ProHoster > בלוג > חדשות באינטרנט > מהדורת Chrome 118: מתכונן לחסום קובצי Cookie של צד שלישי ב-Chrome

מהדורת Chrome 118: מתכונן לחסום קובצי Cookie של צד שלישי ב-Chrome

גוגל פרסמה את השחרור של דפדפן האינטרנט Chrome 118. במקביל, זמינה מהדורה יציבה של פרויקט Chromium החינמי, המשמש כבסיס לכרום. דפדפן Chrome שונה מ-Chromium בשימוש בלוגו של גוגל, בנוכחות מערכת לשליחת התראות במקרה של קריסה, מודולים להפעלת תוכן וידאו מוגן העתקה (DRM), מערכת להתקנה אוטומטית של עדכונים, מאפשרת בידוד של ארגז חול לצמיתות , אספקת מפתחות ל-Google API והעברת RLZ- בעת חיפוש פרמטרים. למי שצריך עוד זמן להתעדכן, הסניף Extended Stable נתמך בנפרד, ואחריו 8 שבועות. המהדורה הבאה של Chrome 119 מתוכננת ל-31 באוקטובר.

שינויים מרכזיים ב-Chrome 118:

  • החלו ההכנות לכך ש-Chrome יפסיק לתמוך בקובצי Cookie של צד שלישי המוגדרים בעת גישה לאתרים שאינם הדומיין של הדף הנוכחי. עוגיות כאלה משמשות למעקב אחר תנועות משתמשים בין אתרים בקוד של רשתות פרסום, ווידג'טים של רשתות חברתיות ומערכות ניתוח אינטרנט. השינויים נדחפים באמצעות יוזמת Privacy Sandbox, שמטרתה להגיע לפשרה בין הצורך של המשתמשים בפרטיות לבין הרצון של רשתות הפרסום ואתרי הפרסום לעקוב אחר העדפות המבקרים.

    ב-Chrome 118, כלים למפתחי אינטרנט מספקים כעת אזהרה כאשר נשלחות קובצי Cookie הכפופים לחסימה עתידית. נוספה גם אפשרות שורת הפקודה "—test-third-party-cookie-phaseout" והגדרה "chrome://flags/#test-third-party-cookie-phaseout" כדי לאלץ את הפעלת החסימה למטרות בדיקה. החסימה בפועל של קובצי Cookie של צד שלישי תתחיל ברבעון הראשון של 2024 ותשפיע רק על 1% ממשתמשי Chrome בתקופת בדיקה עד הרבעון השלישי. לאחר הרבעון השלישי של 2024, כיסוי החסימה יוגדל ל-100%.

    במקום לעקוב אחר עוגיות, מוצע להשתמש בממשקי ה-API הבאים:

    • FedCM (Federated Credential Management) מאפשר לך ליצור שירותי זהות מאוחדת המבטיחים פרטיות ופועלים ללא קובצי Cookie של צד שלישי.
    • אסימוני מדינה פרטיים מאפשרים לך להפריד בין משתמשים שונים מבלי להשתמש במזהים חוצי אתרים ולהעביר מידע אותנטיות של משתמשים בין הקשרים שונים.
    • נושאים (ביקורת) מספקים את היכולת להגדיר קטגוריות של תחומי עניין של משתמשים שניתן להשתמש בהם כדי לזהות קבוצות משתמשים עם תחומי עניין דומים מבלי לזהות משתמשים בודדים באמצעות עוגיות מעקב. תחומי העניין מחושבים על סמך פעילות הגלישה של המשתמש ומאוחסנים במכשיר של המשתמש. באמצעות Topics API, רשת מודעות יכולה לקבל מידע כללי על תחומי עניין בודדים מבלי לדעת על פעילות ספציפית של משתמשים.
    • קהל מוגן, פתרון בעיות של מיקוד מחדש והערכת הקהל שלך (עבודה עם משתמשים שכבר ביקרו באתר בעבר).
    • דיווח ייחוס מאפשר לך להעריך מאפיינים של יעילות הפרסום כמו מעברים והמרה (רכישה באתר לאחר המעבר).
    • ניתן להשתמש ב- Storage Access API כדי לבקש הרשאות של המשתמש לגשת לאחסון קובצי Cookie אם קובצי Cookie של צד שלישי חסומים כברירת מחדל.
  • תמיכה במנגנון ECH (Encrypted Client Hello) מופעלת עבור כל המשתמשים, אשר ממשיך את הפיתוח של ESNI (Encrypted Server Name Indication) ומשמש להצפנת מידע על פרמטרי הפעלה של TLS, כגון שם הדומיין המבוקש. ההבדל העיקרי בין ECH ל-ESNI הוא שבמקום להצפין ברמה של שדות בודדים, ECH מצפין את כל הודעת TLS ClientHello, מה שמאפשר לך לחסום דליפות דרך שדות ש-ESNI לא מכסה, למשל, PSK (Pre-Shared מפתח) שדה. כדי לקבוע אם ECH מופעל, מסופקת ההגדרה "chrome://flags#encrypted-client-hello".
  • כאשר אתה מפעיל הגנה משופרת על הדפדפן (גלישה בטוחה > הגנה משופרת), כעת ניתן להשבית מרחוק תוספות זדוניות המותקנות מחוץ לקטלוג התוספות הסטנדרטי. ההחלטה להסיר אותו מתקבלת בשרתי גוגל על ​​סמך בדיקה ידנית או לאחר הפעלת מערכת אוטומטית לזיהוי קוד זדוני.
  • כאשר הגנת דפדפן סטנדרטית מופעלת (גלישה בטוחה > הגנה סטנדרטית), מיושמת בדיקת אבטחה בזמן אמת של כתובות URL פתוחות, בהתבסס על השידור אל שרתים גוגל מבצעת גיבוב חלקי מכתובות ה-URL שנפתחו על ידי המשתמש. כדי למנוע התאמה כתובות IP נתוני המשתמש וה-hash מועברים דרך פרוקסי ביניים. בעבר, הבדיקה בוצעה על ידי הורדת עותק מקומי של רשימת כתובות האתרים הלא בטוחות למערכת של המשתמש. הסכימה החדשה מאפשרת חסימה מהירה יותר של כתובות אתר זדוניות.
  • שופר עיצוב הדפים המוצגים בעת ניסיון לפתוח אתר שנמצא כלא בטוח בעת סריקה באמצעות מנגנון הגלישה הבטוחה.
    מהדורת Chrome 118: מתכונן לחסום קובצי Cookie של צד שלישי ב-Chrome
  • טלמטריה שנשלחת לשרתי Google כאשר הגנת גלישה משופרת מופעלת (גלישה בטוחה > הגנה משופרת) כוללת כעת קריאות לתוספות ה-API של chrome.tabs. הנתונים נאספים כדי לזהות פעילות זדונית והפרות מדיניות בתוספות.
  • כאשר אתה מפעיל הגנת דפדפן מתקדמת (גלישה בטוחה > הגנה משופרת), סריקה עמוקה של ארכיוני ZIP ו-RAR מוצפנים נתמכת בצד של גוגל (המשתמש מתבקש להזין סיסמה לפירוק, ולאחר מכן התוכן נשלח לשרתי גוגל לסריקה) .
  • טקסט חדש נוסף ל-Configurator ומדריך הפרטיות כדי להסביר את רמות ההגנה על גלישה בטוחה ונוספו קישורים למאמרים קשורים עם מידע נוסף. תיאורים פשוטים של הגנה סטנדרטית, השבתת הגנה ואזהרות על פגיעה בסיסמה.
    מהדורת Chrome 118: מתכונן לחסום קובצי Cookie של צד שלישי ב-Chrome
  • מידע על זמינות ההנחות התווסף למדור קווסטים (מעקב אחר מחירים בחנויות מקוונות) בדף הכרטיסייה החדשה. מחוון ההנחה עשוי להופיע גם בשורת הכתובת בעת פתיחת דפים עם מוצרים מחנויות מקוונות שגוגל עוקב אחריהם.
  • בהתאם למפרט RFC-6265bis, כל העוגיות המכילות תווי בקרה ומוגדרות באמצעות JavaScript חסומות. בעבר, עוגיות עם תווי אפס, החזרות כרכרה והזנות שורות נקטעו בדמות הבעייתית ולא נחסמו, מה שעלול לשמש למטרות זדוניות במצבים מסוימים. כדי להשבית את ההתנהגות החדשה, אתה יכול להשתמש באפשרות "--disable-features=BlockTruncatedCookies".
  • עובדי שירות הרשומים עם תוספים רשאים לגשת ל-WebUSB API.
  • הוסר הצורך של המשתמש להפעיל תחילה את היכולת להציג דיאלוגים לבקשת ואישור תשלומים.
  • הפסיק לפענח את הייצוג של תווי ASCII בתור קודי "%xx". לדוגמה, בעבר "http://example.com/%41" פוענח ל-"http://example.com/A" לפני שנכתב לכתובת url.href, אך כעת הוא יישאר "http://example. com/%41" "
  • נוספה את היכולת למקם טקסט אנכית ברכיבי טופס אינטרנט בחר, מד, התקדמות, כפתור, אזור טקסט וקלט. המיקום של טקסט בטפסים נקבע באמצעות מצב כתיבה של מאפיין CSS, שיכול לקחת את הערכים vertical-rl או אנכי-lr לתצוגה אנכית.
  • מאפיין ה-CSS "מראה" אינו תומך עוד במילות מפתח לא סטנדרטיות: inner-spin-button, media-slider, media-sliderthumb, media-volume-slider, media-volume-sliderthumb, push-button, searchfield-cancel-button, סליידר -אופקי, מחליק-אגודל-אופקי, מחליק-אגודל-אנכי וכפתור מרובע. כדי להעריך את הביקוש למילות מפתח אלו שלא נכללו במפרט, נאספו סטטיסטיקות לפיהן נעשה בהן שימוש רק ב-0.001% מהמקרים.
  • נוסף כלל CSS @scope, המחייב סגנונות CSS תוך התחשבות בסמיכות של הגדרת הסגנון לאלמנטים. הכלל @scope יכול לשמש כדי לעקוף את הסגנון הטיפוסי המבוסס על סדר אלמנטים, או כדי להתאים את הסגנון של רכיב מבלי להשפיע על הסגנונות של האלמנטים המקוננים שלו. לדוגמה, עבור divs מקוננות: אני ורוד בהיר! ורוד שונה! כל התוכן ייצבע בוורוד בהיר בגלל ההשפעה של סגנון "נושא-ורוד בהיר" שצוין ב-div האב על הבלוק כולו. באמצעות @scope ניתן לשנות את ה-scope ולאלץ את ה-div המקונן להיות בסגנון "pink-theme" בהתבסס על הקרבה של הגדרת הסגנון, במקום על סדר ההגדרה בקוד: @scope (.pink-theme) { a { color: hotpink; } } @scope (.lightpink-theme){ a { color: lightpink; } }
  • נוספה תמיכה בשאילתת המדיה (@media) "scripting", המאפשרת לך לבדוק את זמינות היכולת לבצע סקריפטים (לדוגמה, ב-CSS ניתן לקבוע אם תמיכת JavaScript מופעלת).
  • נוספה תמיכה בשאילתת המדיה העדיפה-מופחתת-שקיפות, המאפשרת לקבוע שינוי בהגדרות המערכת האחראיות להפחתת השימוש באפקטים של שקיפות או שקיפות (לדוגמה, מצב "הפחתת שקיפות" ב-macOS, המשמש להגדלה קריאות הטקסט).
  • נוספה תמיכה בערכים חדשים "float: inline-start", "float: inline-end", "clear: inline-start", "clear: inline-end", "resize: block", "resize: inline" ב-CSS שולט במיקום הלוגי של אלמנטים (כדי לתמוך בשפות שאינן כתובות מלמעלה למטה ומשמאל לימין, מיקום לוגי משתמש במושגים של התחלה, סוף וכיוון של טקסט).
  • מאפיין ה-CSS "transform-box" תומך כעת בערכי stroke-box, content-box ו-border-box, ומאפשר לך לשנות את השיטה לחישוב אזור ההתייחסות לפעולות טרנספורמציה, למשל, כדי ליישם אפקטים גרפיים מתקדמים.
  • נוספה את היכולת להגדיר את הפוקוס לבלוקים גלילה בעת ניווט באמצעות המקלדת (לדוגמה, ניתן להגדיר מיקוד בגלילה על ידי לחיצה על מקש Tab וגלילה עם מקשי הסמן).
  • בוצעו שיפורים בכלים למפתחי אתרים. הורחבו היכולות של חלונית המקורות, שבה במקום סעיף "מערכת קבצים" מוצעת לשונית "מרחב עבודה", דרכה ניתן לסנכרן שינויים שנוספו באמצעות כלי מפתחים עם קבצי מקור.

    אפשר לשנות את סדר הכרטיסיות בחלונית Sources על ידי הזזתן עם העכבר במצב גרירה ושחרור. מבטיח עיצוב של קוד JavaScript המוטמע באלמנטים של סקריפט עם סוגי מודול, importmap וכללי ספקולציות. נוספה הדגשת תחביר עבור סקריפטים עם סוגי ייבוא ​​מפות וספקולציות.

    מהדורת Chrome 118: מתכונן לחסום קובצי Cookie של צד שלישי ב-Chrome

    בחלונית Elements, בלשונית Styles, נוסף קטע נפרד עבור מאפיינים מותאמים אישית, המאפשר לך להגדיר מאפייני CSS משלך מבלי להפעיל JavaScript. תוצאות החיפוש מציגות כעת את כל ההתאמות במחרוזת, לא רק את ההתאמה הראשונה, וזה שימושי בעת חיפוש קבצי JavaScript שנארזו כדי להקטין את הגודל (לחיצה על תוצאה פותחת את הקובץ בעורך וגלילה אנכית ואופקית כדי להציג את המיקום נמצא).

    מהדורת Chrome 118: מתכונן לחסום קובצי Cookie של צד שלישי ב-Chrome

בנוסף לחידושים ותיקוני באגים, הגרסה החדשה מבטלת 20 נקודות תורפה. רבות מהחולשות זוהו כתוצאה מבדיקות אוטומטיות באמצעות הכלים AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ו-AFL. בין היתר, המהדורה החדשה מבטלת את הפגיעות הקריטית CVE-2023-5218 הקשורה לגישה לזיכרון לאחר שחרור (Use after free) במנגנון בידוד האתר. הפגיעות מאפשרת לך לעקוף את כל רמות ההגנה על הדפדפן ולהפעיל קוד במערכת מחוץ לסביבת ארגז החול. כחלק מתוכנית התגמול במזומן לגילוי נקודות תורפה עבור המהדורה הנוכחית, גוגל שילמה 14 פרסים בשווי 30,5 אלף דולר (פרס אחד של $6000, שני פרסים של $5000, שני פרסים של $3000, פרס אחד של $2000, שישה פרסים של $1000 ופרס אחד של $500). גודלו של פרס אחד טרם נקבע.

מקור: OpenNet.ru

הוספת תגובה