Rilis Chrome 97

Google telah meluncurkan rilis browser web Chrome 97. Pada saat yang sama, rilis stabil dari proyek Chromium gratis, yang merupakan dasar dari Chrome, tersedia. Browser Chrome dibedakan dengan penggunaan logo Google, adanya sistem untuk mengirimkan notifikasi jika terjadi crash, modul untuk memutar konten video yang dilindungi hak cipta (DRM), sistem pembaruan otomatis, dan transmisi saat mencari RLZ parameter. Bagi mereka yang membutuhkan lebih banyak waktu untuk memperbarui, cabang Extended Stable terpisah dipertahankan, diikuti oleh 8 minggu, yang menghasilkan pembaruan untuk rilis terakhir Chrome 96. Rilis Chrome 98 berikutnya dijadwalkan pada tanggal 1 Februari.

Perubahan penting di Chrome 97:

• Untuk beberapa pengguna, konfigurator menggunakan antarmuka baru untuk mengelola data yang disimpan di sisi browser (“chrome://settings/content/all”). Perbedaan utama dari antarmuka baru ini adalah fokus pada pengaturan izin dan menghapus semua Cookie di situs sekaligus, tanpa kemampuan untuk melihat informasi mendetail tentang masing-masing Cookie dan menghapus Cookie secara selektif. Menurut pendapat Google, akses ke manajemen cookie individu untuk pengguna normal yang tidak memahami seluk-beluk pengembangan web dapat menyebabkan pelanggaran yang tidak dapat diprediksi terhadap pengoperasian situs karena perubahan pengaturan individu yang tidak disengaja, serta untuk penonaktifan mekanisme perlindungan privasi yang diaktifkan cookie secara tidak sengaja. Bagi mereka yang perlu memanipulasi Cookie individual, disarankan untuk menggunakan bagian manajemen penyimpanan di alat pengembang web (Alokasi/Penyimpanan/Cookie).
• Di blok dengan informasi tentang situs, deskripsi singkat tentang situs (misalnya, deskripsi dari Wikipedia) ditampilkan jika mode pengoptimalan pencarian dan navigasi diaktifkan dalam pengaturan (opsi "Jadikan pencarian dan penjelajahan lebih baik").
• Peningkatan dukungan untuk pengisian bidang secara otomatis dalam formulir web. Rekomendasi dengan opsi pelengkapan otomatis kini ditampilkan dengan sedikit pergeseran dan dilengkapi dengan ikon informasi untuk pratinjau yang lebih nyaman dan identifikasi visual koneksi dengan bidang yang akan diisi. Misalnya, ikon profil memperjelas bahwa pelengkapan otomatis yang disarankan memengaruhi bidang yang terkait dengan alamat dan informasi kontak.
• Memastikan bahwa penangan profil pengguna dihapus dari memori setelah jendela browser yang terkait dengannya ditutup. Sebelumnya, profil tetap berada di memori dan terus melakukan pekerjaan terkait sinkronisasi dan eksekusi skrip latar belakang add-on, yang menyebabkan pemborosan sumber daya yang tidak masuk akal pada sistem yang menggunakan beberapa profil secara bersamaan (misalnya, profil tamu dan menautkan ke akun Google). Selain itu, pembersihan data yang tersisa dalam proses bekerja dengan profil disediakan secara lebih menyeluruh.
• Halaman setelan mesin telusur yang disempurnakan ("Pengaturan>Kelola mesin telusur"). Nonaktifkan aktivasi otomatis mesin, informasi yang diberikan saat membuka situs melalui skrip OpenSearch - mesin baru untuk memproses permintaan pencarian dari bilah alamat sekarang perlu diaktifkan secara manual di pengaturan (sebelumnya mesin yang diaktifkan secara otomatis akan terus bekerja tanpa perubahan ).
• Mulai 17 Januari, katalog Toko Web Chrome tidak lagi menerima pengaya yang menggunakan manifes Chrome versi kedua, tetapi pengembang pengaya yang ditambahkan sebelumnya masih dapat memublikasikan pembaruan.
• Menambahkan dukungan eksperimental untuk spesifikasi WebTransport, yang menentukan protokol dan JavaScript API yang menyertainya untuk mengirim dan menerima data antara browser dan server. Saluran komunikasi diatur melalui HTTP/3 menggunakan protokol QUIC sebagai transportasi. WebTransport dapat digunakan sebagai pengganti mekanisme WebSockets, menawarkan fitur tambahan seperti multithreading, aliran searah, pengiriman tidak sesuai pesanan, mode pengiriman yang andal dan tidak dapat diandalkan. Selain itu, WebTransport dapat digunakan sebagai pengganti mekanisme Server Push, yang sudah tidak digunakan lagi oleh Google di Chrome.
• Metode findLast dan findLastIndex telah ditambahkan ke objek JavaScript Array dan TypedArrays, memungkinkan Anda untuk mencari elemen dengan output hasil relatif ke akhir array. [1,2,3,4].findLast((el) => el % 2 === 0) // → 4 (elemen genap terakhir)
• Elemen HTML tertutup (tanpa atribut "terbuka") , kini dapat ditelusuri dan ditautkan, serta diperluas secara otomatis saat menggunakan pencarian halaman dan navigasi fragmen (ScrollToTextFragment).
• Pembatasan Kebijakan Keamanan Konten (CSP) di header respons server sekarang berlaku untuk pekerja khusus, yang sebelumnya diperlakukan sebagai dokumen terpisah.
• Permintaan eksplisit untuk izin mengunduh sub-sumber daya apa pun dari jaringan internal disediakan - sebelum mengakses jaringan internal atau localhost, permintaan CORS (Cross-Origin Resource Sharing) sekarang dikirim ke server situs utama dengan tajuk "Access-Control-Request-Private-Network: true", membutuhkan konfirmasi operasi dengan mengembalikan header "Access-Control-Allow-Private-Network: true".
• Properti CSS sintesis font telah ditambahkan untuk mengontrol apakah browser dapat mensintesis gaya font yang hilang (miring, tebal, dan huruf kecil) yang tidak ada dalam keluarga font yang dipilih.
• Untuk transformasi CSS, fungsi perspektif() mengimplementasikan parameter 'none', yang diperlakukan sebagai nilai tak terbatas saat dianimasikan.
• Header HTTP Izin-Kebijakan (Kebijakan Fitur), yang digunakan untuk mendelegasikan izin dan mengaktifkan fitur lanjutan, kini mendukung nilai peta keyboard yang memungkinkan penggunaan API Keyboard. Metode Keyboard.getLayoutMap() telah diterapkan, yang memungkinkan Anda untuk menentukan tombol mana yang ditekan, dengan mempertimbangkan tata letak keyboard yang berbeda (misalnya, tombol ditekan dalam tata letak Rusia atau Inggris).
• Metode HTMLScriptElement.supports() telah ditambahkan, yang menyatukan definisi fitur baru yang tersedia di elemen "script", misalnya, Anda dapat mengetahui daftar nilai yang didukung untuk atribut "type".
• Proses normalisasi baris baru saat mengirimkan formulir web telah disesuaikan dengan mesin browser Gecko dan WebKit. Normalisasi karakter linefeed dan carriage return (menggantikan /r dan /n dengan \r\n) di Chrome sekarang dilakukan pada tahap akhir, dan bukan pada awal pemrosesan pengiriman formulir (yaitu penangan perantara yang menggunakan objek FormData akan melihat data seperti yang ditambahkan oleh pengguna, bukan dalam bentuk normal).
• Penamaan nama properti telah distandarisasi untuk Client Hints API, yang dikembangkan sebagai pengganti header User-Agent dan memungkinkan Anda mengembalikan data secara selektif tentang browser tertentu dan parameter sistem (versi, platform, dll.) hanya setelah permintaan oleh server. Properti sekarang diawali dengan "sec-ch-", misalnya sec-ch-dpr, sec-ch-width, sec-ch-viewport-width, sec-ch-device-memory, sec-ch-rtt, sec- ch -downlink dan sec-ch-ect.
• Fase kedua penghentian API WebSQL telah diterapkan, akses yang dari skrip pihak ketiga sekarang akan diblokir. Ke depannya, kami berencana menghentikan dukungan untuk WebSQL sepenuhnya, apa pun konteks penggunaannya. Mesin WebSQL didasarkan pada kode SQLite dan dapat digunakan oleh penyerang untuk mengeksploitasi kerentanan di SQLite.
• Untuk platform Windows, rakitan dengan pemeriksaan integritas aliran eksekusi (CFG, Control Flow Guard) diaktifkan, memblokir upaya untuk mengganti kode dalam proses Chrome. Selain itu, layanan jaringan yang berjalan dalam proses terpisah kini di-sandbox, membatasi apa yang dapat dilakukan kode dalam proses tersebut.
• Chrome untuk Android menyertakan mekanisme untuk memperbarui log sertifikat yang dikeluarkan dan dicabut secara dinamis (Transparansi Sertifikat), yang sebelumnya diaktifkan dalam biaya untuk sistem desktop.
• Peningkatan telah dilakukan pada alat untuk pengembang web. Menerapkan dukungan eksperimental untuk menyinkronkan setelan DevTools di antara perangkat yang berbeda. Panel Perekam baru telah ditambahkan, yang dengannya Anda dapat merekam, memutar, dan menganalisis tindakan pengguna di halaman.

  Saat menampilkan kesalahan di konsol web, nomor kolom yang terkait dengan masalah ditampilkan, yang berguna untuk masalah debug dalam kode JavaScript yang diperkecil. Memperbarui daftar perangkat yang dapat disimulasikan untuk mengevaluasi perenderan halaman di perangkat seluler. Di antarmuka untuk mengedit blok HTML (Edit sebagai HTML), penyorotan sintaks dan kemampuan untuk melengkapi input secara otomatis telah ditambahkan.

  

Selain inovasi dan perbaikan bug, 37 kerentanan telah diperbaiki di versi baru. Banyak kerentanan diidentifikasi sebagai hasil dari alat pengujian otomatis AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer, dan AFL. Salah satu kerentanan telah ditingkatkan menjadi masalah kritis yang memungkinkan melewati semua tingkat perlindungan browser dan mengeksekusi kode pada sistem, di luar lingkungan kotak pasir. Detail tentang kerentanan kritis (CVE-2022-0096) belum diungkapkan, hanya diketahui bahwa ini terkait dengan mengakses area memori yang sudah dibebaskan dalam kode untuk bekerja dengan penyimpanan internal (Penyimpanan API).

Sebagai bagian dari program Vulnerability Bounty untuk rilis saat ini, Google membayar 24 penghargaan senilai $54 (tiga penghargaan $10000, dua penghargaan $5000, satu penghargaan $4000, tiga penghargaan $3000, dan satu penghargaan $1000). Jumlah 14 hadiah belum ditentukan.

Sumber: opennet.ru