ProHoster > blog > notizie internet > Chrome versione 102

Chrome versione 102

Google ha annunciato l'uscita del browser web Chrome 102. Allo stesso tempo è disponibile una versione stabile del progetto gratuito Chromium, che funge da base per Chrome. Il browser Chrome si differenzia da Chromium per l'utilizzo dei loghi di Google, per la presenza di un sistema per l'invio di notifiche in caso di crash, moduli per la riproduzione di contenuti video protetti da copia (DRM), un sistema per l'installazione automatica degli aggiornamenti, abilitazione permanente dell'isolamento Sandbox , fornendo chiavi all'API di Google e trasmettendo i parametri RLZ- durante la ricerca. Per coloro che necessitano di più tempo per l'aggiornamento, il ramo Extended Stable è supportato separatamente, seguito da 8 settimane. Il prossimo rilascio di Chrome 103 è previsto per il 21 giugno.

Modifiche principali in Chrome 102:

  • Per bloccare lo sfruttamento delle vulnerabilità causate dall'accesso a blocchi di memoria già liberati (use-after-free), al posto dei normali puntatori si iniziò ad utilizzare il tipo MiraclePtr (raw_ptr). MiraclePtr fornisce un collegamento sui puntatori che esegue controlli aggiuntivi sugli accessi alle aree di memoria liberate e si blocca se tali accessi vengono rilevati. L'impatto del nuovo metodo di protezione sulle prestazioni e sul consumo di memoria è valutato come trascurabile. Il meccanismo MiraclePtr non è applicabile in tutti i processi, in particolare non viene utilizzato nei processi di rendering, ma può migliorare notevolmente la sicurezza. Ad esempio, nella versione attuale, su 32 vulnerabilità risolte, 12 erano causate da problemi use-after-free.
  • Il design dell'interfaccia con le informazioni sui download è stato modificato. Al posto della riga inferiore con i dati sull'avanzamento del download, nel pannello con la barra degli indirizzi è stato aggiunto un nuovo indicatore; cliccandoci sopra viene mostrato l'avanzamento del download dei file e una cronologia con l'elenco dei file già scaricati. A differenza del pannello inferiore, il pulsante è costantemente visualizzato sul pannello e consente di accedere rapidamente alla cronologia dei download. La nuova interfaccia al momento è offerta di default solo ad alcuni utenti e verrà estesa a tutti se non ci saranno problemi. Per ripristinare la vecchia interfaccia o abilitarne una nuova, viene fornita l'impostazione "chrome://flags#download-bubble".
    Chrome versione 102
  • Quando si cercano immagini tramite il menu contestuale (“Cerca immagine con Google Lens” o “Trova tramite Google Lens”), i risultati ora vengono visualizzati non su una pagina separata, ma in una barra laterale accanto al contenuto della pagina originale (in in un'unica finestra è possibile vedere contemporaneamente sia il contenuto della pagina che il risultato dell'accesso al motore di ricerca).
    Chrome versione 102
  • Nella sezione "Privacy e Sicurezza" delle impostazioni è stata aggiunta una sezione "Guida alla Privacy" che offre una panoramica generale delle principali impostazioni che influiscono sulla privacy con spiegazioni dettagliate sull'impatto di ciascuna impostazione. Ad esempio, nella sezione è possibile definire la policy di invio dei dati ai servizi Google, gestire la sincronizzazione, l'elaborazione dei Cookie e il salvataggio della cronologia. La funzione è offerta ad alcuni utenti; per attivarla è possibile utilizzare l'impostazione “chrome://flags#privacy-guide”.
    Chrome versione 102
  • Viene fornita la strutturazione della cronologia delle ricerche e delle pagine visualizzate. Quando si tenta di effettuare nuovamente la ricerca, nella barra degli indirizzi viene visualizzato il suggerimento "Riprendi il viaggio", che consente di continuare la ricerca dal punto in cui è stata interrotta l'ultima volta.
    Chrome versione 102
  • Il Chrome Web Store offre una pagina "Extensions Starter Kit" con una selezione iniziale di componenti aggiuntivi consigliati.
  • In modalità test, l'invio di una richiesta di autorizzazione CORS (Cross-Origin Resource Sharing) al server del sito principale con l'intestazione "Access-Control-Request-Private-Network: true" è abilitato quando la pagina accede a una risorsa sulla rete interna ( 192.168.xx, 10.xxx, 172.16.xx) o su localhost (128.xxx). Quando si conferma l'operazione in risposta a questa richiesta, il server deve restituire l'intestazione "Access-Control-Allow-Private-Network: true". Nella versione 102 di Chrome, il risultato della conferma non influisce ancora sull'elaborazione della richiesta: se non c'è conferma, viene visualizzato un avviso nella console web, ma la richiesta della risorsa secondaria stessa non viene bloccata. L'abilitazione del blocco in assenza di conferma da parte del server non è prevista fino al rilascio di Chrome 105. Per abilitare il blocco nelle versioni precedenti, è possibile abilitare l'impostazione "chrome://flags/#private-network-access-respect-preflight- risultati".

    La verifica dell'autorità da parte del server è stata introdotta per rafforzare la protezione contro gli attacchi legati all'accesso alle risorse sulla rete locale o sul computer dell'utente (localhost) da script caricati all'apertura di un sito. Tali richieste vengono utilizzate dagli aggressori per effettuare attacchi CSRF su router, punti di accesso, stampanti, interfacce web aziendali e altri dispositivi e servizi che accettano richieste solo dalla rete locale. Per proteggersi da tali attacchi, se si accede a qualsiasi risorsa secondaria sulla rete interna, il browser invierà una richiesta esplicita di autorizzazione per caricare queste risorse secondarie.

  • Quando si aprono collegamenti in modalità di navigazione in incognito tramite il menu contestuale, alcuni parametri che influiscono sulla privacy vengono automaticamente rimossi dall'URL.
  • La strategia di distribuzione degli aggiornamenti per Windows e Android è stata modificata. Per confrontare in modo più completo il comportamento delle nuove e delle vecchie versioni, vengono ora generate più build della nuova versione per il download.
  • La tecnologia di segmentazione della rete è stata stabilizzata per proteggere dai metodi di tracciamento dei movimenti degli utenti tra i siti basati sulla memorizzazione di identificatori in aree non destinate alla memorizzazione permanente di informazioni ("Supercookie"). Poiché le risorse memorizzate nella cache vengono archiviate in uno spazio dei nomi comune, indipendentemente dal dominio di origine, un sito può determinare che un altro sito sta caricando risorse controllando se tale risorsa è nella cache. La protezione si basa sull'uso della segmentazione della rete (Network Partitioning), la cui essenza è quella di aggiungere alle cache condivise un ulteriore collegamento dei record al dominio da cui viene aperta la pagina principale, che limita la copertura della cache solo per gli script di tracciamento del movimento al sito corrente (uno script da un iframe non sarà in grado di verificare se la risorsa è stata scaricata da un altro sito). La condivisione dello stato copre le connessioni di rete (HTTP/1, HTTP/2, HTTP/3, websocket), cache DNS, ALPN/HTTP2, dati TLS/HTTP3, configurazione, download e informazioni sull'intestazione Expect-CT.
  • Per le applicazioni web autonome installate (PWA, Progressive Web App), è possibile modificare il design dell'area del titolo della finestra utilizzando i componenti Window Controls Overlay, che estendono l'area dello schermo dell'applicazione web all'intera finestra. Un'applicazione web può controllare il rendering e l'elaborazione dell'input dell'intera finestra, ad eccezione del blocco di sovrapposizione con pulsanti di controllo della finestra standard (chiudi, minimizza, massimizza), per dare all'applicazione web l'aspetto di una normale applicazione desktop.
    Chrome versione 102
  • Nel sistema di compilazione automatica dei moduli, è stato aggiunto il supporto per la generazione di numeri di carte di credito virtuali nei campi con i dettagli di pagamento per le merci nei negozi online. L'utilizzo di una carta virtuale, il cui numero viene generato ad ogni pagamento, consente di non trasferire i dati di una vera carta di credito, ma richiede la fornitura del servizio necessario da parte della banca. La funzionalità è attualmente disponibile solo per i clienti bancari statunitensi. Per controllare l'inclusione della funzione, viene proposta l'impostazione “chrome://flags/#autofill-enable-virtual-card”.
  • Il meccanismo "Capture Handle" è attivato per impostazione predefinita e consente di trasferire informazioni alle applicazioni che catturano video. L'API consente di organizzare l'interazione tra le applicazioni il cui contenuto viene registrato e le applicazioni che eseguono la registrazione. Ad esempio, un'applicazione di videoconferenza che acquisisce video per trasmettere una presentazione può recuperare informazioni sui controlli della presentazione e visualizzarle nella finestra video.
  • Il supporto per le regole speculative è abilitato per impostazione predefinita, fornendo una sintassi flessibile per determinare se i dati relativi al collegamento possono essere caricati in modo proattivo prima che l'utente faccia clic sul collegamento.
  • È stato stabilizzato il meccanismo per impacchettare le risorse in pacchetti nel formato Web Bundle, consentendo di aumentare l'efficienza nel caricamento di un gran numero di file di accompagnamento (stili CSS, JavaScript, immagini, iframe). A differenza dei pacchetti nel formato Webpack, il formato Web Bundle presenta i seguenti vantaggi: non è il pacchetto stesso ad essere archiviato nella cache HTTP, ma i suoi componenti; la compilazione e l'esecuzione di JavaScript inizia senza attendere il download completo del pacchetto; È consentito includere risorse aggiuntive come CSS e immagini, che nel webpack dovrebbero essere codificate sotto forma di stringhe JavaScript.
  • È possibile definire un'applicazione PWA come gestore di determinati tipi MIME ed estensioni di file. Dopo aver definito un'associazione tramite il campo file_handlers nel manifest, l'applicazione riceverà un evento speciale quando l'utente tenta di aprire un file associato all'applicazione.
  • Aggiunto un nuovo attributo inert che consente di contrassegnare parte dell'albero DOM come "inattivo". Per i nodi DOM in questo stato, la selezione del testo e i gestori del passaggio del puntatore sono disabilitati, ad es. Gli eventi del puntatore e le proprietà CSS selezionate dall'utente sono sempre impostati su "nessuno". Se un nodo può essere modificato, in modalità inerte diventa non modificabile.
  • Aggiunta l'API di navigazione, che consente alle applicazioni web di intercettare le operazioni di navigazione nelle finestre, avviare la navigazione e analizzare la cronologia delle azioni con l'applicazione. L'API fornisce un'alternativa alle proprietà window.history e window.location, ottimizzata per applicazioni Web a pagina singola.
  • È stato proposto un nuovo flag, "until-found", per l'attributo "hidden", che rende l'elemento ricercabile nella pagina e scorrevole tramite maschera di testo. Ad esempio, puoi aggiungere testo nascosto a una pagina, il cui contenuto verrà trovato nelle ricerche locali.
  • Nell'API WebHID, progettata per l'accesso di basso livello ai dispositivi HID (dispositivi di interfaccia umana, tastiere, mouse, gamepad, touchpad) e per l'organizzazione del lavoro senza la presenza di driver specifici nel sistema, la proprietà ExclusionFilters è stata aggiunta al requestDevice( ), che consente di escludere determinati dispositivi quando il browser visualizza un elenco di dispositivi disponibili. Ad esempio, puoi escludere gli ID dispositivo che presentano problemi noti.
  • È vietato visualizzare un modulo di pagamento tramite una chiamata a PaymentRequest.show() senza un'azione esplicita dell'utente, ad esempio facendo clic su un elemento associato al gestore.
  • Il supporto per un'implementazione alternativa del protocollo SDP (Session Description Protocol) utilizzato per stabilire una sessione in WebRTC è stato interrotto. Chrome offriva due opzioni SDP: unificate con altri browser e specifiche per Chrome. D'ora in poi rimarrà solo l'opzione portatile.
  • Sono stati apportati miglioramenti agli strumenti per gli sviluppatori web. Aggiunti pulsanti al pannello Stili per simulare l'uso di un tema scuro e chiaro. La protezione della scheda Anteprima in modalità ispezione rete è stata rafforzata (è abilitata l'applicazione della politica di sicurezza dei contenuti). Il debugger implementa la terminazione dello script per ricaricare i punti di interruzione. È stata proposta una implementazione preliminare del nuovo pannello “Performance insights” che permette di analizzare l'andamento di alcune operazioni sulla pagina.
    Chrome versione 102

Oltre alle innovazioni e alle correzioni di bug, la nuova versione elimina 32 vulnerabilità. Molte delle vulnerabilità sono state identificate come risultato di test automatizzati utilizzando gli strumenti AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. A uno dei problemi (CVE-2022-1853) è stato assegnato un livello di pericolo critico, che implica la possibilità di aggirare tutti i livelli di protezione del browser ed eseguire codice sul sistema al di fuori dell'ambiente sandbox. I dettagli su questa vulnerabilità non sono stati ancora divulgati; si sa solo che è causata dall'accesso a un blocco di memoria liberato (use-after-free) nell'implementazione dell'API Indexed DB.

Nell'ambito del programma di ricompensa in denaro per la scoperta delle vulnerabilità della versione attuale, Google ha pagato 24 premi del valore di 65600 dollari (un premio da 10000 dollari, un premio da 7500 dollari, due premi da 7000 dollari, tre premi da 5000 dollari, quattro premi da 3000 dollari, due premi da 2000 dollari, due premi da 1000 dollari e due premi da bonus di $ 500). L'entità delle 7 ricompense non è stata ancora determinata.

Fonte: opennet.ru

Aggiungi un commento