גרסה 98 של Chrome

גוגל חשפה את שחרורו של דפדפן האינטרנט Chrome 98. במקביל, זמינה מהדורה יציבה של פרויקט Chromium החינמי, המשמש כבסיס לכרום. דפדפן כרום מתאפיין בשימוש בסמלי לוגו של גוגל, בנוכחות מערכת לשליחת התראות במקרה של קריסה, מודולים להפעלת תוכן וידאו מוגן העתקה (DRM), מערכת להתקנה אוטומטית של עדכונים והעברת פרמטרי RLZ כאשר מחפש. המהדורה הבאה של Chrome 99 מתוכננת ל-1 במרץ.

שינויים מרכזיים ב-Chrome 98:

• לדפדפן יש מאגר משלו של אישורי שורש של רשויות אישורים (Chrome Root Store), שישמשו במקום חנויות חיצוניות ספציפיות לכל מערכת הפעלה. החנות מיושמת בדומה לחנות העצמאית של תעודות שורש בפיירפוקס, המשמשת כקישור הראשון לבדיקת שרשרת אמון התעודות בעת פתיחת אתרים באמצעות HTTPS. האחסון החדש עדיין אינו בשימוש כברירת מחדל. כדי להקל על המעבר של תצורות אחסון מערכת וכדי להבטיח ניידות, תתקיים תקופת מעבר שבמהלכה חנות השורש של Chrome תכלול מבחר מלא של אישורים המאושרים ברוב הפלטפורמות הנתמכות.
• התוכנית לחיזוק ההגנה מפני התקפות הקשורות לגישה למשאבים ברשת המקומית או במחשב המשתמש (localhost) מסקריפטים הנטענים בעת פתיחת האתר ממשיכה להיות מיושמת. בקשות כאלה משמשות תוקפים לביצוע התקפות CSRF על נתבים, נקודות גישה, מדפסות, ממשקי אינטרנט ארגוניים והתקנים ושירותים אחרים המקבלים בקשות רק מהרשת המקומית.

  כדי להגן מפני התקפות כאלה, אם יש גישה למשאבי משנה כלשהם ברשת הפנימית, הדפדפן יתחיל לשלוח בקשה מפורשת להרשאה להוריד משאבי משנה כאלה. הבקשה להרשאות מתבצעת על ידי שליחת בקשת CORS (Cross-Origin Resource Sharing) עם הכותרת "Access-Control-Request-Private-Network: true" לשרת האתר הראשי לפני הגישה לרשת הפנימית או ל-localhost. בעת אישור הפעולה בתגובה לבקשה זו, על השרת להחזיר את הכותרת "Access-Control-Allow-Private-Network: true". בכרום 98, הבדיקה מיושמת במצב בדיקה ואם אין אישור, מוצגת אזהרה במסוף האינטרנט, אך בקשת המשאב עצמה אינה חסומה. החסימה לא מתוכננת להיות מופעלת עד ש-Chrome 101 ישוחרר.

• הגדרות החשבון משלבות כלים לניהול הכללת גלישה בטוחה משופרת, המפעילה בדיקות נוספות כדי להגן מפני דיוג, פעילות זדונית ואיומים אחרים באינטרנט. כאשר אתה מפעיל מצב בחשבון Google שלך, כעת תתבקש להפעיל את המצב בכרום.
• נוסף מודל לאיתור ניסיונות פישינג בצד הלקוח, מיושם באמצעות פלטפורמת למידת המכונה TFLite (TensorFlow Lite) ואינו מצריך שליחת נתונים לביצוע אימות בצד גוגל (במקרה זה, טלמטריה נשלחת עם מידע על גרסת הדגם ומשקלים מחושבים לכל קטגוריה). אם מזוהה ניסיון דיוג, יוצג למשתמש דף אזהרה לפני פתיחת האתר החשוד.
• ב-Client Hints API, שמפותח כתחליף לכותרת User-Agent ומאפשר לשלוח נתונים סלקטיביים לגבי פרמטרים ספציפיים של דפדפן ומערכת (גרסה, פלטפורמה וכו') רק לאחר בקשה של השרת, ניתן להחליף שמות בדויים ברשימת מזהי הדפדפן, על פי אנלוגיות למנגנון GREASE (Generate Random Extensions And Sustain Extensibility) המשמש ב-TLS. לדוגמה, בנוסף ל-"Chrome"; v="98″' ו-'"Chromium"; v="98″' מזהה אקראי של דפדפן לא קיים '"(Not; Browser"; v="12″' ניתן להוסיף לרשימה. החלפה כזו תעזור לזהות בעיות בעיבוד מזהים של דפדפנים לא ידועים, מה שמוביל לעובדה שדפדפנים אלטרנטיביים נאלצים להעמיד פנים שהם דפדפנים פופולריים אחרים כדי לעקוף בדיקה מול רשימות של דפדפנים מקובלים.
• החל מה-17 בינואר, חנות האינטרנט של Chrome כבר לא מקבלת תוספים המשתמשים בגרסה 2023 של המניפסט של Chrome. תוספות חדשות יתקבלו כעת רק עם הגרסה השלישית של המניפסט. מפתחים של תוספות שנוספו בעבר עדיין יוכלו לפרסם עדכונים עם הגרסה השנייה של המניפסט. ביטול מוחלט של הגרסה השנייה של המניפסט מתוכנן לינואר XNUMX.
• נוספה תמיכה בגופנים וקטורים צבעוניים בפורמט COLRv1 (תת-קבוצה של גופני OpenType המכילים, בנוסף לגליפים וקטורים, שכבה עם מידע צבעוני), אשר ניתן להשתמש בהם, למשל, ליצירת אימוג'י רב-צבעוני. בניגוד לפורמט COLRv0 שנתמך בעבר, ל-COLRv1 יש כעת את היכולת להשתמש בהדרגות, בשכבות-על ובטרנספורמציות. הפורמט מספק גם צורת אחסון קומפקטית, מספק דחיסה יעילה ומאפשר שימוש חוזר בקווי מתאר, המאפשר הפחתה משמעותית בגודל הגופן. לדוגמה, הגופן Noto Color Emoji תופס 9MB בפורמט רסטר, ו-1MB בפורמט וקטור COLRv1.85.
• מצב ניסויים של Origin (תכונות ניסוי הדורשות הפעלה נפרדת) מיישם את ה-Region Capture API, המאפשר לך לחתוך את הסרטון המצולם. לדוגמה, ייתכן שיהיה צורך בחיתוך ביישומי אינטרנט שמצלמים וידאו עם תוכן הכרטיסייה שלהם, כדי לחתוך תוכן מסוים לפני השליחה. ניסיון של Origin מרמז על היכולת לעבוד עם ה-API שצוין מיישומים שהורדו מ-localhost או 127.0.0.1, או לאחר רישום וקבלת אסימון מיוחד שתקף לזמן מוגבל עבור אתר ספציפי.
• מאפיין ה-CSS "contain-intrinsic-size" תומך כעת בערך "auto", שישתמש בגודל האחרון הזכור של האלמנט (כאשר נעשה בו שימוש עם "content-visibility: auto", המפתח לא צריך לנחש את גודל העיבוד של האלמנט) .
• נוסף המאפיין AudioContext.outputLatency, שדרכו ניתן לברר מידע על ההשהיה החזויה לפני פלט האודיו (ההשהיה בין בקשת האודיו לתחילת עיבוד הנתונים שהתקבלו על ידי התקן פלט האודיו).
• סכמת צבע של מאפיין CSS, המאפשרת לקבוע באילו ערכות צבעים ניתן להציג בצורה נכונה אלמנט ("בהיר", "כהה", "מצב יום" ו"מצב לילה"), נוסף הפרמטר "רק" כדי למנוע סכימות של שינויי צבע מאולצים עבור רכיבי HTML בודדים. לדוגמה, אם תציין "div { color-scheme: only light }", אז רק ערכת הנושא הבהירה תשמש עבור רכיב ה-div, גם אם הדפדפן מאלץ את ערכת הנושא האפלה להיות מופעלת.
• נוספה תמיכה בשאילתות מדיה 'טווח דינמי' ו'טווח דינמי וידאו' ל-CSS כדי לקבוע אם מסך תומך ב-HDR (טווח דינמי גבוה).
• הוספה את היכולת לבחור אם לפתוח קישור בלשונית חדשה, חלון חדש או חלון מוקפץ לפונקציה window.open() . בנוסף, המאפיין window.statusbar.visible מחזיר כעת "false" עבור חלונות קופצים ו-"true" עבור כרטיסיות וחלונות. const popup = window.open('_blank',",'popup=1′); // פתח בחלון קופץ const tab = window.open('_blank',,"'popup=0′); // פתח בכרטיסייה
• שיטת structuredClone() הוטמעה עבור חלונות ועובדים, המאפשרת ליצור עותקים רקורסיביים של אובייקטים הכוללים מאפיינים לא רק של האובייקט שצוין, אלא גם של כל שאר האובייקטים שאליהם האובייקט הנוכחי מתייחס.
• ה-Web Authentication API הוסיף תמיכה בהרחבת מפרט FIDO CTAP2, המאפשרת לך להגדיר את גודל קוד ה-PIN המינימלי המותר (minPinLength).
• עבור יישומי אינטרנט עצמאיים מותקנים, נוסף רכיב Window Controls Overlay, המרחיב את שטח המסך של האפליקציה לכל החלון, כולל אזור הכותרת, עליו לחצני השליטה הסטנדרטיים בחלון (סגור, מזעור, ממקסם ) מונחות על גבי. אפליקציית האינטרנט יכולה לשלוט בעיבוד ובעיבוד הקלט של כל החלון, למעט בלוק שכבת העל עם לחצני בקרת החלון.
• נוסף ל-WritableStreamDefaultController מאפיין טיפול באותות שמחזיר אובייקט AbortSignal, שניתן להשתמש בו כדי להפסיק מיד את הכתיבה ל-WritableStream מבלי לחכות להשלמתם.
• WebRTC הסירה את התמיכה במנגנון הסכם מפתח SDES, אשר הוצא משימוש על ידי ה-IETF ב-2013 עקב חששות אבטחה.
• כברירת מחדל, ממשק ה-API של U2F (Cryptotoken) מושבת, אשר הוצא משימוש בעבר והוחלף ב-API לאימות אינטרנט. ממשק ה-API של U2F יוסר לחלוטין ב-Chrome 104.
• ב-API Directory, השדה installed_browser_version הוצא משימוש, והוחלף בשדה pending_browser_version חדש, השונה בכך שהוא מכיל מידע על גרסת הדפדפן, תוך התחשבות בעדכונים שהורדו אך לא הוחלו (כלומר, הגרסה שתהיה תקפה לאחר הדפדפן מופעל מחדש).
• הוסרו אפשרויות שאפשרו להחזיר תמיכה עבור TLS 1.0 ו-1.1.
• בוצעו שיפורים בכלים למפתחי אתרים. נוספה כרטיסייה כדי להעריך את פעולת המטמון אחורה קדימה, המספק ניווט מיידי בעת שימוש בלחצנים אחורה וקדימה. נוספה את היכולת לחקות שאילתות מדיה מאולצות בצבעים. נוספו לחצנים לעורך Flexbox כדי לתמוך במאפיינים של שורה הפוכה ועמודה הפוכה. הכרטיסייה "שינויים" מבטיחה שהשינויים יוצגו לאחר עיצוב הקוד, מה שמפשט את הניתוח של דפים ממוזערים.

  הטמעת פאנל סקירת הקוד עודכנה לשחרור עורך הקוד CodeMirror 6, המשפר משמעותית את ביצועי העבודה עם קבצים גדולים מאוד (WASM, JavaScript), פותר בעיות עם היסט אקראיים במהלך הניווט, ומשפר את ההמלצות של מערכת ההשלמה האוטומטית בעת עריכת קוד. היכולת לסנן פלט לפי שם נכס או ערך נוספה לחלונית מאפייני CSS.

  

בנוסף לחידושים ותיקוני באגים, הגרסה החדשה מבטלת 27 נקודות תורפה. רבות מהחולשות זוהו כתוצאה מבדיקות אוטומטיות באמצעות הכלים AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ו-AFL. לא זוהו בעיות קריטיות שיאפשרו לעקוף את כל רמות ההגנה על הדפדפן ולהפעיל קוד במערכת מחוץ לסביבת ארגז החול. כחלק מתוכנית התגמול במזומן לגילוי פגיעויות במהדורה הנוכחית, גוגל שילמה 19 פרסים בשווי 88 אלף דולר (שני פרסים של $20000, פרס אחד של $12000, שני פרסים של $7500, ארבעה פרסים של $1000 ואחד של $7000, $5000 ו-$3000 כל אחד.

מקור: OpenNet.ru