ProHoster > Blog > naidheachdan eadar-lìn > Chrome 102 saor an asgaidh

Chrome 102 saor an asgaidh

Tha Google air foillseachadh brabhsair lìn Chrome 102. Aig an aon àm, tha foillseachadh seasmhach den phròiseact Chromium an-asgaidh, a tha mar bhunait Chrome, ri fhaighinn. Tha brabhsair Chrome eadar-dhealaichte bho Chromium ann an cleachdadh suaicheantasan Google, làthaireachd siostam airson fiosan a chuir ma thachras tubaist, modalan airson a bhith a’ cluich susbaint bhidio dìon-lethbhreac (DRM), siostam airson ùrachaidhean a chuir a-steach gu fèin-ghluasadach, a’ comasachadh iomallachd Sandbox gu maireannach. , a 'toirt seachad iuchraichean gu API Google agus a' sgaoileadh RLZ- nuair a bhios tu a 'rannsachadh. Dhaibhsan a dh’ fheumas barrachd ùine airson ùrachadh, tha am meur Stàbaill Leudaichte a’ faighinn taic air leth, le 8 seachdainean às a dhèidh. Tha an ath fhoillseachadh de Chrome 103 clàraichte airson 21 Ògmhios.

Prìomh atharrachaidhean ann an Chrome 102:

  • Gus casg a chuir air so-leòntachd a tha air adhbhrachadh le bhith a’ faighinn cothrom air blocaichean cuimhne a chaidh a shaoradh mar-thà (gun chleachdadh às deidh sin), an àite comharran àbhaisteach, thòisich an seòrsa MiraclePtr (raw_ptr) air a chleachdadh. Bidh MiraclePtr a’ toirt seachad comharran ceangailteach a nì sgrùdaidhean a bharrachd air ruigsinneachd gu raointean cuimhne saor agus tubaistean ma lorgar slighean a-steach mar sin. Tha buaidh an dòigh dìon ùr air coileanadh agus caitheamh cuimhne air a mheasadh glè bheag. Chan eil an uidheamachd MiraclePtr iomchaidh anns a h-uile pròiseas, gu sònraichte chan eil e air a chleachdadh ann am pròiseasan tairgse, ach faodaidh e tèarainteachd a leasachadh gu mòr. Mar eisimpleir, anns an fhoillseachadh làithreach, a-mach à 32 so-leòntachd a chaidh a shuidheachadh, bha 12 air adhbhrachadh le duilgheadasan gun chleachdadh às deidh cleachdadh.
  • Tha dealbhadh an eadar-aghaidh le fiosrachadh mu luchdachadh sìos air atharrachadh. An àite na bun-loidhne le dàta air adhartas an luchdachadh sìos, chaidh comharradh ùr a chur ris a’ phannal leis a’ bhàr seòlaidh; nuair a phutas tu air, chithear adhartas luchdachadh sìos fhaidhlichean agus eachdraidh le liosta de na faidhlichean a chaidh a luchdachadh sìos mu thràth. Eu-coltach ris a 'phannal aig a' bhonn, tha am putan daonnan air a shealltainn air a 'phannal agus leigidh e leat faighinn gu luath air an eachdraidh luchdaich sìos agad. Tha an eadar-aghaidh ùr an-dràsta air a thabhann gu bunaiteach a-mhàin do chuid de luchd-cleachdaidh agus thèid a leudachadh chun a h-uile duine mura h-eil duilgheadas ann. Gus an seann eadar-aghaidh a thilleadh no fear ùr a chomasachadh, tha an suidheachadh “chrome: // flags #download-bubble” air a thoirt seachad.
    Chrome 102 saor an asgaidh
  • Nuair a bhios tu a’ lorg ìomhaighean tron ​​chlàr co-theacsa (“Lorg ìomhaigh le Google Lens” no “Lorg tro Google Lens”), tha na toraidhean a-nis air an sealltainn chan ann air duilleag air leth, ach ann am bàr-taoibh ri taobh susbaint na duilleige tùsail (ann an aon uinneag chì thu aig an aon àm susbaint na duilleige agus agus toradh faighinn chun einnsean sgrùdaidh).
    Chrome 102 saor an asgaidh
  • Anns an earrann "Prìobhaideachd is Tèarainteachd" de na roghainnean, chaidh earrann "Stiùireadh Dìomhaireachd" a chur ris, a tha a 'toirt sealladh farsaing air na prìomh shuidheachaidhean a tha a' toirt buaidh air prìobhaideachd le mìneachadh mionaideach air buaidh gach suidheachadh. Mar eisimpleir, anns an earrainn faodaidh tu am poileasaidh a mhìneachadh airson a bhith a’ cur dàta gu seirbheisean Google, a’ riaghladh sioncronadh, giollachd cookie agus sàbhaladh eachdraidh. Tha an gnìomh air a thabhann do chuid de luchd-cleachdaidh; gus a ghnìomhachadh, faodaidh tu an suidheachadh “chrome: // flags #privacy-guide” a chleachdadh.
    Chrome 102 saor an asgaidh
  • Tha structar eachdraidh rannsachaidh agus duilleagan air an deach coimhead air a thoirt seachad. Nuair a dh’ fheuchas tu ri sgrùdadh a-rithist, tha sanas “Lean air do thuras” ri fhaicinn anns a’ bhàr seòlaidh, a’ toirt cothrom dhut leantainn air adhart leis an rannsachadh bhon àite far an deach stad a chuir air an turas mu dheireadh.
    Chrome 102 saor an asgaidh
  • Tha an Chrome Web Store a’ tabhann duilleag “Extensions Starter Kit” le taghadh tùsail de thuilleadan a chaidh a mholadh.
  • Ann am modh deuchainn, tha e comasach iarrtas cead CORS (Co-roinn Goireasan Tar-thùs) a chuir gu prìomh fhrithealaiche na làraich leis a’ cheann “Access-Control-Request-Private-Network: true” nuair a gheibh an duilleag cothrom air goireas air an lìonra a-staigh ( 192.168.xx , 10.xxx, 172.16.xx) no gu localhost (128.xxx). Nuair a thathar a’ dearbhadh an obrachaidh mar fhreagairt don iarrtas seo, feumaidh am frithealaiche an bann-cinn “Access-Control-Allow-Private-Network: true” a thilleadh. Ann an dreach Chrome 102, chan eil toradh an dearbhaidh fhathast a’ toirt buaidh air giullachd an iarrtais - mura h-eil dearbhadh ann, tha rabhadh air a thaisbeanadh anns a’ chonsail lìn, ach chan eil an t-iarrtas fo-ghoireis fhèin air a bhacadh. Chan eil dùil ri bacadh a chur an comas às aonais dearbhadh bhon fhrithealaiche gus an tèid Chrome 105 a leigeil ma sgaoil. Gus bacadh a chur air ann am fiosan nas tràithe, faodaidh tu an suidheachadh "chrome: // flags/#private-network-access-respect-preflight-" a chur an comas toraidhean".

    Chaidh dearbhadh ùghdarras leis an t-seirbheisiche a thoirt a-steach gus dìon a neartachadh an aghaidh ionnsaighean co-cheangailte ri faighinn gu goireasan air an lìonra ionadail no air coimpiutair an neach-cleachdaidh (localhost) bho sgriobtaichean a chaidh an luchdachadh nuair a dh'fhosglas tu làrach. Bidh an leithid de dh’iarrtasan air an cleachdadh le luchd-ionnsaigh gus ionnsaighean CSRF a dhèanamh air routers, puingean inntrigidh, clò-bhualadairean, eadar-aghaidh lìn corporra agus innealan is seirbheisean eile a ghabhas ri iarrtasan bhon lìonra ionadail a-mhàin. Gus dìon an aghaidh ionnsaighean mar sin, ma gheibhear cothrom air fo-ghoireasan sam bith air an lìonra a-staigh, cuiridh am brabhsair iarrtas soilleir airson cead airson na fo-ghoireasan sin a luchdachadh.

  • Nuair a dh’ fhosglas tu ceanglaichean ann am modh incognito tron ​​chlàr co-theacsa, thèid cuid de pharamadairean a bheir buaidh air prìobhaideachd a thoirt air falbh bhon URL gu fèin-ghluasadach.
  • Chaidh an ro-innleachd lìbhrigidh ùrachadh airson Windows agus Android atharrachadh. Gus coimeas nas mionaidiche a dhèanamh eadar giùlan an dreach ùr agus sean, thathas a-nis a’ cruthachadh grunn thogalaichean den dreach ùr airson an luchdachadh sìos.
  • Chaidh teicneòlas sgaradh lìonraidh a dhèanamh seasmhach gus dìon an aghaidh dhòighean air gluasadan luchd-cleachdaidh a lorg eadar làraich stèidhichte air stòradh aithnichearan ann an raointean nach eil an dùil airson fiosrachadh a stòradh gu maireannach (“Supercookies”). Leis gu bheil goireasan taisgte air an stòradh ann an àite-ainm cumanta, ge bith dè an àrainn tùsail a th’ ann, faodaidh aon làrach dearbhadh gu bheil làrach eile a’ luchdachadh ghoireasan le bhith a’ sgrùdadh a bheil an goireas sin san tasgadan. Tha an dìon stèidhichte air a bhith a’ cleachdadh sgaradh lìonra (Network Partitioning), agus is e an rud a th’ ann a bhith a’ cur ri caches co-roinnte ceangal a bharrachd de chlàran ris an àrainn bhon tèid am prìomh dhuilleag fhosgladh, a tha a’ cuingealachadh còmhdach tasgadan airson sgriobtaichean tracadh gluasad a-mhàin. chun làrach làithreach (cha bhith e comasach do sgriobt bho iframe dearbhadh an deach an goireas a luchdachadh sìos bho làrach eile). Tha roinneadh stàite a’ còmhdach ceanglaichean lìonra (HTTP/1, HTTP/2, HTTP/3, websocket), tasgadan DNS, ALPN/HTTP2, dàta TLS/HTTP3, rèiteachadh, luchdachadh sìos, agus fiosrachadh cinn Expect-CT.
  • Airson tagraidhean lìn neo-eisimeileach stàlaichte (PWA, Progressive Web App), tha e comasach dealbhadh raon tiotal na h-uinneige atharrachadh le bhith a’ cleachdadh na pàirtean Overlay Controls Window, a leudaicheas raon sgrion an tagraidh lìn chun uinneig gu lèir. Faodaidh tagradh lìn smachd a chumail air giullachd agus cuir a-steach na h-uinneige gu lèir, ach a-mhàin am bloc ath-chòmhdach le putanan smachd uinneig àbhaisteach (dùin, lughdaich, àrdaich), gus coltas tagradh deasg cunbhalach a thoirt don tagradh lìn.
    Chrome 102 saor an asgaidh
  • Anns an t-siostam fèin-lìonadh foirm, chaidh taic a chuir ris airson àireamhan chairtean creideas brìgheil a ghineadh ann an raointean le mion-fhiosrachadh pàighidh airson bathar ann an stòran air-loidhne. Le bhith a 'cleachdadh cairt bhrìgheil, a tha an àireamh air a chruthachadh airson gach pàighidh, leigidh e leat gun a bhith a' gluasad dàta mu dheidhinn cairt creideas fìor, ach feumaidh am banca an t-seirbheis riatanach a thoirt seachad. Chan eil am feart ri fhaighinn an-dràsta ach do luchd-ceannach banca na SA. Gus smachd a chumail air toirt a-steach na gnìomh, thathas a’ moladh an suidheachadh “chrome: // flags/#autofill-enable-virtual-card”.
  • Tha an uidheamachd “Capture Handle” air a chuir an gnìomh gu bunaiteach, a ’toirt cothrom dhut fiosrachadh a ghluasad gu tagraidhean a ghlacas bhidio. Tha an API ga dhèanamh comasach an eadar-obrachadh a chuir air dòigh eadar tagraidhean aig a bheil susbaint air a chlàradh agus tagraidhean a nì an clàradh. Mar eisimpleir, faodaidh tagradh co-labhairtean bhidio a tha a’ glacadh bhidio airson taisbeanadh a chraoladh fiosrachadh fhaighinn air ais mu na smachdan taisbeanaidh agus an taisbeanadh san uinneig bhidio.
  • Tha taic airson riaghailtean tuairmeasach air a chomasachadh gu bunaiteach, a’ toirt seachad co-chòrdadh sùbailte airson a bhith a’ dearbhadh an gabh dàta co-cheangailte ri ceangal a luchdachadh gu for-ghnìomhach mus cliog an neach-cleachdaidh air a’ cheangal.
  • Chaidh an uidheamachd airson goireasan pacaidh a-steach do phasganan ann an cruth Web Bundle a dhèanamh seasmhach, a’ ceadachadh àrdachadh èifeachdas luchdachadh àireamh mhòr de fhaidhlichean nan cois (stoidhlichean CSS, JavaScript, ìomhaighean, iframes). Eu-coltach ri pacaidean ann an cruth Webpack, tha na buannachdan a leanas aig cruth Web Bundle: chan e am pasgan fhèin a tha air a stòradh san tasgadan HTTP, ach na pàirtean co-phàirteach aige; bidh cruinneachadh agus coileanadh JavaScript a’ tòiseachadh gun a bhith a’ feitheamh ris a’ phacaid a luchdachadh sìos gu h-iomlan; Tha e ceadaichte goireasan a bharrachd leithid CSS agus ìomhaighean a thoirt a-steach, a dh’ fheumadh am pasgan lìn a chòdachadh ann an cruth sreangan JavaScript.
  • Tha e comasach tagradh PWA a mhìneachadh mar làimhseachadh cuid de sheòrsan MIME agus leudachadh fhaidhlichean. Às deidh dhut ceangal a mhìneachadh tron ​​​​raon file_handlers san fhollaisiche, gheibh an aplacaid tachartas sònraichte nuair a dh’ fheuchas an neach-cleachdaidh ri faidhle co-cheangailte ris an tagradh fhosgladh.
  • Chuir sinn feart inert ùr ris a leigeas leat pàirt den chraobh DOM a chomharrachadh mar “neo-ghnìomhach”. Airson nodan DOM anns an stàit seo, tha taghadh teacsa agus luchd-làimhseachaidh hover point ciorramach, i.e. Tha na tachartasan puing agus feartan CSS a thagh an neach-cleachdaidh an-còmhnaidh air an suidheachadh gu 'chan eil'. Ma dh’ fhaodadh nòta a bhith air a dheasachadh, an uairsin ann am modh inert bidh e do-dhèanta.
  • Chuir sinn ris an API Navigation, a leigeas le tagraidhean lìn casg a chuir air gnìomhachd seòlaidh uinneig, seòladh a thòiseachadh, agus sgrùdadh a dhèanamh air eachdraidh ghnìomhan leis an tagradh. Tha an API a’ toirt seachad roghainn eile seach na togalaichean window.history agus window.location, air an ùrachadh airson tagraidhean lìn aon-dhuilleag.
  • Chaidh bratach ùr, “gus an deach a lorg”, a mholadh airson a’ bhuadh “falaichte”, a nì sgrùdadh air an eileamaid air an duilleag agus gun sgrolaich le masg teacsa. Mar eisimpleir, faodaidh tu teacsa falaichte a chuir ri duilleag, agus gheibhear an susbaint ann an rannsachaidhean ionadail.
  • Anns an WebHID API, a chaidh a dhealbhadh airson ruigsinneachd aig ìre ìosal air innealan HID (innealan eadar-aghaidh daonna, meur-chlàran, luchagan, gamepads, touchpads) agus ag eagrachadh obair às aonais draibhearan sònraichte san t-siostam, chaidh an togalach dùnadh a-mach Filters a chuir ris an requestDevice ( ) nì, a leigeas leat innealan sònraichte a thoirmeasg nuair a sheallas am brabhsair liosta de na h-innealan a tha rim faighinn. Mar eisimpleir, faodaidh tu IDan inneal aig a bheil cùisean aithnichte a thoirmeasg.
  • Tha e toirmisgte foirm pàighidh a thaisbeanadh tro ghairm gu PaymentRequest.show() às aonais gnìomh cleachdaiche soilleir, mar eisimpleir, cliog air eileamaid co-cheangailte ris an neach-làimhseachaidh.
  • Chaidh stad a chuir air taic airson buileachadh eile den phròtacal SDP (Session Description Protocol) a chaidh a chleachdadh gus seisean a stèidheachadh ann an WebRTC. Thairg Chrome dà roghainn SDP - aonaichte le brobhsairean eile agus Chrome-sònraichte. Bho seo a-mach, chan eil ach an roghainn so-ghiùlain air fhàgail.
  • Chaidh leasachaidhean a dhèanamh air innealan airson luchd-leasachaidh lìn. Putanan air an cur ris a’ phannal Styles gus atharrais air cleachdadh cuspair dorcha is aotrom. Chaidh dìon an taba Ro-shealladh ann am modh sgrùdaidh lìonra a neartachadh (tha cleachdadh Poileasaidh Tèarainteachd Susbaint air a chomasachadh). Bidh an dì-bhugadair a’ cur crìoch air an sgriobt gus puingean brisidh ath-luchdachadh. Thathas air moladh gun tèid am pannal “Lèirsinnean Coileanaidh” ùr a chuir an gnìomh, a leigeas leat sgrùdadh a dhèanamh air coileanadh cuid de ghnìomhachd air an duilleag.
    Chrome 102 saor an asgaidh

A bharrachd air innleachdan agus rèiteachadh bug, tha an dreach ùr a’ cur às do 32 so-leòntachd. Chaidh mòran de na so-leòntachd a chomharrachadh mar thoradh air deuchainnean fèin-ghluasadach a’ cleachdadh na h-innealan AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer agus AFL. Chaidh ìre èiginneach de chunnart a thoirt do aon de na duilgheadasan (CVE-2022-1853), a tha a’ ciallachadh comas a dhol seachad air gach ìre de dhìon brabhsair agus còd a chuir an gnìomh air an t-siostam taobh a-muigh àrainneachd bogsa gainmhich. Cha deach mion-fhiosrachadh mun so-leòntachd seo fhoillseachadh fhathast; chan eil fios ach gu bheil e air adhbhrachadh le bhith a’ faighinn cothrom air bloc cuimhne saor (gun chleachdadh às deidh cleachdadh) ann am buileachadh API Clàr-amais DB.

Mar phàirt den phrògram duais airgid airson a bhith a’ lorg so-leòntachd san fhoillseachadh làithreach, phàigh Google 24 duais luach $65600 (aon duais $10000, aon duais $7500, dà dhuais $7000, trì duais $5000, ceithir duais $3000, dà dhuais $2000 agus dà $1000, $500 bònasan). Cha deach meud nan 7 duaisean a dhearbhadh fhathast.

Source: fosgailtenet.ru

Cuir beachd ann