Chrome versione 97

Google ha annunciato la versione del browser web Chrome 97. Allo stesso tempo è disponibile una versione stabile del progetto gratuito Chromium, che funge da base per Chrome. Il browser Chrome si distingue per l'uso dei loghi di Google, la presenza di un sistema per l'invio di notifiche in caso di crash, moduli per la riproduzione di contenuti video protetti da copia (DRM), un sistema per l'installazione automatica degli aggiornamenti e la trasmissione dei parametri RLZ quando ricerca. Per coloro che necessitano di più tempo per l'aggiornamento, è disponibile un ramo Extended Stable separato, seguito da 8 settimane, che costituisce un aggiornamento alla versione precedente di Chrome 96. La prossima versione di Chrome 98 è prevista per il 1 febbraio.

Modifiche principali in Chrome 97:

• Per alcuni utenti, il configuratore utilizza una nuova interfaccia per la gestione dei dati memorizzati lato browser (“chrome://settings/content/all”). La differenza fondamentale della nuova interfaccia è il suo focus sull'impostazione delle autorizzazioni e sulla cancellazione di tutti i cookie del sito contemporaneamente, senza la possibilità di visualizzare informazioni dettagliate sui singoli cookie ed eliminare selettivamente i cookie. Secondo Google, l'accesso alla gestione dei singoli cookie per un utente normale che non comprende le complessità dello sviluppo web può portare a interruzioni imprevedibili nel funzionamento dei siti a causa di modifiche sconsiderate dei parametri individuali, nonché alla disattivazione accidentale della privacy. meccanismi di protezione attivati ​​tramite i Cookie. Per chi ha necessità di manipolare singoli Cookie, si consiglia di utilizzare la sezione di gestione della memorizzazione negli strumenti per sviluppatori web (Applocation/Storage/Cookie).
• Nel blocco con le informazioni sul sito, viene visualizzata una breve descrizione del sito (ad esempio, una descrizione da Wikipedia) se nelle impostazioni è attivata la modalità di ottimizzazione della ricerca e della navigazione (opzione “Migliora le ricerche e la navigazione”).
• Supporto migliorato per la compilazione automatica dei campi nei moduli Web. I consigli con opzioni di compilazione automatica vengono ora visualizzati con un leggero spostamento e sono dotati di icone informative per un'anteprima più comoda e un'identificazione visiva della connessione con il campo da compilare. Ad esempio, l'icona del profilo chiarisce che il completamento automatico proposto influisce sui campi relativi all'indirizzo e alle informazioni di contatto.
• Abilitata la rimozione dei gestori dei profili utente dalla memoria dopo aver chiuso le finestre del browser ad essi associate. In precedenza, i profili rimanevano in memoria e continuavano a svolgere il lavoro relativo alla sincronizzazione e all'esecuzione di script aggiuntivi in ​​background, il che portava a un inutile spreco di risorse sui sistemi che utilizzano più profili contemporaneamente (ad esempio, un profilo ospite e il collegamento a un account Google ). Inoltre, è garantita una pulizia più approfondita dei dati rimanenti durante l'utilizzo del profilo.
• Pagina migliorata con le impostazioni del motore di ricerca (“Impostazioni>Gestisci motori di ricerca”). L'attivazione automatica dei motori, le cui informazioni vengono fornite quando si apre un sito tramite lo script OpenSearch, è stata disabilitata: i nuovi motori per l'elaborazione delle query di ricerca dalla barra degli indirizzi ora devono essere attivati ​​manualmente nelle impostazioni (i motori precedentemente attivati ​​automaticamente continueranno a lavorare senza modifiche).
• A partire dal 17 gennaio, il Chrome Web Store non accetterà più componenti aggiuntivi che utilizzano la versione XNUMX del manifest di Chrome, ma gli sviluppatori di componenti aggiuntivi aggiunti in precedenza potranno comunque pubblicare aggiornamenti.
• Aggiunto supporto sperimentale per la specifica WebTransport, che definisce un protocollo e l'API JavaScript di accompagnamento per l'invio e la ricezione di dati tra il browser e il server. Il canale di comunicazione è organizzato su HTTP/3 utilizzando il protocollo QUIC come trasporto. WebTransport può essere utilizzato al posto del meccanismo WebSockets, offrendo funzionalità aggiuntive come trasmissione multi-stream, flussi unidirezionali, consegna fuori ordine, modalità di consegna affidabili e inaffidabili. Inoltre è possibile utilizzare WebTransport al posto del meccanismo Server Push, che Google ha abbandonato in Chrome.
• I metodi findLast e findLastIndex sono stati aggiunti agli oggetti JavaScript Array e TypedArrays, consentendo di cercare elementi con l'output del risultato relativo alla fine dell'array. [1,2,3,4].findLast((el) => el % 2 === 0) // → 4 (ultimo elemento pari)
• Elementi HTML chiusi (nessun attributo "aperto"). , sono ora ricercabili e collegabili e vengono espansi automaticamente quando si utilizza la ricerca di pagine e la navigazione nei frammenti (ScrollToTextFragment).
• Le restrizioni CSP (Content Security Policy) nelle intestazioni di risposta del server ora si applicano ai lavoratori dedicati, che in precedenza venivano trattati come documenti separati.
• È stata fornita una richiesta esplicita all'autorità di scaricare eventuali sottorisorse dalla rete interna - prima di accedere alla rete interna o al localhost, una richiesta CORS (Cross-Origin Resource Sharing) con l'intestazione "Access-Control-Request-Private- Network: true" viene ora inviato al server del sito principale richiedendo conferma dell'operazione restituendo l'intestazione "Access-Control-Allow-Private-Network: true".
• Aggiunta la proprietà CSS di sintesi dei caratteri, che consente di controllare se il browser può sintetizzare gli stili di carattere mancanti (obliquo, grassetto e maiuscoletto) che non sono nella famiglia di caratteri selezionata.
• Per le trasformazioni CSS, la funzione perspective() implementa un parametro "none", che viene trattato come un valore infinito durante l'organizzazione dell'animazione.
• L'intestazione HTTP Permissions-Policy (Feature Policy), utilizzata per delegare l'autorità e abilitare funzionalità avanzate, ora supporta il valore della mappa della tastiera, che consente l'uso dell'API Keyboard. È stato implementato il metodo Keyboard.getLayoutMap() che permette di determinare quale tasto viene premuto, tenendo conto dei diversi layout di tastiera (ad esempio, viene premuto un tasto su un layout russo o inglese).
• Aggiunto il metodo HTMLScriptElement.supports(), che unifica la definizione delle nuove funzionalità disponibili nell'elemento “script”, ad esempio è possibile scoprire l'elenco dei valori supportati​​per l'attributo “type”.
• Il processo di normalizzazione dei ritorni a capo durante l'invio di moduli Web è stato allineato ai motori browser Gecko e WebKit. La normalizzazione degli avanzamenti riga e dei ritorni a capo (sostituendo /r e /n con \r\n) in Chrome viene ora eseguita nella fase finale anziché all'inizio dell'elaborazione dell'invio del modulo (ovvero i processori intermedi che utilizzano l'oggetto FormData vedranno i dati come aggiunto dall'utente e non in forma normalizzata).
• La denominazione dei nomi delle proprietà è stata standardizzata per l'API Client Hints, che è stata sviluppata in sostituzione dell'intestazione User-Agent e consente di fornire in modo selettivo dati su browser specifici e parametri di sistema (versione, piattaforma, ecc.) solo dopo una richiesta da parte del server. Le proprietà ora hanno il prefisso "sec-ch-", ad esempio sec-ch-dpr, sec-ch-width, sec-ch-viewport-width, sec-ch-device-memory, sec-ch-rtt, sec-ch -downlink e sec-ch-ect.
• È stata applicata la seconda fase di interruzione del supporto per l'API WebSQL, il cui accesso da script di terze parti verrà ora bloccato. In futuro prevediamo di eliminare gradualmente e completamente il supporto per WebSQL, indipendentemente dal contesto di utilizzo. Il motore WebSQL si basa sul codice SQLite e potrebbe essere utilizzato dagli aggressori per sfruttare le vulnerabilità di SQLite.
• Per la piattaforma Windows è incluso un assembly con controlli di integrità del flusso di esecuzione (CFG, Control Flow Guard), che blocca i tentativi di inserimento del codice nel processo Chrome. Inoltre, l'isolamento sandbox viene ora applicato ai servizi di rete eseguiti in processi separati, limitando le capacità del codice in questi processi.
• Chrome per Android include un meccanismo di aggiornamento dinamico dello storico dei certificati emessi e revocati (Certificate Transparency), precedentemente attivato a pagamento per i sistemi desktop.
• Sono stati apportati miglioramenti agli strumenti per gli sviluppatori web. È stato implementato il supporto sperimentale per la sincronizzazione delle impostazioni di DevTools tra diversi dispositivi. È stato aggiunto un nuovo pannello Registratore, con il quale è possibile registrare, riprodurre e analizzare le azioni dell'utente sulla pagina.

  Quando si visualizzano gli errori nella console Web, vengono visualizzati i numeri di colonna associati al problema, il che è utile per eseguire il debug dei problemi nel codice JavaScript minimizzato. Aggiornata la lista dei dispositivi simulabili per valutare la visualizzazione delle pagine sui dispositivi mobili. Nell'interfaccia per la modifica dei blocchi HTML (Modifica come HTML), sono state aggiunte l'evidenziazione della sintassi e la possibilità di completare automaticamente l'input.

  

Oltre alle innovazioni e alle correzioni di bug, la nuova versione elimina 37 vulnerabilità. Molte delle vulnerabilità sono state identificate come risultato di test automatizzati utilizzando gli strumenti AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. A una delle vulnerabilità è stato assegnato lo stato di problema critico, consentendo di aggirare tutti i livelli di protezione del browser ed eseguire codice sul sistema, al di fuori dell'ambiente sandbox. I dettagli sulla vulnerabilità critica (CVE-2022-0096) non sono ancora stati resi noti; si sa solo che è associata all'accesso ad un'area di memoria già liberata nel codice per lavorare con la memoria interna (Storage API).

Nell'ambito del programma di pagamento di premi in denaro per la scoperta di vulnerabilità per la versione attuale, Google ha pagato 24 premi del valore di 54mila dollari (tre premi da 10000 dollari, due premi da 5000 dollari, un premio da 4000 dollari, tre premi da 3000 dollari e un premio da 1000 dollari). La dimensione di 14 premi non è stata ancora determinata.

Fonte: opennet.ru