidi põhiserverisse enne sisevõrgule või kohalikule hostile juurdepääsu saamist. Sellele päringule vastuseks toimingu kinnitamisel peab server tagastama päise „Access-Control-Allow-Private-Network: true”. Chrome 98-s on kontroll rakendatud testrežiimis ja kui kinnitust pole, kuvatakse veebikonsoolis hoiatus, kuid alamressursi taotlust ennast ei blokeerita. Blokeerimist ei kavatseta lubada enne, kui Chrome 101 välja tuleb.

  • Konto seadetesse on integreeritud tööriistad täiustatud turvalise sirvimise kaasamise haldamiseks, mis aktiveerib täiendavad kontrollid, et kaitsta end andmepüügi, pahatahtliku tegevuse ja muude veebiohtude eest. Kui aktiveerite oma Google'i kontol režiimi, palutakse teil nüüd Chrome'is režiim aktiveerida.
  • Lisatud on mudel andmepüügikatsete tuvastamiseks kliendi poolel, mis on realiseeritud TFLite masinõppeplatvormi (TensorFlow Lite) abil ja ei nõua andmete saatmist Google'i poole kontrolli teostamiseks (sel juhul saadetakse telemeetria koos teabega mudeli versiooni kohta ja iga kategooria arvutatud kaalud). Andmepüügikatse tuvastamisel kuvatakse kasutajale enne kahtlase saidi avamist hoiatusleht.
  • Client Hints API-s, mida arendatakse User-Agent päise asendajana ja mis võimaldab ainult serveri päringu peale saata valikuliselt andmeid konkreetsete brauseri ja süsteemi parameetrite (versioon, platvorm jne) kohta. brauseri identifikaatorite loendis on võimalik asendada fiktiivseid nimesid vastavalt TLS-is kasutatava GREASE (Generate Random Extensions And Sustain Extensibility) mehhanismile. Näiteks lisaks "Chrome"; v="98" ja "Chromium"; v="98"' olematu brauseri juhuslik identifikaator ""(Not; Browser"; v="12"'). Selline asendus aitab tuvastada probleeme tundmatute brauserite identifikaatorite töötlemisel, mis viib selleni, et alternatiivsed brauserid on sunnitud teesklema teisi populaarseid brausereid, et vältida vastuvõetavate brauserite loendite kontrollimist.
  • Alates 17. jaanuarist ei aktsepteeri Chrome'i veebipood enam pistikprogramme, mis kasutavad Chrome'i manifesti versiooni 2023. Uusi täiendusi aktsepteeritakse nüüd ainult manifesti kolmanda versiooniga. Varem lisatud lisandmoodulite arendajad saavad siiski avaldada värskendusi manifesti teise versiooniga. Manifesti teise versiooni täielik aegumine on kavandatud XNUMX. aasta jaanuariks.
  • Lisatud on COLRv1-vormingus värviliste vektorfondide tugi (OpenType'i fontide alamhulk, mis sisaldab lisaks vektorglüüfidele ka värviteabe kihti), mida saab kasutada näiteks mitmevärviliste emotikonide loomiseks. Erinevalt varem toetatud vormingust COLRv0 on COLRv1-l nüüd võimalus kasutada gradiente, ülekatteid ja teisendusi. Vorming pakub ka kompaktset salvestusvormi, pakub tõhusat tihendamist ja võimaldab piirjooni uuesti kasutada, võimaldades fondi suurust oluliselt vähendada. Näiteks Noto Color Emoji font võtab rastervormingus 9 MB ja COLRv1 vektorvormingus 1.85 MB.
    Chrome'i väljalase 98
  • Origin Trials režiim (eksperimentaalsed funktsioonid, mis nõuavad eraldi aktiveerimist) rakendab Region Capture API-t, mis võimaldab jäädvustatud videot kärpida. Näiteks võib kärpimine olla vajalik veebirakendustes, mis jäädvustavad videot oma vahekaardi sisuga, et teatud sisu enne saatmist välja lõigata. Origin Trial tähendab võimalust töötada määratud API-ga kohalikest hostidest või versioonist 127.0.0.1 alla laaditud rakendustes või pärast registreerimist ja spetsiaalse loa saamist, mis kehtib konkreetse saidi jaoks piiratud aja.
  • CSS-i atribuut "contain-intrinsic-size" toetab nüüd väärtust "auto", mis kasutab elemendi viimast meeldejäävat suurust (kui seda kasutatakse koos "content-visibility: auto", ei pea arendaja elemendi renderdatud suurust ära arvama) .
  • Lisatud on atribuut AudioContext.outputLatency, mille kaudu saate teada prognoositava viivituse kohta enne heliväljundit (helipäringu ja heliväljundseadme poolt vastuvõetud andmete töötlemise alguse vaheline viivitus).
  • CSS-i atribuudi värviskeem, mis võimaldab määrata, millistes värvilahendustes saab elementi õigesti kuvada (“hele”, “tume”, “päevarežiim” ja “öörežiim”), on lisatud parameeter “ainus” et vältida sunnitud värvimuutuste skeeme üksikute HTML-elementide jaoks. Näiteks kui määrate „div { color-scheme: only light }”, kasutatakse div-elemendi jaoks ainult heledat teemat, isegi kui brauser sunnib tumeda teema lubama.
  • CSS-ile on lisatud dünaamilise ulatuse ja video dünaamilise ulatusega meediumipäringute tugi, et teha kindlaks, kas ekraan toetab HDR-i (High Dynamic Range).
  • Lisati funktsioonile window.open() võimalus valida, kas link avatakse uuel vahelehel, uues aknas või hüpikaknas. Lisaks tagastab atribuut window.statusbar.visible nüüd hüpikakende puhul väärtuse "false" ja vahelehtede ja akende puhul väärtuse "true". const hüpikaken = window.open('_blank',",'popup=1'); // Ava hüpikaknas const tab = window.open('_blank',,"'popup=0'); // Ava vahekaardil
  • Akende ja töötajate jaoks on rakendatud meetod struktureeritudClone(), mis võimaldab luua objektidest rekursiivseid koopiaid, mis ei sisalda mitte ainult määratud objekti, vaid ka kõigi teiste praeguse objekti viidatud objektide omadusi.
  • Veebi autentimise API-le on lisatud tugi FIDO CTAP2 spetsifikatsioonilaiendusele, mis võimaldab määrata minimaalse lubatud PIN-koodi suuruse (minPinLength).
  • Paigaldatud eraldiseisvate veebirakenduste jaoks on lisatud komponent Window Controls Overlay, mis laiendab rakenduse ekraaniala tervele aknale, sealhulgas pealkirjaalale, millel on tavalised akna juhtnupud (sulgemine, minimeerimine, maksimeerimine ) asetsevad üksteise peale. Veebirakendus saab juhtida kogu akna renderdamist ja sisendtöötlust, välja arvatud akna juhtnuppudega ülekatteplokk.
  • WritableStreamDefaultControllerile lisati signaalitöötluse atribuut, mis tagastab AbortSignal objekti, mida saab kasutada WritableStreami kirjutamise koheseks peatamiseks, ootamata nende lõpetamist.
  • WebRTC on eemaldanud SDES-i võtmelepingu mehhanismi toe, mille IETF 2013. aastal turvaprobleemide tõttu katkestas.
  • Vaikimisi on U2F (Cryptotoken) API keelatud, mis oli varem aegunud ja asendatud Web Authentication API-ga. U2F API eemaldatakse Chrome 104-s täielikult.
  • API kataloogis on väli install_browser_version aegunud, asendatud uue väljaga pending_browser_version, mis erineb selle poolest, et sisaldab teavet brauseri versiooni kohta, võttes arvesse allalaaditud, kuid rakendamata värskendusi (st versiooni, mis hakkab kehtima pärast brauser taaskäivitatakse).
  • Eemaldati valikud, mis võimaldasid tagastada TLS 1.0 ja 1.1 toe.
  • Veebiarendajatele mõeldud tööriistu on täiustatud. Tagasi-edasi vahemälu toimimise hindamiseks on lisatud vahekaart, mis tagab kohese navigeerimise, kui kasutate nuppe Tagasi ja Edasi. Lisati võimalus jäljendada sundvärvide meediumipäringuid. Flexboxi redaktorisse on lisatud nupud, mis toetavad rea- ja veeru-tagurpidi atribuute. Vahekaart „Muudatused” tagab muudatuste kuvamise pärast koodi vormindamist, mis lihtsustab minimeeritud lehtede sõelumist.
    Chrome'i väljalase 98

    Koodiülevaate paneeli juurutamist on värskendatud CodeMirror 6 koodiredaktoriga, mis parandab oluliselt väga suurte failidega (WASM, JavaScript) töötamise jõudlust, lahendab navigeerimisel tekkivate juhuslike nihetega seotud probleeme ja parandab automaatse täitmise süsteem koodi redigeerimisel. CSS-i atribuutide paneelile on lisatud võimalus filtreerida väljundit atribuudi nime või väärtuse järgi.

    Chrome'i väljalase 98

Lisaks uuendustele ja veaparandustele kõrvaldab uus versioon 27 turvaauku. Paljud haavatavused tuvastati AddressSanitizeri, MemorySanitizeri, Control Flow Integrity, LibFuzzeri ja AFL-i tööriistu kasutades automatiseeritud testimise tulemusena. Pole tuvastatud ühtegi kriitilist probleemi, mis võimaldaks mööda minna brauseri kõigist kaitsetasemetest ja käivitada süsteemis koodi väljaspool liivakastikeskkonda. Osana rahalise preemiaprogrammi praeguse versiooni haavatavuste avastamise eest maksis Google 19 auhinda väärtuses 88 tuhat dollarit (kaks 20000 12000 dollarit, üks 7500 1000 dollarit, kaks 7000 dollarit, neli 5000 dollarit ja üks 3000, 2000 ja XNUMX dollarit).

Allikas: opennet.ru

Lisa kommentaar