گوگل از نسخه مرورگر وب کروم 98 رونمایی کرد. همزمان، نسخه پایدار پروژه رایگان کرومیوم که به عنوان پایه کروم عمل می کند، در دسترس است. مرورگر کروم با استفاده از نشانوارههای گوگل، وجود سیستمی برای ارسال اعلانها در صورت خرابی، ماژولهایی برای پخش محتوای ویدیویی محافظت شده از کپی (DRM)، سیستمی برای نصب خودکار بهروزرسانیها و انتقال پارامترهای RLZ در هنگام خرابی متمایز میشود. جستجوکردن. نسخه بعدی Chrome 99 برای 1 مارس برنامه ریزی شده است.
تغییرات کلیدی در کروم 98:
- مرورگر دارای فروشگاه خود از گواهی های ریشه مقامات صدور گواهینامه (Chrome Root Store) است که به جای فروشگاه های خارجی خاص برای هر سیستم عامل استفاده می شود. این فروشگاه به طور مشابه با فروشگاه مستقل گواهینامه های ریشه در فایرفاکس اجرا می شود که به عنوان اولین پیوند برای بررسی زنجیره اعتماد گواهی هنگام باز کردن سایت ها از طریق HTTPS استفاده می شود. حافظه جدید هنوز به طور پیش فرض استفاده نشده است. برای سهولت انتقال پیکربندیهای ذخیرهسازی سیستم و اطمینان از قابل حمل بودن، یک دوره انتقال وجود خواهد داشت که در طی آن فروشگاه ریشه کروم مجموعه کاملی از گواهیهای تایید شده در اکثر پلتفرمهای پشتیبانیشده را شامل میشود.
- طرح تقویت حفاظت در برابر حملات مربوط به دسترسی به منابع در شبکه محلی یا رایانه کاربر (لوکال هاست) از طریق اسکریپت های بارگذاری شده هنگام باز شدن سایت همچنان به اجرا می رسد. چنین درخواست هایی توسط مهاجمان برای انجام حملات CSRF بر روی روترها، نقاط دسترسی، چاپگرها، واسط های وب شرکتی و سایر دستگاه ها و سرویس هایی که درخواست ها را فقط از شبکه محلی می پذیرند، استفاده می شود.
برای محافظت در برابر چنین حملاتی، در صورت دسترسی به منابع فرعی در شبکه داخلی، مرورگر شروع به ارسال یک درخواست صریح برای دریافت مجوز برای دانلود چنین منابع فرعی می کند. درخواست مجوز با ارسال یک درخواست CORS (Cross-Origin Resource Sharing) با هدر "Access-Control-Request-Private-Network: true" به سرور اصلی سایت قبل از دسترسی به شبکه داخلی یا میزبان محلی انجام می شود. هنگام تایید عملیات در پاسخ به این درخواست، سرور باید هدر "Access-Control-Allow-Private-Network: true" را برگرداند. در کروم 98 بررسی در حالت تست اجرا می شود و در صورت عدم تایید، اخطاری در کنسول وب نمایش داده می شود، اما خود درخواست زیر منبع مسدود نمی شود. تا زمانی که کروم 101 منتشر نشود، مسدود کردن برنامهریزی نشده است.
- تنظیمات حساب ابزارهایی را برای مدیریت گنجاندن مرور ایمن پیشرفته یکپارچه می کند، که بررسی های اضافی را برای محافظت در برابر فیشینگ، فعالیت های مخرب و سایر تهدیدات در وب فعال می کند. وقتی حالتی را در حساب Google خود فعال می کنید، اکنون از شما خواسته می شود که حالت را در کروم فعال کنید.
- مدلی برای تشخیص تلاشهای فیشینگ در سمت کلاینت اضافه شده است، که با استفاده از پلتفرم یادگیری ماشین TFLite (TensorFlow Lite) پیادهسازی شده است و برای انجام راستیآزمایی در سمت Google نیازی به ارسال داده ندارد (در این مورد، تلهمتری با اطلاعات مربوط به نسخه مدل ارسال میشود. و وزن های محاسبه شده برای هر دسته). اگر تلاشی برای فیشینگ شناسایی شود، قبل از باز کردن سایت مشکوک صفحه هشداری به کاربر نشان داده می شود.
- در Client Hints API، که به عنوان جایگزینی برای سربرگ User-Agent در حال توسعه است و به شما امکان می دهد تا به طور انتخابی داده هایی را در مورد پارامترهای خاص مرورگر و سیستم (نسخه، پلت فرم و غیره) ارسال کنید تنها پس از درخواست سرور، جایگزینی نامهای ساختگی در فهرست شناسههای مرورگر، مطابق با مکانیسم GREASE (تولید برنامههای افزودنی تصادفی و توسعه پایدار) که در TLS استفاده میشود، ممکن است. به عنوان مثال، علاوه بر "Chrome"؛ v="98" و "Chromium"؛ v="98"' یک شناسه تصادفی یک مرورگر غیر موجود '"(Not; Browser"; v="12"' را می توان به لیست اضافه کرد. چنین جایگزینی به شناسایی مشکلات مربوط به شناسه های پردازش مرورگرهای ناشناخته کمک می کند. که منجر به این واقعیت می شود که مرورگرهای جایگزین مجبور می شوند وانمود کنند که مرورگرهای محبوب دیگری هستند تا از بررسی لیست مرورگرهای قابل قبول عبور کنند.
- از 17 ژانویه، فروشگاه وب Chrome دیگر افزونه هایی را که از نسخه 2023 مانیفست کروم استفاده می کنند، نمی پذیرد. افزودههای جدید اکنون فقط با نسخه سوم مانیفست پذیرفته میشوند. توسعهدهندگان افزونههایی که قبلاً اضافه شدهاند همچنان میتوانند بهروزرسانیها را با نسخه دوم مانیفست منتشر کنند. لغو کامل نسخه دوم مانیفست برای ژانویه XNUMX برنامه ریزی شده است.
- پشتیبانی از فونتهای وکتور رنگی در قالب COLRv1 (زیرمجموعهای از فونتهای OpenType که علاوه بر حروف وکتور، لایهای با اطلاعات رنگی دارند) اضافه شده است، که میتوان برای مثال برای ایجاد ایموجیهای چند رنگ استفاده کرد. برخلاف فرمت COLRv0 که قبلاً پشتیبانی میشد، COLRv1 اکنون توانایی استفاده از گرادیان، پوششها و تبدیلها را دارد. این فرمت همچنین یک فرم ذخیره سازی فشرده را فراهم می کند، فشرده سازی کارآمدی را فراهم می کند و امکان استفاده مجدد از خطوط کلی را فراهم می کند و به کاهش قابل توجه اندازه فونت اجازه می دهد. به عنوان مثال، فونت Noto Color Emoji در فرمت شطرنجی 9 مگابایت و در فرمت برداری COLRv1 1.85 مگابایت اشغال می کند.
- حالت Origin Trials (ویژگیهای آزمایشی که نیاز به فعالسازی جداگانه دارند) منطقه Capture API را پیادهسازی میکند که به شما امکان میدهد ویدیوی گرفته شده را برش دهید. برای مثال، ممکن است در برنامههای تحت وب که ویدیو را با محتوای برگه خود ضبط میکنند، برش نیاز باشد تا محتوای خاصی قبل از ارسال قطع شود. Origin Trial به معنای توانایی کار با API مشخص شده از برنامه های دانلود شده از localhost یا 127.0.0.1 یا پس از ثبت نام و دریافت یک توکن خاص است که برای مدت محدودی برای یک سایت خاص معتبر است.
- ویژگی CSS "contain-intrinsic-size" اکنون از مقدار "auto" پشتیبانی می کند، که از آخرین اندازه به خاطر سپرده شده عنصر استفاده می کند (هنگامی که با "content-visibility: auto" استفاده می شود، توسعه دهنده مجبور نیست اندازه رندر شده عنصر را حدس بزند) .
- ویژگی AudioContext.outputLatency اضافه شده است که از طریق آن می توانید اطلاعات مربوط به تاخیر پیش بینی شده قبل از خروجی صدا (تأخیر بین درخواست صدا و شروع پردازش داده های دریافتی توسط دستگاه خروجی صدا) را پیدا کنید.
- ویژگی CSS color-scheme، که این امکان را فراهم می کند که تعیین کنید در کدام طرح های رنگی یک عنصر به درستی نمایش داده شود ("نور"، "تاریک"، "حالت روز" و "حالت شب")، پارامتر "تنها" اضافه شده است. برای جلوگیری از طرحواره های تغییر رنگ اجباری برای عناصر تکی HTML. به عنوان مثال، اگر "div { color-scheme: only light }" را مشخص کنید، فقط از تم روشن برای عنصر div استفاده میشود، حتی اگر مرورگر آن را مجبور به فعال کردن تم تیره کند.
- برای تعیین اینکه آیا صفحهای وجود دارد که از HDR (محدوده دینامیکی بالا) پشتیبانی میکند یا خیر، پشتیبانی از پرسوجوهای رسانهای «محدوده پویا» و «بازه دینامیکی ویدئو» به CSS اضافه شد.
- امکان انتخاب باز کردن پیوند در یک برگه جدید، پنجره جدید یا پنجره بازشو به تابع ()window.open اضافه شده است. علاوه بر این، ویژگی window.statusbar.visible اکنون برای پنجره های بازشو "false" و برای تب ها و پنجره ها "true" را برمی گرداند. const popup = window.open('_blank',,"'popup=1'); // Open in a popup window const tab = window.open('_blank',,"'popup=0'); // در برگه باز کنید
- متدstructdClone() برای ویندوز و کارگران پیادهسازی شده است که به شما امکان میدهد کپیهای بازگشتی از اشیاء ایجاد کنید که شامل ویژگیهای نه تنها شی مشخص شده، بلکه از سایر اشیاء ارجاعشده توسط شی فعلی نیز باشد.
- Web Authentication API پشتیبانی از پسوند مشخصات FIDO CTAP2 را اضافه کرده است که به شما امکان می دهد حداقل اندازه مجاز کد پین (minPinLength) را تنظیم کنید.
- برای برنامه های وب مستقل نصب شده، مؤلفه Window Controls Overlay اضافه شده است که سطح صفحه برنامه را به کل پنجره، از جمله ناحیه عنوان، که روی آن دکمه های کنترل پنجره استاندارد (بستن، کوچک کردن، حداکثر کردن) گسترش می دهد. ) روی هم قرار می گیرند. برنامه وب می تواند رندر و پردازش ورودی کل پنجره را کنترل کند، به جز بلوک پوشش با دکمه های کنترل پنجره.
- یک ویژگی مدیریت سیگنال به WritableStreamDefaultController اضافه شد که یک شی AbortSignal را برمی گرداند، که می تواند برای توقف فوری نوشتن در WritableStream بدون انتظار برای تکمیل آنها استفاده شود.
- WebRTC پشتیبانی از مکانیسم توافقنامه کلید SDES را که به دلیل نگرانی های امنیتی توسط IETF در سال 2013 منسوخ شده بود، حذف کرده است.
- به طور پیشفرض، API U2F (Cryptotoken) غیرفعال است که قبلاً منسوخ شده بود و با Web Authentication API جایگزین شده بود. U2F API به طور کامل در Chrome 104 حذف خواهد شد.
- در فهرست API، فیلد installed_browser_version منسوخ شده است، و با یک فیلد pending_browser_version جدید جایگزین شده است، که با در نظر گرفتن بهروزرسانیهای دانلود شده اما اعمال نشده (یعنی نسخهای که پس از این نسخه معتبر خواهد بود، تفاوت دارد که حاوی اطلاعات مربوط به نسخه مرورگر است. مرورگر دوباره راه اندازی می شود).
- گزینه هایی حذف شدند که امکان بازگشت پشتیبانی از TLS 1.0 و 1.1 را داشتند.
- بهبودهایی در ابزارهای توسعه دهندگان وب ایجاد شده است. یک برگه برای ارزیابی عملکرد حافظه پنهان Back-Forward اضافه شده است که هنگام استفاده از دکمه های Back و Forward، ناوبری فوری را ارائه می دهد. قابلیت شبیهسازی درخواستهای رسانهای با رنگ اجباری اضافه شده است. دکمه هایی به ویرایشگر Flexbox اضافه شده است تا از خصوصیات row-reverse و column-reverse پشتیبانی کند. برگه "تغییرات" تضمین می کند که تغییرات پس از قالب بندی کد نمایش داده می شوند، که تجزیه صفحات کوچک شده را ساده می کند.
اجرای پنل بررسی کد به نسخه ویرایشگر کد CodeMirror 6 به روز شده است که به طور قابل توجهی عملکرد کار با فایل های بسیار حجیم (WASM، جاوا اسکریپت) را بهبود می بخشد، مشکلات مربوط به جابجایی های تصادفی را در حین پیمایش حل می کند و توصیه های مربوطه را بهبود می بخشد. سیستم تکمیل خودکار هنگام ویرایش کد قابلیت فیلتر کردن خروجی بر اساس نام یا مقدار ویژگی به پنل ویژگی های CSS اضافه شده است.
علاوه بر نوآوری ها و رفع اشکال، نسخه جدید 27 آسیب پذیری را از بین می برد. بسیاری از آسیبپذیریها در نتیجه آزمایش خودکار با استفاده از ابزارهای AddressSanitizer، MemorySanitizer، Control Flow Integrity، LibFuzzer و AFL شناسایی شدند. هیچ مشکل مهمی شناسایی نشده است که به شخص اجازه می دهد تمام سطوح حفاظت مرورگر را دور بزند و کد را در سیستم خارج از محیط سندباکس اجرا کند. به عنوان بخشی از برنامه پاداش نقدی برای کشف آسیبپذیریها برای نسخه فعلی، گوگل 19 جایزه به ارزش 88 هزار دلار (دو جایزه 20000 دلاری، یک جایزه 12000 دلاری، دو جایزه 7500 دلاری، چهار جایزه 1000 دلاری و یک جایزه 7000 دلاری، 5000 دلاری، 3000 دلاری و 2000 دلاری پرداخت کرد.
منبع: opennet.ru