Versión de Chrome 98

Google presentou a versión do navegador web Chrome 98. Ao mesmo tempo, está dispoñible unha versión estable do proxecto Chromium gratuíto, que é a base de Chrome. O navegador Chrome distínguese polo uso de logotipos de Google, a presenza dun sistema para enviar notificacións en caso de falla, módulos para reproducir contido de vídeo protexido contra copia (DRM), un sistema de actualización automática e transmisión ao buscar RLZ. parámetros. A próxima versión de Chrome 99 está programada para o 1 de marzo.

Cambios clave en Chrome 98:

• O navegador ten o seu propio almacén de certificados raíz das autoridades de certificación (Chrome Root Store), que se utilizarán en lugar de tendas externas específicas de cada sistema operativo. O almacén está implementado de xeito similar ao almacén independente de certificados raíz en Firefox, que se usa como primeira ligazón para comprobar a cadea de confianza do certificado ao abrir sitios a través de HTTPS. O novo almacenamento aínda non se utiliza por defecto. Para facilitar a transición das configuracións de almacenamento do sistema e garantir a portabilidade, haberá un período de transición durante o cal Chrome Root Store incluirá unha selección completa de certificados aprobados na maioría das plataformas compatibles.
• O plan para reforzar a protección contra ataques relacionados co acceso a recursos na rede local ou no ordenador do usuario (localhost) a partir de scripts cargados ao abrir o sitio continúase implementando. Tales solicitudes son utilizadas polos atacantes para realizar ataques CSRF a enrutadores, puntos de acceso, impresoras, interfaces web corporativas e outros dispositivos e servizos que só aceptan solicitudes da rede local.

  Para protexerse contra estes ataques, se se accede a algún subrecurso na rede interna, o navegador comezará a enviar unha solicitude explícita de permiso para descargar tales subrecursos. A solicitude de permisos realízase enviando unha solicitude CORS (Cross-Origin Resource Sharing) coa cabeceira "Access-Control-Request-Private-Network: true" ao servidor do sitio principal antes de acceder á rede interna ou localhost. Ao confirmar a operación en resposta a esta solicitude, o servidor debe devolver a cabeceira "Access-Control-Allow-Private-Network: true". En Chrome 98, a comprobación implícase no modo de proba e, se non hai confirmación, móstrase un aviso na consola web, pero a propia solicitude de subrecurso non se bloquea. Non está previsto que se active o bloqueo ata que se publique Chrome 101.

• A configuración da conta integra ferramentas para xestionar a inclusión da Navegación segura mellorada, que activa comprobacións adicionais para protexerse contra phishing, actividade maliciosa e outras ameazas na web. Cando actives un modo na túa conta de Google, solicitaráselle que actives o modo en Chrome.
• Engadiuse un modelo para detectar intentos de phishing no lado do cliente, implementado mediante a plataforma de aprendizaxe automática TFLite (TensorFlow Lite) e que non require o envío de datos para realizar a verificación no lado de Google (neste caso, a telemetría envíase con información sobre a versión do modelo). e pesos calculados para cada categoría). Se se detecta un intento de phishing, o usuario mostrará unha páxina de aviso antes de abrir o sitio sospeitoso.
• Na API Client Hints, que se está a desenvolver como substituto da cabeceira User-Agent e que permite enviar de forma selectiva datos sobre parámetros específicos do navegador e do sistema (versión, plataforma, etc.) só despois dunha solicitude do servidor. posible substituír nomes ficticios na lista de identificadores do navegador, segundo analoxías co mecanismo GREASE (Generate Random Extensions And Sustain Extensibility) usado en TLS. Por exemplo, ademais de '"Chrome"; v="98"" e ""Chromium"; v="98″' un identificador aleatorio dun navegador inexistente ""(Non; Navegador"; v="12″" pódese engadir á lista. Esta substitución axudará a identificar problemas co procesamento de identificadores de navegadores descoñecidos, o que leva ao feito de que os navegadores alternativos se vexan obrigados a facerse pasar por outros navegadores populares para evitar a verificación das listas de navegadores aceptables.
• A partir do 17 de xaneiro, a Chrome Web Store xa non acepta complementos que utilicen a versión 2023 do manifesto de Chrome. Agora só se aceptarán novas incorporacións coa terceira versión do manifesto. Os desenvolvedores de complementos engadidos anteriormente aínda poderán publicar actualizacións coa segunda versión do manifesto. A desaprobación completa da segunda versión do manifesto está prevista para xaneiro de XNUMX.
• Engadiuse compatibilidade con fontes vectoriais de cor no formato COLRv1 (un subconxunto de fontes OpenType que conteñen, ademais de glifos vectoriais, unha capa con información sobre cores), que se poden usar, por exemplo, para crear emojis multicolores. A diferenza do formato COLRv0 admitido anteriormente, COLRv1 agora ten a capacidade de usar degradados, superposicións e transformacións. O formato tamén ofrece un formato de almacenamento compacto, ofrece compresión eficiente e permite a reutilización do esquema, o que permite reducir significativamente o tamaño da fonte. Por exemplo, a fonte Noto Color Emoji ocupa 9 MB en formato ráster e 1 MB en formato vectorial COLRv1.85.
• O modo Origin Trials (funcións experimentais que requiren unha activación separada) implementa a API de captura de rexión, que che permite recortar o vídeo capturado. Por exemplo, pode ser necesario recortar en aplicacións web que capturan vídeo co contido da súa pestana, para recortar determinado contido antes de enviar. Origin Trial implica a posibilidade de traballar coa API especificada desde aplicacións descargadas desde localhost ou 127.0.0.1, ou despois de rexistrarse e recibir un token especial que é válido por un tempo limitado para un sitio específico.
• A propiedade CSS "contain-intrinsic-size" agora admite o valor "auto", que usará o último tamaño lembrado do elemento (cando se usa con "content-visibility: auto", o desenvolvedor non ten que adiviñar o tamaño renderizado do elemento) .
• Engadida a propiedade AudioContext.outputLatency, a través da cal podes atopar información sobre o atraso previsto antes da saída de audio (o atraso entre a solicitude de audio e o inicio do procesamento dos datos recibidos polo dispositivo de saída de audio).
• Esquema de cores da propiedade CSS, que permite determinar en que esquemas de cores se pode mostrar correctamente un elemento ("claro", "escuro", "modo día" e "modo nocturno"), engadiuse o parámetro "só". para evitar esquemas de cambios de cor forzados para elementos HTML individuais. Por exemplo, se especifica "div { esquema de cores: só claro }", entón só se usará o tema claro para o elemento div, aínda que o navegador obligue a activar o tema escuro.
• Engadiuse compatibilidade para consultas multimedia de "rango dinámico" e "rango dinámico de vídeo" a CSS para determinar se unha pantalla admite HDR (High Dynamic Range).
• Engadiuse a posibilidade de escoller se abrir unha ligazón nunha nova pestana, unha nova ventá ou unha ventá emerxente á función window.open(). Ademais, a propiedade window.statusbar.visible agora devolve "false" para as ventás emerxentes e "true" para as pestanas e fiestras. const emerxente = window.open('_blank',",'popup=1′); // Abrir nunha ventá emerxente const tab = window.open('_blank',,"'popup=0′); // Abrir na pestana
• Implementouse o método structuredClone() para fiestras e traballadores, que permite crear copias recursivas de obxectos que inclúen non só propiedades do obxecto especificado, senón tamén de todos os demais obxectos referenciados polo obxecto actual.
• A API de autenticación web engadiu compatibilidade coa extensión de especificación FIDO CTAP2, que che permite establecer o tamaño mínimo de código PIN permitido (minPinLength).
• Para as aplicacións web autónomas instaladas, engadiuse o compoñente Superposición de controis de ventá, que estende a área de pantalla da aplicación a toda a fiestra, incluída a área do título, na que se atopan os botóns estándar de control da ventá (pechar, minimizar, maximizar). ) se superpoñen. A aplicación web pode controlar a representación e o procesamento de entrada de toda a xanela, excepto o bloque de superposición con botóns de control da xanela.
• Engadiuse unha propiedade de manexo de sinal a WritableStreamDefaultController que devolve un obxecto AbortSignal, que se pode usar para deter inmediatamente as escrituras nun WritableStream sen esperar a que se completen.
• WebRTC eliminou o soporte para o mecanismo de acordo de clave SDES, que foi desaprobado polo IETF en 2013 debido a problemas de seguridade.
• De forma predeterminada, a API U2F (Cryptotoken) está desactivada, que anteriormente estaba en desuso e substituíu pola API de autenticación web. A API U2F eliminarase por completo en Chrome 104.
• No Directorio da API, o campo install_browser_version quedou en desuso, substituído por un novo campo pending_browser_version, que se diferencia en que contén información sobre a versión do navegador, tendo en conta as actualizacións descargadas pero non aplicadas (é dicir, a versión que será válida despois do reiniciarase o navegador).
• Elimináronse as opcións que permitían devolver a compatibilidade con TLS 1.0 e 1.1.
• Realizáronse melloras nas ferramentas para desenvolvedores web. Engadiuse unha pestana para avaliar o funcionamento da caché Atrás adiante, que proporciona navegación instantánea cando se usan os botóns Atrás e Adelante. Engadiuse a capacidade de emular solicitudes multimedia de cores forzadas. Engadíronse botóns ao editor Flexbox para admitir as propiedades inversas de fila e de columna. A pestana "Cambios" garante que se mostren os cambios despois de formatar o código, o que simplifica a análise das páxinas reducidas.

  A implementación do panel de revisión de código actualizouse ata o lanzamento do editor de código CodeMirror 6, que mellora significativamente o rendemento de traballar con ficheiros moi grandes (WASM, JavaScript), resolve problemas con compensacións aleatorias durante a navegación e mellora as recomendacións de o sistema de autocompletado ao editar o código. A capacidade de filtrar a saída polo nome ou valor da propiedade engadiuse ao panel de propiedades CSS.

  

Ademais de innovacións e correccións de erros, a nova versión elimina 27 vulnerabilidades. Moitas das vulnerabilidades identificáronse como resultado de probas automatizadas mediante as ferramentas AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Non se identificaron problemas críticos que permitan ignorar todos os niveis de protección do navegador e executar código no sistema fóra do entorno sandbox. Como parte do programa de recompensas en metálico para descubrir vulnerabilidades para a versión actual, Google pagou 19 premios por valor de 88 dólares (dous premios de 20000 dólares, un de 12000 dólares, dous de 7500 dólares, catro premios de 1000 dólares e un de 7000, 5000 e 3000 dólares.

Fonte: opennet.ru