Chrome izdanje 98

Google je predstavio izdanje web preglednika Chrome 98. U isto vrijeme dostupno je stabilno izdanje besplatnog projekta Chromium koji je osnova Chromea. Preglednik Chrome odlikuje se upotrebom Googleovih logotipa, prisutnošću sustava za slanje obavijesti u slučaju pada, modulima za reprodukciju videosadržaja zaštićenog od kopiranja (DRM), automatskim sustavom ažuriranja i prijenosom pri traženju RLZ-a parametri. Sljedeće izdanje Chromea 99 zakazano je za 1. ožujka.

Ključne promjene u Chromeu 98:

• Preglednik ima vlastitu pohranu korijenskih certifikata certifikacijskih tijela (Chrome Root Store), koja će se koristiti umjesto vanjskih pohrana specifičnih za svaki operativni sustav. Pohrana je implementirana slično nezavisnoj pohrani korijenskih certifikata u Firefoxu, koja se koristi kao prva poveznica za provjeru lanca povjerenja certifikata prilikom otvaranja stranica preko HTTPS-a. Nova pohrana još se ne koristi prema zadanim postavkama. Kako bi se olakšao prijelaz konfiguracija pohrane sustava i osigurala prenosivost, postojat će prijelazno razdoblje tijekom kojeg će Chrome Root Store uključivati ​​potpuni izbor certifikata odobrenih na većini podržanih platformi.
• Nastavlja se s provedbom plana jačanja zaštite od napada koji se odnose na pristup resursima na lokalnoj mreži ili na računalu korisnika (localhost) putem skripti koje se učitavaju prilikom otvaranja stranice. Takve zahtjeve napadači koriste za izvođenje CSRF napada na usmjerivače, pristupne točke, pisače, korporativna web sučelja i druge uređaje i usluge koji prihvaćaju zahtjeve samo s lokalne mreže.

  Za zaštitu od takvih napada, ako se pristupi bilo kojem pod-resursu na internoj mreži, preglednik će početi slati eksplicitni zahtjev za dopuštenje za preuzimanje takvih pod-resursa. Zahtjev za dopuštenjima provodi se slanjem CORS (Cross-Origin Resource Sharing) zahtjeva sa zaglavljem "Access-Control-Request-Private-Network: true" glavnom poslužitelju stranice prije pristupa internoj mreži ili lokalnom hostu. Kada potvrđuje operaciju kao odgovor na ovaj zahtjev, poslužitelj mora vratiti zaglavlje "Access-Control-Allow-Private-Network: true". U Chromeu 98 provjera je implementirana u testnom načinu rada i ako nema potvrde, prikazuje se upozorenje na web konzoli, ali sam zahtjev podizvora nije blokiran. Blokiranje se ne planira omogućiti dok Chrome 101 ne bude objavljen.

• Postavke računa integriraju alate za upravljanje uključivanjem poboljšanog sigurnog pregledavanja, koje aktivira dodatne provjere radi zaštite od krađe identiteta, zlonamjernih aktivnosti i drugih prijetnji na webu. Kada aktivirate način rada na svom Google računu, od vas će se tražiti da aktivirate način rada u pregledniku Chrome.
• Dodan model za otkrivanje pokušaja krađe identiteta na strani klijenta, implementiran pomoću platforme strojnog učenja TFLite (TensorFlow Lite) i ne zahtijeva slanje podataka za provođenje verifikacije na strani Googlea (u ovom slučaju, telemetrija se šalje s informacijama o verziji modela i izračunate težine za svaku kategoriju). Ako se otkrije pokušaj krađe identiteta, korisniku će se prikazati stranica upozorenja prije otvaranja sumnjive stranice.
• U Client Hints API-ju, koji se razvija kao zamjena za zaglavlje User-Agent i omogućuje vam selektivno slanje podataka o određenim parametrima preglednika i sustava (verzija, platforma itd.) samo nakon zahtjeva poslužitelja, moguće zamijeniti fiktivna imena na popisu identifikatora preglednika, prema analogijama s mehanizmom GREASE (Generate Random Extensions And Sustain Extensibility) koji se koristi u TLS-u. Na primjer, uz '"Chrome"; v="98″" i ""Krom"; v="98″' nasumični identifikator nepostojećeg preglednika '"(Ne; Preglednik"; v="12″' može se dodati na popis. Takva zamjena pomoći će u prepoznavanju problema s obradom identifikatora nepoznatih preglednika, što dovodi do činjenice da su alternativni preglednici prisiljeni pretvarati se da su drugi popularni preglednici kako bi zaobišli provjeru popisa prihvatljivih preglednika.
• Od 17. siječnja Chrome web-trgovina više ne prihvaća dodatke koji koriste verziju 2023 Chrome manifesta. Novi dodaci sada će biti prihvaćeni samo s trećom verzijom manifesta. Razvojni programeri prethodno dodanih dodataka i dalje će moći objavljivati ​​ažuriranja s drugom verzijom manifesta. Potpuno obustavljanje druge verzije manifesta planirano je za siječanj XNUMX.
• Dodana je podrška za vektorske fontove u boji u formatu COLRv1 (podskup OpenType fontova koji osim vektorskih glifova sadrže i sloj s informacijama o boji), koji se mogu koristiti, na primjer, za stvaranje višebojnih emojija. Za razliku od prethodno podržanog formata COLRv0, COLRv1 sada ima mogućnost korištenja gradijenata, slojeva i transformacija. Format također pruža kompaktan oblik za pohranjivanje, pruža učinkovitu kompresiju i omogućuje ponovnu upotrebu obrisa, omogućujući značajno smanjenje veličine fonta. Na primjer, Noto Color Emoji font zauzima 9 MB u rasterskom formatu i 1 MB u COLRv1.85 vektorskom formatu.
• Način Origin Trials (eksperimentalne značajke koje zahtijevaju zasebnu aktivaciju) implementira Region Capture API, koji vam omogućuje obrezivanje snimljenog videa. Na primjer, obrezivanje može biti potrebno u web aplikacijama koje snimaju video sa sadržajem svoje kartice, kako bi se izrezao određeni sadržaj prije slanja. Origin Trial podrazumijeva mogućnost rada s navedenim API-jem iz aplikacija preuzetih s localhosta ili 127.0.0.1, ili nakon registracije i primanja posebnog tokena koji vrijedi ograničeno vrijeme za određenu stranicu.
• CSS svojstvo "contain-intrinsic-size" sada podržava vrijednost "auto", koja će koristiti posljednju zapamćenu veličinu elementa (kada se koristi s "content-visibility: auto", programer ne mora pogađati prikazanu veličinu elementa) .
• Dodano svojstvo AudioContext.outputLatency, putem kojeg možete saznati informacije o predviđenom kašnjenju prije audio izlaza (kašnjenje između audio zahtjeva i početka obrade primljenih podataka od strane audio izlaznog uređaja).
• CSS svojstvo color-scheme, koje omogućuje određivanje u kojim se shemama boja element može ispravno prikazati (“svijetlo”, “tamno”, “dnevni način rada” i “noćni način rada”), dodan je parametar “samo” za sprječavanje shema prisilnih promjena boja za pojedinačne HTML elemente. Na primjer, ako navedete "div { color-scheme: only light }", tada će se za element div koristiti samo svijetla tema, čak i ako preglednik prisilno omogući tamnu temu.
• CSS-u je dodana podrška za medijske upite 'dinamički raspon' i 'video-dinamički raspon' kako bi se utvrdilo postoji li zaslon koji podržava HDR (High Dynamic Range).
• Funkciji window.open() dodana je mogućnost odabira hoće li se veza otvoriti u novoj kartici, novom prozoru ili skočnom prozoru. Osim toga, svojstvo window.statusbar.visible sada vraća "false" za skočne prozore i "true" za kartice i prozore. const popup = window.open(‘_blank’,,”’skočni prozor=1′); // Otvaranje u skočnom prozoru const tab = window.open(‘_blank’,,”’popup=0′); // Otvori u kartici
• Metoda structuredClone() implementirana je za prozore i radnike, što vam omogućuje stvaranje rekurzivnih kopija objekata koji uključuju svojstva ne samo navedenog objekta, već i svih drugih objekata na koje upućuje trenutni objekt.
• Web Authentication API dodao je podršku za proširenje specifikacije FIDO CTAP2, što vam omogućuje postavljanje minimalne dopuštene veličine PIN koda (minPinLength).
• Za instalirane samostalne web aplikacije dodana je komponenta Window Controls Overlay, koja proširuje područje zaslona aplikacije na cijeli prozor, uključujući područje naslova, na kojem se nalaze standardni gumbi za kontrolu prozora (zatvori, minimiziraj, povećaj ) su superponirani. Web-aplikacija može kontrolirati iscrtavanje i obradu unosa cijelog prozora, osim bloka preklapanja s gumbima za upravljanje prozorom.
• Dodano je svojstvo rukovanja signalom WritableStreamDefaultControlleru koje vraća objekt AbortSignal, koji se može koristiti za trenutno zaustavljanje pisanja u WritableStream bez čekanja da se dovrše.
• WebRTC je uklonio podršku za mehanizam dogovora o ključu SDES, koji je IETF obustavio 2013. zbog sigurnosnih problema.
• Prema zadanim postavkama, U2F (Cryptotoken) API je onemogućen, koji je prethodno zastario i zamijenjen API-jem za web autentifikaciju. U2F API bit će potpuno uklonjen u Chromeu 104.
• U API direktoriju, poljeinstalled_browser_version je zastarjelo, zamijenjeno novim poljem pending_browser_version, koje se razlikuje po tome što sadrži informacije o verziji preglednika, uzimajući u obzir preuzeta, ali neprimijenjena ažuriranja (tj. verziju koja će biti važeća nakon preglednik se ponovno pokreće).
• Uklonjene opcije koje su dopuštale vraćanje podrške za TLS 1.0 i 1.1.
• Učinjena su poboljšanja alata za web programere. Dodana je kartica za procjenu rada predmemorije Natrag i naprijed, koja omogućuje trenutnu navigaciju korištenjem gumba Natrag i Naprijed. Dodana mogućnost oponašanja medijskih zahtjeva s forsiranim bojama. Dodani su gumbi Flexbox uređivaču za podršku svojstava obrnutog reda i stupca. Kartica "Promjene" osigurava da se promjene prikazuju nakon formatiranja koda, što pojednostavljuje raščlanjivanje umanjenih stranica.

  Implementacija panela za pregled koda ažurirana je izdanjem uređivača koda CodeMirror 6, koji značajno poboljšava performanse rada s vrlo velikim datotekama (WASM, JavaScript), rješava probleme sa slučajnim pomacima tijekom navigacije i poboljšava preporuke sustav automatskog dovršavanja prilikom uređivanja koda. Mogućnost filtriranja izlaza prema nazivu svojstva ili vrijednosti dodana je na ploču CSS svojstava.

  

Uz inovacije i ispravke pogrešaka, nova verzija uklanja 27 ranjivosti. Mnoge od ranjivosti identificirane su kao rezultat automatiziranog testiranja pomoću alata AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Nisu identificirani kritični problemi koji bi omogućili zaobilaženje svih razina zaštite preglednika i izvršavanje koda na sustavu izvan okruženja sandboxa. Kao dio programa novčane nagrade za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 19 nagrada u vrijednosti od 88 tisuća dolara (dvije nagrade od 20000 dolara, jednu nagradu od 12000 dolara, dvije nagrade od 7500 dolara, četiri nagrade od 1000 dolara i po jednu od 7000, 5000, 3000 i 2000 dolara.

Izvor: opennet.ru