ProHoster > Blog > internetes hírek > Chrome 98. kiadás

Chrome 98. kiadás

A Google bemutatta a Chrome 98 webböngésző kiadását, ezzel egyidejűleg elérhető a Chrome alapjául szolgáló ingyenes Chromium projekt stabil kiadása is. A Chrome böngészőt a Google logók használata, az összeomlás esetén értesítéseket küldő rendszer, a másolásvédett videotartalom lejátszására szolgáló modulok (DRM), a frissítések automatikus telepítésére és az RLZ paraméterek továbbítására szolgáló rendszer jellemzi. keresés. A Chrome 99 következő kiadása március 1-én jelenik meg.

Főbb változások a Chrome 98-ban:

  • A böngésző saját tárolóval rendelkezik a tanúsító hatóságok gyökértanúsítványaiból (Chrome Root Store), amelyet az egyes operációs rendszerekre jellemző külső tárolók helyett használnak. Az áruház a Firefox gyökértanúsítványainak független tárolójához hasonlóan valósul meg, amely az első hivatkozásként szolgál a tanúsítvány-megbízhatósági lánc ellenőrzéséhez, amikor webhelyeket nyit meg HTTPS-en keresztül. Az új tárhely alapértelmezés szerint még nincs használatban. A rendszertároló konfigurációk átállásának megkönnyítése és a hordozhatóság biztosítása érdekében átmeneti időszak következik, amely alatt a Chrome Root Store a legtöbb támogatott platformon jóváhagyott tanúsítványok teljes választékát fogja tartalmazni.
  • Továbbra is megvalósul az a terv, amely megerősíti a helyi hálózaton vagy a felhasználó számítógépén (localhost) lévő erőforrásokhoz való hozzáféréssel kapcsolatos támadásokat a webhely megnyitásakor betöltött szkriptekből. Az ilyen kéréseket a támadók arra használják, hogy CSRF-támadásokat hajtsanak végre útválasztók, hozzáférési pontok, nyomtatók, vállalati webes felületek és más eszközök és szolgáltatások ellen, amelyek csak a helyi hálózatról fogadnak kéréseket.

    Az ilyen támadások elleni védelem érdekében, ha a belső hálózaton valamilyen al-erőforráshoz hozzáférnek, a böngésző kifejezett kérelmet küld az ilyen al-erőforrások letöltésére. Az engedélykérés egy CORS (Cross-Origin Resource Sharing) kérés elküldésével történik „Access-Control-Request-Private-Network: true” fejléccel a fő helykiszolgálóhoz, mielőtt hozzáférne a belső hálózathoz vagy a helyi gazdagéphez. A kérésre válaszul végrehajtott művelet megerősítésekor a szervernek vissza kell adnia az „Access-Control-Allow-Private-Network: true” fejlécet. A Chrome 98-ban az ellenőrzést teszt módban hajtják végre, és ha nincs megerősítés, figyelmeztetés jelenik meg a webkonzolon, de maga az alerőforrás-kérés nincs blokkolva. A blokkolást a tervek szerint nem engedélyezik a Chrome 101 kiadásáig.

  • A fiókbeállítások olyan eszközöket tartalmaznak, amelyek segítségével kezelhető a Továbbfejlesztett Biztonságos Böngészés, amely további ellenőrzéseket aktivál az adathalászat, a rosszindulatú tevékenységek és más internetes fenyegetések elleni védelem érdekében. Amikor aktivál egy módot Google-fiókjában, a rendszer felkéri, hogy aktiválja a módot a Chrome-ban.
  • Hozzáadott egy modellt az adathalász kísérletek ügyféloldali észlelésére, a TFLite gépi tanulási platformon (TensorFlow Lite) implementálva, és nincs szükség adatküldésre a Google oldalon történő ellenőrzés végrehajtásához (ebben az esetben a telemetria a modell verziójával kapcsolatos információkkal kerül elküldésre és az egyes kategóriákra számított súlyok) . Ha adathalász kísérletet észlel, a felhasználónak figyelmeztető oldal jelenik meg, mielőtt megnyitná a gyanús webhelyet.
  • A User-Agent fejléc helyettesítésére készülő Client Hints API-ban, amely lehetővé teszi, hogy csak a szerver kérésére küldjön szelektíven adatokat bizonyos böngésző- és rendszerparaméterekről (verzió, platform stb.) lehetséges fiktív nevek helyettesítése a böngészőazonosítók listájában, a TLS-ben használt GREASE (Generate Random Extensions And Sustain Extensibility) mechanizmussal analógia szerint. Például a „Chrome” mellett; v="98" és "Chromium"; v="98"' egy nem létező böngésző véletlenszerű azonosítója '"(Not; Browser"; v="12"') hozzáadható a listához. Egy ilyen helyettesítés segít azonosítani az ismeretlen böngészők azonosítóinak feldolgozásával kapcsolatos problémákat, amelyek ahhoz a tényhez vezetnek, hogy az alternatív böngészők kénytelenek úgy tenni, mintha más népszerű böngészők lennének, hogy megkerüljék az elfogadható böngészők listáján való ellenőrzést.
  • Január 17-től a Chrome Internetes áruház nem fogad el olyan bővítményeket, amelyek a Chrome jegyzék 2023. verzióját használják. Az új kiegészítéseket mostantól csak a jegyzék harmadik verziójával fogadjuk el. A korábban hozzáadott bővítmények fejlesztői továbbra is közzétehetik a frissítéseket a jegyzék második verziójával. A kiáltvány második változatának teljes lejáratását XNUMX januárjára tervezik.
  • Hozzáadott támogatás a színes vektoros betűtípusokhoz a COLRv1 formátumban (az OpenType betűtípusok egy részhalmaza, amely a vektoros karakterjelek mellett egy réteget is tartalmaz színinformációkkal), amely például többszínű hangulatjelek létrehozására használható. A korábban támogatott COLRv0 formátumtól eltérően a COLRv1 most már képes színátmeneteket, átfedéseket és átalakításokat használni. A formátum emellett kompakt tárolási formát is biztosít, hatékony tömörítést biztosít, és lehetővé teszi a körvonalak újrafelhasználását, lehetővé téve a betűméret jelentős csökkentését. Például a Noto Color Emoji betűtípus raszteres formátumban 9 MB-ot, míg COLRv1 vektorformátumban 1.85 MB-ot foglal el.
    Chrome 98. kiadás
  • Az Origin Trials mód (külön aktiválást igénylő kísérleti szolgáltatások) megvalósítja a Region Capture API-t, amely lehetővé teszi a rögzített videó körbevágását. Például szükség lehet a körbevágásra azokban a webalkalmazásokban, amelyek a lapjuk tartalmával rögzítenek videót, hogy kivágjanak bizonyos tartalmat küldés előtt. Az Origin Trial magában foglalja a megadott API-val való együttműködés lehetőségét a localhostról vagy a 127.0.0.1-ről letöltött alkalmazásokból, vagy a regisztráció és egy speciális token fogadása után, amely korlátozott ideig érvényes egy adott webhelyen.
  • A "contain-intrinsic-size" CSS-tulajdonság mostantól támogatja az "auto" értéket, amely az elem utoljára megjegyzett méretét használja (ha a "content-visibility: auto"-val használja, a fejlesztőnek nem kell kitalálnia az elem renderelt méretét) .
  • Hozzáadtuk az AudioContext.outputLatency tulajdonságot, amelyen keresztül információkat tudhat meg a hangkimenet előtti várható késleltetésről (az audiokérés és a fogadott adatok hangkimeneti eszköz általi feldolgozásának megkezdése közötti késés).
  • CSS tulajdonság színséma, amely lehetővé teszi annak meghatározását, hogy egy elem milyen színsémákban jeleníthető meg helyesen ("világos", "sötét", "nappali mód" és "éjszakai mód"), az "csak" paraméter hozzáadásra került az egyes HTML-elemek kényszerített színváltoztatási sémáinak megakadályozására. Ha például a „div { color-scheme: only light }” értéket adja meg, akkor a div elemhez csak a világos téma kerül felhasználásra, még akkor is, ha a böngésző kényszeríti a sötét témát.
  • Támogatás hozzáadva a CSS-hez a „dinamikus tartomány” és a „videó dinamikus tartományú” médialekérdezésekhez annak meghatározására, hogy van-e olyan képernyő, amely támogatja a HDR-t (High Dynamic Range).
  • A window.open() függvényhez hozzáadtuk a lehetőséget annak kiválasztására, hogy egy hivatkozást új lapon, új ablakban vagy felugró ablakban nyissa meg. Ezenkívül a window.statusbar.visible tulajdonság mostantól "false"-t ad vissza az előugró ablakokhoz és "true"-t a lapokhoz és ablakokhoz. const popup = window.open(‘_blank’,,”’popup=1′); // Megnyitás felugró ablakban const tab = window.open(‘_blank’,,”’popup=0′); // Megnyitás a lapon
  • A strukturáltClone() metódust Windows és dolgozók számára valósították meg, amely lehetővé teszi objektumok rekurzív másolatainak létrehozását, amelyek nemcsak a megadott objektum tulajdonságait tartalmazzák, hanem az aktuális objektum által hivatkozott összes többi objektum tulajdonságait is.
  • A Web Authentication API hozzáadta a FIDO CTAP2 specifikáció-bővítmény támogatását, amely lehetővé teszi a minimális megengedett PIN-kód méretének (minPinLength) beállítását.
  • A telepített önálló webes alkalmazásokhoz hozzáadásra került a Window Controls Overlay komponens, amely kiterjeszti az alkalmazás képernyőterületét a teljes ablakra, beleértve a címterületet is, amelyen a szabványos ablakvezérlő gombok (bezárás, kicsinyítés, maximalizálás) ) egymásra vannak helyezve. A webalkalmazás a teljes ablak megjelenítését és beviteli feldolgozását tudja vezérelni, kivéve az ablakvezérlő gombokkal ellátott overlay blokkot.
  • Hozzáadott egy jelkezelési tulajdonságot a WritableStreamDefaultControllerhez, amely egy AbortSignal objektumot ad vissza, amellyel azonnal leállíthatja a WritableStreambe való írást anélkül, hogy megvárná a befejezést.
  • A WebRTC megszüntette az SDES kulcsszerződési mechanizmus támogatását, amelyet az IETF 2013-ban biztonsági aggályok miatt elavult.
  • Alapértelmezés szerint az U2F (Cryptotoken) API le van tiltva, amelyet korábban elavult, és a Web Authentication API váltott fel. Az U2F API teljesen eltávolításra kerül a Chrome 104-ben.
  • Az API-címtárban az install_browser_version mező elavult, helyébe egy új pending_browser_version mező került, amely abban különbözik, hogy információkat tartalmaz a böngésző verziójáról, figyelembe véve a letöltött, de nem alkalmazott frissítéseket (azaz azt a verziót, amely a böngésző verziója után lesz érvényes). a böngésző újraindul).
  • Eltávolították azokat a beállításokat, amelyek lehetővé tették a TLS 1.0 és 1.1 támogatásának visszaadását.
  • Továbbfejlesztették a webfejlesztők eszközeit. Egy lap került hozzáadásra a Vissza előre gyorsítótár működésének értékeléséhez, amely azonnali navigációt biztosít a Vissza és Előre gombok használatakor. Hozzáadtuk a kényszerített színek médiakérelmek emulálásának lehetőségét. Gombok hozzáadva a Flexbox szerkesztőhöz, hogy támogassák a sor- és oszlopfordítási tulajdonságokat. A „Változások” lap biztosítja, hogy a módosítások megjelenjenek a kód formázása után, ami leegyszerűsíti a kicsinyített oldalak elemzését.
    Chrome 98. kiadás

    A kódellenőrző panel megvalósítása a CodeMirror 6 kódszerkesztő kiadásához frissült, ami jelentősen javítja a nagyon nagy fájlokkal (WASM, JavaScript) végzett munka teljesítményét, megoldja a navigáció során felmerülő véletlenszerű eltolásokkal kapcsolatos problémákat, és javítja a az automatikus kiegészítõ rendszer a kód szerkesztésekor. A CSS-tulajdonságok panelen hozzáadásra került a kimenet tulajdonságnév vagy érték szerinti szűrése.

    Chrome 98. kiadás

Az új verzió az újítások és hibajavítások mellett 27 sebezhetőséget szünteti meg. A sebezhetőségek nagy részét az AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer és AFL eszközökkel végzett automatizált tesztelés eredményeként azonosították. Nem azonosítottak olyan kritikus problémát, amely lehetővé tenné a böngészővédelem minden szintjének megkerülését, és kód futtatását a rendszeren a sandbox környezeten kívül. A jelenlegi kiadás sebezhetőségeinek feltárásáért folyó pénzjutalom program részeként a Google 19 díjat fizetett ki 88 ezer dollár értékben (két 20000 12000 dolláros, egy 7500 1000 dolláros, két 7000 5000 dolláros, négy 3000 dolláros, valamint egyenként 2000, XNUMX és XNUMX dolláros díjat).

Forrás: opennet.ru

Hozzászólás