ProHoster > blog > notizie internet > Chrome versione 98

Chrome versione 98

Google ha annunciato la versione del browser web Chrome 98. Allo stesso tempo è disponibile una versione stabile del progetto gratuito Chromium, che funge da base per Chrome. Il browser Chrome si distingue per l'uso dei loghi di Google, la presenza di un sistema per l'invio di notifiche in caso di crash, moduli per la riproduzione di contenuti video protetti da copia (DRM), un sistema per l'installazione automatica degli aggiornamenti e la trasmissione dei parametri RLZ quando ricerca. La prossima versione di Chrome 99 è prevista per il 1 marzo.

Modifiche principali in Chrome 98:

  • Il browser dispone di un proprio archivio di certificati root delle autorità di certificazione (Chrome Root Store), che verranno utilizzati al posto di archivi esterni specifici per ciascun sistema operativo. L'archivio è implementato in modo simile all'archivio indipendente dei certificati root in Firefox, che viene utilizzato come primo collegamento per verificare la catena di attendibilità dei certificati quando si aprono siti su HTTPS. Per impostazione predefinita, il nuovo spazio di archiviazione non è ancora utilizzato. Per facilitare la transizione delle configurazioni di archiviazione del sistema e garantire la portabilità, sarà previsto un periodo di transizione durante il quale Chrome Root Store includerà una selezione completa di certificati approvati sulla maggior parte delle piattaforme supportate.
  • Prosegue il piano di rafforzamento della protezione contro attacchi legati all’accesso alle risorse presenti sulla rete locale o sul computer dell’utente (localhost) da script caricati all’apertura del sito. Tali richieste vengono utilizzate dagli aggressori per effettuare attacchi CSRF su router, punti di accesso, stampanti, interfacce web aziendali e altri dispositivi e servizi che accettano richieste solo dalla rete locale.

    Per proteggersi da tali attacchi, se si accede a qualsiasi risorsa secondaria sulla rete interna, il browser inizierà a inviare una richiesta esplicita di autorizzazione per scaricare tali risorse secondarie. La richiesta dei permessi viene effettuata inviando una richiesta CORS (Cross-Origin Resource Sharing) con intestazione “Access-Control-Request-Private-Network: true” al server del sito principale prima di accedere alla rete interna o localhost. Quando si conferma l'operazione in risposta a questa richiesta, il server deve restituire l'intestazione "Access-Control-Allow-Private-Network: true". In Chrome 98 il controllo viene implementato in modalità test e se non c'è conferma, viene visualizzato un avviso nella console web, ma la richiesta di sottorisorsa stessa non viene bloccata. Non è previsto che il blocco venga abilitato fino al rilascio di Chrome 101.

  • Le impostazioni dell'account integrano strumenti per gestire l'inclusione della Navigazione Sicura Avanzata, che attiva controlli aggiuntivi per la protezione da phishing, attività dannose e altre minacce sul Web. Quando attivi una modalità nel tuo account Google, ti verrà ora richiesto di attivare la modalità in Chrome.
  • Aggiunto un modello per il rilevamento dei tentativi di phishing lato client, implementato utilizzando la piattaforma di machine learning TFLite (TensorFlow Lite) e non richiede l'invio di dati per eseguire la verifica lato Google (in questo caso viene inviata la telemetria con le informazioni sulla versione del modello e pesi calcolati per ciascuna categoria). Se viene rilevato un tentativo di phishing, all'utente verrà mostrata una pagina di avviso prima di aprire il sito sospetto.
  • Nella Client Hints API, che è stata sviluppata in sostituzione dell'intestazione User-Agent e consente di inviare selettivamente dati su specifici parametri del browser e del sistema (versione, piattaforma, ecc.) solo dopo una richiesta da parte del server, è possibile sostituire nomi fittizi nella lista degli identificatori del browser, secondo analogie con il meccanismo GREASE (Generate Random Extensions And Sustain Extensibility) utilizzato in TLS. Ad esempio, oltre a '"Chrome"; v="98″' e '"Cromo"; v="98″' è possibile aggiungere all'elenco un identificatore casuale di un browser inesistente '"(Not; Browser"; v="12″'. Tale sostituzione aiuterà a identificare i problemi con l'elaborazione degli identificatori di browser sconosciuti, il che porta al fatto che i browser alternativi sono costretti a fingere di essere altri browser popolari per aggirare il controllo rispetto agli elenchi di browser accettabili.
  • A partire dal 17 gennaio, il Chrome Web Store non accetta più componenti aggiuntivi che utilizzano la versione 2023 del manifest di Chrome. Le nuove aggiunte saranno ora accettate solo con la terza versione del manifest. Gli sviluppatori di componenti aggiuntivi aggiunti in precedenza potranno comunque pubblicare aggiornamenti con la seconda versione del manifest. La completa deprecazione della seconda versione del manifesto è prevista per gennaio XNUMX.
  • Aggiunto il supporto per i caratteri vettoriali a colori nel formato COLRv1 (un sottoinsieme di caratteri OpenType che contengono, oltre ai glifi vettoriali, un livello con informazioni sul colore), che può essere utilizzato, ad esempio, per creare emoji multicolori. A differenza del formato COLRv0 precedentemente supportato, COLRv1 ora ha la capacità di utilizzare gradienti, sovrapposizioni e trasformazioni. Il formato fornisce inoltre un formato di archiviazione compatto, fornisce una compressione efficiente e consente il riutilizzo dei contorni, consentendo una significativa riduzione della dimensione del carattere. Ad esempio, il carattere Noto Color Emoji occupa 9 MB in formato raster e 1 MB in formato vettoriale COLRv1.85.
    Chrome versione 98
  • La modalità Prove Origin (funzionalità sperimentali che richiedono un'attivazione separata) implementa l'API Region Capture, che consente di ritagliare il video catturato. Ad esempio, il ritaglio potrebbe essere necessario nelle applicazioni web che acquisiscono video con i contenuti della propria scheda, per ritagliare determinati contenuti prima dell'invio. La prova di origine implica la possibilità di lavorare con l'API specificata da applicazioni scaricate da localhost o 127.0.0.1 o dopo la registrazione e la ricezione di un token speciale valido per un periodo limitato per un sito specifico.
  • La proprietà CSS "contain-intrinsic-size" ora supporta il valore "auto", che utilizzerà l'ultima dimensione ricordata dell'elemento (se utilizzata con "content-visibility: auto", lo sviluppatore non deve indovinare la dimensione renderizzata dell'elemento) .
  • Aggiunta la proprietà AudioContext.outputLatency, attraverso la quale è possibile trovare informazioni sul ritardo previsto prima dell'output audio (il ritardo tra la richiesta audio e l'inizio dell'elaborazione dei dati ricevuti dal dispositivo di output audio).
  • Proprietà CSS color-scheme, che permette di determinare in quali schemi di colori un elemento può essere visualizzato correttamente (“chiaro”, “scuro”, “modalità giorno” e “modalità notte”), è stato aggiunto il parametro “unico” per impedire schemi di cambio colore forzati per singoli elementi HTML. Ad esempio, se specifichi "div { color-scheme: only light }", verrà utilizzato solo il tema chiaro per l'elemento div, anche se il browser forza l'abilitazione del tema scuro.
  • Aggiunto il supporto per le query multimediali "gamma dinamica" e "video-gamma dinamica" ai CSS per determinare se uno schermo supporta HDR (High Dynamic Range).
  • Aggiunta la possibilità di scegliere se aprire un collegamento in una nuova scheda, nuova finestra o finestra pop-up alla funzione window.open(). Inoltre, la proprietà window.statusbar.visible ora restituisce "false" per i popup e "true" per schede e finestre. const popup = window.open('_blank',","'popup=1′); // Apre in una finestra popup const tab = window.open('_blank',,"'popup=0′); // Apri nella scheda
  • Per Windows e Worker è stato implementato il metodo strutturatoClone() che consente di creare copie ricorsive di oggetti che includono proprietà non solo dell'oggetto specificato, ma anche di tutti gli altri oggetti a cui fa riferimento l'oggetto corrente.
  • L'API di autenticazione Web ha aggiunto il supporto per l'estensione della specifica FIDO CTAP2, che consente di impostare la dimensione minima consentita del codice PIN (minPinLength).
  • Per le applicazioni web standalone installate è stato aggiunto il componente Window Controls Overlay, che estende l'area dello schermo dell'applicazione all'intera finestra, inclusa l'area del titolo, su cui si trovano i pulsanti standard di controllo della finestra (chiudi, minimizza, massimizza ) sono sovrapposti. L'applicazione Web può controllare il rendering e l'elaborazione dell'input dell'intera finestra, ad eccezione del blocco di sovrapposizione con i pulsanti di controllo della finestra.
  • Aggiunta una proprietà di gestione del segnale a WritableStreamDefaultController che restituisce un oggetto AbortSignal, che può essere utilizzato per interrompere immediatamente le scritture su WritableStream senza attendere il completamento.
  • WebRTC ha rimosso il supporto per il meccanismo dell'accordo chiave SDES, deprecato dall'IETF nel 2013 a causa di problemi di sicurezza.
  • Per impostazione predefinita, l'API U2F (Cryptotoken) è disabilitata, precedentemente deprecata e sostituita dall'API di autenticazione Web. L'API U2F verrà completamente rimossa in Chrome 104.
  • Nella Directory API è stato deprecato il campo installato_browser_versione, sostituito da un nuovo campo pendente_browser_versione, che differisce in quanto contiene informazioni sulla versione del browser, tenendo conto degli aggiornamenti scaricati ma non applicati (ovvero, la versione che sarà valida dopo la il browser viene riavviato).
  • Rimosse le opzioni che consentivano di restituire il supporto per TLS 1.0 e 1.1.
  • Sono stati apportati miglioramenti agli strumenti per gli sviluppatori web. È stata aggiunta una scheda per valutare il funzionamento della cache Back-forward, che fornisce una navigazione istantanea quando si utilizzano i pulsanti Indietro e Avanti. Aggiunta la possibilità di emulare query multimediali con colori forzati. Aggiunti pulsanti all'editor Flexbox per supportare le proprietà inversione di riga e inversione di colonna. La scheda "Modifiche" garantisce che le modifiche vengano visualizzate dopo la formattazione del codice, il che semplifica l'analisi delle pagine minimizzate.
    Chrome versione 98

    L'implementazione del pannello di revisione del codice è stata aggiornata al rilascio dell'editor di codice CodeMirror 6, che migliora significativamente le prestazioni di lavoro con file molto grandi (WASM, JavaScript), risolve i problemi con offset casuali durante la navigazione e migliora le raccomandazioni di il sistema di completamento automatico durante la modifica del codice. La possibilità di filtrare l'output in base al nome o al valore della proprietà è stata aggiunta al pannello delle proprietà CSS.

    Chrome versione 98

Oltre alle innovazioni e alle correzioni di bug, la nuova versione elimina 27 vulnerabilità. Molte delle vulnerabilità sono state identificate come risultato di test automatizzati utilizzando gli strumenti AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer e AFL. Non sono stati identificati problemi critici che consentano di aggirare tutti i livelli di protezione del browser ed eseguire codice sul sistema al di fuori dell'ambiente sandbox. Nell'ambito del programma di ricompensa in denaro per la scoperta delle vulnerabilità della versione attuale, Google ha pagato 19 premi del valore di 88mila dollari (due premi da $ 20000, un premio da $ 12000, due premi da $ 7500, quattro premi da $ 1000 e uno ciascuno da $ 7000, $ 5000, $ 3000 e $ 2000).

Fonte: opennet.ru

Aggiungi un commento