ProHoster > Blog > noticias de internet > Versión de Chrome 102

Versión de Chrome 102

Google presentou a versión do navegador web Chrome 102. Ao mesmo tempo, está dispoñible unha versión estable do proxecto Chromium gratuíto, que serve como base de Chrome. O navegador Chrome diferénciase de Chromium no uso dos logotipos de Google, a presenza dun sistema de envío de notificacións en caso de fallo, módulos para reproducir contido de vídeo protexido contra copia (DRM), un sistema de instalación automática de actualizacións, habilitando permanentemente o illamento de Sandbox , proporcionando claves á API de Google e transmitindo parámetros RLZ- ao buscar. Para aqueles que necesitan máis tempo para actualizar, a rama estable estendida é compatible por separado, seguida de 8 semanas. A próxima versión de Chrome 103 está prevista para o 21 de xuño.

Cambios clave en Chrome 102:

  • Para bloquear a explotación de vulnerabilidades provocadas polo acceso a bloques de memoria xa liberados (use-after-free), en lugar de punteiros comúns, comezouse a utilizar o tipo MiraclePtr (raw_ptr). MiraclePtr ofrece un enlace sobre punteiros que realiza comprobacións adicionais nos accesos ás áreas de memoria liberadas e falla se se detectan tales accesos. O impacto do novo método de protección no rendemento e no consumo de memoria avalíase como insignificante. O mecanismo MiraclePtr non é aplicable en todos os procesos, en particular non se usa nos procesos de renderizado, pero pode mellorar significativamente a seguridade. Por exemplo, na versión actual, das 32 vulnerabilidades corrixidas, 12 foron causadas por problemas de uso despois da gratuidade.
  • Cambiouse o deseño da interface con información sobre descargas. En lugar da liña inferior con datos sobre o progreso da descarga, engadiuse un novo indicador ao panel coa barra de enderezos; ao facer clic nel, móstrase o progreso da descarga de ficheiros e un historial cunha lista de ficheiros xa descargados. A diferenza do panel inferior, o botón móstrase constantemente no panel e permítelle acceder rapidamente ao seu historial de descargas. A nova interface ofrécese actualmente por defecto só a algúns usuarios e estenderase a todos se non hai problemas. Para devolver a interface antiga ou activar unha nova, ofrécese a configuración "chrome://flags#download-bubble".
    Versión de Chrome 102
  • Cando se buscan imaxes a través do menú contextual ("Buscar imaxe con Google Lens" ou "Buscar a través de Google Lens"), agora os resultados móstranse non nunha páxina separada, senón nunha barra lateral xunto ao contido da páxina orixinal (en nunha ventá podes ver simultaneamente tanto o contido da páxina como o resultado de acceder ao buscador).
    Versión de Chrome 102
  • Na sección "Privacidade e seguridade" da configuración, engadiuse unha sección "Guía de privacidade", que ofrece unha visión xeral dos principais axustes que afectan á privacidade con explicacións detalladas do impacto de cada configuración. Por exemplo, na sección pódese definir a política de envío de datos aos servizos de Google, xestionar a sincronización, procesar cookies e gardar o historial. A función ofrécese a algúns usuarios; para activala, pode usar a configuración "chrome://flags#privacy-guide".
    Versión de Chrome 102
  • Ofrécese a estruturación do historial de busca e das páxinas vistas. Cando tentas buscar de novo, móstrase unha suxestión "Retomar a túa viaxe" na barra de enderezos, o que che permite continuar a busca desde o lugar onde se interrompeu a última vez.
    Versión de Chrome 102
  • A Chrome Web Store ofrece unha páxina "Kit de inicio de extensións" cunha selección inicial de complementos recomendados.
  • No modo de proba, o envío dunha solicitude de autorización CORS (Cross-Origin Resource Sharing) ao servidor do sitio principal coa cabeceira "Access-Control-Request-Private-Network: true" está habilitado cando a páxina accede a un recurso da rede interna ( 192.168.xx, 10.xxx, 172.16.xx) ou ao host local (128.xxx). Ao confirmar a operación en resposta a esta solicitude, o servidor debe devolver a cabeceira "Access-Control-Allow-Private-Network: true". Na versión 102 de Chrome, o resultado da confirmación aínda non afecta ao procesamento da solicitude; se non hai confirmación, móstrase un aviso na consola web, pero a propia solicitude de subrecurso non se bloquea. Non se espera habilitar o bloqueo en ausencia de confirmación do servidor ata o lanzamento de Chrome 105. Para activar o bloqueo en versións anteriores, podes activar a configuración "chrome://flags/#private-network-access-respect-preflight- resultados".

    Introduciuse a verificación da autoridade por parte do servidor para reforzar a protección contra ataques relacionados co acceso a recursos na rede local ou no ordenador do usuario (localhost) a partir de scripts cargados ao abrir un sitio. Tales solicitudes son utilizadas polos atacantes para realizar ataques CSRF a enrutadores, puntos de acceso, impresoras, interfaces web corporativas e outros dispositivos e servizos que só aceptan solicitudes da rede local. Para protexerse contra estes ataques, se se accede a algún subrecurso na rede interna, o navegador enviará unha solicitude explícita de permiso para cargar estes subrecursos.

  • Ao abrir ligazóns no modo de incógnito a través do menú contextual, algúns parámetros que afectan á privacidade elimínanse automaticamente do URL.
  • A estratexia de entrega de actualizacións para Windows e Android foi modificada. Para comparar máis completamente o comportamento das versións novas e antigas, agora xéranse varias compilacións da nova versión para descargar.
  • A tecnoloxía de segmentación da rede estabilizouse para protexerse contra métodos de seguimento dos movementos dos usuarios entre sitios baseados no almacenamento de identificadores en áreas non destinadas ao almacenamento permanente de información ("Supercookies"). Dado que os recursos almacenados na caché almacénanse nun espazo de nomes común, independentemente do dominio de orixe, un sitio pode determinar que outro sitio está cargando recursos comprobando se ese recurso está na caché. A protección baséase no uso da segmentación de rede (Network Partitioning), cuxa esencia é engadir ás cachés compartidas vinculación adicional de rexistros ao dominio desde o que se abre a páxina principal, o que limita a cobertura da caché só para os scripts de seguimento de movementos. ao sitio actual (un script dun iframe non poderá comprobar se o recurso foi descargado doutro sitio). O uso compartido de estado abarca conexións de rede (HTTP/1, HTTP/2, HTTP/3, websocket), caché DNS, datos ALPN/HTTP2, TLS/HTTP3, configuración, descargas e información de cabeceira Expect-CT.
  • Para as aplicacións web autónomas instaladas (PWA, Progressive Web App), é posible cambiar o deseño da área de título da xanela usando os compoñentes de superposición de controis de ventá, que estenden a área de pantalla da aplicación web a toda a xanela. Unha aplicación web pode controlar a representación e o procesamento de entrada de toda a xanela, coa excepción do bloque de superposición con botóns estándar de control da xanela (pechar, minimizar, maximizar), para darlle á aplicación web o aspecto dunha aplicación de escritorio normal.
    Versión de Chrome 102
  • No sistema de enchemento automático de formularios, engadiuse soporte para xerar números de tarxetas de crédito virtuais en campos con detalles de pago para produtos en tendas en liña. O uso dunha tarxeta virtual, cuxo número se xera para cada pago, permite non transferir datos sobre unha tarxeta de crédito real, pero require a prestación do servizo necesario por parte do banco. Actualmente, a función só está dispoñible para os clientes dos bancos estadounidenses. Para controlar a inclusión da función, proponse a configuración "chrome://flags/#autofill-enable-virtual-card".
  • O mecanismo "Capture Handle" está activado por defecto, o que lle permite transferir información ás aplicacións que capturan vídeo. A API permite organizar a interacción entre as aplicacións cuxo contido se grava e as que realizan a gravación. Por exemplo, unha aplicación de videoconferencia que está a capturar vídeo para transmitir unha presentación pode recuperar información sobre os controis da presentación e mostralos na xanela de vídeo.
  • A compatibilidade con regras especulativas está habilitada de forma predeterminada, proporcionando unha sintaxe flexible para determinar se os datos relacionados coa ligazón poden cargarse de forma proactiva antes de que o usuario faga clic na ligazón.
  • Estabilizouse o mecanismo para empaquetar recursos en paquetes no formato Web Bundle, o que permite aumentar a eficiencia de carga dun gran número de ficheiros acompañantes (estilos CSS, JavaScript, imaxes, iframes). A diferenza dos paquetes no formato Webpack, o formato Web Bundle ten as seguintes vantaxes: non é o propio paquete o que se almacena na caché HTTP, senón os seus compoñentes; a compilación e execución de JavaScript comeza sen esperar a que o paquete estea completamente descargado; Permítese incluír recursos adicionais como CSS e imaxes, que no webpack terían que ser codificados en forma de cadeas JavaScript.
  • É posible definir unha aplicación PWA como un controlador de certos tipos MIME e extensións de ficheiros. Despois de definir unha ligazón a través do campo file_handlers no manifesto, a aplicación recibirá un evento especial cando o usuario intente abrir un ficheiro asociado á aplicación.
  • Engadiuse un novo atributo inerte que che permite marcar parte da árbore DOM como "inactiva". Para os nós DOM neste estado, os controladores de selección de texto e de paso do punteiro están desactivados, é dicir. Os eventos do punteiro e as propiedades CSS seleccionadas polo usuario están sempre configuradas como "ningunha". Se se pode editar un nodo, en modo inerte non se pode editar.
  • Engadiuse a API de navegación, que permite que as aplicacións web intercepten as operacións de navegación por ventás, inicien a navegación e analicen o historial de accións coa aplicación. A API ofrece unha alternativa ás propiedades window.history e window.location, optimizadas para aplicacións web dunha soa páxina.
  • Propúxose unha nova bandeira, "ata que se atopa", para o atributo "oculto", que fai que o elemento se poida buscar na páxina e desprazarse por máscara de texto. Por exemplo, pode engadir texto oculto a unha páxina, cuxo contido se atopará nas buscas locais.
  • Na API de WebHID, deseñada para o acceso de baixo nivel a dispositivos HID (dispositivos de interface humana, teclados, ratos, gamepads, touchpads) e para organizar o traballo sen a presenza de controladores específicos no sistema, a propiedade exclusionFilters engadiuse ao requestDevice( ), que lle permite excluír determinados dispositivos cando o navegador mostra unha lista de dispositivos dispoñibles. Por exemplo, pode excluír os ID de dispositivos que teñan problemas coñecidos.
  • Está prohibido mostrar un formulario de pago mediante unha chamada a PaymentRequest.show() sen unha acción explícita do usuario, por exemplo, facendo clic nun elemento asociado ao controlador.
  • O soporte para unha implementación alternativa do protocolo SDP (Session Description Protocol) usado para establecer unha sesión en WebRTC foi descontinuado. Chrome ofreceu dúas opcións SDP: unificadas con outros navegadores e específicas para Chrome. A partir de agora só queda a opción portátil.
  • Realizáronse melloras nas ferramentas para desenvolvedores web. Engadíronse botóns ao panel Estilos para simular o uso dun tema escuro e claro. Reforzouse a protección da pestana Vista previa no modo de inspección de rede (a aplicación da Política de seguranza de contidos está activada). O depurador implementa a terminación do script para recargar os puntos de interrupción. Propúxose unha implantación preliminar do novo panel "Performance insights", que permite analizar o rendemento de determinadas operacións na páxina.
    Versión de Chrome 102

Ademais de innovacións e correccións de erros, a nova versión elimina 32 vulnerabilidades. Moitas das vulnerabilidades identificáronse como resultado de probas automatizadas mediante as ferramentas AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. A un dos problemas (CVE-2022-1853) asignouse un nivel crítico de perigo, o que implica a posibilidade de eludir todos os niveis de protección do navegador e executar código no sistema fóra do entorno sandbox. Aínda non se revelaron os detalles desta vulnerabilidade; só se sabe que se produce ao acceder a un bloque de memoria liberado (use-after-free) na implementación da API de base de datos indexada.

Como parte do programa de recompensas en metálico para descubrir vulnerabilidades da versión actual, Google pagou 24 premios por valor de 65600 USD (un premio de 10000 USD, un premio de 7500 USD, dous premios de 7000 USD, tres premios de 5000 USD, catro premios de 3000 USD, dous premios de 2000 USD e dous 1000 USD bonos de $500). O tamaño das 7 recompensas aínda non se determinou.

Fonte: opennet.ru

Engadir un comentario