Sgaoileadh Chrome 118: Ag ullachadh gus briosgaidean treas-phàrtaidh a bhacadh ann an Chrome

Tha Google air foillseachadh brabhsair lìn Chrome 118. Aig an aon àm, tha foillseachadh seasmhach den phròiseact Chromium an-asgaidh, a tha mar bhunait Chrome, ri fhaighinn. Tha brabhsair Chrome eadar-dhealaichte bho Chromium ann an cleachdadh suaicheantasan Google, làthaireachd siostam airson fiosan a chuir ma thachras tubaist, modalan airson a bhith a’ cluich susbaint bhidio dìon-lethbhreac (DRM), siostam airson ùrachaidhean a chuir a-steach gu fèin-ghluasadach, a’ comasachadh iomallachd Sandbox gu maireannach. , a 'toirt seachad iuchraichean gu API Google agus a' sgaoileadh RLZ- nuair a bhios tu a 'rannsachadh. Dhaibhsan a dh’ fheumas barrachd ùine airson ùrachadh, tha am meur Stàbaill Leudaichte a’ faighinn taic air leth, le 8 seachdainean às a dhèidh. Tha an ath fhoillseachadh de Chrome 119 clàraichte airson 31 Dàmhair.

Prìomh atharrachaidhean ann an Chrome 118:

• Tha ullachadh air tòiseachadh airson Chrome gus stad a chuir air a bhith a’ toirt taic do bhriosgaidean treas-phàrtaidh a tha air an suidheachadh nuair a gheibh thu cothrom air làraich eile seach àrainn na duilleige làithreach. Bithear a’ cleachdadh briosgaidean mar seo gus sùil a chumail air gluasadan luchd-cleachdaidh eadar làraich ann an còd lìonraidhean sanasachd, widgets lìonra sòisealta agus siostaman anailis lìn. Thathas a’ putadh na h-atharrachaidhean tron ​​iomairt Bogsa-gainmhich Dìomhaireachd, a tha ag amas air co-rèiteachadh a ruighinn eadar feum luchd-cleachdaidh air prìobhaideachd agus miann lìonraidhean sanasachd agus làraich gus sùil a chumail air roghainnean luchd-tadhail.

  Ann an Chrome 118, tha Innealan Leasachaidh Lìn a-nis a’ toirt rabhadh nuair a thèid briosgaidean a chuir a dh’ fhaodadh a bhith air am bacadh san àm ri teachd. Chuir sinn cuideachd roghainn loidhne-àithne “—test-third-party-cookie-phaseout” agus suidheachadh “chrome: // flags/#test-third-party-cookie-phaseout” gus toirt air bacadh a bhith air a chomasachadh airson adhbharan deuchainn. Tòisichidh fìor bhacadh briosgaidean treas-phàrtaidh anns a’ chiad ràithe de 2024 agus cha toir e buaidh ach air 1% de luchd-cleachdaidh Chrome ann an ùine deuchainn chun treas ràithe. Às deidh an treas ràith de 2024, thèid an còmhdach bacaidh àrdachadh gu 100%.

  An àite a bhith a’ cumail sùil air briosgaidean, thathas a’ moladh na APIan a leanas a chleachdadh:

  • Leigidh FedCM (Riaghladh Teisteanas Feadarail) dhut seirbheisean dearbh-aithne aonaichte a chruthachadh a nì cinnteach à prìobhaideachd agus obrachadh às aonais briosgaidean treas-phàrtaidh.
  • Leigidh Comharran Stàite Prìobhaideach leat diofar luchd-cleachdaidh a sgaradh gun a bhith a’ cleachdadh aithnichearan thar-làraich agus fiosrachadh dearbhte luchd-cleachdaidh a ghluasad eadar diofar cho-theacsan.
  • Tha Cuspairean (càineadh) a’ toirt seachad comas air roinnean de dh’ ùidhean luchd-cleachdaidh a mhìneachadh a dh’fhaodar a chleachdadh gus buidhnean de luchd-cleachdaidh aig a bheil ùidhean co-chosmhail a chomharrachadh gun a bhith ag aithneachadh luchd-cleachdaidh fa-leth a’ cleachdadh briosgaidean tracadh. Tha ùidhean air an tomhas a rèir gnìomhachd brabhsaidh an neach-cleachdaidh agus air an stòradh air inneal an neach-cleachdaidh. A’ cleachdadh an API Cuspairean, faodaidh lìonra sanasachd fiosrachadh coitcheann fhaighinn mu ùidhean fa leth gun a bhith eòlach air gnìomhachd luchd-cleachdaidh sònraichte.
  • Luchd-èisteachd fo dhìon, fuasgladh fhaighinn air duilgheadasan retargeting agus measadh a dhèanamh air an luchd-èisteachd agad fhèin (ag obair le luchd-cleachdaidh a tha mar-thà air tadhal air an làraich roimhe).
  • Leigidh Aithris Buadhachaidh leat measadh a dhèanamh air feartan èifeachdas sanasachd mar eadar-ghluasadan agus tionndadh (ceannach air an làrach às deidh an eadar-ghluasaid).
  • Faodar an Storage Access API a chleachdadh gus cead iarraidh bhon neach-cleachdaidh faighinn gu stòradh Cookie ma tha briosgaidean treas-phàrtaidh air am bacadh gu bunaiteach.
• Tha taic airson uidheamachd ECH (Hello Client Encrypted) air a chomasachadh don h-uile neach-cleachdaidh, a tha a’ leantainn air adhart le leasachadh ESNI (Comhradh Ainm Freiceadan Crioptaichte) agus air a chleachdadh gus fiosrachadh a chrioptachadh mu pharamadairean seisean TLS, leithid an t-ainm fearainn a chaidh iarraidh. Is e am prìomh eadar-dhealachadh eadar ECH agus ESNI, an àite a bhith a’ crioptachadh aig ìre raointean fa leth, gu bheil ECH a’ crioptachadh an teachdaireachd TLS ClientHello gu lèir, a leigeas leat casg a chuir air aoidion tro raointean nach eil ESNI a’ còmhdach, mar eisimpleir, am PSK (Ro-Shared). Key) achadh. Gus smachd a chumail air a bheil ECH air a chomasachadh, tha an suidheachadh “chrome: // flags # encrypted-client-hello” air a thoirt seachad.
• Nuair a bheir thu comas dìon brobhsair leasaichte (Brabhsadh Sàbhailte> Dìon leasaichte), tha e comasach a-nis cuir à comas tuilleadan droch-rùnach a chaidh a chuir a-steach taobh a-muigh a’ chatalog tuilleadan àbhaisteach. Tha an co-dhùnadh a thoirt air falbh air a dhèanamh air frithealaichean Google stèidhichte air sgrùdadh làimhe no às deidh siostam fèin-ghluasadach airson còd droch-rùnach a lorg.
• Nuair a bhios dìon àbhaisteach brabhsair air a chomasachadh (Brabhsadh Sàbhailte > Dìon àbhaisteach), thèid sgrùdadh tèarainteachd fìor-ùine a chur an gnìomh air URLan fosgailte, stèidhichte air an tar-chur gu frithealaichean Google a’ cleachdadh hashes pàirteach bho na URLan a dh’fhosgail an neach-cleachdaidh. Gus casg a chur air maidseadh. Seòlaidhean IP Thèid an dàta cleachdaiche agus an hash a thar-chur tro phrogsaidh eadar-mheadhanach. Roimhe seo, bhiodh sgrùdadh air a dhèanamh le bhith a’ luchdachadh sìos leth-bhreac ionadail den liosta de URLan mì-shàbhailte gu siostam an neach-cleachdaidh. Leigidh an sgeama ùr le URLan droch-rùnach a bhacadh nas luaithe.
• Chaidh leasachadh a dhèanamh air dealbhadh nan duilleagan a chaidh a thaisbeanadh nuair a thathar a’ feuchainn ri làrach fhosgladh a chaidh a lorg a bha mì-shàbhailte nuair a chaidh a sganadh tron ​​inneal Brabhsadh Sàbhailte.
• Tha telemetry air a chuir gu frithealaichean Google nuair a tha Dìon Brobhsaidh Meudaichte air a chomasachadh (Brabhsadh Sàbhailte> Dìon Leasaichte) a-nis a’ toirt a-steach fiosan gu tuilleadan API chrome.tabs. Tha dàta air a chruinneachadh gus gnìomhachd droch-rùnach agus brisidhean poileasaidh ann an tuilleadan a chomharrachadh.
• Nuair a bheir thu comas do dhìon brabhsair adhartach (Brabhsadh Sàbhailte> Dìon leasaichte), tha taic ri sganadh domhainn de thasglannan ZIP agus RAR crioptaichte air taobh Google (thèid iarraidh air an neach-cleachdaidh facal-faire dì-phapadh, às deidh sin thèid an susbaint a chuir gu frithealaichean Google airson sganadh) .
• Chaidh teacsa ùr a chur ris an Configurator and Privacy Guide gus na h-ìrean dìon Brabhsadh Sàbhailte a mhìneachadh agus chaidh ceanglaichean gu artaigilean co-cheangailte le fiosrachadh a bharrachd a chur ris. Tuairisgeulan nas sìmplidhe air dìon àbhaisteach, dìon neo-chomasach, agus rabhaidhean co-rèiteachaidh facal-faire.
• Chaidh fiosrachadh mu na tha ri fhaighinn de lasachaidhean a chur ris an roinn Quests (a’ cumail sùil air prìsean ann an stòran air-loidhne) air duilleag nan tabaichean ùra. Faodaidh an comharra lasachaidh nochdadh anns a’ bhàr seòlaidh cuideachd nuair a dh’fhosglas tu duilleagan le toraidhean bho stòran air-loidhne air an leantainn le Google.
• A rèir an t-sònrachadh RFC-6265bis, tha a h-uile briosgaid anns a bheil caractaran smachd agus air an suidheachadh tro JavaScript air am bacadh. Roimhe sin, chaidh briosgaidean le caractaran null, tilleadh carbaid, agus biadhan loidhne a ghearradh aig a’ charactar trioblaideach seach a bhith air am bacadh, a ghabhadh a chleachdadh airson adhbharan droch-rùnach ann an cuid de shuidheachaidhean. Gus an giùlan ùr a chur à comas, faodaidh tu an roghainn “--disable-features=BlockTrncatedCookies” a chleachdadh.
• Tha cead aig luchd-obrach seirbheis a tha clàraichte le tuilleadan faighinn gu WebUSB API.
• Tha an fheum air an neach-cleachdaidh a chur an gnìomh an-toiseach an comas a bhith a 'taisbeanadh còmhraidhean airson a bhith ag iarraidh agus a' dearbhadh pàighidhean air a thoirt air falbh.
• Sguir sinn de chòdachadh riochdachadh charactaran ASCII mar chòdan "%xx". Mar eisimpleir, roimhe seo chaidh “http://example.com/%41” a chòdachadh gu “http://example.com/A” mus deach a sgrìobhadh gu url.href, ach a-nis fanaidh e “http://example. com/% 41" "
• Chuir sinn ris a’ chomas teacsa a chuir gu dìreach ann an cruth lìn eileamaidean tagh, meatair, adhartas, putan, raon teacsa agus cuir a-steach. Tha suidheachadh teacsa ann am foirmean air a shuidheachadh a’ cleachdadh modh sgrìobhaidh seilbh CSS, as urrainn na luachan inghearach-rl no inghearach-lr a ghabhail airson taisbeanadh dìreach.
• Chan eil an togalach CSS “coltas” a-nis a’ toirt taic do phrìomh fhaclan neo-àbhaisteach: putan-snìomh a-staigh, sleamhnachan-meadhain, sleamhnag-meadhain, sleamhnag-mheadhain, sleamhnachan-meadhain-lìonaidh, putan-putaidh, putan-sguabaidh-cuir às, sleamhnag - còmhnard, sliderthumb-còmhnard, sliderthumb-inghearach agus putan ceàrnagach. Gus measadh a dhèanamh air an iarrtas airson na prìomh fhaclan sin nach robh air an toirt a-steach don t-sònrachadh, chaidh staitistig a chruinneachadh, a rèir an deach an cleachdadh a-mhàin ann an 0.001% de chùisean.
• Riaghailt @scope CSS air a chur ris, a tha a’ ceangal stoidhlichean CSS a’ toirt aire do cho faisg ‘s a tha mìneachadh stoidhle air na h-eileamaidean. Faodar an riaghailt @scope a chleachdadh gus faighinn seachad air an stoidhle àbhaisteach stèidhichte air òrdugh nan eileamaidean, no gus stoidhle co-phàirt atharrachadh gun a bhith a’ toirt buaidh air stoidhlichean nan eileamaidean neadachaidh aige. Mar eisimpleir, airson divs neadachaidh: Tha mi aotrom pinc! Pink eadar-dhealaichte! bidh dath pinc aotrom air a h-uile susbaint mar thoradh air buaidh an stoidhle “lightpink-theme” a tha air a shònrachadh anns a ’phàrant div air a’ bhloc gu lèir. Le bhith a’ cleachdadh @scope faodaidh tu an raon atharrachadh agus toirt air an div neadachaidh a bhith air ainmeachadh mar “pink-theme” stèidhichte air cho faisg ‘s a tha mìneachadh an stoidhle, seach òrdugh a’ mhìneachaidh sa chòd: @scope (.pink-theme) { a {dath: hotpink; } } @scope (.lightpink-theme){ a { color: lightpink; } }
• Taic a bharrachd airson ceist nam meadhanan (@media) “scripting”, a leigeas leat sgrùdadh a dhèanamh air a’ chomas air sgriobtaichean a chuir an gnìomh (mar eisimpleir, ann an CSS faodaidh tu dearbhadh a bheil taic JavaScript air a chomasachadh).
• Taic a bharrachd airson a’ cheist mheadhanan prefers-reduced-transparency, a leigeas le atharrachadh a mhìneachadh anns na roghainnean siostaim a tha an urra ri bhith a’ lughdachadh cleachdadh buaidhean follaiseachd no tar-shoilleireachd (mar eisimpleir, am modh “Lùghdaich follaiseachd” ann an macOS, air a chleachdadh gus so-leughaidh an teacsa a leasachadh).
• Taic a bharrachd airson luachan ùra "float: inline-start", "float: inline-end", "soilleir: inline-start", "soilleir: inline-end", "ath-mheudachadh: bloc", "ath-mheudachadh: inline" ann an CSS. a’ cumail smachd air suidheachadh loidsigeach eileamaidean (gus taic a thoirt do chànanan nach eil sgrìobhte bho mhullach gu bonn agus clì gu deas, tha suidheachadh loidsigeach a’ cleachdadh bun-bheachdan toiseach, deireadh, agus stiùireadh teacsa).
• Tha an togalach CSS “transform-box” a-nis a’ toirt taic do luachan bogsa stròc, bogsa susbaint, agus bogsa crìche, a’ toirt cothrom dhut an dòigh airson an raon iomraidh airson obair cruth-atharrachaidh atharrachadh, mar eisimpleir, gus buaidhean grafaigeach adhartach a chuir an gnìomh.
• Chuir sinn ris a’ chomas fòcas a chuir air blocaichean scrollaidh nuair a bhios tu a’ seòladh a’ cleachdadh a’ mheur-chlàr (mar eisimpleir, faodar fòcas air scrollaidh a shuidheachadh le putadh air an iuchair Tab agus scrollaich leis na h-iuchraichean cùrsair).
• Chaidh leasachaidhean a dhèanamh air innealan airson luchd-leasachaidh lìn. Chaidh comasan a’ phannal Stòran a leudachadh, anns a bheil, an àite na h-earrainn “Filesystem”, tab “Obair-obrach” air a thabhann, tron ​​urrainn dhut atharrachaidhean a chaidh a chur ris tro innealan leasaiche a shioncronachadh le faidhlichean stòr.

  Tha e comasach òrdugh nan tabaichean atharrachadh sa phannal Stòran le bhith gan gluasad leis an luchag ann am modh slaodadh is leigeil às. A’ dèanamh cinnteach gu bheil cruth còd JavaScript freumhaichte ann an eileamaidean sgriobt le modal seòrsa, mapa in-mhalairt agus riaghailtean tuairmeas. Chaidh soilleireachadh co-chàradh a chur ris airson sgriobtaichean le seòrsachan in-mhalairt agus riaghailtean tuairmeas.

  

  Anns a 'phannal Elements, anns an taba Styles, chaidh earrann air leth a chur ris airson feartan àbhaisteach, a' toirt cothrom dhut na feartan CSS agad fhèin a mhìneachadh gun a bhith a 'ruith JavaScript. Bidh toraidhean rannsachaidh a-nis a’ taisbeanadh a h-uile maids ann an sreang, chan e dìreach a’ chiad mhaidse, a tha feumail nuair a bhios tu a’ sgrùdadh fhaidhlichean JavaScript a chaidh a phacaigeadh gus meud a lughdachadh (cliog air toradh a’ fosgladh am faidhle san deasaiche agus a’ scrolladh gu dìreach agus gu còmhnard gus an suidheachadh a shealltainn lorg).

  

A bharrachd air innleachdan agus rèiteachadh bug, tha an dreach ùr a’ cur às do 20 so-leòntachd. Chaidh mòran de na so-leòntachd a chomharrachadh mar thoradh air deuchainnean fèin-ghluasadach a’ cleachdadh na h-innealan AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer agus AFL. Am measg rudan eile, tha an sgaoileadh ùr a’ cur às don so-leòntachd èiginneach CVE-2023-5218 co-cheangailte ri ruigsinneachd cuimhne às deidh saoradh (Cleachdadh às deidh an-asgaidh) ann an uidheamachd aonaranachd na làraich. Leigidh an so-leòntachd dhut faighinn seachad air gach ìre de dhìon brabhsair agus cuir an gnìomh còd air an t-siostam taobh a-muigh àrainneachd bogsa gainmhich. Mar phàirt den phrògram duais airgid airson a bhith a’ lorg so-leòntachd san fhoillseachadh làithreach, phàigh Google 14 duais luach $30,5 mìle (aon duais $6000, dà dhuais $5000, dà dhuais $3000, aon duais $2000, sia duaisean $1000 agus aon duais $500). ). Cha deach meud aon duais a dhearbhadh fhathast.

Source: fosgailtenet.ru