ProHoster > Blog > internetske vijesti > Chrome izdanje 102

Chrome izdanje 102

Google je predstavio izdanje web preglednika Chrome 102. U isto vrijeme dostupno je stabilno izdanje besplatnog projekta Chromium koji služi kao osnova Chromea. Preglednik Chrome razlikuje se od Chromiuma u korištenju Googleovih logotipa, prisutnosti sustava za slanje obavijesti u slučaju pada, modula za reprodukciju videosadržaja zaštićenog od kopiranja (DRM), sustava za automatsko instaliranje ažuriranja, trajnog omogućavanja izolacije Sandboxa , dobavljajući ključeve za Google API i odašilju RLZ- prilikom pretraživanja parametara. Za one kojima treba više vremena za ažuriranje, proširena stabilna grana je zasebno podržana, nakon čega slijedi 8 tjedana. Sljedeće izdanje Chromea 103 zakazano je za 21. lipnja.

Ključne promjene u Chromeu 102:

  • Za blokiranje iskorištavanja ranjivosti uzrokovanih pristupom već oslobođenim memorijskim blokovima (use-after-free), umjesto običnih pokazivača, počeo se koristiti tip MiraclePtr (raw_ptr). MiraclePtr pruža povezivanje preko pokazivača koji obavlja dodatne provjere pristupa oslobođenim memorijskim područjima i ruši se ako se takvi pristupi otkriju. Utjecaj nove metode zaštite na performanse i potrošnju memorije ocjenjuje se zanemarivim. MiraclePtr mehanizam nije primjenjiv u svim procesima, posebice se ne koristi u procesima renderiranja, ali može značajno poboljšati sigurnost. Na primjer, u trenutnom izdanju, od 32 popravljene ranjivosti, 12 je uzrokovano problemima korištenja nakon besplatnog korištenja.
  • Promijenjen je dizajn sučelja s informacijama o preuzimanjima. Umjesto donjeg retka s podacima o tijeku preuzimanja, na panelu s adresnom trakom dodan je novi indikator na koji se klikom prikazuje tijek preuzimanja datoteka te povijest s popisom već preuzetih datoteka. Za razliku od donje ploče, gumb je stalno prikazan na ploči i omogućuje vam brz pristup povijesti preuzimanja. Novo sučelje trenutačno je standardno ponuđeno samo nekim korisnicima i bit će prošireno na sve ako ne bude problema. Da biste vratili staro sučelje ili omogućili novo, dostupna je postavka "chrome://flags#download-bubble".
    Chrome izdanje 102
  • Kada tražite slike putem kontekstnog izbornika ("Traži sliku pomoću Google objektiva" ili "Pronađi putem Google objektiva"), rezultati se sada ne prikazuju na zasebnoj stranici, već u bočnoj traci pored sadržaja originalne stranice (u u jednom prozoru možete istovremeno vidjeti i sadržaj stranice i rezultat pristupa tražilici).
    Chrome izdanje 102
  • U odjeljku postavki "Privatnost i sigurnost" dodan je odjeljak "Vodič po privatnosti" koji nudi opći pregled glavnih postavki koje utječu na privatnost s detaljnim objašnjenjima utjecaja svake postavke. Na primjer, u odjeljku možete definirati pravila za slanje podataka Googleovim uslugama, upravljati sinkronizacijom, obradom kolačića i spremanjem povijesti. Funkcija je ponuđena nekim korisnicima; da biste je aktivirali, možete koristiti postavku “chrome://flags#privacy-guide”.
    Chrome izdanje 102
  • Omogućeno je strukturiranje povijesti pretraživanja i pregledanih stranica. Kada ponovno pokušate pretraživati, u adresnoj traci prikazuje se savjet "Nastavite svoje putovanje", što vam omogućuje da nastavite pretraživanje od mjesta gdje je zadnji put prekinuto.
    Chrome izdanje 102
  • Chrome web-trgovina nudi stranicu "Extensions Starter Kit" s početnim odabirom preporučenih dodataka.
  • U testnom načinu rada omogućeno je slanje CORS (Cross-Origin Resource Sharing) zahtjeva za autorizaciju glavnom poslužitelju web-mjesta sa zaglavljem "Access-Control-Request-Private-Network: true" kada stranica pristupa resursu na internoj mreži ( 192.168.xx, 10.xxx, 172.16.xx) ili lokalnom hostu (128.xxx). Kada potvrđuje operaciju kao odgovor na ovaj zahtjev, poslužitelj mora vratiti zaglavlje "Access-Control-Allow-Private-Network: true". U Chrome verziji 102 rezultat potvrde još ne utječe na obradu zahtjeva - ako nema potvrde, prikazuje se upozorenje na web konzoli, ali sam zahtjev za podizvor nije blokiran. Omogućivanje blokiranja bez potvrde s poslužitelja ne očekuje se do izdanja Chromea 105. Da biste omogućili blokiranje u ranijim izdanjima, možete omogućiti postavku "chrome://flags/#private-network-access-respect-preflight- rezultati".

    Provjera ovlaštenja od strane poslužitelja uvedena je radi jačanja zaštite od napada povezanih s pristupom resursima na lokalnoj mreži ili na korisničkom računalu (localhost) iz skripti učitanih prilikom otvaranja stranice. Takve zahtjeve napadači koriste za izvođenje CSRF napada na usmjerivače, pristupne točke, pisače, korporativna web sučelja i druge uređaje i usluge koji prihvaćaju zahtjeve samo s lokalne mreže. Za zaštitu od takvih napada, ako se pristupi bilo kojem pod-resursu na internoj mreži, preglednik će poslati izričit zahtjev za dopuštenje za učitavanje tih pod-resursa.

  • Prilikom otvaranja poveznica u anonimnom načinu putem kontekstnog izbornika, neki parametri koji utječu na privatnost automatski se uklanjaju iz URL-a.
  • Strategija isporuke ažuriranja za Windows i Android je promijenjena. Za potpuniju usporedbu ponašanja novog i starog izdanja, sada se generira više verzija nove verzije za preuzimanje.
  • Tehnologija mrežne segmentacije stabilizirana je radi zaštite od metoda praćenja kretanja korisnika između stranica na temelju pohranjivanja identifikatora u područjima koja nisu namijenjena za trajno pohranjivanje informacija („Superkolačići”). Budući da su predmemorirani resursi pohranjeni u zajedničkom imenskom prostoru, bez obzira na izvornu domenu, jedno mjesto može utvrditi da drugo mjesto učitava resurse provjerom nalazi li se taj resurs u predmemoriji. Zaštita se temelji na korištenju mrežne segmentacije (Network Partitioning), čija je suština dijeljenim predmemorijama dodati dodatno vezanje zapisa na domenu s koje se otvara glavna stranica, što ograničava pokrivenost predmemorije samo za skripte za praćenje kretanja na trenutno mjesto (skripta iz iframea neće moći provjeriti je li resurs preuzet s drugog mjesta). Dijeljenje stanja pokriva mrežne veze (HTTP/1, HTTP/2, HTTP/3, websocket), DNS predmemoriju, ALPN/HTTP2, TLS/HTTP3 podatke, konfiguraciju, preuzimanja i informacije o zaglavlju Expect-CT.
  • Za instalirane samostalne web aplikacije (PWA, Progressive Web App), moguće je promijeniti dizajn područja naslova prozora pomoću komponenti Window Controls Overlay, koje proširuju područje zaslona web aplikacije na cijeli prozor. Web aplikacija može kontrolirati iscrtavanje i obradu unosa cijelog prozora, s iznimkom preklapajućeg bloka sa standardnim gumbima za upravljanje prozorom (zatvaranje, minimiziranje, maksimiziranje), kako bi web aplikacija izgledala kao obična desktop aplikacija.
    Chrome izdanje 102
  • U sustavu za automatsko popunjavanje obrazaca dodana je podrška za generiranje virtualnih brojeva kreditnih kartica u poljima s podacima o plaćanju robe u online trgovinama. Korištenje virtualne kartice, čiji se broj generira za svako plaćanje, omogućuje ne prijenos podataka o stvarnoj kreditnoj kartici, ali zahtijeva pružanje potrebne usluge od strane banke. Značajka je trenutno dostupna samo klijentima američkih banaka. Za kontrolu uključivanja funkcije predlaže se postavka "chrome://flags/#autofill-enable-virtual-card".
  • Mehanizam "Capture Handle" aktiviran je prema zadanim postavkama, što vam omogućuje prijenos informacija aplikacijama koje snimaju video. API omogućuje organiziranje interakcije između aplikacija čiji se sadržaj snima i aplikacija koje vrše snimanje. Na primjer, aplikacija za video konferencije koja snima video za emitiranje prezentacije može dohvatiti informacije o kontrolama prezentacije i prikazati ih u video prozoru.
  • Podrška za spekulativna pravila omogućena je prema zadanim postavkama, pružajući fleksibilnu sintaksu za određivanje mogu li se podaci povezani s vezom proaktivno učitati prije nego što korisnik klikne na vezu.
  • Stabiliziran je mehanizam za pakiranje resursa u pakete u formatu Web Bundle, što omogućuje povećanje učinkovitosti učitavanja velikog broja pratećih datoteka (CSS stilovi, JavaScript, slike, iframes). Za razliku od paketa u formatu Webpack, format Web Bundle ima sljedeće prednosti: u HTTP predmemoriju nije pohranjen sam paket, već njegovi sastavni dijelovi; kompilacija i izvođenje JavaScripta počinje bez čekanja da se paket u potpunosti preuzme; Dopušteno je uključiti dodatne resurse kao što su CSS i slike, koji bi u webpacku morali biti kodirani u obliku JavaScript nizova.
  • Moguće je definirati PWA aplikaciju kao rukovatelja određenim MIME tipovima i ekstenzijama datoteka. Nakon definiranja povezivanja kroz polje file_handlers u manifestu, aplikacija će primiti poseban događaj kada korisnik pokuša otvoriti datoteku povezanu s aplikacijom.
  • Dodan je novi inertni atribut koji vam omogućuje da označite dio DOM stabla kao "neaktivan". Za DOM čvorove u ovom stanju onemogućeni su odabir teksta i rukovatelji lebdenjem pokazivača, tj. Događaji pokazivača i svojstva CSS-a odabira korisnika uvijek su postavljena na "ništa". Ako se čvor može uređivati, tada u inertnom načinu rada postaje nemoguće uređivati.
  • Dodan API za navigaciju, koji web aplikacijama omogućuje presretanje operacija navigacije prozora, pokretanje navigacije i analizu povijesti radnji s aplikacijom. API pruža alternativu svojstvima window.history i window.location, optimizirana za web aplikacije s jednom stranicom.
  • Predložena je nova zastavica, "dok se ne pronađe", za atribut "skriven", što element čini pretraživim na stranici i pomičnim po tekstualnoj maski. Na primjer, možete dodati skriveni tekst na stranicu, čiji će se sadržaj pronaći u lokalnim pretraživanjima.
  • U WebHID API-ju, dizajniranom za nisku razinu pristupa HID uređajima (uređaji s ljudskim sučeljem, tipkovnice, miševi, gamepadovi, touchpadovi) i organiziranje rada bez prisutnosti određenih upravljačkih programa u sustavu, svojstvo exclusionFilters dodano je u requestDevice( ), koji vam omogućuje da isključite određene uređaje kada preglednik prikaže popis dostupnih uređaja. Na primjer, možete izuzeti ID-ove uređaja koji imaju poznate probleme.
  • Zabranjeno je prikazati obrazac za plaćanje putem poziva PaymentRequest.show() bez eksplicitne radnje korisnika, na primjer, klikanjem na element povezan s rukovateljem.
  • Podrška za alternativnu implementaciju SDP (Session Description Protocol) protokola koji se koristi za uspostavljanje sesije u WebRTC-u je prekinuta. Chrome je ponudio dvije SDP opcije - objedinjenu s drugim preglednicima i specifičnu za Chrome. Od sada je ostala samo prijenosna opcija.
  • Učinjena su poboljšanja alata za web programere. Dodani su gumbi na ploču Stilovi za simulaciju upotrebe tamne i svijetle teme. Pojačana je zaštita kartice Preview u modu pregleda mreže (omogućena je primjena Content Security Policy). Program za ispravljanje pogrešaka implementira završetak skripte za ponovno učitavanje prijelomnih točaka. Predložena je preliminarna implementacija nove ploče "Uvid u performanse", koja vam omogućuje analizu izvedbe određenih operacija na stranici.
    Chrome izdanje 102

Uz inovacije i ispravke pogrešaka, nova verzija uklanja 32 ranjivosti. Mnoge od ranjivosti identificirane su kao rezultat automatiziranog testiranja pomoću alata AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Jednom od problema (CVE-2022-1853) dodijeljena je kritična razina opasnosti, koja podrazumijeva mogućnost zaobilaženja svih razina zaštite preglednika i izvršavanje koda na sustavu izvan sandbox okruženja. Pojedinosti o ovoj ranjivosti još nisu objavljene; ​​poznato je samo da je uzrokovana pristupom oslobođenom memorijskom bloku (use-after-free) u Indexed DB API implementaciji.

Kao dio programa novčane nagrade za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 24 nagrade u vrijednosti od 65600 USD (jednu nagradu od 10000 USD, jednu nagradu od 7500 USD, dvije nagrade od 7000 USD, tri nagrade od 5000 USD, četiri nagrade od 3000 USD, dvije nagrade od 2000 USD, dvije nagrade od 1000 USD i dvije 500 dolara bonusa). Veličina 7 nagrada još nije određena.

Izvor: opennet.ru

Dodajte komentar