ProHoster > Blogi > netin uutisia > Chromen julkaisu 98

Chromen julkaisu 98

Google on julkistanut Chrome 98 -verkkoselaimen julkaisun. Samaan aikaan Chromen perustana toimivasta ilmaisesta Chromium-projektista on saatavilla vakaa julkaisu. Chrome-selain erottuu Google-logojen käytöstä, järjestelmän olemassaolosta ilmoitusten lähettämiseksi kaatuessa, kopiosuojatun videosisällön (DRM) toistamiseen tarkoitetuista moduuleista, järjestelmästä päivitysten automaattiseen asentamiseen ja RLZ-parametrien lähettämiseen, kun etsiminen. Chrome 99:n seuraavan julkaisun on määrä julkaista 1. maaliskuuta.

Tärkeimmät muutokset Chrome 98:ssa:

  • Selaimella on oma varmentajan juurivarmenteiden varasto (Chrome Root Store), jota käytetään kullekin käyttöjärjestelmälle ominaisten ulkoisten varastojen sijaan. Säilytys toteutetaan samalla tavalla kuin Firefoxin itsenäinen juurivarmenteiden varasto, jota käytetään ensimmäisenä linkkinä varmenteiden luottamusketjun tarkistamiseen, kun sivustoja avataan HTTPS:n kautta. Uutta tallennustilaa ei ole vielä käytetty oletusarvoisesti. Järjestelmän tallennuskonfiguraatioiden siirron helpottamiseksi ja siirrettävyyden varmistamiseksi otetaan käyttöön siirtymäkausi, jonka aikana Chrome Root Store sisältää täyden valikoiman useimmilla tuetuilla alustoilla hyväksyttyjä varmenteita.
  • Suunnitelma vahvistaa suojausta hyökkäyksiltä, ​​jotka liittyvät paikallisverkon tai käyttäjän tietokoneen (localhost) resurssien käyttöön sivuston avaamisen yhteydessä ladatuista komentosarjoista, toteutetaan edelleen. Hyökkääjät käyttävät tällaisia ​​pyyntöjä suorittaakseen CSRF-hyökkäyksiä reitittimiä, tukiasemia, tulostimia, yrityksen verkkoliittymiä ja muita laitteita ja palveluita vastaan, jotka hyväksyvät pyynnöt vain paikallisesta verkosta.

    Suojatakseen tällaisia ​​hyökkäyksiä vastaan, jos sisäisessä verkossa käytetään aliresursseja, selain alkaa lähettää nimenomaista lupapyyntöä tällaisten aliresurssien lataamiseen. Lupapyyntö suoritetaan lähettämällä CORS-pyyntö (Cross-Origin Resource Sharing) otsikolla "Access-Control-Request-Private-Network: true" pääsivuston palvelimelle ennen sisäiseen verkkoon tai paikalliseen isäntään pääsyä. Kun palvelin vahvistaa toiminnon vastauksena tähän pyyntöön, sen on palautettava "Access-Control-Allow-Private-Network: true" -otsikko. Chrome 98:ssa tarkistus toteutetaan testitilassa ja jos vahvistusta ei ole, verkkokonsolissa näkyy varoitus, mutta itse aliresurssipyyntöä ei ole estetty. Estoa ei ole tarkoitus ottaa käyttöön ennen kuin Chrome 101 on julkaistu.

  • Tiliasetuksiin on integroitu työkaluja, joilla hallinnoidaan parannetun selaussuojan sisällyttämistä. Se aktivoi lisätarkistuksia suojatakseen tietojenkalastelulta, haitallisilta toimilta ja muilta verkon uhilta. Kun aktivoit tilan Google-tililläsi, sinua pyydetään nyt aktivoimaan tila Chromessa.
  • Lisätty malli tietojenkalasteluyritysten havaitsemiseen asiakaspuolella, toteutettu TFLite-koneoppimisalustalla (TensorFlow Lite) eikä edellytä tietojen lähettämistä Google-puolen vahvistuksen suorittamiseksi (tässä tapauksessa telemetria lähetetään malliversion tiedoilla ja lasketut painot jokaiselle luokalle). Jos tietojenkalasteluyritys havaitaan, käyttäjälle näytetään varoitussivu ennen epäilyttävän sivuston avaamista.
  • Client Hints API:ssa, jota kehitetään korvaamaan User-Agent-otsikko ja jonka avulla voit valikoivasti lähettää tietoja tietyistä selain- ja järjestelmäparametreista (versio, alusta jne.) vain palvelimen pyynnöstä. mahdollista korvata kuvitteellisia nimiä selaintunnisteiden luettelossa TLS:ssä käytetyn GREASE-mekanismin (Generate Random Extensions And Sustain Extensibility) mukaisesti. Esimerkiksi "Chromen" lisäksi; v="98" ja "Chromium"; v="98"' olemattoman selaimen satunnainen tunniste '"(Not; Browser"; v="12"' voidaan lisätä luetteloon. Tällainen korvaaminen auttaa tunnistamaan tuntemattomien selainten tunnisteiden käsittelyyn liittyvät ongelmat, mikä johtaa siihen, että vaihtoehtoiset selaimet pakotetaan teeskentelemään muita suosittuja selaimia ohittaakseen hyväksyttävien selainten luettelot.
  • 17. tammikuuta alkaen Chrome Web Store ei enää hyväksy lisäosia, jotka käyttävät Chromen luettelon versiota 2023. Uudet lisäykset hyväksytään nyt vain luettelon kolmannen version kanssa. Aiemmin lisättyjen lisäosien kehittäjät voivat silti julkaista päivityksiä luettelon toisen version kanssa. Manifestin toisen version täydellinen poistaminen on suunniteltu tammikuussa XNUMX.
  • Lisätty tuki värivektorifonteille COLRv1-muodossa (osajoukko OpenType-fontteja, jotka sisältävät vektoriglyfien lisäksi kerroksen väritiedoilla), joita voidaan käyttää esimerkiksi moniväristen emojien luomiseen. Toisin kuin aiemmin tuettu COLRv0-muoto, COLRv1 voi nyt käyttää liukuvärejä, peittokuvia ja muunnoksia. Muoto tarjoaa myös kompaktin tallennusmuodon, tehokkaan pakkaamisen ja mahdollistaa ääriviivojen uudelleenkäytön, mikä mahdollistaa kirjasinkoon merkittävän pienentämisen. Esimerkiksi Noto Color Emoji -fontti vie 9 Mt rasterimuodossa ja 1 Mt COLRv1.85-vektorimuodossa.
    Chromen julkaisu 98
  • Origin Trials -tila (kokeelliset ominaisuudet, jotka vaativat erillisen aktivoinnin) toteuttaa Region Capture API:n, jonka avulla voit rajata siepattua videota. Rajaus voi olla tarpeen esimerkiksi verkkosovelluksissa, jotka tallentavat videota välilehden sisällöstä, jotta tietty sisältö voidaan leikata pois ennen lähettämistä. Origin Trial tarkoittaa kykyä työskennellä määritetyn API:n kanssa localhostista tai 127.0.0.1:stä ladatuista sovelluksista tai rekisteröitymisen ja erityisen tunnuksen vastaanottamisen jälkeen, joka on voimassa rajoitetun ajan tietyllä sivustolla.
  • CSS-ominaisuus "contain-intrinsic-size" tukee nyt arvoa "auto", joka käyttää elementin viimeisintä muistettua kokoa (kun sitä käytetään "content-visibility: auto" kanssa, kehittäjän ei tarvitse arvata elementin renderöidyn kokoa. .
  • Lisätty AudioContext.outputLatency-ominaisuus, jonka kautta saat tietoa ennustetusta viiveestä ennen äänilähtöä (viive äänipyynnön ja vastaanotetun datan käsittelyn alkamisen välillä äänentoistolaitteen toimesta).
  • CSS-ominaisuuden värimalli, jonka avulla voidaan määrittää, missä värimaailmassa elementti voidaan näyttää oikein ("vaalea", "tumma", "päivätila" ja "yötila"), "vain"-parametri on lisätty estääksesi yksittäisten HTML-elementtien värinmuutosskeemoja. Jos esimerkiksi määrität "div { color-scheme: only light }", div-elementissä käytetään vain vaaleaa teemaa, vaikka selain pakottaisi tumman teeman ottamaan käyttöön.
  • Lisätty tuki "dynaamisen alueen" ja "videon dynaamisen alueen" mediakyselyille CSS:ään sen määrittämiseksi, tukeeko näyttö HDR:ää (High Dynamic Range).
  • Lisätty mahdollisuus valita, avataanko linkki uudessa välilehdessä, uudessa ikkunassa vai ponnahdusikkunassa window.open()-funktioon. Lisäksi window.statusbar.visible-ominaisuus palauttaa nyt "false" ponnahdusikkunoissa ja "true" välilehdille ja ikkunoille. const popup = window.open('_blank',",'ponnahdusikkuna=1'); // Avaa ponnahdusikkunassa const tab = window.open('_blank',,"'popup=0'); // Avaa välilehdellä
  • StrukturoituClone()-menetelmä on toteutettu ikkunoita ja työntekijöitä varten, jonka avulla voit luoda rekursiivisia kopioita objekteista, jotka sisältävät ei vain määritetyn objektin ominaisuuksia, vaan myös kaikkien muiden nykyisen objektin viittaamien objektien ominaisuuksia.
  • Web Authentication API on lisännyt tuen FIDO CTAP2 -määrittelylaajennukselle, jonka avulla voit asettaa PIN-koodin pienimmän sallitun koon (minPinLength).
  • Asennetuille erillisille verkkosovelluksille on lisätty Window Controls Overlay -komponentti, joka laajentaa sovelluksen näyttöalueen koko ikkunaan, mukaan lukien otsikkoalue, jossa normaalit ikkunan ohjauspainikkeet (sulje, pienennä, suurenna) ) ovat päällekkäin. Verkkosovellus voi ohjata koko ikkunan renderöintiä ja syötteiden käsittelyä lukuun ottamatta ikkunan ohjauspainikkeilla varustettua peittolohkoa.
  • Lisätty signaalinkäsittelyominaisuus WritableStreamDefaultControlleriin, joka palauttaa AbortSignal-objektin, jota voidaan käyttää välittömästi lopettamaan WritableStreamiin kirjoittaminen odottamatta niiden valmistumista.
  • WebRTC on poistanut tuen SDES-avainsopimusmekanismille, jonka IETF poisti vuonna 2013 turvallisuussyistä.
  • Oletusarvoisesti U2F (Cryptotoken) API on poistettu käytöstä, joka oli aiemmin vanhentunut ja korvattu Web Authentication API:lla. U2F-sovellusliittymä poistetaan kokonaan Chrome 104:ssä.
  • API-hakemistossa install_browser_version-kenttä on vanhentunut, ja se on korvattu uudella pending_browser_version-kentällä, joka eroaa siinä, että se sisältää tiedot selainversiosta, ottaen huomioon ladatut, mutta käyttämättömät päivitykset (eli versio, joka tulee voimaan selain käynnistetään uudelleen).
  • Poistettiin asetukset, jotka mahdollistivat TLS 1.0:n ja 1.1:n tuen palauttamisen.
  • Web-kehittäjien työkaluihin on tehty parannuksia. Välilehti on lisätty arvioimaan Takaisin eteenpäin -välimuistin toimintaa. Välimuisti tarjoaa välittömän navigoinnin, kun käytetään Takaisin- ja Eteenpäin-painikkeita. Lisätty mahdollisuus emuloida pakotettujen värien mediapyyntöjä. Flexbox-editoriin on lisätty painikkeita rivien käänteisen ja sarakkeen kääntämisen tukemiseksi. "Muutokset"-välilehti varmistaa, että muutokset näkyvät koodin muotoilun jälkeen, mikä yksinkertaistaa pienennettyjen sivujen jäsentämistä.
    Chromen julkaisu 98

    Koodin tarkistuspaneelin toteutus on päivitetty CodeMirror 6 -koodieditorin julkaisuun, joka parantaa merkittävästi erittäin suurten tiedostojen (WASM, JavaScript) kanssa työskentelyä, ratkaisee satunnaisten siirtymien ongelmia navigoinnin aikana ja parantaa suosituksia automaattinen täydennysjärjestelmä koodia muokattaessa. Mahdollisuus suodattaa lähtöä ominaisuuden nimen tai arvon mukaan on lisätty CSS-ominaisuuspaneeliin.

    Chromen julkaisu 98

Innovaatioiden ja virheenkorjausten lisäksi uusi versio eliminoi 27 haavoittuvuutta. Monet haavoittuvuuksista tunnistettiin automaattisen testauksen tuloksena AddressSanitizer-, MemorySanitizer-, Control Flow Integrity-, LibFuzzer- ja AFL-työkaluilla. Ei ole tunnistettu kriittisiä ongelmia, jotka antaisivat mahdollisuuden ohittaa kaikki selaimen suojaustasot ja suorittaa koodia järjestelmässä hiekkalaatikkoympäristön ulkopuolella. Osana käteispalkkioohjelmaa nykyisen julkaisun haavoittuvuuksien löytämisestä Google maksoi 19 palkintoa arvoltaan 88 tuhatta dollaria (kaksi 20000 12000 dollarin palkintoa, yksi 7500 1000 dollarin palkinto, kaksi 7000 5000 dollarin palkintoa, neljä 3000 2000 dollarin palkintoa ja yksi XNUMX XNUMX, XNUMX XNUMX ja XNUMX XNUMX dollaria).

Lähde: opennet.ru

Lisää kommentti