גרסה 107 של Chrome

גוגל חשפה את השחרור של דפדפן האינטרנט Chrome 107. במקביל, זמינה מהדורה יציבה של פרויקט Chromium החינמי, המשמש כבסיס לכרום. דפדפן Chrome שונה מ-Chromium בשימוש בלוגו של גוגל, בנוכחות מערכת לשליחת התראות במקרה של קריסה, מודולים להפעלת תוכן וידאו מוגן העתקה (DRM), מערכת להתקנה אוטומטית של עדכונים, מאפשרת בידוד של ארגז חול לצמיתות , אספקת מפתחות ל-Google API והעברת RLZ- בעת חיפוש פרמטרים. למי שצריך עוד זמן להתעדכן, הסניף Extended Stable נתמך בנפרד, ואחריו 8 שבועות. המהדורה הבאה של Chrome 108 מתוכננת ל-29 בנובמבר.

שינויים מרכזיים ב-Chrome 107:

• נוספה תמיכה במנגנון ECH (Encrypted Client Hello), הממשיך את הפיתוח של ESNI (Encrypted Server Name Indication) ומשמש להצפנת מידע על פרמטרי הפעלה של TLS, כמו שם הדומיין המבוקש. ההבדל העיקרי בין ECH ל-ESNI הוא שבמקום להצפין ברמה של שדות בודדים, ECH מצפין את כל הודעת TLS ClientHello, מה שמאפשר לך לחסום דליפות דרך שדות ש-ESNI לא מכסה, למשל, PSK (Pre-Shared מפתח) שדה. ECH משתמש גם ברשומת ה-DNS של HTTPSSVC במקום ברשומת TXT כדי להעביר מידע מפתח ציבורי, ומשתמש בהצפנה מאומתת מקצה לקצה המבוססת על מנגנון הצפנת מפתח ציבורי היברידי (HPKE) כדי להשיג ולהצפין את המפתח. כדי לקבוע אם ECH מופעל, הוצעה ההגדרה "chrome://flags#encrypted-client-hello".
• תמיכה בפענוח וידאו מואץ בחומרה בפורמט H.265 (HEVC) מופעלת.
• השלב החמישי של הפחתת המידע בכותרת User-Agent HTTP ופרמטרים של JavaScript navigator.userAgent, navigator.appVersion ו-navigator.platform הופעל, מיושם כדי לצמצם מידע שניתן להשתמש בו כדי לזהות את המשתמש באופן פסיבי. Chrome 107 צמצם את מידע הפלטפורמה והמעבד בשורה User-Agent עבור משתמשי שולחן עבודה, והקפיא את התוכן של פרמטר JavaScript navigator.platform. השינוי מורגש רק בגרסאות לפלטפורמת Windows, עבורן משתנה גרסת הפלטפורמה הספציפית ל-"Windows NT 10.0". ב-Linux, תוכן הפלטפורמה ב-User-Agent לא השתנה.

  בעבר, מספרי MINOR.BUILD.PATCH שהרכיבו את גרסת הדפדפן הוחלפו ב-0.0.0. בעתיד, מתוכנן להשאיר רק מידע על שם הדפדפן, גרסת הדפדפן העיקרית, הפלטפורמה וסוג המכשיר (טלפון נייד, מחשב, טאבלט) בכותרת. כדי להשיג נתונים נוספים, כגון הגרסה המדויקת ונתוני הפלטפורמה המורחבת, עליך להשתמש ב- User Agent Client Hints API. לאתרים שאין להם מספיק מידע חדש והם עדיין לא מוכנים לעבור ל-User Agent Client Hints, עד מאי 2023 יש להם הזדמנות להחזיר את ה-User-Agent המלא.

• גרסת האנדרואיד כבר לא תומכת בפלטפורמת אנדרואיד 6.0; הדפדפן דורש כעת לפחות אנדרואיד 7.0.
• עיצוב הממשק למעקב אחר מצב ההורדות שונה. במקום השורה התחתונה עם נתונים על התקדמות ההורדה, נוסף אינדיקטור חדש לחלונית עם שורת הכתובת; כאשר תלחץ עליו, מוצגות התקדמות הורדת הקבצים והיסטוריה עם רשימה של קבצים שכבר הורדו. בניגוד ללוח התחתון, הכפתור מוצג כל הזמן בלוח ומאפשר לך לגשת במהירות להיסטוריית ההורדות שלך. הממשק החדש מוצע כרגע כברירת מחדל רק לחלק מהמשתמשים ויורחב לכולם אם לא יהיו בעיות.
• למשתמשי שולחן העבודה, ניתן לייבא סיסמאות שנשמרו בקובץ בפורמט CSV. בעבר ניתן היה להעביר סיסמאות מקובץ לדפדפן רק דרך שירות passwords.google.com, אך כעת ניתן לעשות זאת גם דרך מנהל הסיסמאות של גוגל המובנה בדפדפן.
• לאחר שהמשתמש יוצר פרופיל חדש, מוצגת הנחיה המבקשת לאפשר סנכרון ולעבור להגדרות, דרכן ניתן לשנות את שם הפרופיל ולבחור ערכת נושא צבע.
• הגרסה לפלטפורמת אנדרואיד מציעה ממשק חדש לבחירת קבצי מדיה להעלאת תמונות וסרטונים (במקום יישום משלה, נעשה שימוש בממשק הסטנדרטי של Android Media Picker).
• ביטול אוטומטי של ההרשאה להצגת הודעות ניתנה לאתרים שנמצאו שולחים הודעות והודעות המפריעות למשתמש. יתרה מכך, עבור אתרים כאלה, בקשות לאישור שליחת הודעות הושעו.
• ה-API לכידת מסך הוסיף מאפיינים חדשים הקשורים לשיתוף מסך - selfBrowserSurface (מאפשר לך לא לכלול את הכרטיסייה הנוכחית בעת קריאה ל-getDisplayMedia()), surfaceSwitching (מאפשר לך להסתיר את הכפתור למעבר לשוניות) ו-displaySurface (מאפשר לך להגביל את השיתוף ל- כרטיסייה, חלון או מסך).
• הוסיף את המאפיין renderBlockingStatus לממשק ה-API של ביצועים כדי לזהות משאבים שגורמים לעיבוד הדפים להשהות עד לסיום הטעינה.
• מספר ממשקי API חדשים נוספו למצב נסיונות Origin (תכונות ניסוי הדורשות הפעלה נפרדת). ניסיון של Origin מרמז על היכולת לעבוד עם ה-API שצוין מיישומים שהורדו מ-localhost או 127.0.0.1, או לאחר רישום וקבלת אסימון מיוחד שתקף לזמן מוגבל עבור אתר ספציפי.
  • Declarative API PendingBeacon, המאפשר לשלוט בשליחת נתונים שאינם דורשים תגובה (beacon) לשרת. ה-API החדש מאפשר לך להאציל את שליחת נתונים כאלה לדפדפן, ללא צורך להתקשר לפעולות שליחה בזמן מסוים, למשל, לארגן את העברת הטלמטריה לאחר סגירת הדף.
  • כותרת ה-HTTP של Permissions-Policy (Feature Policy), המשמשת להאצלת סמכויות ולהפעלת תכונות מתקדמות, תומכת כעת בערך "פרוק", שניתן להשתמש בו כדי להשבית מטפלים עבור אירוע "הורדה" בדף.
• לתייג הוספה תמיכה בתכונה "rel", המאפשרת לך להחיל את הפרמטר "rel=noreferrer" על ניווט דרך טפסי אינטרנט כדי לבטל את העברת הכותרת Referer או "rel=noopener" כדי להשבית את הגדרת המאפיין Window.opener ולאסור גישה להקשר שממנו נעשה המעבר.
• CSS Grid הוסיפה תמיכה באינטרפולציה של מאפייני ה-grid-template-colums ו-grid-template-rows כדי לספק מעבר חלק בין מצבי רשת שונים.
• בוצעו שיפורים בכלים למפתחי אתרים. נוספה את היכולת להגדיר מקשי קיצור. בדיקת זיכרון משופרת של אובייקטי יישום C/C++ שהומרו לפורמט WebAssembly.

בנוסף לחידושים ותיקוני באגים, הגרסה החדשה מבטלת 14 נקודות תורפה. רבות מהחולשות זוהו כתוצאה מבדיקות אוטומטיות באמצעות הכלים AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ו-AFL. לא זוהו בעיות קריטיות שיאפשרו לעקוף את כל רמות ההגנה על הדפדפן ולהפעיל קוד במערכת מחוץ לסביבת ארגז החול. כחלק מהתוכנית לתגמול כספי על גילוי נקודות תורפה עבור המהדורה הנוכחית, גוגל שילמה 10 פרסים בסך 57 אלף דולר אמריקאי (פרס אחד של $20000, $17000 ו-$7000, שני פרסים של $3000, שלושה פרסים של $2000 ואחד פרס בסך 1000 דולר). גודלו של פרס אחד טרם נקבע.

מקור: OpenNet.ru