ProHoster > Blogi > netin uutisia > Chromen julkaisu 102

Chromen julkaisu 102

Google on julkistanut Chrome 102 -verkkoselaimen julkaisun. Samaan aikaan Chromen perustana toimivasta ilmaisesta Chromium-projektista on saatavilla vakaa julkaisu. Chrome-selain eroaa Chromiumista Google-logojen käytön, kaatumisilmoitusten lähettämisjärjestelmän, kopiosuojatun videosisällön (DRM) toistomoduulien, päivitysten automaattisen asennusjärjestelmän, hiekkalaatikon eristyksen pysyvän mahdollistavan. , toimittaa avaimet Google API:lle ja lähettää RLZ-parametreja haettaessa. Niille, jotka tarvitsevat enemmän aikaa päivittämiseen, Extended Stable -haaraa tuetaan erikseen, minkä jälkeen 8 viikkoa. Chrome 103:n seuraavan julkaisun on määrä julkaista 21. kesäkuuta.

Tärkeimmät muutokset Chrome 102:ssa:

  • Jo vapautettujen muistilohkojen (use-after-free) käytön aiheuttamien haavoittuvuuksien hyödyntämisen estämiseksi tavallisten osoittimien sijaan alettiin käyttää MiraclePtr (raw_ptr) -tyyppiä. MiraclePtr tarjoaa osoittimien sitovan osoittimen, joka suorittaa lisätarkistuksia vapautuneille muistialueille ja kaatumisille, jos tällaisia ​​käyttöjä havaitaan. Uuden suojausmenetelmän vaikutus suorituskykyyn ja muistin kulutukseen on arvioitu mitättömäksi. MiraclePtr-mekanismi ei sovellu kaikkiin prosesseihin, etenkään sitä ei käytetä renderöintiprosesseissa, mutta se voi parantaa merkittävästi turvallisuutta. Esimerkiksi nykyisessä julkaisussa 32 korjatusta haavoittuvuudesta 12 johtui käytön jälkeen -ongelmista.
  • Latauksia koskevien tietojen käyttöliittymän ulkoasua on muutettu. Latauksen edistymistä koskevien tietojen alimman rivin sijaan osoitepalkin paneeliin on lisätty uusi ilmaisin, jota napsauttamalla näytetään tiedostojen latauksen edistyminen ja historia, jossa on luettelo jo ladatuista tiedostoista. Toisin kuin alapaneelissa, painike näkyy jatkuvasti paneelissa, ja sen avulla voit nopeasti käyttää lataushistoriaasi. Uusi käyttöliittymä tarjotaan tällä hetkellä oletuksena vain joillekin käyttäjille, ja se laajennetaan kaikille, jos ongelmia ei ole. Voit palauttaa vanhan käyttöliittymän tai ottaa uuden käyttöön käyttämällä "chrome://flags#download-bubble" -asetusta.
    Chromen julkaisu 102
  • Kun haet kuvia kontekstivalikon kautta ("Hae kuvaa Google Lensillä" tai "Etsi Google Lensillä"), tulokset eivät nyt näy erillisellä sivulla, vaan sivupalkissa alkuperäisen sivun sisällön vieressä ( yhdessä ikkunassa näet samanaikaisesti sekä sivun sisällön että hakukoneen käytön tuloksen).
    Chromen julkaisu 102
  • Asetusten "Tietosuoja ja turvallisuus" -osioon on lisätty "Privacy Guide" -osio, joka tarjoaa yleiskatsauksen tärkeimmistä yksityisyyteen vaikuttavista asetuksista sekä yksityiskohtaiset selitykset kunkin asetuksen vaikutuksista. Osiossa voit esimerkiksi määrittää käytännön tietojen lähettämiselle Googlen palveluihin, hallita synkronointia, evästeiden käsittelyä ja historian tallentamista. Toimintoa tarjotaan joillekin käyttäjille; voit aktivoida sen käyttämällä asetusta "chrome://flags#privacy-guide".
    Chromen julkaisu 102
  • Hakuhistorian ja katseltujen sivujen strukturointi tarjotaan. Kun yrität etsiä uudelleen, osoitepalkkiin tulee vihje "Jatka matkaasi", jonka avulla voit jatkaa hakua paikasta, jossa se viimeksi keskeytettiin.
    Chromen julkaisu 102
  • Chrome Web Store tarjoaa "Extensions Starter Kit" -sivun, jossa on alustava valikoima suositeltuja lisäosia.
  • Testitilassa CORS-valtuutuspyynnön (Cross-Origin Resource Sharing) lähettäminen pääsivuston palvelimelle otsikolla "Access-Control-Request-Private-Network: true" on käytössä, kun sivu käyttää resurssia sisäisessä verkossa ( 192.168.xx , 10.xxx, 172.16.xx) tai localhostille (128.xxx). Kun palvelin vahvistaa toiminnon vastauksena tähän pyyntöön, sen on palautettava "Access-Control-Allow-Private-Network: true" -otsikko. Chrome-versiossa 102 vahvistustulos ei vielä vaikuta pyynnön käsittelyyn - jos vahvistusta ei ole, verkkokonsolissa näkyy varoitus, mutta itse aliresurssipyyntöä ei ole estetty. Estämisen ottamista käyttöön ilman vahvistusta palvelimelta ei odoteta ennen Chrome 105:n julkaisua. Voit ottaa eston käyttöön aikaisemmissa julkaisuissa ottamalla käyttöön asetuksen "chrome://flags/#private-network-access-respect-preflight- tulokset".

    Palvelimen suorittama valtuutusvarmennus otettiin käyttöön suojauksen vahvistamiseksi hyökkäyksiä vastaan, jotka liittyvät paikallisverkon tai käyttäjän tietokoneen (localhost) resurssien käyttöön sivustoa avattaessa ladatuista komentosarjoista. Hyökkääjät käyttävät tällaisia ​​pyyntöjä suorittaakseen CSRF-hyökkäyksiä reitittimiä, tukiasemia, tulostimia, yrityksen verkkoliittymiä ja muita laitteita ja palveluita vastaan, jotka hyväksyvät pyynnöt vain paikallisesta verkosta. Suojatakseen tällaisia ​​hyökkäyksiä vastaan, jos sisäisessä verkossa käytetään aliresursseja, selain lähettää nimenomaisen pyynnön näiden aliresurssien lataamiseen.

  • Kun linkkejä avataan incognito-tilassa kontekstivalikon kautta, jotkin yksityisyyteen vaikuttavat parametrit poistetaan automaattisesti URL-osoitteesta.
  • Päivitysten toimitusstrategiaa Windowsille ja Androidille on muutettu. Jotta uusien ja vanhojen julkaisujen käyttäytymistä voidaan verrata täydellisemmin, uudesta versiosta luodaan nyt useita koontiversioita ladattavaksi.
  • Verkon segmentointitekniikka on stabiloitu suojaamaan menetelmiä, joilla seurataan käyttäjien liikkumista sivustojen välillä, jotka perustuvat tunnisteiden tallentamiseen alueille, joita ei ole tarkoitettu pysyvään tietojen tallentamiseen ("superevästeet"). Koska välimuistissa olevat resurssit on tallennettu yhteiseen nimiavaruuteen riippumatta alkuperäisestä toimialueesta, yksi sivusto voi määrittää, että toinen sivusto lataa resursseja tarkistamalla, onko kyseinen resurssi välimuistissa. Suojaus perustuu verkkosegmentoinnin käyttöön (Network Partitioning), jonka ydin on lisätä jaettuun välimuistiin tietueiden lisäsidonta verkkotunnukseen, josta pääsivu avataan, mikä rajoittaa välimuistin kattavuutta vain liikkeenseurantaskripteille. nykyiselle sivustolle (skripti iframe-kehyksestä ei voi tarkistaa, onko resurssi ladattu toiselta sivustolta). Tilan jakaminen kattaa verkkoyhteydet (HTTP/1, HTTP/2, HTTP/3, websocket), DNS-välimuistin, ALPN/HTTP2-, TLS/HTTP3-tiedot, määritykset, lataukset ja Expect-CT-otsikkotiedot.
  • Asennetuissa erillisissä verkkosovelluksissa (PWA, Progressive Web App) on mahdollista muuttaa ikkunan otsikkoalueen muotoilua Window Controls Overlay -komponenteilla, jotka laajentavat verkkosovelluksen näyttöalueen koko ikkunaan. Verkkosovellus voi ohjata koko ikkunan renderöintiä ja syötteiden käsittelyä lukuun ottamatta peittolohkoa, jossa on vakioikkunan ohjauspainikkeita (sulje, pienennä, suurenna), jotta verkkosovellus näyttää tavalliselta työpöytäsovellukselta.
    Chromen julkaisu 102
  • Lomakkeiden automaattiseen täyttöjärjestelmään on lisätty tuki virtuaalisten luottokorttinumeroiden luomiseen verkkokaupan tavaroiden maksutietokentissä. Virtuaalikortin avulla, jonka numero luodaan jokaiselle maksulle, et voi siirtää tietoja oikeasta luottokortista, vaan edellyttää pankin tarvittavan palvelun tarjoamista. Ominaisuus on tällä hetkellä vain yhdysvaltalaisten pankkien asiakkaiden käytettävissä. Toiminnon sisällyttämisen ohjaamiseksi ehdotetaan asetusta "chrome://flags/#autofill-enable-virtual-card".
  • "Capture Handle" -mekanismi on oletusarvoisesti käytössä, jolloin voit siirtää tietoja sovelluksiin, jotka tallentavat videota. API mahdollistaa vuorovaikutuksen organisoinnin sovellusten, joiden sisältö on tallennettu, ja tallennuksen suorittavien sovellusten välillä. Esimerkiksi videoneuvottelusovellus, joka kaappaa videota esityksen lähettämiseksi, voi hakea tietoja esityksen ohjaimista ja näyttää ne videoikkunassa.
  • Spekulatiivisten sääntöjen tuki on oletuksena käytössä, mikä tarjoaa joustavan syntaksin sen määrittämiseksi, voidaanko linkkiin liittyviä tietoja ladata ennakoivasti ennen kuin käyttäjä napsauttaa linkkiä.
  • Resurssien pakkaaminen Web Bundle -muodossa oleviin paketteihin on vakiintunut, mikä mahdollistaa suuren määrän mukana olevien tiedostojen (CSS-tyylit, JavaScript, kuvat, iframe) lataamisen tehokkuuden. Toisin kuin Webpack-muodossa olevilla paketeilla, Web Bundle -muodolla on seuraavat edut: HTTP-välimuistiin ei tallenneta itse pakettia, vaan sen osat; JavaScriptin kokoaminen ja suorittaminen alkaa odottamatta paketin lataamista kokonaan; On sallittua sisällyttää lisäresursseja, kuten CSS ja kuvia, jotka webpackissa olisi koodattava JavaScript-merkkijonojen muodossa.
  • On mahdollista määrittää PWA-sovellus tiettyjen MIME-tyyppien ja tiedostopäätteiden käsittelijäksi. Kun sidos on määritetty luettelon file_handlers-kentän kautta, sovellus vastaanottaa erikoistapahtuman, kun käyttäjä yrittää avata sovellukseen liittyvän tiedoston.
  • Lisätty uusi inertti attribuutti, jonka avulla voit merkitä osan DOM-puusta "ei-aktiiviseksi". Tässä tilassa oleville DOM-solmuille tekstin valinta ja osoittimen hover -käsittelijät ovat poissa käytöstä, ts. Osoitintapahtumat ja käyttäjän valitsemat CSS-ominaisuudet asetetaan aina arvoon "ei mitään". Jos solmua voi muokata, siitä tulee inertissä tilassa ei-muokattava.
  • Lisätty Navigation API, jonka avulla verkkosovellukset voivat siepata ikkunanavigointitoimintoja, aloittaa navigoinnin ja analysoida sovelluksen toimien historiaa. API tarjoaa vaihtoehdon window.history- ja window.location-ominaisuuksille, joka on optimoitu yksisivuisille verkkosovelluksille.
  • Piilotettu-attribuutille on ehdotettu uutta lippua "kunnes löytyi", mikä tekee elementistä haettavan sivulla ja vieritettävän tekstimaskin avulla. Voit esimerkiksi lisätä sivulle piilotekstiä, jonka sisältö löytyy paikallisista hauista.
  • WebHID-sovellusliittymässä, joka on suunniteltu HID-laitteiden (ihmisen käyttöliittymälaitteet, näppäimistöt, hiiret, peliohjaimet, kosketuslevyt) alhaiseen käyttöön ja työn järjestämiseen ilman tiettyjen ohjainten läsnäoloa järjestelmässä, exclusionFilters-ominaisuus on lisätty requestDevice( ) -objekti, jonka avulla voit sulkea pois tietyt laitteet, kun selain näyttää luettelon käytettävissä olevista laitteista. Voit esimerkiksi sulkea pois laitetunnukset, joissa on tunnettuja ongelmia.
  • Maksulomakkeen näyttäminen PaymentRequest.show()-kutsulla on kiellettyä ilman käyttäjän nimenomaista toimenpidettä, esimerkiksi napsauttamalla käsittelijään liittyvää elementtiä.
  • WebRTC:ssä istunnon muodostamiseen käytetyn SDP (Session Description Protocol) -protokollan vaihtoehtoisen toteutuksen tuki on lopetettu. Chrome tarjosi kaksi SDP-vaihtoehtoa - yhdistettynä muihin selaimiin ja Chrome-kohtaiseen. Tästä eteenpäin on jäljellä vain kannettava vaihtoehto.
  • Web-kehittäjien työkaluihin on tehty parannuksia. Tyylit-paneeliin on lisätty painikkeita, jotka simuloivat tumman ja vaalean teeman käyttöä. Esikatselu-välilehden suojausta verkon tarkastustilassa on vahvistettu (sisällön suojauskäytännön sovellus on käytössä). Debuggeri toteuttaa komentosarjan lopettamisen keskeytyskohtien lataamiseksi uudelleen. Uuden "Performance Insights" -paneelin alustavaa käyttöönottoa on ehdotettu, jonka avulla voit analysoida tiettyjen toimintojen suorituskykyä sivulla.
    Chromen julkaisu 102

Innovaatioiden ja virheenkorjausten lisäksi uusi versio eliminoi 32 haavoittuvuutta. Monet haavoittuvuuksista tunnistettiin automaattisen testauksen tuloksena AddressSanitizer-, MemorySanitizer-, Control Flow Integrity-, LibFuzzer- ja AFL-työkaluilla. Yhdelle ongelmista (CVE-2022-1853) on määritetty kriittinen vaarataso, mikä tarkoittaa kykyä ohittaa kaikki selaimen suojaustasot ja suorittaa koodia järjestelmässä hiekkalaatikkoympäristön ulkopuolella. Tämän haavoittuvuuden yksityiskohtia ei ole vielä julkistettu; tiedetään vain, että se johtuu vapautetun muistilohkon (use-after-free) käyttämisestä Indexed DB API -toteutuksessa.

Osana käteispalkkioohjelmaa nykyisen julkaisun haavoittuvuuksien löytämisestä Google maksoi 24 palkintoa, joiden arvo on 65600 10000 dollaria (yksi 7500 7000 dollarin palkinto, yksi 5000 3000 dollarin palkinto, kaksi 2000 1000 dollaria, kolme 500 7 dollaria, neljä XNUMX XNUMX dollaria, kaksi XNUMX dollaria, XNUMX kaksi XNUMX dollaria, XNUMX XNUMX dollaria bonuksia). XNUMX palkinnon kokoa ei ole vielä päätetty.

Lähde: opennet.ru

Lisää kommentti