Google-ը ներկայացրել է Chrome 98 վեբ բրաուզերի թողարկումը: Միևնույն ժամանակ հասանելի է անվճար Chromium նախագծի կայուն թողարկումը, որը ծառայում է որպես Chrome-ի հիմքը: Chrome զննարկիչն առանձնանում է Google-ի լոգոների օգտագործմամբ, վթարի դեպքում ծանուցումներ ուղարկելու համակարգի առկայությամբ, պատճեններից պաշտպանված վիդեո բովանդակություն (DRM) նվագարկելու մոդուլներով, թարմացումների ավտոմատ տեղադրման և RLZ պարամետրերի փոխանցման համակարգով, երբ որոնում. Chrome 99-ի հաջորդ թողարկումը նախատեսված է մարտի 1-ին:
Հիմնական փոփոխությունները Chrome 98-ում.
- Զննարկիչն ունի սերտիֆիկացման մարմինների արմատային վկայագրերի սեփական խանութը (Chrome Root Store), որը կօգտագործվի յուրաքանչյուր օպերացիոն համակարգի համար հատուկ արտաքին խանութների փոխարեն: Խանութն իրականացվում է այնպես, ինչպես Firefox-ում արմատային վկայագրերի անկախ պահեստը, որն օգտագործվում է որպես HTTPS-ով կայքեր բացելիս վկայագրերի վստահության շղթան ստուգելու առաջին հղումը: Նոր պահեստը լռելյայն դեռ չի օգտագործվում: Համակարգի պահեստավորման կոնֆիգուրացիաների անցումը հեշտացնելու և շարժականություն ապահովելու համար կլինի անցումային շրջան, որի ընթացքում Chrome Root Store-ը կներառի հավաստագրերի ամբողջական ընտրություն, որոնք հաստատված են աջակցվող հարթակների մեծ մասում:
- Կայքի բացման ժամանակ բեռնված սկրիպտներից տեղական ցանցում կամ օգտագործողի համակարգչում (localhost) ռեսուրսներ մուտք գործելու հետ կապված հարձակումներից պաշտպանությունն ուժեղացնելու ծրագիրը շարունակում է իրագործվել: Նման հարցումներն օգտագործվում են հարձակվողների կողմից՝ CSRF հարձակումներ իրականացնելու երթուղիչների, մուտքի կետերի, տպիչների, կորպորատիվ վեբ ինտերֆեյսների և այլ սարքերի և ծառայությունների վրա, որոնք ընդունում են հարցումները միայն տեղական ցանցից:
Նման հարձակումներից պաշտպանվելու համար, եթե ներքին ցանցում որևէ ենթառեսուրս մուտք է գործում, զննարկիչը կսկսի բացահայտ հարցում ուղարկել նման ենթառեսուրսները ներբեռնելու թույլտվության համար: Թույլտվությունների հարցումն իրականացվում է՝ ուղարկելով CORS (Cross-Origin Resource Sharing) հարցում՝ «Access-Control-Request-Private-Network: true» վերնագրով հիմնական կայքի սերվերին՝ նախքան ներքին ցանց կամ լոկալհոսթ մուտք գործելը: Այս հարցումին ի պատասխան գործողությունը հաստատելիս սերվերը պետք է վերադարձնի «Access-Control-Allow-Private-Network: true» վերնագիրը: Chrome 98-ում ստուգումն իրականացվում է թեստային ռեժիմում, և եթե հաստատում չկա, վեբ վահանակում ցուցադրվում է նախազգուշացում, սակայն ենթառեսուրսների հարցումն ինքնին արգելափակված չէ: Արգելափակումը չի նախատեսվում միացնել մինչև Chrome 101-ի թողարկումը:
- Հաշվի կարգավորումները միավորում են գործիքներ՝ ընդլայնված անվտանգ զննարկումը կառավարելու համար, որն ակտիվացնում է լրացուցիչ ստուգումներ՝ պաշտպանվելու ֆիշինգից, վնասակար գործողություններից և համացանցում այլ սպառնալիքներից: Երբ դուք ակտիվացնում եք ռեժիմը ձեր Google հաշվում, այժմ ձեզ կառաջարկվի ակտիվացնել ռեժիմը Chrome-ում:
- Ավելացրել է հաճախորդի կողմից ֆիշինգի փորձերի հայտնաբերման մոդել, որն իրականացվել է TFLite մեքենայական ուսուցման հարթակի միջոցով (TensorFlow Lite) և չի պահանջում տվյալներ ուղարկել Google-ի կողմից ստուգում կատարելու համար (այս դեպքում հեռաչափությունը ուղարկվում է մոդելի տարբերակի մասին տեղեկություններով։ և հաշվարկված կշիռները յուրաքանչյուր կատեգորիայի համար): Եթե ֆիշինգի փորձ հայտնաբերվի, օգտատիրոջը կցուցադրվի նախազգուշական էջ՝ նախքան կասկածելի կայքը բացելը:
- Client Hints API-ում, որը մշակվում է որպես User-Agent վերնագրի փոխարինում և թույլ է տալիս ընտրողաբար ուղարկել տվյալներ բրաուզերի և համակարգի որոշակի պարամետրերի (տարբերակ, հարթակ և այլն) վերաբերյալ միայն սերվերի հարցումից հետո, հնարավոր է մտացածին անունները փոխարինել բրաուզերի նույնացուցիչների ցանկում՝ համաձայն TLS-ում օգտագործվող GREASE (Գեներացնել պատահական ընդարձակումներ և ընդարձակելիություն) մեխանիզմի նմանությունները: Օրինակ, բացի «Chrome»-ից; v="98″' և '"Chromium"; v="98″' գոյություն չունեցող բրաուզերի պատահական նույնացուցիչ '"(Not; Browser"; v="12″' կարող է ավելացվել ցանկին: Նման փոխարինումը կօգնի բացահայտել անհայտ բրաուզերների նույնացուցիչների մշակման հետ կապված խնդիրները, ինչը հանգեցնում է նրան, որ այլընտրանքային բրաուզերները ստիպված են ձևանալ որպես այլ հայտնի բրաուզերներ՝ շրջանցելու համար ընդունելի բրաուզերների ցուցակների ստուգումը:
- Հունվարի 17-ից Chrome Web Store-ն այլևս չի ընդունում հավելումներ, որոնք օգտագործում են Chrome մանիֆեստի 2023-րդ տարբերակը: Նոր հավելումները այժմ կընդունվեն միայն մանիֆեստի երրորդ տարբերակով: Նախկինում ավելացված հավելումների մշակողները դեռ կկարողանան թարմացումներ հրապարակել մանիֆեստի երկրորդ տարբերակով: Մանիֆեստի XNUMX-րդ տարբերակի ամբողջական արժևորումը նախատեսվում է XNUMX թվականի հունվարին։
- Ավելացվել է COLRv1 ձևաչափով գունավոր վեկտորային տառատեսակների աջակցություն (OpenType տառատեսակների ենթաբազմություն, որը բացի վեկտորային հոլովակներից պարունակում է գունավոր տեղեկություններ ունեցող շերտ), որը կարող է օգտագործվել, օրինակ, բազմագույն էմոջիներ ստեղծելու համար: Ի տարբերություն նախկինում աջակցվող COLRv0 ձևաչափի, COLRv1-ն այժմ ունի գրադիենտներ, ծածկույթներ և փոխակերպումներ օգտագործելու հնարավորություն: Ձևաչափը նաև ապահովում է պահեստավորման կոմպակտ ձև, ապահովում է արդյունավետ սեղմում և թույլ է տալիս վերօգտագործել ուրվագծերը՝ թույլ տալով զգալիորեն նվազեցնել տառատեսակի չափը: Օրինակ՝ Noto Color Emoji տառատեսակը ռաստերային ձևաչափով զբաղեցնում է 9 ՄԲ, իսկ COLRv1 վեկտորային ձևաչափում՝ 1.85 ՄԲ:
- Origin Trials ռեժիմը (փորձարարական գործառույթներ, որոնք պահանջում են առանձին ակտիվացում) իրականացնում է Region Capture API, որը թույլ է տալիս կտրել նկարահանված տեսանյութը: Օրինակ, կարող է անհրաժեշտ լինել վեբ հավելվածների կտրում, որոնք տեսագրում են իրենց ներդիրի բովանդակությամբ՝ որոշակի բովանդակություն կտրելու համար նախքան ուղարկելը: Origin Trial-ը ենթադրում է նշված API-ի հետ աշխատելու հնարավորություն՝ localhost-ից կամ 127.0.0.1-ից ներբեռնված հավելվածներից, կամ գրանցվելուց և հատուկ նշան ստանալուց հետո, որը վավեր է որոշակի կայքի համար սահմանափակ ժամանակով:
- CSS «contain-intrinsic-size» հատկությունն այժմ աջակցում է «auto» արժեքը, որը կօգտագործի տարրի վերջին հիշված չափը («բովանդակության տեսանելիություն. ավտոմատ» հետ օգտագործելու դեպքում մշակողը պարտավոր չէ գուշակել տարրի ցուցադրված չափը) .
- Ավելացվեց AudioContext.outputLatency հատկությունը, որի միջոցով դուք կարող եք իմանալ կանխատեսված ուշացման մասին տեղեկությունները մինչև աուդիո ելքը (ձայնային հարցման և աուդիո ելքային սարքի կողմից ստացված տվյալների մշակման մեկնարկի միջև ուշացումը):
- CSS հատկության գունային սխեման, որը հնարավորություն է տալիս որոշել, թե որ գունային սխեմաներում կարող է ճիշտ ցուցադրվել տարրը («լույս», «մութ», «ցերեկային ռեժիմ» և «գիշերային ռեժիմ»), ավելացվել է «միակ» պարամետրը: HTML-ի առանձին տարրերի համար պարտադիր գունային փոփոխության սխեմաները կանխելու համար: Օրինակ, եթե նշեք «div { գունային սխեման. միայն թեթև }», ապա div տարրի համար կօգտագործվի միայն բաց թեման, նույնիսկ եթե դիտարկիչը ստիպում է միացնել մուգ թեման:
- Ավելացվել է «Դինամիկ տիրույթի» և «վիդեո-դինամիկ տիրույթի» մեդիա հարցումների աջակցություն՝ պարզելու, թե արդյոք էկրանն աջակցում է HDR (Բարձր դինամիկ տիրույթ):
- Ավելացրել է հնարավորություն ընտրելու՝ արդյոք բացել հղումը նոր ներդիրում, նոր պատուհանում կամ բացվող պատուհանում window.open() ֆունկցիայի վրա: Բացի այդ, window.statusbar.visible հատկությունը այժմ վերադարձնում է «false»՝ թռուցիկ պատուհանների համար, իսկ «true»՝ ներդիրների և պատուհանների համար: const popup = window.open('_blank',''popup=1'); // Բացել թռուցիկ պատուհանում const tab = window.open('_blank',,"'popup=0'); // Բացել ներդիրում
- StructurdClone() մեթոդը ներդրվել է windows-ի և աշխատողների համար, որը թույլ է տալիս ստեղծել օբյեկտների ռեկուրսիվ պատճեններ, որոնք ներառում են ոչ միայն նշված օբյեկտի հատկությունները, այլև բոլոր այլ օբյեկտների, որոնց հղում է արվում ընթացիկ օբյեկտի կողմից:
- Web Authentication API-ն ավելացրել է աջակցություն FIDO CTAP2 ճշգրտման ընդլայնման համար, որը թույլ է տալիս սահմանել PIN կոդի նվազագույն թույլատրելի չափը (minPinLength):
- Տեղադրված առանձին վեբ հավելվածների համար ավելացվել է Window Controls Overlay բաղադրիչը, որը ընդլայնում է հավելվածի էկրանի տարածքը ամբողջ պատուհանի վրա, ներառյալ վերնագրի տարածքը, որի վրա ստանդարտ պատուհանի կառավարման կոճակները (փակել, նվազագույնի հասցնել, առավելագույնի հասցնել): ) վերադրված են։ Վեբ հավելվածը կարող է վերահսկել ամբողջ պատուհանի մատուցումը և մուտքագրման մշակումը, բացառությամբ պատուհանի կառավարման կոճակներով ծածկված բլոկի:
- WritableStreamDefaultController-ին ավելացրել է ազդանշանի մշակման հատկություն, որը վերադարձնում է AbortSignal օբյեկտ, որը կարող է օգտագործվել WritableStream-ում գրությունները անմիջապես դադարեցնելու համար՝ չսպասելով դրանց ավարտին:
- WebRTC-ն հեռացրել է SDES հիմնական համաձայնագրի մեխանիզմի աջակցությունը, որը հնացել էր IETF-ի կողմից 2013 թվականին՝ անվտանգության նկատառումներից ելնելով:
- Լռելյայնորեն U2F (Cryptotoken) API-ն անջատված է, որը նախկինում հնացած էր և փոխարինվել է Web Authentication API-ով: U2F API-ն ամբողջությամբ կհեռացվի Chrome 104-ում:
- API-ի գրացուցակում installed_browser_version դաշտը հնացել է, փոխարինվել է նոր pending_browser_version դաշտով, որը տարբերվում է նրանով, որ պարունակում է տեղեկատվություն բրաուզերի տարբերակի մասին՝ հաշվի առնելով ներբեռնված, բայց չկիրառված թարմացումները (այսինքն՝ այն տարբերակը, որը վավեր կլինի հետո զննարկիչը վերագործարկված է):
- Հեռացվել են տարբերակները, որոնք թույլ են տվել վերադարձնել աջակցությունը TLS 1.0 և 1.1:
- Բարելավումներ են կատարվել վեբ մշակողների համար նախատեսված գործիքներում: Ավելացվել է ներդիր՝ «Հետ-առաջ» քեշի աշխատանքը գնահատելու համար, որն ապահովում է ակնթարթային նավարկություն «Հետ» և «Առաջ» կոճակներն օգտագործելիս: Ավելացվեց հարկադիր գույներով լրատվամիջոցների հարցումները ընդօրինակելու հնարավորությունը: Flexbox խմբագրիչին ավելացվել են կոճակներ՝ տողերի հակադարձ և սյունակ հակադարձ հատկություններն աջակցելու համար: «Փոփոխություններ» ներդիրը ապահովում է, որ փոփոխությունները կցուցադրվեն կոդի ձևաչափումից հետո, ինչը հեշտացնում է փոքրացված էջերի վերլուծությունը:
Կոդի վերանայման վահանակի իրականացումը թարմացվել է CodeMirror 6 կոդերի խմբագրիչի թողարկմանը, որը զգալիորեն բարելավում է շատ մեծ ֆայլերի հետ աշխատելու արդյունավետությունը (WASM, JavaScript), լուծում է խնդիրներ նավարկության ընթացքում պատահական շեղումների հետ և բարելավում է առաջարկությունները: կոդը խմբագրելիս ավտոմատ լրացման համակարգը: CSS հատկությունների վահանակին ավելացվել է արդյունքը ըստ սեփականության անվանման կամ արժեքի զտելու հնարավորությունը:
Բացի նորամուծություններից և սխալների շտկումից, նոր տարբերակը վերացնում է 27 խոցելիություն։ Խոցելիություններից շատերը հայտնաբերվել են ավտոմատացված թեստավորման արդյունքում՝ օգտագործելով AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer և AFL գործիքները: Չի հայտնաբերվել ոչ մի կարևոր խնդիր, որը թույլ կտա շրջանցել բրաուզերի պաշտպանության բոլոր մակարդակները և համակարգում կոդ գործարկել Sandbox միջավայրից դուրս: Ընթացիկ թողարկման համար խոցելիություններ հայտնաբերելու համար կանխիկ դրամական պարգևատրման ծրագրի շրջանակներում Google-ը վճարել է 19 հազար դոլար արժողությամբ 88 մրցանակ (երկու՝ 20000 ԱՄՆ դոլար, մեկ՝ 12000 ԱՄՆ դոլար, երկու՝ 7500 ԱՄՆ դոլար, չորս՝ 1000 ԱՄՆ դոլար, և մեկական՝ 7000, 5000 և 3000 ԱՄՆ դոլարի չափով մրցանակներ։ .
Source: opennet.ru