گوگل از نسخه مرورگر وب کروم 92 رونمایی کرد. همزمان، نسخه پایدار پروژه رایگان کرومیوم که اساس کروم است در دسترس است. مرورگر کروم با استفاده از آرم های گوگل، وجود سیستمی برای ارسال اعلان ها در صورت خرابی، ماژول هایی برای پخش محتوای ویدیویی محافظت شده (DRM)، سیستمی برای نصب خودکار به روز رسانی ها و انتقال پارامترهای RLZ هنگام جستجو متمایز می شود. انتشار بعدی کروم 93 برای 31 آگوست برنامه ریزی شده است.
تغییرات کلیدی در کروم 92:
- ابزارهایی برای کنترل گنجاندن اجزای Privacy Sandbox به تنظیمات اضافه شده است. به کاربر این فرصت داده میشود که فناوری FLoC (فدراسیون یادگیری همگروهها) را که توسط Google برای جایگزینی کوکیهای ردیابی حرکت با «همگروههایی» که به کاربران امکان میدهد بدون شناسایی افراد با علایق مشابه شناسایی شوند، توسعه داده است، غیرفعال کند. گروهها در سمت مرورگر با استفاده از الگوریتمهای یادگیری ماشینی برای دادههای تاریخچه مرور و محتوای باز شده در مرورگر محاسبه میشوند.
- برای کاربران دسکتاپ، کش Back-Forward به طور پیشفرض فعال است و هنگام استفاده از دکمههای Back و Forward یا هنگام پیمایش در صفحات سایت فعلی که قبلاً مشاهده شدهاند، پیمایش فوری را ارائه میدهد. پیش از این، حافظه پنهان تنها در بیلدهای پلتفرم اندروید موجود بود.
- افزایش ایزوله سازی سایت ها و افزونه ها در فرآیندهای مختلف. اگر قبلاً مکانیسم Site Isolation از جداسازی سایت ها از یکدیگر در فرآیندهای مختلف اطمینان حاصل می کرد و همچنین همه افزونه ها را در یک فرآیند جداگانه جدا می کرد، نسخه جدید جداسازی افزونه های مرورگر از یکدیگر را با جابجایی هر افزونه پیاده سازی می کند. در یک فرآیند جداگانه، که امکان ایجاد مانع دیگری را برای محافظت در برابر افزونه های مخرب ایجاد کرد.
- افزایش قابل توجه بهره وری و کارایی تشخیص فیشینگ. سرعت تشخیص فیشینگ بر اساس تجزیه و تحلیل تصویر محلی در نیمی از موارد تا 50 برابر افزایش یافت و در 99٪ موارد حداقل 2.5 برابر سریعتر بود. به طور متوسط، زمان طبقه بندی فیشینگ بر اساس تصویر از 1.8 ثانیه به 100 میلی ثانیه کاهش یافت. به طور کلی، بار CPU ایجاد شده توسط تمام فرآیندهای رندر 1.2٪ کاهش یافت.
- پورت های 989 (ftps-data) و 990 (ftps) به لیست پورت های شبکه ممنوعه اضافه شده اند. پیش از این، پورت های 69، 137، 161، 554، 1719، 1720، 1723، 5060، 5061، 6566 و 10080 مسدود شده بودند. برای پورت های موجود در لیست سیاه، ارسال HTTP، HTTPS و NTT به ترتیب در برابر درخواست های FTP مسدود شده است. حمله slipstreaming، که به هنگام باز کردن یک صفحه وب که مخصوصاً توسط مهاجم در مرورگر آماده شده است، اجازه میدهد، علیرغم استفاده از محدوده آدرس داخلی (192.168.xx) از سرور مهاجم به هر پورت UDP یا TCP در سیستم کاربر، یک اتصال شبکه ایجاد کند. ، 10.xxx).
- الزامی برای استفاده از تأیید دو مرحلهای توسعهدهنده هنگام انتشار نسخههای جدید یا بهروزرسانیها در فروشگاه وب Chrome ارائه شده است.
- اکنون میتوانید افزونههای از قبل نصبشده در مرورگر را غیرفعال کنید، اگر به دلیل نقض قوانین از فروشگاه وب Chrome حذف شوند.
- هنگام ارسال پرس و جوهای DNS، در صورت استفاده از سرورهای DNS کلاسیک، علاوه بر رکوردهای "A" و "AAAA" برای تعیین آدرس های IP، اکنون رکورد DNS "HTTPS" نیز درخواست می شود که از طریق آن پارامترها برای افزایش سرعت ارسال می شوند. ایجاد اتصالات HTTPS، مانند تنظیمات پروتکل، کلیدهای رمزگذاری TLS ClientHello، و فهرستی از زیر دامنه های مستعار.
- فراخوانی پنجره های جاوا اسکریپت window.alert، window.confirm و window.prompt از بلوک های iframe بارگیری شده از دامنه هایی غیر از دامنه صفحه فعلی ممنوع است. این تغییر به محافظت از کاربران در برابر سوء استفاده های مرتبط با تلاش برای ارائه اعلان شخص ثالث به عنوان درخواست از سایت اصلی کمک می کند.
- صفحه برگه جدید فهرستی از محبوب ترین اسناد ذخیره شده در Google Drive را ارائه می دهد.
- امکان تغییر نام و نماد برنامه های PWA (برنامه های وب پیشرو) وجود دارد.
- برای تعداد کمی از فرمهای وب که نیاز به وارد کردن آدرس یا شماره کارت اعتباری دارند، توصیههای تکمیل خودکار به عنوان آزمایش غیرفعال میشوند.
- در نسخه دسکتاپ، گزینه جستجوی تصویر (مورد "یافتن تصویر" در منوی زمینه) برای استفاده از سرویس لنز Google به جای موتور جستجوی معمولی Google تغییر یافته است. هنگامی که روی دکمه مربوطه در منوی زمینه کلیک می کنید، کاربر به یک برنامه وب جداگانه هدایت می شود.
- در رابط حالت ناشناس، پیوندهای تاریخچه مرور پنهان میشوند (لینکها بیفایده هستند، زیرا منجر به باز شدن یک خرد با اطلاعاتی مبنی بر عدم جمعآوری تاریخچه میشوند).
- دستورات جدیدی اضافه شده است که با وارد کردن در نوار آدرس تجزیه می شوند. به عنوان مثال، برای نمایش دکمه ای برای رفتن سریع به صفحه بررسی امنیت پسوردها و افزونه ها، کافی است «Safety check» را تایپ کنید و برای رفتن به تنظیمات امنیتی و همگام سازی، «مدیریت تنظیمات امنیتی» و «مدیریت تنظیمات امنیتی» را تایپ کنید. مدیریت همگام سازی».
- تغییرات خاص در نسخه اندروید کروم:
- این پانل دارای یک دکمه جدید "Magic Toolbar" قابل تنظیم است که میانبرهای مختلف انتخاب شده بر اساس فعالیت فعلی کاربر را نشان می دهد و شامل پیوندهایی است که احتمالاً در حال حاضر مورد نیاز هستند.
- پیاده سازی مدل یادگیری ماشین روی دستگاه برای شناسایی تلاش های فیشینگ به روز شده است. هنگامی که تلاشهای فیشینگ شناسایی میشوند، علاوه بر نمایش یک صفحه هشدار، مرورگر اکنون اطلاعاتی درباره نسخه مدل یادگیری ماشینی، وزن محاسبهشده برای هر دسته و پرچم اعمال مدل جدید به سرویس مرور ایمن خارجی ارسال میکند. .
- تنظیم «نمایش پیشنهادات برای صفحات مشابه در صورت یافت نشدن صفحه» حذف شد، که باعث شد در صورت یافت نشدن صفحه، صفحات مشابه بر اساس ارسال یک درخواست به Google توصیه شوند. این تنظیم قبلاً از نسخه دسکتاپ حذف شده بود.
- استفاده از حالت جداسازی سایت برای فرآیندهای فردی گسترش یافته است. به دلایل مصرف منابع، تنها سایت های بزرگ منتخب تاکنون به فرآیندهای جداگانه منتقل شده اند. در نسخه جدید، ایزوله برای سایتهایی که کاربر با احراز هویت از طریق OAuth (به عنوان مثال، اتصال از طریق یک حساب Google) یا هدر HTTP Cross-Origin-Opener-Policy به آن وارد شده است، اعمال میشود. برای کسانی که میخواهند ایزولهسازی را در فرآیندهای فردی همه سایتها فعال کنند، تنظیم "chrome://flags/#enable-site-per-process" ارائه شده است.
- مکانیسمهای حفاظتی داخلی موتور V8 در برابر حملات کانال جانبی مانند Spectre غیرفعال هستند که به اندازه جداسازی سایتها در فرآیندهای جداگانه مؤثر نیستند. در نسخه دسکتاپ، این مکانیسم ها در نسخه کروم 70 غیرفعال شدند.
- دسترسی ساده به تنظیمات مجوزهای سایت، مانند دسترسی به میکروفون، دوربین و موقعیت مکانی. برای نمایش لیستی از مجوزها، کافیست روی نماد قفل در نوار آدرس کلیک کنید و سپس بخش "مجوزها" را انتخاب کنید.
- چندین API جدید به حالت Origin Trials (ویژگی های آزمایشی که نیاز به فعال سازی جداگانه دارند) اضافه شده است. Origin Trial به معنای توانایی کار با API مشخص شده از برنامه های دانلود شده از localhost یا 127.0.0.1 یا پس از ثبت نام و دریافت یک توکن خاص است که برای مدت محدودی برای یک سایت خاص معتبر است.
- API File Handling، که به شما امکان می دهد برنامه های وب را به عنوان کنترل کننده فایل ثبت کنید. به عنوان مثال، یک برنامه وب که در حالت PWA (برنامه های وب پیشرو) با یک ویرایشگر متن اجرا می شود، می تواند خود را به عنوان یک کنترل کننده فایل ".txt" ثبت کند، پس از آن می تواند در مدیر فایل سیستم برای باز کردن فایل های متنی استفاده شود.
- Shared Element Transitions API، که به شما امکان می دهد از جلوه های آماده ارائه شده توسط مرورگر استفاده کنید که تغییرات وضعیت رابط را در یک صفحه (SPA، برنامه های تک صفحه ای) و چند صفحه (MPA، برنامه های چند صفحه ای) تجسم می کند. ) برنامه های تحت وب.
- API File Handling، که به شما امکان می دهد برنامه های وب را به عنوان کنترل کننده فایل ثبت کنید. به عنوان مثال، یک برنامه وب که در حالت PWA (برنامه های وب پیشرو) با یک ویرایشگر متن اجرا می شود، می تواند خود را به عنوان یک کنترل کننده فایل ".txt" ثبت کند، پس از آن می تواند در مدیر فایل سیستم برای باز کردن فایل های متنی استفاده شود.
- پارامتر اندازه-تنظیم به قانون CSS@font-face اضافه شده است، که به شما امکان می دهد اندازه حروف را برای یک سبک فونت خاص بدون تغییر مقدار ویژگی CSS اندازه قلم (ناحیه زیر کاراکتر یکسان می ماند) تغییر دهید. ، اما اندازه گلیف در این ناحیه تغییر می کند).
- در جاوا اسکریپت، اشیاء Array، String و TypedArray متد at() را پیاده سازی می کنند که به شما امکان می دهد از نمایه سازی نسبی استفاده کنید (موقعیت نسبی به عنوان شاخص آرایه مشخص شده است)، از جمله تعیین مقادیر منفی نسبت به انتها (به عنوان مثال، "arr.at(-1)" آخرین عنصر آرایه را برمی گرداند).
- ویژگی dayPeriod به سازنده جاوا اسکریپت Intl.DateTimeFormat اضافه شده است که به شما امکان می دهد زمان تقریبی روز (صبح، عصر، بعدازظهر، شب) را نمایش دهید.
- هنگام استفاده از اشیاء SharedArrayBuffers که به شما امکان ایجاد آرایهها در حافظه مشترک را میدهد، اکنون باید سرصفحههای Cross-Origin-Opener-Policy و Cross-Origin-Embedder-Policy HTTP را تعریف کنید که بدون آن درخواست مسدود میشود.
- عملکردهای "togglemicrophone"، "togglecamera" و "Hangup" به Media Session API اضافه شدهاند، و به سایتهایی که سیستمهای کنفرانس ویدئویی را پیادهسازی میکنند اجازه میدهند تا کنترلکنندههای خود را برای دکمههای قطع/لغو، خاموش/روشن و پایان دوربین که در نشان داده شده است، متصل کنند. تماس رابط تصویر در تصویر
- Web Bluetooth API قابلیت فیلتر کردن دستگاههای بلوتوث پیدا شده بر اساس شناسه سازنده و محصول را اضافه کرده است. فیلتر از طریق پارامتر "options.filters" در متد Bluetooth.requestDevice() تنظیم می شود.
- اولین مرحله از برش محتویات هدر HTTP User-Agent اجرا شده است: تب DevTools Issues اکنون هشداری در مورد منسوخ شدن navigator.userAgent، navigator.appVersion و navigator.platform نشان می دهد.
- بخشی از پیشرفت ها در ابزارهای توسعه دهندگان وب انجام شده است. کنسول وب امکان تعریف مجدد عبارات "const" را فراهم می کند. در پانل عناصر، عناصر iframe این قابلیت را دارند که جزئیات را از طریق منوی زمینه که با کلیک راست روی عنصر ظاهر می شود، به سرعت مشاهده کنند. بهبود اشکال زدایی خطاهای CORS (اشتراک گذاری منابع متقابل). قابلیت فیلتر کردن درخواست های شبکه از WebAssembly به پنل بازرسی فعالیت شبکه اضافه شده است. یک ویرایشگر CSS Grid جدید ("نمایش: شبکه" و "نمایش: شبکه درون خطی") با عملکردی برای پیش نمایش تغییرات پیشنهاد شده است.
علاوه بر نوآوری ها و رفع اشکال، نسخه جدید 35 آسیب پذیری را از بین می برد. بسیاری از آسیبپذیریها در نتیجه آزمایش خودکار با استفاده از ابزارهای AddressSanitizer، MemorySanitizer، Control Flow Integrity، LibFuzzer و AFL شناسایی شدند. هیچ مشکل مهمی شناسایی نشده است که به شخص اجازه می دهد تمام سطوح حفاظت مرورگر را دور بزند و کد را در سیستم خارج از محیط سندباکس اجرا کند. به عنوان بخشی از برنامه پرداخت جوایز نقدی برای کشف آسیبپذیریها برای نسخه فعلی، گوگل ۲۴ جایزه به ارزش ۱۱۲۰۰۰ دلار (دو جایزه ۱۵۰۰۰ دلاری، چهار جایزه ۱۰۰۰۰ دلاری، یک جایزه ۸۵۰۰ دلاری، دو جایزه ۷۵۰۰ دلاری، سه جایزه ۵۰۰۰ دلاری، یک جایزه 24 دلاری و یک جایزه 112000 دلاری، یک جایزه 15000 دلاری و یک جایزه 10000 دلاری، یک جایزه 8500 دلاری، یک جایزه 7500 دلاری ). اندازه 5000 جایزه هنوز مشخص نشده است.
منبع: opennet.ru