ProHoster > Blog > Interneteko albisteak > Chrome 102. bertsioa

Chrome 102. bertsioa

Google-k Chrome 102 web arakatzailearen bertsioa aurkeztu du. Aldi berean, doako Chromium proiektuaren bertsio egonkor bat dago eskuragarri, zeina Chrome-ren oinarri gisa. Chrome arakatzailea Chromium-en desberdina da Google-ren logotipoen erabileran, hutsegiteen kasuan jakinarazpenak bidaltzeko sistema baten presentzian, kopia babestutako bideo-edukiak (DRM) erreproduzitzeko moduluak, eguneraketak automatikoki instalatzeko sistema, Sandbox isolamendua betirako gaitzen duena. , Google APIari gakoak emanez eta RLZ- parametroak bilatzean. Eguneratzeko denbora gehiago behar dutenentzat, Extended Stable adarra bereizita onartzen da, eta ondoren 8 astez. Chrome 103-ren hurrengo bertsioa ekainaren 21erako aurreikusita dago.

Chrome 102-n funtsezko aldaketak:

  • Lehendik askatuta dauden memoria blokeetara sartzeak (use-after-free) eragindako ahulezien ustiapena blokeatzeko, erakusle arrunten ordez, MiraclePtr (raw_ptr) mota erabiltzen hasi zen. MiraclePtr-ek erakusleen gaineko lotura bat eskaintzen du, askatu diren memoria-eremuetako sarbideen egiaztapen gehigarriak egiten dituena eta huts egiten du sarbide horiek hautematen badira. Babes-metodo berriak errendimenduan eta memoria-kontsumoan duen eragina arbuiagarria dela baloratzen da. MiraclePtr mekanismoa ez da aplikagarria prozesu guztietan, bereziki ez da errendatze prozesuetan erabiltzen, baina segurtasuna nabarmen hobetu dezake. Esaterako, oraingo bertsioan, konpondutako 32 ahultasunetatik 12 erabilera-doako arazoengatik sortu ziren.
  • Deskargari buruzko informazioa duen interfazearen diseinua aldatu da. Deskargaren aurrerapenari buruzko datuen beheko lerroaren ordez, helbide-barra duen panelean adierazle berri bat gehitu da; gainean klik egiten duzunean, fitxategiak deskargatzearen aurrerapena eta dagoeneko deskargatutako fitxategien zerrenda duen historia erakusten da. Beheko panelean ez bezala, botoia panelean etengabe agertzen da eta deskargaren historia azkar sartzeko aukera ematen dizu. Interfaze berria erabiltzaile batzuei soilik eskaintzen zaie lehenespenez eta guztiei zabalduko zaie arazorik ez badago. Interfaze zaharra itzultzeko edo berri bat gaitzeko, "chrome://flags#download-bubble" ezarpena eskaintzen da.
    Chrome 102. bertsioa
  • Testuinguru-menuaren bidez irudiak bilatzean ("Bilatu irudia Google Lens-ekin" edo "Aurkitu Google Lens-en bidez"), orain emaitzak ez dira orri bereizi batean agertzen, baizik eta jatorrizko orriaren edukiaren ondoko alboko barra batean. leiho batean aldi berean ikusi ahal izango dituzu orriaren edukia eta bilatzailean sartzearen emaitza).
    Chrome 102. bertsioa
  • Ezarpenen "Pribatutasuna eta segurtasuna" atalean, "Pribatutasun gida" atala gehitu da, pribatutasunari eragiten dioten ezarpen nagusien ikuspegi orokorra eskaintzen duena ezarpen bakoitzaren eraginari buruzko azalpen zehatzekin. Adibidez, atalean Google zerbitzuetara datuak bidaltzeko politika, sinkronizazioa kudeatu, Cookieak prozesatzea eta historia gordetzeko politika zehaztu dezakezu. Funtzioa erabiltzaile batzuei eskaintzen zaie; hura aktibatzeko, "chrome://flags#privacy-guide" ezarpena erabil dezakezu.
    Chrome 102. bertsioa
  • Bilaketa-historiaren eta ikusitako orrien egituraketa eskaintzen da. Berriro bilatzen saiatzen zarenean, helbide-barran "Berrekin bidaia" iradokizuna bistaratzen da, bilaketa azken aldian eten zen lekutik jarraitzeko aukera emanez.
    Chrome 102. bertsioa
  • Chrome Web Store-k "Luzapenen hasierako kit" orria eskaintzen du, gomendatutako gehigarrien hasierako aukeraketarekin.
  • Proba moduan, CORS (Cross-Origin Resource Sharing) baimen eskaera bidaltzea gune nagusiko zerbitzariari "Access-Control-Request-Private-Network: true" goiburuarekin gaituta dago orria barne sareko baliabide batera sartzen denean ( 192.168.xx, 10.xxx, 172.16.xx) edo localhost-era (128.xxx). Eskaera honi erantzuteko eragiketa berresten duenean, zerbitzariak "Sarbide-Kontrol-Baimendu-Sare Pribatua: egia" goiburua itzuli behar du. Chrome 102 bertsioan, berrespen-emaitzak oraindik ez du eskaeraren prozesamenduan eragiten - berrespenik ez badago, abisu bat bistaratuko da web kontsolan, baina azpibaliabideen eskaera bera ez da blokeatzen. Zerbitzariaren berrespenik ezean blokeatzea ez da espero Chrome 105 kaleratu arte. Aurreko bertsioetan blokeoa gaitzeko, "chrome://flags/#private-network-access-respect-preflight-" ezarpena gaitu dezakezu. emaitzak".

    Zerbitzariaren agintearen egiaztapena sartu zen gune bat irekitzean kargatutako scriptetatik sare lokalean edo erabiltzailearen ordenagailuan (localhost) baliabideak atzitzearekin lotutako erasoen aurkako babesa indartzeko. Halako eskaerak erasotzaileek bideratzaile, sarbide puntu, inprimagailu, web interfaze korporatibo eta sare lokaleko eskaerak soilik onartzen dituzten beste gailu eta zerbitzu batzuetan CSRF erasoak egiteko erabiltzen dituzte. Eraso horien aurka babesteko, azpibaliabideren bat barne sarean sartzen bada, arakatzaileak azpibaliabide horiek kargatzeko baimen-eskaera esplizitua bidaliko du.

  • Estekak laster-menuaren bidez inkognito moduan irekitzean, pribatutasuna eragiten duten parametro batzuk automatikoki kentzen dira URLtik.
  • Windows eta Androiden eguneraketak bidaltzeko estrategia aldatu da. Argitalpen berrien eta zaharren portaera hobeto alderatzeko, bertsio berriaren hainbat eraikuntza sortzen dira deskargatzeko.
  • Sare-segmentazio-teknologia egonkortu da, webguneen arteko erabiltzaileen mugimenduen jarraipena egiteko metodoetatik babesteko, identifikatzaileak gordetzean oinarritutako informazioa etengabe gordetzeko pentsatuta ez dauden guneetan ("Supercookieak"). Cachean gordetako baliabideak izen-espazio komun batean gordetzen direnez, jatorrizko domeinua edozein izanda ere, gune batek beste gune bat baliabideak kargatzen ari dela zehaztu dezake baliabide hori cachean dagoen ala ez egiaztatuz. Babesa sare-segmentazioan (Network Partitioning) erabiltzean oinarritzen da, eta horren funtsa partekatutako cacheetan orrialde nagusia irekitzen den domeinurako erregistroen lotura gehigarria gehitzea da, eta horrek cache-estaldura mugatzen du mugimenduen jarraipena egiteko scriptetarako soilik. uneko gunera (iframe bateko script batek ezin izango du egiaztatu baliabidea beste gune batetik deskargatu den). Egoera partekatzeak sareko konexioak (HTTP/1, HTTP/2, HTTP/3, websocket), DNS cachea, ALPN/HTTP2, TLS/HTTP3 datuak, konfigurazioa, deskargak eta Expect-CT goiburuko informazioa hartzen ditu.
  • Instalatutako web-aplikazio autonomoetarako (PWA, Progressive Web App), leihoaren izenburuaren eremuaren diseinua alda daiteke Leiho Kontrolen Gainjartze osagaiak erabiliz, web aplikazioaren pantaila-eremua leiho osora zabaltzen dutenak. Web-aplikazio batek leiho osoaren errendatzea eta sarrera-prozesatzea kontrola dezake, leihoen kontrol-botoi estandarrak dituen gainjarri blokea izan ezik (itxi, minimizatu, maximizatu), web-aplikazioari mahaigaineko aplikazio arrunt baten itxura emateko.
    Chrome 102. bertsioa
  • Inprimakiak betetze automatikoko sisteman, kreditu-txartel birtualen zenbakiak sortzeko laguntza gehitu da lineako dendetako salgaien ordainketa xehetasunak dituzten eremuetan. Ordainketa bakoitzean sortzen den txartel birtual bat erabiliz, benetako kreditu-txartel bati buruzko datuak ez transferitzeko aukera ematen du, baina bankuak beharrezko zerbitzua ematea eskatzen du. Une honetan funtzio hau AEBetako banku-bezeroentzat bakarrik dago erabilgarri. Funtzioa sartzea kontrolatzeko, "chrome://flags/#autofill-enable-virtual-card" ezarpena proposatzen da.
  • "Capture Handle" mekanismoa lehenespenez aktibatuta dago, eta informazioa bideoak ateratzen dituzten aplikazioetara transferitzeko aukera ematen du. APIak edukia grabatzen duten aplikazioen eta grabazioa egiten duten aplikazioen arteko elkarrekintza antolatzea ahalbidetzen du. Esate baterako, aurkezpen bat igortzeko bideoa harrapatzen ari den bideokonferentzia aplikazio batek aurkezpen-kontrolei buruzko informazioa berreskura dezake eta bideo-leihoan bistaratu.
  • Arau espekulatiboetarako laguntza lehenespenez gaituta dago, eta sintaxi malgua eskaintzen du estekekin lotutako datuak proaktiboki kargatu daitezkeen ala ez zehazteko, erabiltzaileak estekan klik egin baino lehen.
  • Baliabideak Web Bundle formatuan paketeetan biltzeko mekanismoa egonkortu egin da, eta horrekin batera fitxategi ugari kargatzeko eraginkortasuna areagotu da (CSS estiloak, JavaScript, irudiak, iframes). Webpack formatuan dauden paketeek ez bezala, Web Bundle formatuak abantaila hauek ditu: ez da paketea bera HTTP cachean gordetzen dena, bere osagaien zatiak baizik; JavaScript-en konpilazioa eta exekuzioa paketea guztiz deskargatu arte itxaron gabe hasten da; Baliabide gehigarriak sartzea onartzen da, hala nola CSS eta irudiak, webpack-ean JavaScript kate moduan kodetu beharko liratekeenak.
  • Posible da PWA aplikazio bat MIME mota eta fitxategi-luzapen batzuen kudeatzaile gisa definitzea. Manifestuko file_handlers eremuaren bidez lotura bat definitu ondoren, aplikazioak gertaera berezi bat jasoko du erabiltzailea aplikazioarekin lotutako fitxategi bat irekitzen saiatzen denean.
  • DOM zuhaitzaren zati bat "inaktibo" gisa markatzeko aukera ematen duen atributu inerte berri bat gehitu da. Egoera honetan dauden DOM nodoetarako, testu-hautaketa eta erakuslea pasatzeko kudeatzaileak desgaituta daude, hau da. Erakusle-gertaerak eta erabiltzaileak aukeratutako CSS propietateak 'none' gisa ezartzen dira beti. Nodo bat editatu badaiteke, modu inertean editaezina izango da.
  • Nabigazio APIa gehitu da, eta horri esker, web-aplikazioek leihoen nabigazio-eragiketak atzemateko, nabigazioa abiarazteko eta aplikazioarekin ekintzen historia aztertzeko. APIak window.history eta window.location propietateen alternatiba eskaintzen du, orrialde bakarreko web aplikazioetarako optimizatuta.
  • Bandera berri bat, "aurkitu arte", "ezkutuko" atributurako proposatu da, elementua orrialdean bila daitekeela eta testu-maskaraz korritu daitekeena. Adibidez, ezkutuko testua gehi diezaiokezu orri bati, eta horren edukia tokiko bilaketetan aurkituko da.
  • WebHID APIan, HID gailuetarako (Giza interfazearen gailuak, teklatuak, saguak, gamepadak, touchpadak) eta sisteman kontrolatzaile zehatzik egon gabe lana antolatzeko diseinatua, exclusionFilters propietatea gehitu da requestDevice( ) objektua, gailu jakin batzuk baztertzeko aukera ematen duena arakatzaileak erabilgarri dauden gailuen zerrenda bistaratzen duenean. Adibidez, arazo ezagunak dituzten gailu IDak bazter ditzakezu.
  • Debekatuta dago ordainketa-inprimakia PaymentRequest.show()-ra dei baten bidez bistaratzea erabiltzailearen ekintza espliziturik gabe, adibidez, kudeatzaileari lotutako elementu batean klik eginez.
  • WebRTC-n saio bat ezartzeko erabiltzen den SDP (Session Description Protocol) protokoloaren inplementazio alternatiborako laguntza eten egin da. Chrome-k bi SDP aukera eskaintzen zituen: beste arakatzaile batzuekin bateratua eta Chrome-ren espezifikoa. Hemendik aurrera aukera eramangarria baino ez da geratzen.
  • Hobekuntzak egin dira web garatzaileentzako tresnetan. Estiloen panelean botoiak gehitu dira gai ilun eta argi baten erabilera simulatzeko. Sarearen ikuskapen moduan Aurrebista fitxaren babesa indartu da (Edukien Segurtasun Politikaren aplikazioa gaituta dago). Araztaileak script-aren amaiera ezartzen du eten-puntuak birkargatzeko. "Performance insights" panel berriaren aurretiazko inplementazioa proposatu da, eta horri esker, orrialdeko zenbait eragiketaren errendimendua azter dezakezu.
    Chrome 102. bertsioa

Berrikuntzez eta akatsen konponketez gain, bertsio berriak 32 ahultasun ezabatzen ditu. Ahultasun asko AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer eta AFL tresnak erabiliz proba automatizatuen ondorioz identifikatu ziren. Arazoetako bati (CVE-2022-1853) arrisku-maila kritikoa esleitu zaio, eta horrek arakatzailearen babes-maila guztiak saihestu eta sisteman sandbox ingurunetik kanpo exekutatzeko gaitasuna dakar. Ahultasun honi buruzko xehetasunak oraindik ez dira ezagutarazi; Indexed DB APIaren inplementazioan askatuta dagoen memoria bloke batean (use-after-free) atzitzeak eragiten duela soilik jakin da.

Uneko bertsiorako ahuleziak aurkitzeko diru-sarien programaren barruan, Google-k 24 $ balio duten 65600 sari ordaindu zituen (10000 $ sari bat, 7500 $ sari bat, bi $ 7000 sari, hiru $ 5000 sari, lau $ 3000 sari, bi $ 2000 eta bi $ 1000. $ 500 hobariak). 7 sarien tamaina oraindik ez da zehaztu.

Iturria: opennet.ru

Gehitu iruzkin berria