🥇 מהדורת Chrome 98

גוגל חשפה את שחרורו של דפדפן האינטרנט Chrome 98. במקביל, זמינה מהדורה יציבה של פרויקט Chromium החינמי, המשמש כבסיס לכרום. דפדפן כרום מתאפיין בשימוש בסמלי לוגו של גוגל, בנוכחות מערכת לשליחת התראות במקרה של קריסה, מודולים להפעלת תוכן וידאו מוגן העתקה (DRM), מערכת להתקנה אוטומטית של עדכונים והעברת פרמטרי RLZ כאשר מחפש. המהדורה הבאה של Chrome 99 מתוכננת ל-1 במרץ.

שינויים מרכזיים ב-Chrome 98:

לדפדפן יש מאגר משלו של אישורי שורש של רשויות אישורים (Chrome Root Store), שישמשו במקום חנויות חיצוניות ספציפיות לכל מערכת הפעלה. החנות מיושמת בדומה לחנות העצמאית של תעודות שורש בפיירפוקס, המשמשת כקישור הראשון לבדיקת שרשרת אמון התעודות בעת פתיחת אתרים באמצעות HTTPS. האחסון החדש עדיין אינו בשימוש כברירת מחדל. כדי להקל על המעבר של תצורות אחסון מערכת וכדי להבטיח ניידות, תתקיים תקופת מעבר שבמהלכה חנות השורש של Chrome תכלול מבחר מלא של אישורים המאושרים ברוב הפלטפורמות הנתמכות.
התוכנית לחיזוק ההגנה מפני התקפות הקשורות לגישה למשאבים ברשת המקומית או במחשב המשתמש (localhost) מסקריפטים הנטענים בעת פתיחת האתר ממשיכה להיות מיושמת. בקשות כאלה משמשות תוקפים לביצוע התקפות CSRF על נתבים, נקודות גישה, מדפסות, ממשקי אינטרנט ארגוניים והתקנים ושירותים אחרים המקבלים בקשות רק מהרשת המקומית.
כדי להגן מפני התקפות כאלה, בעת גישה לתת-משאבים ברשת הפנימית, הדפדפן יתחיל לשלוח בקשה מפורשת לקבלת אישור לטעינת תת-משאבים כאלה. בקשת האישור מתבצעת על ידי שליחת בקשה אל שרת בקשת CORS (Cross-Origin Resource Sharing) של האתר הראשי עם הכותרת "Access-Control-Request-Private-Network: true" נבדקת לפני הגישה לרשת הפנימית או למארח המקומי. בעת אישור הפעולה, השרת חייב להחזיר את הכותרת "Access-Control-Allow-Private-Network: true" בתגובה לבקשה זו. ב-Chrome 98, בדיקה זו מיושמת במצב בדיקה, ואם לא ניתן אישור, מוצגת אזהרה בקונסולת האינטרנט, אך בקשת המשאב עצמה אינה חסומה. החסימה מתוכננת להיות מופעלת לא לפני Chrome 101.
הגדרות החשבון משלבות כלים לניהול הכללת גלישה בטוחה משופרת, המפעילה בדיקות נוספות כדי להגן מפני דיוג, פעילות זדונית ואיומים אחרים באינטרנט. כאשר אתה מפעיל מצב בחשבון Google שלך, כעת תתבקש להפעיל את המצב בכרום.
נוסף מודל לאיתור ניסיונות פישינג בצד הלקוח, מיושם באמצעות פלטפורמת למידת המכונה TFLite (TensorFlow Lite) ואינו מצריך שליחת נתונים לביצוע אימות בצד גוגל (במקרה זה, טלמטריה נשלחת עם מידע על גרסת הדגם ומשקלים מחושבים לכל קטגוריה). אם מזוהה ניסיון דיוג, יוצג למשתמש דף אזהרה לפני פתיחת האתר החשוד.
בממשק ה-API של Client Hints, אשר מפותח כתחליף לכותרת User-Agent ומאפשר החזרת נתונים באופן סלקטיבי על פרמטרים ספציפיים של דפדפן ומערכת (גרסה, פלטפורמה וכו') רק לאחר בקשה. שרת, יושמה היכולת להחליף שמות דפדפנים פיקטיביים ברשימת מזהי הדפדפנים, בדומה למנגנון GREASE (Generate Random Extensions And Sustain Extensibility) המשמש ב-TLS. לדוגמה, בנוסף ל-"Chrome"; v="98" ו-"Chromium"; v="98", ניתן להוסיף לרשימה מזהה אקראי עבור דפדפן שאינו קיים, ""(Not;Browser"; v="12"). החלפה זו תעזור לזהות בעיות בטיפול במזהי דפדפן לא ידועים, אשר מאלצות דפדפנים חלופיים להתחזות לדפדפנים פופולריים אחרים כדי לעקוף בדיקות מול רשימות של דפדפנים מקובלים.
החל מה-17 בינואר, חנות האינטרנט של Chrome כבר לא מקבלת תוספים המשתמשים בגרסה 2023 של המניפסט של Chrome. תוספות חדשות יתקבלו כעת רק עם הגרסה השלישית של המניפסט. מפתחים של תוספות שנוספו בעבר עדיין יוכלו לפרסם עדכונים עם הגרסה השנייה של המניפסט. ביטול מוחלט של הגרסה השנייה של המניפסט מתוכנן לינואר XNUMX.
נוספה תמיכה בגופנים וקטורים צבעוניים בפורמט COLRv1 (תת-קבוצה של גופני OpenType המכילים, בנוסף לגליפים וקטורים, שכבה עם מידע צבעוני), אשר ניתן להשתמש בהם, למשל, ליצירת אימוג'י רב-צבעוני. בניגוד לפורמט COLRv0 שנתמך בעבר, ל-COLRv1 יש כעת את היכולת להשתמש בהדרגות, בשכבות-על ובטרנספורמציות. הפורמט מספק גם צורת אחסון קומפקטית, מספק דחיסה יעילה ומאפשר שימוש חוזר בקווי מתאר, המאפשר הפחתה משמעותית בגודל הגופן. לדוגמה, הגופן Noto Color Emoji תופס 9MB בפורמט רסטר, ו-1MB בפורמט וקטור COLRv1.85.
מצב ניסויים של Origin (תכונות ניסוי הדורשות הפעלה נפרדת) מיישם את ה-Region Capture API, המאפשר לך לחתוך את הסרטון המצולם. לדוגמה, ייתכן שיהיה צורך בחיתוך ביישומי אינטרנט שמצלמים וידאו עם תוכן הכרטיסייה שלהם, כדי לחתוך תוכן מסוים לפני השליחה. ניסיון של Origin מרמז על היכולת לעבוד עם ה-API שצוין מיישומים שהורדו מ-localhost או 127.0.0.1, או לאחר רישום וקבלת אסימון מיוחד שתקף לזמן מוגבל עבור אתר ספציפי.
מאפיין ה-CSS "contain-intrinsic-size" תומך כעת בערך "auto", שישתמש בגודל האחרון הזכור של האלמנט (כאשר נעשה בו שימוש עם "content-visibility: auto", המפתח לא צריך לנחש את גודל העיבוד של האלמנט) .
נוסף המאפיין AudioContext.outputLatency, שדרכו ניתן לברר מידע על ההשהיה החזויה לפני פלט האודיו (ההשהיה בין בקשת האודיו לתחילת עיבוד הנתונים שהתקבלו על ידי התקן פלט האודיו).
סכמת צבע של מאפיין CSS, המאפשרת לקבוע באילו ערכות צבעים ניתן להציג בצורה נכונה אלמנט ("בהיר", "כהה", "מצב יום" ו"מצב לילה"), נוסף הפרמטר "רק" כדי למנוע סכימות של שינויי צבע מאולצים עבור רכיבי HTML בודדים. לדוגמה, אם תציין "div { color-scheme: only light }", אז רק ערכת הנושא הבהירה תשמש עבור רכיב ה-div, גם אם הדפדפן מאלץ את ערכת הנושא האפלה להיות מופעלת.
נוספה תמיכה בשאילתות מדיה 'טווח דינמי' ו'טווח דינמי וידאו' ל-CSS כדי לקבוע אם מסך תומך ב-HDR (טווח דינמי גבוה).
הוספה את היכולת לבחור אם לפתוח קישור בלשונית חדשה, חלון חדש או חלון מוקפץ לפונקציה window.open() . בנוסף, המאפיין window.statusbar.visible מחזיר כעת "false" עבור חלונות קופצים ו-"true" עבור כרטיסיות וחלונות. const popup = window.open('_blank',",'popup=1′); // פתח בחלון קופץ const tab = window.open('_blank',,"'popup=0′); // פתח בכרטיסייה
שיטת structuredClone() הוטמעה עבור חלונות ועובדים, המאפשרת ליצור עותקים רקורסיביים של אובייקטים הכוללים מאפיינים לא רק של האובייקט שצוין, אלא גם של כל שאר האובייקטים שאליהם האובייקט הנוכחי מתייחס.
ה-Web Authentication API הוסיף תמיכה בהרחבת מפרט FIDO CTAP2, המאפשרת לך להגדיר את גודל קוד ה-PIN המינימלי המותר (minPinLength).
עבור יישומי אינטרנט עצמאיים מותקנים, נוסף רכיב Window Controls Overlay, המרחיב את שטח המסך של האפליקציה לכל החלון, כולל אזור הכותרת, עליו לחצני השליטה הסטנדרטיים בחלון (סגור, מזעור, ממקסם ) מונחות על גבי. אפליקציית האינטרנט יכולה לשלוט בעיבוד ובעיבוד הקלט של כל החלון, למעט בלוק שכבת העל עם לחצני בקרת החלון.
נוסף ל-WritableStreamDefaultController מאפיין טיפול באותות שמחזיר אובייקט AbortSignal, שניתן להשתמש בו כדי להפסיק מיד את הכתיבה ל-WritableStream מבלי לחכות להשלמתם.
WebRTC הסירה את התמיכה במנגנון הסכם מפתח SDES, אשר הוצא משימוש על ידי ה-IETF ב-2013 עקב חששות אבטחה.
כברירת מחדל, ממשק ה-API של U2F (Cryptotoken) מושבת, אשר הוצא משימוש בעבר והוחלף ב-API לאימות אינטרנט. ממשק ה-API של U2F יוסר לחלוטין ב-Chrome 104.
ב-API Directory, השדה installed_browser_version הוצא משימוש, והוחלף בשדה pending_browser_version חדש, השונה בכך שהוא מכיל מידע על גרסת הדפדפן, תוך התחשבות בעדכונים שהורדו אך לא הוחלו (כלומר, הגרסה שתהיה תקפה לאחר הדפדפן מופעל מחדש).
הוסרו אפשרויות שאפשרו להחזיר תמיכה עבור TLS 1.0 ו-1.1.
בוצעו שיפורים בכלים למפתחי אתרים. נוספה כרטיסייה כדי להעריך את פעולת המטמון אחורה קדימה, המספק ניווט מיידי בעת שימוש בלחצנים אחורה וקדימה. נוספה את היכולת לחקות שאילתות מדיה מאולצות בצבעים. נוספו לחצנים לעורך Flexbox כדי לתמוך במאפיינים של שורה הפוכה ועמודה הפוכה. הכרטיסייה "שינויים" מבטיחה שהשינויים יוצגו לאחר עיצוב הקוד, מה שמפשט את הניתוח של דפים ממוזערים.
הטמעת פאנל סקירת הקוד עודכנה לשחרור עורך הקוד CodeMirror 6, המשפר משמעותית את ביצועי העבודה עם קבצים גדולים מאוד (WASM, JavaScript), פותר בעיות עם היסט אקראיים במהלך הניווט, ומשפר את ההמלצות של מערכת ההשלמה האוטומטית בעת עריכת קוד. היכולת לסנן פלט לפי שם נכס או ערך נוספה לחלונית מאפייני CSS.

בנוסף לחידושים ותיקוני באגים, הגרסה החדשה מבטלת 27 נקודות תורפה. רבות מהחולשות זוהו כתוצאה מבדיקות אוטומטיות באמצעות הכלים AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ו-AFL. לא זוהו בעיות קריטיות שיאפשרו לעקוף את כל רמות ההגנה על הדפדפן ולהפעיל קוד במערכת מחוץ לסביבת ארגז החול. כחלק מתוכנית התגמול במזומן לגילוי פגיעויות במהדורה הנוכחית, גוגל שילמה 19 פרסים בשווי 88 אלף דולר (שני פרסים של $20000, פרס אחד של $12000, שני פרסים של $7500, ארבעה פרסים של $1000 ואחד של $7000, $5000 ו-$3000 כל אחד.

מקור: OpenNet.ru

גרסה 98 של Chrome