ProHoster > Օրագիր > ինտերնետ նորություններ > Chrome 102 թողարկում

Chrome 102 թողարկում

Google-ը ներկայացրել է Chrome 102 վեբ բրաուզերի թողարկումը: Միևնույն ժամանակ հասանելի է անվճար Chromium նախագծի կայուն թողարկումը, որը ծառայում է որպես Chrome-ի հիմքը: Chrome բրաուզերը Chromium-ից տարբերվում է Google-ի լոգոների օգտագործմամբ, խափանման դեպքում ծանուցումներ ուղարկելու համակարգի առկայությամբ, պատճենահանմամբ պաշտպանված վիդեո բովանդակություն (DRM) նվագարկելու մոդուլներով, թարմացումների ավտոմատ տեղադրման համակարգով, Sandbox-ի մեկուսացումը մշտապես միացնելու համար։ , բանալիներ մատակարարելով Google API-ին և որոնելիս փոխանցելով RLZ-ի պարամետրերը: Նրանց համար, ովքեր թարմացման համար ավելի շատ ժամանակ են պահանջում, Extended Stable մասնաճյուղն առանձին աջակցվում է, որին հաջորդում է 8 շաբաթ: Chrome 103-ի հաջորդ թողարկումը նախատեսված է հունիսի 21-ին:

Հիմնական փոփոխությունները Chrome 102-ում.

  • Արդեն ազատված հիշողության բլոկներին մուտք գործելու արդյունքում առաջացած խոցելիությունների օգտագործումն արգելափակելու համար (օգտագործում-հետո-ազատ), սովորական ցուցիչների փոխարեն սկսեց օգտագործվել MiraclePtr (raw_ptr) տիպը: MiraclePtr-ն ապահովում է ցուցիչների վրա կապ, որը լրացուցիչ ստուգում է ազատված հիշողության տարածքների մուտքերը և խափանում է, եթե այդպիսի մուտքեր հայտնաբերվեն: Պաշտպանության նոր մեթոդի ազդեցությունը կատարողականի և հիշողության սպառման վրա գնահատվում է որպես աննշան: MiraclePtr մեխանիզմը կիրառելի չէ բոլոր գործընթացներում, մասնավորապես այն չի օգտագործվում պրոցեսների մատուցման մեջ, սակայն այն կարող է զգալիորեն բարելավել անվտանգությունը։ Օրինակ՝ ընթացիկ թողարկումում 32 շտկված խոցելիություններից 12-ը առաջացել են առանց օգտագործման հետ կապված խնդիրների պատճառով:
  • Ներբեռնումների մասին տեղեկություններով ինտերֆեյսի դիզայնը փոխվել է։ Ներբեռնման առաջընթացի վերաբերյալ տվյալների ներքևի տողի փոխարեն, հասցեի տողով վահանակին ավելացվել է նոր ցուցիչ, որի վրա սեղմելիս ցուցադրվում է ֆայլերի ներբեռնման առաջընթացը և արդեն ներբեռնված ֆայլերի ցանկով պատմությունը: Ի տարբերություն ստորին վահանակի, կոճակը մշտապես ցուցադրվում է վահանակի վրա և թույլ է տալիս արագ մուտք գործել ձեր ներբեռնումների պատմությունը: Նոր ինտերֆեյսը ներկայումս լռելյայն առաջարկվում է միայն որոշ օգտվողների համար և կտարածվի բոլորի համար, եթե խնդիրներ չլինեն: Հին ինտերֆեյսը վերադարձնելու կամ նորը միացնելու համար տրամադրվում է «chrome://flags#download-bubble» պարամետրը:
    Chrome 102 թողարկում
  • Համատեքստի մենյուի միջոցով պատկերներ որոնելիս («Փնտրեք պատկեր Google Ոսպնյակով» կամ «Գտեք Google Ոսպնյակի միջոցով»), արդյունքներն այժմ ցուցադրվում են ոչ թե առանձին էջում, այլ սկզբնական էջի բովանդակության կողքին գտնվող կողագոտում (in մեկ պատուհանում դուք կարող եք միաժամանակ տեսնել ինչպես էջի բովանդակությունը, այնպես էլ որոնման համակարգ մուտք գործելու արդյունքը):
    Chrome 102 թողարկում
  • Կարգավորումների «Գաղտնիություն և անվտանգություն» բաժնում ավելացվել է «Գաղտնիության ուղեցույց» բաժինը, որն առաջարկում է գաղտնիության վրա ազդող հիմնական կարգավորումների ընդհանուր ակնարկ՝ յուրաքանչյուր պարամետրի ազդեցության մանրամասն բացատրությամբ: Օրինակ՝ բաժնում կարող եք սահմանել Google-ի ծառայություններին տվյալներ ուղարկելու քաղաքականությունը, կառավարել համաժամացումը, թխուկների մշակումը և պատմության պահպանումը: Գործառույթն առաջարկվում է որոշ օգտատերերի, այն ակտիվացնելու համար կարող եք օգտագործել «chrome://flags#privacy-guide» կարգավորումը:
    Chrome 102 թողարկում
  • Տրամադրվում է որոնման պատմության և դիտված էջերի կառուցվածքը: Երբ նորից փորձում եք որոնել, հասցեի տողում կցուցադրվի «Վերսկսեք ձեր ճանապարհորդությունը», որը թույլ է տալիս շարունակել որոնումը այն վայրից, որտեղ այն վերջին անգամ ընդհատվել էր:
    Chrome 102 թողարկում
  • Chrome Web Store-ն առաջարկում է «Extensions Starter Kit» էջ՝ առաջարկվող հավելումների նախնական ընտրությամբ:
  • Փորձարկման ռեժիմում CORS (Cross-Origin Resource Sharing) թույլտվության հարցում ուղարկելը կայքի հիմնական սերվերին՝ «Access-Control-Request-Private-Network: true» վերնագրով միացված է, երբ էջը մուտք է գործում ռեսուրս ներքին ցանցում ( 192.168.xx, 10.xxx, 172.16.xx) կամ localhost-ին (128.xxx): Այս հարցումին ի պատասխան գործողությունը հաստատելիս սերվերը պետք է վերադարձնի «Access-Control-Allow-Private-Network: true» վերնագիրը: Chrome-ի 102 տարբերակում հաստատման արդյունքը դեռ չի ազդում հարցման մշակման վրա. եթե հաստատում չկա, նախազգուշացում է ցուցադրվում վեբ վահանակում, բայց ենթառեսուրսների հարցումն ինքնին արգելափակված չէ: Սերվերից հաստատման բացակայության դեպքում արգելափակման ակտիվացում չի սպասվում մինչև Chrome 105-ի թողարկումը: Նախկին թողարկումներում արգելափակումն ակտիվացնելու համար կարող եք միացնել «chrome://flags/#private-network-access-respect-preflight-» կարգավորումը: արդյունքները»:

    Սերվերի կողմից լիազորությունների ստուգումը ներդրվել է պաշտպանությունն ուժեղացնելու հարձակումներից, որոնք կապված են լոկալ ցանցի կամ օգտագործողի համակարգչի (localhost) ռեսուրսների հասանելիության հետ՝ կայքը բացելիս բեռնված սկրիպտներից: Նման հարցումներն օգտագործվում են հարձակվողների կողմից՝ CSRF հարձակումներ իրականացնելու երթուղիչների, մուտքի կետերի, տպիչների, կորպորատիվ վեբ ինտերֆեյսների և այլ սարքերի և ծառայությունների վրա, որոնք ընդունում են հարցումները միայն տեղական ցանցից: Նման հարձակումներից պաշտպանվելու համար, եթե ներքին ցանցում որևէ ենթառեսուրս մուտք է գործում, զննարկիչը հստակ հարցում կուղարկի այս ենթառեսուրսները բեռնելու թույլտվության համար:

  • Համատեքստի ընտրացանկի միջոցով ինկոգնիտո ռեժիմով հղումներ բացելիս գաղտնիության վրա ազդող որոշ պարամետրեր ավտոմատ կերպով հեռացվում են URL-ից:
  • Windows-ի և Android-ի թարմացումների առաքման ռազմավարությունը փոխվել է։ Նոր և հին թողարկումների վարքագիծն ավելի ամբողջական համեմատելու համար այժմ ներբեռնման համար ստեղծվում են նոր տարբերակի բազմաթիվ կառուցումներ:
  • Ցանցի սեգմենտավորման տեխնոլոգիան կայունացվել է՝ պաշտպանելու համար կայքերի միջև օգտատերերի տեղաշարժերին հետևելու մեթոդներից, որոնք հիմնված են նույնացուցիչների պահպանման վրա այն տարածքներում, որոնք նախատեսված չեն տեղեկատվության մշտական ​​պահպանման համար («Supercookies»): Քանի որ քեշավորված ռեսուրսները պահվում են ընդհանուր անվանատարածքում՝ անկախ սկզբնավորման տիրույթից, մի կայք կարող է որոշել, որ մեկ այլ կայք բեռնում է ռեսուրսները՝ ստուգելով արդյոք այդ ռեսուրսը գտնվում է քեշում։ Պաշտպանությունը հիմնված է ցանցի սեգմենտացիայի (Ցանցային բաժանման) օգտագործման վրա, որի էությունը ընդհանուր քեշերին ավելացնելն է այն տիրույթին, որտեղից բացվում է հիմնական էջը, որը սահմանափակում է քեշի ծածկույթը միայն շարժման հետագծման սկրիպտների համար։ դեպի ընթացիկ կայք (iframe-ի սկրիպտը չի կարողանա ստուգել՝ արդյոք ռեսուրսը ներբեռնվել է այլ կայքից): Նահանգի համօգտագործումն ընդգրկում է ցանցային միացումները (HTTP/1, HTTP/2, HTTP/3, վեբսոկետ), DNS քեշը, ALPN/HTTP2, TLS/HTTP3 տվյալները, կազմաձևումը, ներբեռնումները և Expect-CT վերնագրի տեղեկատվությունը:
  • Տեղադրված առանձին վեբ հավելվածների համար (PWA, Progressive Web App) հնարավոր է փոխել պատուհանի վերնագրի տարածքի դիզայնը՝ օգտագործելով Window Controls Overlay բաղադրիչները, որոնք ընդլայնում են վեբ հավելվածի էկրանի տարածքը ամբողջ պատուհանի վրա: Վեբ հավելվածը կարող է վերահսկել ամբողջ պատուհանի մատուցումը և մուտքագրման մշակումը, բացառությամբ ստանդարտ պատուհանի կառավարման կոճակներով ծածկույթի բլոկի (փակել, նվազագույնի հասցնել, առավելագույնի հասցնել), որպեսզի վեբ հավելվածը սովորական աշխատասեղանի հավելվածի տեսք ունենա:
    Chrome 102 թողարկում
  • Ձևի ավտոմատ լրացման համակարգում ավելացվել է աջակցություն առցանց խանութներում ապրանքների վճարման մանրամասներով դաշտերում վիրտուալ կրեդիտ քարտերի համարներ ստեղծելու համար: Վիրտուալ քարտի օգտագործումը, որի համարը ստեղծվում է յուրաքանչյուր վճարման համար, թույլ է տալիս չփոխանցել իրական վարկային քարտի մասին տվյալներ, այլ պահանջում է բանկի կողմից անհրաժեշտ ծառայության տրամադրում: Գործառույթը ներկայումս հասանելի է միայն ԱՄՆ բանկերի հաճախորդներին: Գործառույթի ընդգրկումը վերահսկելու համար առաջարկվում է «chrome://flags/#autofill-enable-virtual-card» պարամետրը:
  • «Capture Handle» մեխանիզմը լռելյայն ակտիվացված է, որը թույլ է տալիս տեղեկատվություն փոխանցել տեսանյութեր նկարահանող հավելվածներին: API-ն հնարավորություն է տալիս կազմակերպել փոխազդեցությունը հավելվածների, որոնց բովանդակությունը ձայնագրված է և հավելվածների միջև, որոնք կատարում են ձայնագրությունը: Օրինակ, վիդեո կոնֆերանսի հավելվածը, որը տեսանկարահանում է շնորհանդեսը հեռարձակելու համար, կարող է տեղեկատվություն ստանալ ներկայացման կառավարիչների մասին և ցուցադրել դրանք վիդեո պատուհանում:
  • Սպեկուլյատիվ կանոնների աջակցությունը լռելյայն միացված է, ապահովելով ճկուն շարահյուսություն՝ որոշելու համար, թե արդյոք հղման հետ կապված տվյալները կարող են ակտիվորեն բեռնվել նախքան օգտագործողի սեղմումը հղման վրա:
  • Web Bundle ձևաչափով ռեսուրսները փաթեթավորելու մեխանիզմը կայունացվել է, ինչը թույլ է տալիս բարձրացնել մեծ թվով ուղեկցող ֆայլերի (CSS ոճեր, JavaScript, պատկերներ, iframes) բեռնման արդյունավետությունը: Ի տարբերություն Webpack ձևաչափի փաթեթների, Web Bundle ձևաչափն ունի հետևյալ առավելությունները. HTTP քեշում պահվում է ոչ թե փաթեթը, այլ դրա բաղադրիչ մասերը. JavaScript-ի կազմումը և կատարումը սկսվում է առանց փաթեթի ամբողջական ներբեռնման սպասելու. Թույլատրվում է ներառել լրացուցիչ ռեսուրսներ, ինչպիսիք են CSS-ը և պատկերները, որոնք վեբ փաթեթում պետք է կոդավորվեն JavaScript տողերի տեսքով։
  • Հնարավոր է սահմանել PWA հավելվածը որպես որոշակի MIME տեսակների և ֆայլերի ընդարձակման մշակող: Մանիֆեստում file_handlers դաշտի միջոցով կապ հաստատելուց հետո հավելվածը կստանա հատուկ իրադարձություն, երբ օգտատերը փորձի բացել հավելվածի հետ կապված ֆայլը:
  • Ավելացվեց նոր իներտ հատկանիշ, որը թույլ է տալիս նշել DOM ծառի մի մասը որպես «ոչ ակտիվ»: Այս վիճակում գտնվող DOM հանգույցների համար տեքստի ընտրությունը և ցուցիչի սավառնող կարգավորիչները անջատված են, այսինքն. Ցուցիչ-իրադարձությունները և օգտագործողի կողմից ընտրված CSS հատկությունները միշտ դրված են «ոչ մեկը»: Եթե ​​հանգույցը հնարավոր էր խմբագրել, ապա իներտ ռեժիմում այն ​​դառնում է անխմբագրելի:
  • Ավելացվեց Navigation API-ն, որը թույլ է տալիս վեբ հավելվածներին ընդհատել պատուհանների նավիգացիոն գործողությունները, սկսել նավիգացիան և վերլուծել հավելվածի հետ գործողությունների պատմությունը: API-ն այլընտրանք է տալիս window.history և window.location հատկություններին, որոնք օպտիմիզացված են մեկ էջանոց վեբ հավելվածների համար:
  • Առաջարկվել է նոր դրոշ՝ «մինչև գտնվելը», «թաքնված» հատկանիշի համար, որը տարրը դարձնում է որոնելի էջի վրա և կարող է պտտվել տեքստային դիմակով։ Օրինակ, դուք կարող եք թաքնված տեքստ ավելացնել էջին, որի բովանդակությունը կգտնվի տեղական որոնումներում:
  • WebHID API-ում, որը նախատեսված է HID սարքերին ցածր մակարդակի մուտքի համար (Մարդկային ինտերֆեյսի սարքեր, ստեղնաշարեր, մկներ, խաղային վահանակներ, հպման վահանակներ) և աշխատանք կազմակերպելու համար՝ առանց համակարգում հատուկ դրայվերների առկայության, exclusionFilters հատկությունը ավելացվել է requestDevice( ) օբյեկտ, որը թույլ է տալիս բացառել որոշ սարքեր, երբ զննարկիչը ցուցադրում է հասանելի սարքերի ցանկը: Օրինակ, դուք կարող եք բացառել սարքի ID-ները, որոնք հայտնի խնդիրներ ունեն:
  • Արգելվում է վճարման ձևի ցուցադրումը PaymentRequest.show() հասցեին զանգի միջոցով՝ առանց օգտվողի բացահայտ գործողության, օրինակ՝ սեղմելով մշակողի հետ կապված տարրի վրա:
  • WebRTC-ում նստաշրջան ստեղծելու համար օգտագործվող SDP (նստաշրջանի նկարագրության արձանագրություն) արձանագրության այլընտրանքային ներդրման աջակցությունը դադարեցվել է: Chrome-ն առաջարկեց երկու SDP տարբերակ՝ միավորված այլ բրաուզերների հետ և հատուկ Chrome-ին: Այսուհետ մնացել է միայն շարժական տարբերակը։
  • Բարելավումներ են կատարվել վեբ մշակողների համար նախատեսված գործիքներում: Ոճերի վահանակին ավելացվել են կոճակներ՝ մուգ և բաց թեմայի օգտագործումը նմանակելու համար: Նախադիտման ներդիրի պաշտպանությունը ցանցի ստուգման ռեժիմում ուժեղացվել է (Բովանդակության անվտանգության քաղաքականության կիրառումը միացված է): Վրիպազերծիչն իրականացնում է սկրիպտի դադարեցում՝ ընդմիջման կետերը վերաբեռնելու համար: Առաջարկվել է նոր «Performance insights» վահանակի նախնական ներդրում, որը թույլ է տալիս վերլուծել էջի որոշակի գործողությունների կատարումը:
    Chrome 102 թողարկում

Բացի նորամուծություններից և սխալների շտկումից, նոր տարբերակը վերացնում է 32 խոցելիություն։ Խոցելիություններից շատերը հայտնաբերվել են ավտոմատացված թեստավորման արդյունքում՝ օգտագործելով AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer և AFL գործիքները: Խնդիրներից մեկին (CVE-2022-1853) նշանակվել է վտանգի կրիտիկական մակարդակ, որը ենթադրում է բրաուզերի պաշտպանության բոլոր մակարդակները շրջանցելու և համակարգում ծածկագիրը ավազարկղային միջավայրից դուրս շրջանցելու հնարավորություն: Այս խոցելիության վերաբերյալ մանրամասները դեռևս չեն բացահայտվել, միայն հայտնի է, որ այն առաջացել է Indexed DB API-ի ներդրման մեջ ազատված հիշողության բլոկի (օգտագործումից հետո ազատ) մուտք գործելու հետևանքով:

Որպես ընթացիկ թողարկման համար խոցելիություններ հայտնաբերելու համար կանխիկ դրամական պարգևատրման ծրագրի մաս՝ Google-ը վճարել է 24 պարգև՝ 65600 դոլար արժողությամբ (մեկ $10000, մեկ $7500, երկու $7000, երեք $5000, չորս $3000, երկու $2000 և $1000 մրցանակներ։ $500 բոնուսներ): 7 պարգևների չափը դեռ որոշված ​​չէ։

Source: opennet.ru

Добавить комментарий