Chrome Version 98

Google a dévoilé la sortie du navigateur Web Chrome 98. Parallèlement, une version stable du projet gratuit Chromium, qui sert de base à Chrome, est disponible. Le navigateur Chrome se distingue par l'utilisation des logos Google, la présence d'un système d'envoi de notifications en cas de crash, de modules de lecture de contenus vidéo protégés contre la copie (DRM), d'un système d'installation automatique des mises à jour et de transmission des paramètres RLZ lorsque recherche. La prochaine version de Chrome 99 est prévue pour le 1 mars.

Changements clés dans Chrome 98 :

• Le navigateur possède son propre magasin de certificats racine des autorités de certification (Chrome Root Store), qui sera utilisé à la place des magasins externes propres à chaque système d'exploitation. Le magasin est implémenté de la même manière que le magasin indépendant de certificats racine dans Firefox, qui est utilisé comme premier lien pour vérifier la chaîne de confiance des certificats lors de l'ouverture de sites via HTTPS. Le nouveau stockage n'est pas encore utilisé par défaut. Pour faciliter la transition des configurations de stockage système et garantir la portabilité, il y aura une période de transition pendant laquelle le Chrome Root Store inclura une sélection complète de certificats approuvés sur la plupart des plates-formes prises en charge.
• Le projet de renforcement de la protection contre les attaques liées à l’accès aux ressources du réseau local ou de l’ordinateur de l’utilisateur (localhost) à partir de scripts chargés à l’ouverture du site continue d’être mis en œuvre. De telles requêtes sont utilisées par les attaquants pour mener des attaques CSRF sur des routeurs, des points d'accès, des imprimantes, des interfaces Web d'entreprise et d'autres appareils et services qui acceptent uniquement les requêtes du réseau local.

  Pour se protéger contre de telles attaques, lors de l'accès à des sous-ressources sur le réseau interne, le navigateur enverra une requête explicite d'autorisation pour charger ces sous-ressources. Cette requête est effectuée en envoyant une requête à serveur Avant d'accéder au réseau interne ou à localhost, la requête CORS (Cross-Origin Resource Sharing) du site principal, comportant l'en-tête « Access-Control-Request-Private-Network: true », est vérifiée. Lors de la confirmation de l'opération, le serveur doit renvoyer l'en-tête « Access-Control-Allow-Private-Network: true » en réponse à cette requête. Dans Chrome 98, cette vérification est implémentée en mode test ; en l'absence de confirmation, un avertissement s'affiche dans la console web, mais la requête vers la sous-ressource n'est pas bloquée. Le blocage sera activé au plus tôt dans Chrome 101.

• Les paramètres du compte intègrent des outils de gestion de l'inclusion de la navigation sécurisée améliorée, qui active des contrôles supplémentaires pour se protéger contre le phishing, les activités malveillantes et autres menaces sur le Web. Lorsque vous activez un mode dans votre compte Google, vous serez désormais invité à activer le mode dans Chrome.
• Ajout d'un modèle de détection des tentatives de phishing côté client, implémenté à l'aide de la plateforme d'apprentissage automatique TFLite (TensorFlow Lite) et ne nécessite pas l'envoi de données pour effectuer une vérification côté Google (dans ce cas, la télémétrie est envoyée avec des informations sur la version du modèle et poids calculés pour chaque catégorie) . Si une tentative de phishing est détectée, l'utilisateur verra une page d'avertissement avant d'ouvrir le site suspect.
• L'API Client Hints, développée pour remplacer l'en-tête User-Agent, permet de renvoyer sélectivement des données sur des paramètres spécifiques du navigateur et du système (version, plateforme, etc.) uniquement après une requête. serveurLa possibilité d'insérer des noms de navigateurs fictifs dans la liste des identifiants de navigateur a été implémentée, à l'instar du mécanisme GREASE (Generate Random Extensions And Sustain Extensibility) utilisé dans TLS. Par exemple, outre « Chrome ; v="98 » et « Chromium ; v="98 », un identifiant aléatoire pour un navigateur inexistant, « (Not;Browser ; v="12) », peut être ajouté à la liste. Cette substitution permettra d'identifier les problèmes liés à la gestion des identifiants de navigateurs inconnus, qui contraignent les navigateurs alternatifs à se faire passer pour d'autres navigateurs populaires afin de contourner les contrôles de validation.
• À compter du 17 janvier, le Chrome Web Store n'accepte plus les modules complémentaires utilisant la version 2023 du manifeste Chrome. Les nouveaux ajouts ne seront désormais acceptés qu’avec la troisième version du manifeste. Les développeurs de modules complémentaires précédemment ajoutés pourront toujours publier des mises à jour avec la deuxième version du manifeste. L’abandon complet de la deuxième version du manifeste est prévu pour janvier XNUMX.
• Ajout de la prise en charge des polices vectorielles de couleur au format COLRv1 (un sous-ensemble de polices OpenType qui contiennent, en plus des glyphes vectoriels, un calque avec des informations de couleur), qui peuvent être utilisées, par exemple, pour créer des emoji multicolores. Contrairement au format COLRv0 précédemment pris en charge, COLRv1 a désormais la possibilité d'utiliser des dégradés, des superpositions et des transformations. Le format fournit également une forme de stockage compacte, offre une compression efficace et permet la réutilisation des contours, permettant une réduction significative de la taille de la police. Par exemple, la police Noto Color Emoji occupe 9 Mo au format raster et 1 Mo au format vectoriel COLRv1.85.
• Le mode Origin Trials (fonctionnalités expérimentales nécessitant une activation séparée) implémente l'API Region Capture, qui vous permet de recadrer la vidéo capturée. Par exemple, un recadrage peut être nécessaire dans les applications Web qui capturent des vidéos avec le contenu de leur onglet, pour découper certains contenus avant l'envoi. Origin Trial implique la possibilité de travailler avec l'API spécifiée à partir d'applications téléchargées depuis localhost ou 127.0.0.1, ou après enregistrement et réception d'un jeton spécial valable pour une durée limitée pour un site spécifique.
• La propriété CSS "contain-intrinsic-size" prend désormais en charge la valeur "auto", qui utilisera la dernière taille mémorisée de l'élément (lorsqu'elle est utilisée avec "content-visibility: auto", le développeur n'a pas à deviner la taille rendue de l'élément) .
• Ajout de la propriété AudioContext.outputLatency, grâce à laquelle vous pouvez trouver des informations sur le délai prévu avant la sortie audio (le délai entre la demande audio et le début du traitement des données reçues par le périphérique de sortie audio).
• Propriété CSS color-scheme, qui permet de déterminer dans quels schémas de couleurs un élément peut être correctement affiché (« clair », « sombre », « mode jour » et « mode nuit »), le paramètre « uniquement » a été ajouté pour empêcher les changements de couleur forcés des schémas pour les éléments HTML individuels. Par exemple, si vous spécifiez « div { color-scheme: only light } », alors seul le thème clair sera utilisé pour l'élément div, même si le navigateur force l'activation du thème sombre.
• Ajout de la prise en charge des requêtes multimédias « plage dynamique » et « plage dynamique vidéo » au CSS pour déterminer si un écran prend en charge HDR (High Dynamic Range).
• Ajout de la possibilité de choisir d'ouvrir un lien dans un nouvel onglet, une nouvelle fenêtre ou une fenêtre contextuelle vers la fonction window.open(). De plus, la propriété window.statusbar.visible renvoie désormais « false » pour les fenêtres contextuelles et « true » pour les onglets et les fenêtres. const popup = window.open('_blank',",'popup=1′); // Ouvrir dans une fenêtre popup const tab = window.open('_blank',,"'popup=0′); // Ouvrir dans l'onglet
• La méthode structuréClone() a été implémentée pour Windows et Workers, ce qui vous permet de créer des copies récursives d'objets qui incluent les propriétés non seulement de l'objet spécifié, mais également de tous les autres objets référencés par l'objet actuel.
• L'API d'authentification Web a ajouté la prise en charge de l'extension de spécification FIDO CTAP2, qui vous permet de définir la taille minimale autorisée du code PIN (minPinLength).
• Pour les applications Web autonomes installées, le composant Window Controls Overlay a été ajouté, qui étend la zone d'écran de l'application à toute la fenêtre, y compris la zone de titre, sur laquelle les boutons de contrôle de fenêtre standard (fermer, minimiser, agrandir ) se superposent. L'application Web peut contrôler le rendu et le traitement des entrées de la fenêtre entière, à l'exception du bloc de superposition avec les boutons de contrôle de la fenêtre.
• Ajout d'une propriété de gestion du signal à WritableStreamDefaultController qui renvoie un objet AbortSignal, qui peut être utilisé pour arrêter immédiatement les écritures dans un WritableStream sans attendre leur fin.
• WebRTC a supprimé la prise en charge du mécanisme d'accord de clé SDES, qui a été déprécié par l'IETF en 2013 en raison de problèmes de sécurité.
• Par défaut, l'API U2F (Cryptotoken) est désactivée, elle était auparavant obsolète et remplacée par l'API d'authentification Web. L'API U2F sera complètement supprimée dans Chrome 104.
• Dans l'annuaire API, le champ Installed_browser_version est obsolète, remplacé par un nouveau champ ending_browser_version, qui diffère en ce qu'il contient des informations sur la version du navigateur, en tenant compte des mises à jour téléchargées mais non appliquées (c'est-à-dire la version qui sera valide après le le navigateur est redémarré).
• Suppression des options permettant de rétablir la prise en charge de TLS 1.0 et 1.1.
• Des améliorations ont été apportées aux outils destinés aux développeurs Web. Un onglet a été ajouté pour évaluer le fonctionnement du cache Back-forward, qui permet une navigation instantanée lors de l'utilisation des boutons Précédent et Suivant. Ajout de la possibilité d'émuler les demandes multimédias à couleurs forcées. Ajout de boutons à l'éditeur Flexbox pour prendre en charge les propriétés d'inversion de ligne et d'inversion de colonne. L'onglet « Modifications » garantit que les modifications sont affichées après le formatage du code, ce qui simplifie l'analyse des pages minifiées.

  L'implémentation du panneau de révision de code a été mise à jour avec la sortie de l'éditeur de code CodeMirror 6, qui améliore considérablement les performances de travail avec des fichiers très volumineux (WASM, JavaScript), résout les problèmes de décalages aléatoires lors de la navigation et améliore les recommandations de le système de saisie semi-automatique lors de l’édition du code. La possibilité de filtrer la sortie par nom de propriété ou par valeur a été ajoutée au panneau de propriétés CSS.

  

En plus des innovations et des corrections de bugs, la nouvelle version élimine 27 vulnérabilités. De nombreuses vulnérabilités ont été identifiées à la suite de tests automatisés utilisant les outils AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer et AFL. Aucun problème critique n'a été identifié qui permettrait de contourner tous les niveaux de protection du navigateur et d'exécuter du code sur le système en dehors de l'environnement sandbox. Dans le cadre du programme de récompense en espèces pour la découverte des vulnérabilités de la version actuelle, Google a payé 19 récompenses d'une valeur de 88 20000 $ (deux récompenses de 12000 7500 $, une récompense de 1000 7000 $, deux récompenses de 5000 3000 $, quatre récompenses de 2000 XNUMX $ et une de chacune de XNUMX XNUMX $, XNUMX XNUMX $, XNUMX XNUMX $ et XNUMX XNUMX $).

Source: opennet.ru