ProHoster > Blog > actualités internet > Chrome Version 107

Chrome Version 107

Google a dévoilé la sortie du navigateur Web Chrome 107. Parallèlement, une version stable du projet gratuit Chromium, qui sert de base à Chrome, est disponible. Le navigateur Chrome se distingue de Chromium par l'utilisation des logos Google, la présence d'un système d'envoi de notifications en cas de crash, de modules de lecture de contenu vidéo protégé contre la copie (DRM), d'un système d'installation automatique des mises à jour, permettant en permanence l'isolation Sandbox , fournissant les clés de l'API Google et transmettant les paramètres RLZ- lors de la recherche. Pour ceux qui ont besoin de plus de temps pour mettre à jour, la branche Extended Stable est prise en charge séparément, suivie de 8 semaines. La prochaine version de Chrome 108 est prévue pour le 29 novembre.

Changements clés dans Chrome 107 :

  • Ajout de la prise en charge du mécanisme ECH (Encrypted Client Hello), qui poursuit le développement d'ESNI (Encrypted Server Name Indication) et est utilisé pour crypter les informations sur les paramètres de session TLS, tels que le nom de domaine demandé. La principale différence entre ECH et ESNI est qu'au lieu de chiffrer au niveau des champs individuels, ECH chiffre l'intégralité du message TLS ClientHello, ce qui vous permet de bloquer les fuites via des champs qu'ESNI ne couvre pas, par exemple, le PSK (Pre-Shared Clé). ECH utilise également l'enregistrement DNS HTTPSSVC au lieu de l'enregistrement TXT pour transmettre les informations de clé publique, et utilise un cryptage authentifié de bout en bout basé sur le mécanisme de cryptage à clé publique hybride (HPKE) pour obtenir et crypter la clé. Pour contrôler si ECH est activé, le paramètre « chrome://flags#encrypted-client-hello » a été proposé.
  • La prise en charge du décodage vidéo accéléré matériellement au format H.265 (HEVC) est activée.
  • La cinquième étape de réduction des informations dans l'en-tête HTTP User-Agent et les paramètres JavaScript navigator.userAgent, navigator.appVersion et navigator.platform a été activée, implémentée pour réduire les informations pouvant être utilisées pour identifier passivement l'utilisateur. Chrome 107 a réduit les informations sur la plate-forme et le processeur dans la ligne User-Agent pour les utilisateurs de bureau et a gelé le contenu du paramètre JavaScript navigator.platform. Le changement n'est perceptible que dans les versions pour la plate-forme Windows, pour lesquelles la version spécifique de la plate-forme est remplacée par « Windows NT 10.0 ». Sous Linux, le contenu de la plateforme dans le User-Agent n'a pas changé.

    Auparavant, les numéros MINOR.BUILD.PATCH qui constituaient la version du navigateur ont été remplacés par 0.0.0. À l'avenir, il est prévu de laisser dans l'en-tête uniquement des informations sur le nom du navigateur, la version principale du navigateur, la plate-forme et le type d'appareil (téléphone mobile, PC, tablette). Pour obtenir des données supplémentaires, telles que la version exacte et les données étendues de la plateforme, vous devez utiliser l'API User Agent Client Hints. Pour les sites qui ne disposent pas de suffisamment de nouvelles informations et ne sont pas encore prêts à passer aux astuces client de l'agent utilisateur, ils ont la possibilité de renvoyer l'agent utilisateur complet jusqu'en mai 2023.

  • La version Android ne prend plus en charge la plateforme Android 6.0 ; le navigateur nécessite désormais au minimum Android 7.0.
  • La conception de l'interface pour suivre l'état des téléchargements a été modifiée. Au lieu de la ligne du bas avec les données sur la progression du téléchargement, un nouvel indicateur a été ajouté au panneau avec la barre d'adresse : lorsque vous cliquez dessus, la progression du téléchargement des fichiers et un historique avec une liste des fichiers déjà téléchargés sont affichés. Contrairement au panneau inférieur, le bouton est affiché en permanence sur le panneau et vous permet d'accéder rapidement à votre historique de téléchargement. La nouvelle interface n'est actuellement proposée par défaut qu'à certains utilisateurs et sera étendue à tous s'il n'y a pas de problèmes.
    Chrome Version 107
  • Pour les utilisateurs de bureau, il est possible d'importer des mots de passe enregistrés dans un fichier au format CSV. Auparavant, les mots de passe d'un fichier vers le navigateur ne pouvaient être transférés que via le service passwords.google.com, mais désormais, cela peut également être effectué via le gestionnaire de mots de passe Google intégré au navigateur.
  • Une fois que l'utilisateur a créé un nouveau profil, une invite s'affiche vous invitant à activer la synchronisation et à accéder aux paramètres, grâce auxquels vous pouvez modifier le nom du profil et sélectionner un thème de couleur.
  • La version pour la plate-forme Android offre une nouvelle interface pour sélectionner des fichiers multimédias pour télécharger des photos et des vidéos (au lieu de sa propre implémentation, l'interface standard Android Media Picker est utilisée).
    Chrome Version 107
  • La révocation automatique de l'autorisation d'afficher des notifications a été prévue pour les sites qui envoient des notifications et des messages qui interfèrent avec l'utilisateur. De plus, pour ces sites, les demandes d'autorisation d'envoi de notifications ont été suspendues.
  • L'API Screen Capture a ajouté de nouvelles propriétés liées au partage d'écran - selfBrowserSurface (vous permet d'exclure l'onglet actuel lors de l'appel de getDisplayMedia()), surfaceSwitching (vous permet de masquer le bouton pour changer d'onglet) et displaySurface (vous permet de limiter le partage à un onglet, une fenêtre ou un écran).
  • Ajout de la propriété renderBlockingStatus à l'API Performance pour identifier les ressources qui provoquent une pause dans le rendu des pages jusqu'à la fin de leur chargement.
  • Plusieurs nouvelles API ont été ajoutées au mode Origin Trials (fonctionnalités expérimentales nécessitant une activation séparée). Origin Trial implique la possibilité de travailler avec l'API spécifiée à partir d'applications téléchargées depuis localhost ou 127.0.0.1, ou après s'être enregistré et avoir reçu un jeton spécial valable pour une durée limitée pour un site spécifique.
    • API déclarative PendingBeacon, qui permet de contrôler l'envoi de données ne nécessitant pas de réponse (balise) au serveur. La nouvelle API permet de déléguer l'envoi de ces données au navigateur, sans avoir besoin d'appeler des opérations d'envoi à un certain moment, par exemple pour organiser le transfert de télémétrie après que l'utilisateur ferme la page.
    • L'en-tête HTTP Permissions-Policy (Feature Policy), utilisé pour déléguer l'autorité et activer des fonctionnalités avancées, prend désormais en charge la valeur « unload », qui peut être utilisée pour désactiver les gestionnaires de l'événement « unload » sur la page.
  • Taguer ajout de la prise en charge de l'attribut « rel », qui permet d'appliquer le paramètre « rel=noreferrer » à la navigation dans les formulaires Web pour désactiver le transfert de l'en-tête Referer ou « rel=noopener » pour désactiver la définition de la propriété Window.opener et interdire accès au contexte à partir duquel la transition a été effectuée.
  • CSS Grid a ajouté la prise en charge de l'interpolation des propriétés grid-template-columns et grid-template-rows pour assurer une transition fluide entre les différents états de la grille.
  • Des améliorations ont été apportées aux outils destinés aux développeurs Web. Ajout de la possibilité de configurer les raccourcis clavier. Inspection améliorée de la mémoire des objets d’application C/C++ convertis au format WebAssembly.

En plus des innovations et des corrections de bugs, la nouvelle version élimine 14 vulnérabilités. De nombreuses vulnérabilités ont été identifiées à la suite de tests automatisés utilisant les outils AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer et AFL. Aucun problème critique n'a été identifié qui permettrait de contourner tous les niveaux de protection du navigateur et d'exécuter du code sur le système en dehors de l'environnement sandbox. Dans le cadre du programme de récompense en espèces pour la découverte des vulnérabilités de la version actuelle, Google a versé 10 récompenses d'un montant de 57 20000 dollars américains (une récompense de 17000 7000 dollars, 3000 2000 dollars et 1000 XNUMX dollars, deux récompenses de XNUMX XNUMX dollars, trois récompenses de XNUMX XNUMX dollars et une récompense de XNUMX XNUMX $). Le montant d’une récompense n’a pas encore été déterminé.

Source: opennet.ru

Ajouter un commentaire