Rilis Chrome 98

Google telah meluncurkan rilis browser web Chrome 98. Pada saat yang sama, rilis stabil proyek Chromium gratis, yang menjadi dasar Chrome, juga tersedia. Browser Chrome dibedakan dengan penggunaan logo Google, kehadiran sistem untuk mengirimkan pemberitahuan jika terjadi kerusakan, modul untuk memutar konten video yang dilindungi hak cipta (DRM), sistem untuk menginstal pembaruan secara otomatis, dan mentransmisikan parameter RLZ ketika mencari. Rilis Chrome 99 berikutnya dijadwalkan pada 1 Maret.

Perubahan penting di Chrome 98:

• Browser memiliki penyimpanan sertifikat root sendiri dari otoritas sertifikasi (Chrome Root Store), yang akan digunakan sebagai pengganti penyimpanan eksternal khusus untuk setiap sistem operasi. Penyimpanan ini diimplementasikan mirip dengan penyimpanan sertifikat root independen di Firefox, yang digunakan sebagai tautan pertama untuk memeriksa rantai kepercayaan sertifikat saat membuka situs melalui HTTPS. Penyimpanan baru belum digunakan secara default. Untuk memudahkan transisi konfigurasi penyimpanan sistem dan memastikan portabilitas, akan ada periode transisi di mana Chrome Root Store akan menyertakan pilihan lengkap sertifikat yang disetujui pada sebagian besar platform yang didukung.
• Rencana untuk memperkuat perlindungan terhadap serangan terkait pengaksesan sumber daya di jaringan lokal atau di komputer pengguna (localhost) dari skrip yang dimuat saat situs dibuka terus dilaksanakan. Permintaan tersebut digunakan oleh penyerang untuk melakukan serangan CSRF pada router, titik akses, printer, antarmuka web perusahaan, dan perangkat serta layanan lain yang hanya menerima permintaan dari jaringan lokal.

  Untuk melindungi dari serangan tersebut, jika ada sub-sumber daya yang diakses di jaringan internal, browser akan mulai mengirimkan permintaan izin eksplisit untuk mengunduh sub-sumber daya tersebut. Permintaan izin dilakukan dengan mengirimkan permintaan CORS (Cross-Origin Resource Sharing) dengan header “Access-Control-Request-Private-Network: true” ke server situs utama sebelum mengakses jaringan internal atau localhost. Saat mengonfirmasi operasi sebagai respons terhadap permintaan ini, server harus mengembalikan header “Access-Control-Allow-Private-Network: true”. Di Chrome 98, pemeriksaan diterapkan dalam mode pengujian dan jika tidak ada konfirmasi, peringatan ditampilkan di konsol web, namun permintaan sub-sumber daya itu sendiri tidak diblokir. Pemblokiran tidak direncanakan untuk diaktifkan hingga Chrome 101 dirilis.

• Pengaturan akun mengintegrasikan alat untuk mengelola penyertaan Penjelajahan Aman yang Disempurnakan, yang mengaktifkan pemeriksaan tambahan untuk melindungi dari phishing, aktivitas jahat, dan ancaman lainnya di Web. Saat Anda mengaktifkan mode di akun Google Anda, Anda sekarang akan diminta untuk mengaktifkan mode di Chrome.
• Menambahkan model untuk mendeteksi upaya phishing di sisi klien, diimplementasikan menggunakan platform pembelajaran mesin TFLite (TensorFlow Lite) dan tidak memerlukan pengiriman data untuk melakukan verifikasi di sisi Google (dalam hal ini, telemetri dikirimkan dengan informasi tentang versi model dan menghitung bobot untuk setiap kategori). Jika upaya phishing terdeteksi, pengguna akan diperlihatkan halaman peringatan sebelum membuka situs mencurigakan tersebut.
• Di API Petunjuk Klien, yang sedang dikembangkan sebagai pengganti header Agen-Pengguna dan memungkinkan Anda mengirim data secara selektif tentang browser tertentu dan parameter sistem (versi, platform, dll.) hanya setelah diminta oleh server, itu adalah dimungkinkan untuk mengganti nama fiktif ke dalam daftar pengidentifikasi browser, sesuai dengan analogi dengan mekanisme GREASE (Generate Random Extensions And Sustain Extensibility) yang digunakan di TLS. Misalnya, selain '"Chrome"; v="98″' dan '"Kromium"; v="98″' pengidentifikasi acak dari browser yang tidak ada '"(Tidak; Browser"; v="12″' dapat ditambahkan ke daftar. Penggantian seperti itu akan membantu mengidentifikasi masalah dengan pemrosesan pengidentifikasi browser yang tidak dikenal, yang mengarah pada fakta bahwa browser alternatif dipaksa untuk berpura-pura menjadi browser populer lainnya untuk melewati pemeriksaan terhadap daftar browser yang dapat diterima.
• Mulai 17 Januari, Toko Web Chrome tidak lagi menerima add-on yang menggunakan manifes Chrome versi 2023. Penambahan baru sekarang hanya akan diterima dengan manifes versi ketiga. Pengembang add-on yang ditambahkan sebelumnya masih dapat memublikasikan pembaruan dengan manifes versi kedua. Penghentian total manifesto versi kedua direncanakan pada Januari XNUMX.
• Menambahkan dukungan untuk font vektor warna dalam format COLRv1 (bagian dari font OpenType yang berisi, selain mesin terbang vektor, lapisan dengan informasi warna), yang dapat digunakan, misalnya, untuk membuat emoji multiwarna. Berbeda dengan format COLRv0 yang didukung sebelumnya, COLRv1 kini memiliki kemampuan untuk menggunakan gradien, overlay, dan transformasi. Format ini juga menyediakan bentuk penyimpanan yang ringkas, memberikan kompresi yang efisien, dan memungkinkan penggunaan kembali garis tepi, sehingga memungkinkan pengurangan ukuran font secara signifikan. Misalnya, font Noto Color Emoji berukuran 9MB dalam format raster, dan 1MB dalam format vektor COLRv1.85.
• Mode Uji Coba Asal (fitur eksperimental yang memerlukan aktivasi terpisah) mengimplementasikan API Pengambilan Wilayah, yang memungkinkan Anda memotong video yang diambil. Misalnya, pemangkasan mungkin diperlukan dalam aplikasi web yang menangkap video dengan konten tabnya, untuk memotong konten tertentu sebelum dikirim. Uji Coba Asal menyiratkan kemampuan untuk bekerja dengan API tertentu dari aplikasi yang diunduh dari localhost atau 127.0.0.1, atau setelah mendaftar dan menerima token khusus yang berlaku untuk waktu terbatas untuk situs tertentu.
• Properti CSS "contain-intrinsic-size" sekarang mendukung nilai "auto", yang akan menggunakan ukuran elemen yang terakhir diingat (bila digunakan dengan "content-visibility: auto", pengembang tidak perlu menebak ukuran elemen yang dirender) .
• Menambahkan properti AudioContext.outputLatency, yang melaluinya Anda dapat mengetahui informasi tentang perkiraan penundaan sebelum keluaran audio (penundaan antara permintaan audio dan dimulainya pemrosesan data yang diterima oleh perangkat keluaran audio).
• Skema warna properti CSS, yang memungkinkan untuk menentukan skema warna mana suatu elemen dapat ditampilkan dengan benar (“terang”, “gelap”, “mode siang” dan “mode malam”), parameter “hanya” telah ditambahkan untuk mencegah skema perubahan warna paksa untuk elemen HTML individual. Misalnya, jika Anda menentukan “div { skema warna: hanya terang }”, maka hanya tema terang yang akan digunakan untuk elemen div, meskipun browser memaksa mengaktifkan tema gelap.
• Menambahkan dukungan untuk kueri media 'rentang dinamis' dan 'rentang dinamis video' ke CSS untuk menentukan apakah layar mendukung HDR (Rentang Dinamis Tinggi).
• Menambahkan kemampuan untuk memilih apakah akan membuka tautan di tab baru, jendela baru, atau jendela pop-up ke fungsi window.open(). Selain itu, properti window.statusbar.visible kini mengembalikan "false" untuk popup dan "true" untuk tab dan jendela. const popup = window.open('_blank',",'popup=1′); // Buka di jendela popup const tab = window.open('_blank',,"'popup=0′); // Buka di tab
• Metode terstrukturClone() telah diterapkan untuk windows dan pekerja, yang memungkinkan Anda membuat salinan objek secara rekursif yang menyertakan properti tidak hanya dari objek tertentu, tetapi juga semua objek lain yang direferensikan oleh objek saat ini.
• API Otentikasi Web telah menambahkan dukungan untuk ekstensi spesifikasi FIDO CTAP2, yang memungkinkan Anda menyetel ukuran kode PIN minimum yang diperbolehkan (minPinLength).
• Untuk aplikasi web mandiri yang terinstal, komponen Window Controls Overlay telah ditambahkan, memperluas area layar aplikasi ke seluruh jendela, termasuk area judul, di mana tombol kontrol jendela standar (tutup, perkecil, maksimalkan) ditumpangkan. Aplikasi Web dapat mengontrol rendering dan pemrosesan input seluruh jendela, kecuali blok overlay dengan tombol kontrol jendela.
• Menambahkan properti penanganan sinyal ke WritableStreamDefaultController yang mengembalikan objek AbortSignal, yang dapat digunakan untuk segera menghentikan penulisan ke WritableStream tanpa menunggu hingga selesai.
• WebRTC telah menghapus dukungan untuk mekanisme perjanjian kunci SDES, yang tidak digunakan lagi oleh IETF pada tahun 2013 karena masalah keamanan.
• Secara default, API U2F (Cryptoken) dinonaktifkan, yang sebelumnya tidak digunakan lagi dan digantikan oleh Web Authentication API. API U2F akan dihapus sepenuhnya di Chrome 104.
• Di Direktori API, kolom install_browser_version sudah tidak digunakan lagi, digantikan dengan kolom pending_browser_version baru, yang berbeda karena berisi informasi tentang versi browser, dengan mempertimbangkan pembaruan yang diunduh tetapi tidak diterapkan (yaitu, versi yang akan valid setelah browser dimulai ulang).
• Menghapus opsi yang memungkinkan untuk mengembalikan dukungan untuk TLS 1.0 dan 1.1.
• Perbaikan telah dilakukan pada alat untuk pengembang web. Sebuah tab telah ditambahkan untuk mengevaluasi pengoperasian cache Mundur-maju, yang menyediakan navigasi instan saat menggunakan tombol Mundur dan Maju. Menambahkan kemampuan untuk meniru permintaan media dengan warna yang dipaksakan. Menambahkan tombol ke editor Flexbox untuk mendukung properti pembalikan baris dan pembalikan kolom. Tab “Perubahan” memastikan bahwa perubahan ditampilkan setelah memformat kode, yang menyederhanakan penguraian halaman yang diperkecil.

  Penerapan panel peninjauan kode telah diperbarui hingga rilis editor kode CodeMirror 6, yang secara signifikan meningkatkan kinerja bekerja dengan file yang sangat besar (WASM, JavaScript), memecahkan masalah dengan offset acak selama navigasi, dan meningkatkan rekomendasi dari sistem pelengkapan otomatis saat mengedit kode. Kemampuan untuk memfilter keluaran berdasarkan nama atau nilai properti telah ditambahkan ke panel properti CSS.

  

Selain inovasi dan perbaikan bug, versi baru ini menghilangkan 27 kerentanan. Banyak kerentanan yang diidentifikasi sebagai hasil pengujian otomatis menggunakan alat AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer, dan AFL. Tidak ada masalah kritis yang teridentifikasi yang memungkinkan seseorang melewati semua tingkat perlindungan browser dan mengeksekusi kode pada sistem di luar lingkungan sandbox. Sebagai bagian dari program hadiah uang tunai untuk menemukan kerentanan pada rilis saat ini, Google membayar 19 penghargaan senilai $88 ribu (dua penghargaan $20000, satu penghargaan $12000, dua penghargaan $7500, empat penghargaan $1000 dan masing-masing satu penghargaan $7000, $5000, $3000, dan $2000.

Sumber: opennet.ru