ProHoster > بلاگ > اخبار اینترنتی > انتشار مرورگر وب کروم 142

انتشار مرورگر وب کروم 142

گوگل نسخه ۱۴۲ مرورگر وب کروم را منتشر کرد. نسخه پایدار پروژه متن‌باز کرومیوم، که پایه و اساس کروم است، نیز در دسترس است. کرومیوم در استفاده از لوگوهای گوگل، سیستم اعلان خرابی، ماژول‌هایی برای پخش محتوای ویدیویی محافظت‌شده در برابر کپی (DRM)، نصب خودکار به‌روزرسانی، ایزوله‌سازی همیشه فعال سندباکس، تأمین کلیدهای API گوگل و ارسال پارامترهای RLZ در طول جستجو، با کرومیوم متفاوت است. برای کسانی که به زمان بیشتری برای به‌روزرسانی نیاز دارند، یک شاخه جداگانه Extended Stable به مدت هشت هفته نگهداری می‌شود. نسخه بعدی، کروم ۱۴۳، برای ۲ دسامبر برنامه‌ریزی شده است.

تغییرات کلیدی در کروم 142:

  • محافظت در برابر دسترسی به سیستم محلی هنگام تعامل با وب‌سایت‌های عمومی فعال است. هنگام دسترسی به وب‌سایتی در یک شبکه عمومی یا داخلی (اینترانت)، آدرس‌های IP هنگام دسترسی به سیستم محلی یا رابط loopback (127.0.0.0/8)، مرورگر یک کادر محاوره‌ای برای درخواست تأیید به کاربر نمایش می‌دهد. تلاش برای دانلود منابع، درخواست‌های fetch() و درج iframe تحت پوشش قرار می‌گیرند. در حال حاضر محافظت برای اتصالات از طریق WebSockets، WebTransport و WebRTC اعمال نمی‌شود، اما بعداً برای این فناوری‌ها اضافه خواهد شد.

    مهاجمان از دسترسی به منابع داخلی برای انجام حملات CSRF به روترها، نقاط دسترسی، چاپگرها، رابط‌های وب سازمانی و سایر دستگاه‌ها و خدماتی که فقط درخواست‌های شبکه محلی را می‌پذیرند، سوءاستفاده می‌کنند. علاوه بر این، اسکن منابع داخلی می‌تواند برای شناسایی غیرمستقیم یا جمع‌آوری اطلاعات در مورد شبکه محلی مورد استفاده قرار گیرد.

  • یک رابط کاربری ساده و واحد برای اتصال به حساب گوگل و همگام‌سازی داده‌ها، مانند رمزهای عبور ذخیره شده و بوک‌مارک‌ها، معرفی شده است. همگام‌سازی با ورود به حساب کاربری یکپارچه شده است و به عنوان یک گزینه جداگانه در تنظیمات ارائه نمی‌شود. کاربران می‌توانند کروم را به حساب گوگل خود متصل کرده و از آن برای ذخیره رمزهای عبور، بوک‌مارک‌ها، تاریخچه مرور و تب‌ها استفاده کنند. این ویژگی در حال حاضر برای برخی از کاربران فعال است و به تدریج گسترش خواهد یافت.
  • یک مدل جداسازی فرآیند جدید استفاده می‌شود - «ایزولاسیون مبدا»، که در آن هر منبع محتوا (مبدا - یک اتصال پروتکل، دامنه و پورت، برای مثال، "https://foo.example.com") در یک فرآیند رندر جداگانه ایزوله می‌شود. از آنجایی که افزایش جزئیات ایزوله‌سازی می‌تواند منجر به افزایش مصرف حافظه و بار CPU شود، حالت ایزوله‌سازی جدید فقط در سیستم‌هایی با بیش از 4 گیگابایت رم فعال می‌شود. در سخت‌افزارهای کم‌مصرف، رویکرد ایزوله‌سازی قدیمی همچنان مورد استفاده قرار خواهد گرفت که تمام منابع محتوای مختلف مرتبط با یک سایت واحد (برای مثال، foo.example.com و bar.example.com) را در یک فرآیند جداگانه ایزوله می‌کند.
  • روی سیستم‌هایی با Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
  • در نسخه برای Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
  • پیاده‌سازی پروتکل DTLS (Datagram Transport Layer Security، یک پروتکل آنالوگ TLS برای UDP) که برای اتصالات WebRTC استفاده می‌شود، شامل استفاده از الگوریتم‌های رمزگذاری پساکوانتومی است.
  • وضعیت فعال‌سازی که در طول فعالیت کاربر در یک صفحه تنظیم شده است، اکنون پس از پیمایش به صفحه دیگری در همان دامنه حفظ می‌شود. حفظ فعال‌سازی، توسعه برنامه‌های وب چند صفحه‌ای را ساده کرده و مشکلاتی مانند تنظیم فوکوس ورودی هنگام نمایش صفحه کلید مجازی سایت را حل می‌کند.
  • شبه کلاس‌های CSS ":target-before" و ":target-after" برای تعریف نشانگرهای قبلی و بعدی نسبت به موقعیت اسکرول فعلی (":target-current") اضافه شده‌اند.
  • کانتینرهای استایل (@container) و تابع if() اکنون از Range Syntax تعریف شده در مشخصات Media Queries سطح ۴ پشتیبانی می‌کنند، که امکان استفاده از عملگرهای مقایسه‌ای ریاضی استاندارد و عملگرهای منطقی را برای تعریف محدوده مقادیر فراهم می‌کند. برای مثال، اکنون می‌توانید "@container style(—inner-padding > 1em)" و "background-color: if(style(attr(data-columns, type" را مشخص کنید. ) > 2): آبی روشن؛ در غیر این صورت: سفید)؛"
  • عناصر " " و " " اکنون از ویژگی "interestfor" پشتیبانی می‌کنند. این ویژگی می‌تواند برای ایجاد اقداماتی مانند نمایش یک پنجره بازشو، هنگامی که کاربر به عنصر علاقه نشان می‌دهد، استفاده شود. مرورگر رویدادهایی مانند نگه داشتن اشاره‌گر روی عنصر، فشار دادن کلیدهای میانبر یا نگه داشتن لمس روی صفحه لمسی را به عنوان نشانگرهای علاقه تشخیص می‌دهد. هنگامی که عنصری با ویژگی "interestfor" شناسایی می‌شود، مرورگر یک InterestEvent ایجاد می‌کند.
  • بهبودهایی در ابزارهای توسعه‌دهندگان وب ایجاد شده است. یک دکمه راه‌اندازی سریع برای دستیار هوش مصنوعی به گوشه بالا سمت راست اضافه شده است. گزینه منوی زمینه «از هوش مصنوعی بپرسید» به «اشکال‌زدایی با هوش مصنوعی» تغییر نام داده و گسترش یافته است تا شامل قابلیت انجام اقدامات فوری بسته به زمینه باشد. در کنسول وب و پنل کد، دستیار هوش مصنوعی Gemini اکنون می‌تواند با کد، توصیه‌هایی تولید کند.
    انتشار مرورگر وب کروم 142

    ابزارهای توسعه‌دهندگان وب اکنون با برنامه توسعه‌دهندگان گوگل (GDP) ادغام شده‌اند. توسعه‌دهندگان اکنون می‌توانند مستقیماً از Chrome DevTools به پروفایل GDP خود دسترسی پیدا کنند و برای انجام وظایف خاص در این رابط، پاداش دریافت کنند.

    انتشار مرورگر وب کروم 142

علاوه بر ویژگی‌های جدید و رفع اشکالات، نسخه جدید 20 آسیب‌پذیری را برطرف می‌کند. بسیاری از این آسیب‌پذیری‌ها از طریق آزمایش خودکار با استفاده از AddressSanitizer، MemorySanitizer، Control Flow Integrity، LibFuzzer و AFL شناسایی شدند. هیچ مشکل بحرانی که بتواند امکان دور زدن تمام لایه‌های محافظت مرورگر و اجرای کد خارج از محیط sandbox را فراهم کند، شناسایی نشد. به عنوان بخشی از برنامه پاداش آسیب‌پذیری برای نسخه فعلی، گوگل 20 جایزه به ارزش مجموع 130،000 دلار (دو جایزه 50،000 دلاری، یک جایزه 10،000 دلاری، سه جایزه 3،000 دلاری، دو جایزه 2،000 دلاری و سه جایزه 1،000 دلاری) تعیین کرده است. مبلغ هشت مورد از این جوایز هنوز مشخص نشده است.

علاوه بر این، یک آسیب‌پذیری وصله نشده در موتور Blink شناسایی شده است که باعث می‌شود مرورگر هنگام اجرای برخی از کدهای جاوا اسکریپت از کار بیفتد و هنگ کند. این آسیب‌پذیری ناشی از مشکلات معماری در موتور رندر مربوط به عدم وجود محدودیت سرعت در به‌روزرسانی ویژگی "document.title" است. این عدم محدودیت اجازه می‌دهد تا از "document.title" برای ایجاد ده‌ها میلیون تغییر در DOM در ثانیه استفاده شود. این امر باعث می‌شود که رابط کاربری در عرض چند ثانیه به دلیل مسدود شدن رشته اصلی و مصرف قابل توجه حافظه، از کار بیفتد. پس از 15 تا 60 ثانیه، مرورگر از کار می‌افتد.

منبع: opennet.ru

خرید هاست قابل اعتماد برای سایت های دارای حفاظت DDoS، سرورهای VPS VDS 🔥 خرید هاستینگ معتبر با محافظت در برابر حملات DDoS، سرورهای VPS و VDS | ProHoster