ProHoster > Blog > ynternet nijs > Chrome release 102

Chrome release 102

Google hat de frijlitting fan 'e webbrowser Chrome 102. Tagelyk is in stabile útjefte fan it fergese Chromium-projekt, dat tsjinnet as de basis fan Chrome, beskikber. De Chrome-blêder ferskilt fan Chromium yn it brûken fan Google-logo's, de oanwêzigens fan in systeem foar it ferstjoeren fan notifikaasjes yn gefal fan in crash, modules foar it spieljen fan kopiearje-beskerme fideo-ynhâld (DRM), in systeem foar automatyske ynstallaasje fan updates, permanint ynskeakelje Sandbox-isolaasje , it leverjen fan kaaien oan de Google API en it ferstjoeren fan RLZ- by it sykjen fan parameters. Foar dyjingen dy't mear tiid nedich hawwe om te aktualisearjen, wurdt de Extended Stable-tûke apart stipe, folge troch 8 wiken. De folgjende release fan Chrome 103 is pland foar juni 21st.

Wichtige wizigingen yn Chrome 102:

  • Om de eksploitaasje fan kwetsberens te blokkearjen feroarsake troch tagong ta al befrijde ûnthâldblokken (gebrûk-nei-fergees), ynstee fan gewoane oanwizers, begon it type MiraclePtr (raw_ptr) te brûken. MiraclePtr leveret in ferbining oer pointers dy't ekstra kontrôles útfiert op tagongen ta befrijde ûnthâldgebieten en crashes as sokke tagongen wurde ûntdutsen. De ynfloed fan 'e nije beskermingsmetoade op prestaasjes en ûnthâldferbrûk wurdt beoardiele as negatyf. It MiraclePtr-meganisme is net fan tapassing yn alle prosessen, benammen it wurdt net brûkt yn renderingsprosessen, mar it kin de feiligens signifikant ferbetterje. Bygelyks, yn 'e hjoeddeistige release, fan 32 fêststelde kwetsberens, waarden 12 feroarsake troch gebrûk-nei-frije problemen.
  • It ûntwerp fan 'e ynterface mei ynformaasje oer downloads is feroare. Ynstee fan 'e ûnderste rigel mei gegevens oer de ynlaadfoargong, is in nije yndikator tafoege oan it paniel mei de adresbalke; as jo derop klikke, wurde de fuortgong fan it downloaden fan bestannen en in skiednis mei in list mei al ynladen bestannen werjûn. Oars as it ûnderste paniel, wurdt de knop konstant werjûn op it paniel en kinne jo fluch tagong krije ta jo downloadskiednis. De nije ynterface wurdt op it stuit standert allinich oanbean oan guon brûkers en sil útwreide wurde nei allegear as d'r gjin problemen binne. Om de âlde ynterface werom te jaan of in nije yn te skeakeljen, wurdt de ynstelling "chrome://flags#download-bubble" levere.
    Chrome release 102
  • By it sykjen nei ôfbyldings fia it kontekstmenu ("Sykje ôfbylding mei Google Lens" of "Sykje fia Google Lens"), wurde de resultaten no net op in aparte side werjûn, mar yn in sydbalke neist de ynhâld fan 'e orizjinele side (yn ien finster kinne jo tagelyk sawol de side-ynhâld sjen as it resultaat fan tagong ta de sykmasine).
    Chrome release 102
  • Yn 'e seksje "Privacy en feiligens" fan 'e ynstellings is in seksje "Privacygids" tafoege, dy't in algemien oersjoch biedt fan 'e haadynstellingen dy't privacy beynfloedzje mei detaillearre útlis oer de ynfloed fan elke ynstelling. Yn 'e seksje kinne jo bygelyks it belied definiearje foar it ferstjoeren fan gegevens nei Google-tsjinsten, syngronisaasje beheare, Cookie-ferwurking en histoarje opslaan. De funksje wurdt oanbean oan guon brûkers; om it te aktivearjen, kinne jo de ynstelling brûke "chrome://flaggen#privacy-guide".
    Chrome release 102
  • Strukturearring fan sykhistoarje en besjoen siden wurdt levere. As jo ​​besykje op 'e nij te sykjen, wurdt in hint "Resume jo reis" werjûn yn 'e adresbalke, wêrtroch jo it sykjen kinne trochgean fanôf it plak wêr't it de lêste kear ûnderbrutsen is.
    Chrome release 102
  • De Chrome Web Store biedt in side "Extensions Starter Kit" mei in earste seleksje fan oanrikkemandearre tafoegings.
  • Yn testmodus is it ferstjoeren fan in CORS (Cross-Origin Resource Sharing) autorisaasjefersyk nei de haadsidetsjinner mei de kop "Access-Control-Request-Private-Network: true" ynskeakele as de side tagong hat ta in boarne op it ynterne netwurk ( 192.168.xx, 10.xxx, 172.16.xx) of nei localhost (128.xxx). By it befêstigjen fan de operaasje yn antwurd op dit fersyk, moat de tsjinner de koptekst "Access-Control-Allow-Private-Network: true" weromjaan. Yn Chrome ferzje 102 hat it befêstigingsresultaat noch gjin ynfloed op de ferwurking fan it fersyk - as der gjin befêstiging is, wurdt in warskôging werjûn yn 'e webkonsole, mar it subboarnefersyk sels is net blokkearre. It ynskeakeljen fan blokkearjen by it ûntbrekken fan befêstiging fan de tsjinner wurdt net ferwachte oant de frijlitting fan Chrome 105. Om blokkearjen yn eardere releases yn te skeakeljen, kinne jo de ynstelling "chrome://flags/#private-network-access-respect-preflight- ynskeakelje resultaten".

    Ferifikaasje fan autoriteit troch de tsjinner waard yntrodusearre om beskerming te fersterkjen tsjin oanfallen yn ferbân mei tagong ta boarnen op it lokale netwurk of op 'e kompjûter fan' e brûker (localhost) fan skripts laden by it iepenjen fan in side. Sokke oanfragen wurde brûkt troch oanfallers om CSRF-oanfallen út te fieren op routers, tagongspunten, printers, bedriuwswebynterfaces en oare apparaten en tsjinsten dy't allinich oanfragen akseptearje fan it lokale netwurk. Om te beskermjen tsjin sokke oanfallen, as sub-boarnen tagong binne op it ynterne netwurk, sil de browser in eksplisyt fersyk om tastimming stjoere om dizze sub-boarnen te laden.

  • By it iepenjen fan keppelings yn incognito-modus fia it kontekstmenu, wurde guon parameters dy't privacy beynfloedzje automatysk fuortsmiten fan 'e URL.
  • De strategy foar levering fan updates foar Windows en Android is feroare. Om it gedrach fan 'e nije en âlde releases folsleiner te fergelykjen, wurde no meardere builds fan' e nije ferzje generearre foar download.
  • Netwurksegmentaasjetechnology is stabilisearre om te beskermjen tsjin metoaden foar it folgjen fan brûkersbewegingen tusken siden basearre op it bewarjen fan identifiers yn gebieten dy't net bedoeld binne foar permaninte opslach fan ynformaasje ("Supercookies"). Omdat cached boarnen wurde opslein yn in mienskiplike nammeromte, nettsjinsteande it oarspronklike domein, ien side kin bepale dat in oare side is it laden boarnen troch te kontrolearjen oft dy boarne is yn de cache. De beskerming is basearre op it brûken fan netwurksegmentaasje (Network Partitioning), wêrfan de essinsje is om oan dielde caches ekstra bining fan records ta te foegjen oan it domein wêrfan de haadside iepene wurdt, wat de cachedekking beheint foar allinich bewegingssporingsskripts nei de aktuele side (in skript fan in iframe kin net kontrolearje oft de boarne is ynladen fan in oare side). Dieling fan steat beslacht netwurkferbiningen (HTTP/1, HTTP/2, HTTP/3, websocket), DNS-cache, ALPN/HTTP2, TLS/HTTP3-gegevens, konfiguraasje, downloads, en Expect-CT-headerynformaasje.
  • Foar ynstalleare stand-alone webapplikaasjes (PWA, Progressive Web App) is it mooglik om it ûntwerp fan it finstertitelgebiet te feroarjen mei de Window Controls Overlay-komponinten, dy't it skermgebiet fan 'e webapplikaasje útwreidzje nei it heule finster. In webapplikaasje kin de werjefte en ynfierferwurking fan it hiele finster kontrolearje, mei útsûndering fan it overlayblok mei standert finsterkontrôleknoppen (slute, minimalisearje, maksimalisearje), om de webapplikaasje it uterlik fan in gewoane buroblêdapplikaasje te jaan.
    Chrome release 102
  • Yn it formulier autofill-systeem is stipe tafoege foar it generearjen fan firtuele kredytkaartnûmers yn fjilden mei betellingsdetails foar guod yn online winkels. Mei it brûken fan in firtuele kaart, wêrfan it oantal wurdt generearre foar elke betelling, kinne jo gjin gegevens oer in echte kredytkaart oerdrage, mar fereasket it leverjen fan de nedige tsjinst troch de bank. De funksje is op it stuit allinnich beskikber foar Amerikaanske bankklanten. Om it opnimmen fan 'e funksje te kontrolearjen, wurdt de ynstelling "chrome://flaggen/#autofill-enable-virtual-card" foarsteld.
  • It meganisme "Capture Handle" is standert aktivearre, wêrtroch jo ynformaasje kinne oerdrage nei applikaasjes dy't fideo opnimme. De API makket it mooglik om de ynteraksje te organisearjen tusken applikaasjes wêrfan de ynhâld is opnommen en applikaasjes dy't de opname útfiere. Bygelyks, in fideokonferinsjeapplikaasje dy't fideo opnimt om in presintaasje út te stjoeren kin ynformaasje ophelje oer de presintaasjekontrôles en werjaan yn it fideofinster.
  • Stipe foar spekulative regels is standert ynskeakele, it leverjen fan fleksibele syntaksis foar it bepalen oft keppeling-relatearre gegevens proaktyf kinne wurde laden foardat de brûker op de keppeling klikt.
  • It meganisme foar it ferpakken fan boarnen yn pakketten yn it Web Bundle-formaat is stabilisearre, wêrtroch de effisjinsje fan it laden fan in grut oantal begeliedende bestannen (CSS-stilen, JavaScript, ôfbyldings, iframes) kin ferheegje. Oars as pakketten yn it Webpack-formaat, hat it Web Bundle-formaat de folgjende foardielen: it is net it pakket sels dat yn 'e HTTP-cache bewarre wurdt, mar syn ûnderdielen; kompilaasje en útfiering fan JavaSkript begjint sûnder te wachtsjen op it pakket om folslein ynladen te wurden; It is tastien om ekstra boarnen op te nimmen lykas CSS en ôfbyldings, dy't yn webpack kodearre moatte wurde yn 'e foarm fan JavaScript-strings.
  • It is mooglik om in PWA-applikaasje te definiearjen as in handler fan bepaalde MIME-typen en bestânsútwreidings. Nei it definiearjen fan in bining fia it fjild file_handlers yn it manifest, sil de applikaasje in spesjaal barren krije as de brûker besiket in bestân te iepenjen ferbûn mei de applikaasje.
  • In nij inerte attribút tafoege wêrmei jo in diel fan 'e DOM-beam kinne markearje as "ynaktyf". Foar DOM-knooppunten yn dizze steat, tekst seleksje en pointer hover handlers binne útskeakele, d.w.s. De pointer-eveneminten en brûker-selekteare CSS-eigenskippen binne altyd ynsteld op 'gjin'. As in knooppunt koe wurde bewurke, dan wurdt it yn inerte modus net bewurkber.
  • De Navigation API tafoege, wêrtroch webapplikaasjes finsternavigaasje-operaasjes kinne ûnderskeppe, navigaasje begjinne en de skiednis fan aksjes mei de applikaasje analysearje. De API biedt in alternatyf foar de eigenskippen fan window.history en window.location, optimalisearre foar webapplikaasjes mei ien side.
  • In nije flagge, "oant fûn", is foarsteld foar it "ferburgen" attribút, wat it elemint trochsykber makket op 'e side en scrollberber is mei tekstmasker. Jo kinne bygelyks ferburgen tekst tafoegje oan in side, wêrfan de ynhâld fûn wurdt yn lokale sykopdrachten.
  • Yn 'e WebHID API, ûntworpen foar tagong op leech nivo ta HID-apparaten (minsklike ynterface-apparaten, toetseboerden, mûzen, gamepads, touchpads) en it organisearjen fan wurk sûnder de oanwêzigens fan spesifike sjauffeurs yn it systeem, is de eigenskip útslutingFilters tafoege oan it requestDevice ( ) foarwerp, wêrmei jo bepaalde apparaten útslute kinne as de browser in list mei beskikbere apparaten toant. Jo kinne bygelyks apparaat-ID's útslute dy't bekende problemen hawwe.
  • It is ferbean te werjaan in betelling formulier troch in oprop oan PaymentRequest.show () sûnder in eksplisite brûker aksje, Bygelyks, in klik op in elemint ferbûn mei de handler.
  • Stipe foar in alternative ymplemintaasje fan it SDP-protokol (Session Description Protocol) dat brûkt wurdt om in sesje yn WebRTC te fêstigjen is stopset. Chrome oanbean twa SDP-opsjes - ferienige mei oare browsers en Chrome-spesifyk. Fan no ôf is allinich de draachbere opsje oer.
  • Ferbetteringen binne makke oan ark foar webûntwikkelders. Knoppen tafoege oan it paniel Styles om it gebrûk fan in tsjuster en ljocht tema te simulearjen. De beskerming fan it ljepblêd Foarbyld yn netwurkynspeksjemodus is fersterke (de tapassing fan Content Security Policy is ynskeakele). De debugger ymplementearret skriptbeëiniging om brekpunten opnij te laden. In foarriedige ymplemintaasje fan it nije paniel "Performance insights" is foarsteld, wêrtroch jo de prestaasjes fan bepaalde operaasjes op 'e side kinne analysearje.
    Chrome release 102

Neist ynnovaasjes en bug fixes elimineert de nije ferzje 32 kwetsberens. In protte fan 'e kwetsberens waarden identifisearre as gefolch fan automatisearre testen mei de AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL-ark. Ien fan 'e problemen (CVE-2022-1853) is in kritysk nivo fan gefaar tawiisd, wat de mooglikheid ymplisearret om alle nivo's fan browserbeskerming te omgean en koade út te fieren op it systeem bûten de sânbox-omjouwing. Details oer dizze kwetsberens binne noch net bekend makke; it is allinich bekend dat it wurdt feroarsake troch tagong ta in frijmakke ûnthâldblok (gebrûk-nei-fergees) yn 'e yndeksearre DB API-ymplemintaasje.

As ûnderdiel fan it cashbeleanningsprogramma foar it ûntdekken fan kwetsberens foar de hjoeddeistige release, betelle Google 24 prizen wurdich $65600 (ien $10000-priis, ien $7500-priis, twa $7000-prizen, trije $5000-prizen, fjouwer $3000-prizen, twa $2000-prizen, twa $1000-prizen, twa $ 500 bonussen). De grutte fan 'e 7 beleannings is noch net fêststeld.

Boarne: opennet.ru

Add a comment