Chrome 97 リリース

Google は Web ブラウザ Chrome 97 のリリースを発表し、同時に Chrome の基盤となる無料の Chromium プロジェクトの安定版リリースが利用可能になりました。 Chrome ブラウザは、Google ロゴの使用、クラッシュ時に通知を送信するシステムの存在、コピー保護されたビデオ コンテンツ (DRM) を再生するモジュール、更新を自動的にインストールするシステム、および更新時に RLZ パラメータを送信するシステムによって区別されます。探しています。 更新にさらに時間が必要な場合は、別の Extended Stable ブランチがあり、その後 8 週間で Chrome 96 の以前のリリースへの更新が行われます。Chrome 98 の次のリリースは 1 月 XNUMX 日に予定されています。

Chrome 97 の主な変更点:

• 一部のユーザーの場合、コンフィギュレータはブラウザ側に保存されているデータを管理するための新しいインターフェイス (「chrome://settings/content/all」) を使用します。 新しいインターフェースの主な違いは、アクセス許可の設定とサイトのすべての Cookie の一度のクリアに重点が置かれており、個々の Cookie に関する詳細情報を表示したり、Cookie を選択的に削除したりする機能はありません。 Google によると、Web 開発の複雑さを理解していない一般ユーザーが個々の Cookie の管理にアクセスすると、個々のパラメータの軽率な変更によりサイトの運営に予期せぬ混乱が生じたり、プライバシーが誤って無効になったりする可能性があります。 Cookie を通じて有効化される保護メカニズム。 個々の Cookie を操作する必要がある場合は、Web 開発者向けツールのストレージ管理セクション (Applocation/Storage/Cookie) を使用することをお勧めします。
• 設定で検索とナビゲーションの最適化モードが有効になっている場合 (「検索とブラウジングを改善する」オプション)、サイトに関する情報を含むブロックに、サイトの簡単な説明 (Wikipedia からの説明など) が表示されます。
• Web フォームのフィールドに自動入力するためのサポートが改善されました。 自動入力オプションを備えた推奨事項は、わずかにずれて表示され、より便利なプレビューと入力中のフィールドとの関係を視覚的に識別できる情報アイコンが提供されるようになりました。 たとえば、プロフィール アイコンは、提案されたオートコンプリートが住所と連絡先情報に関連するフィールドに影響を与えることを明確にします。
• ユーザー プロファイル ハンドラーに関連付けられたブラウザ ウィンドウを閉じた後、メモリからユーザー プロファイル ハンドラーを削除できるようになりました。 以前は、プロファイルはメモリ内に残り、バックグラウンドのアドオン スクリプトの同期と実行に関連する作業を実行し続けていました。そのため、複数のプロファイル (ゲスト プロファイルや Google アカウントへのリンクなど) を同時に使用するシステムでリソースが不必要に浪費されていました。 ）。 さらに、プロファイルの操作中に残ったデータはより徹底的に消去されます。
• 検索エンジン設定を含むページが改善されました (「設定 > 検索エンジンの管理」)。 エンジンの自動アクティブ化 (OpenSearch スクリプトを通じてサイトを開くときに提供される情報) が無効になりました。アドレス バーからの検索クエリを処理するための新しいエンジンは、設定で手動でアクティブ化する必要があります (以前に自動的にアクティブ化されていたエンジンは引き続き有効になります)変更せずに動作します)。
• 17 月 XNUMX 日以降、Chrome ウェブストアは Chrome マニフェストのバージョン XNUMX を使用するアドオンを受け付けなくなりますが、以前に追加したアドオンの開発者は引き続きアップデートを公開できます。
• WebTransport 仕様の実験的サポートが追加されました。WebTransport 仕様は、ブラウザとサーバーの間でデータを送受信するためのプロトコルと付随する JavaScript API を定義します。 通信チャネルは、トランスポートとして QUIC プロトコルを使用して HTTP/3 上で編成されます。 WebTransport は WebSocket メカニズムの代わりに使用でき、マルチストリーム送信、一方向ストリーム、アウトオブオーダー配信、信頼性の高い配信モードと信頼性の低い配信モードなどの追加機能を提供します。 さらに、WebTransport は、Google が Chrome で放棄したサーバー プッシュ メカニズムの代わりに使用できます。
• findLast メソッドと findLastIndex メソッドが Array および TypedArrays JavaScript オブジェクトに追加され、配列の末尾を基準とした相対的な結果出力で要素を検索できるようになりました。 [1,2,3,4].findLast((el) => el % 2 === 0) // → 4 (最後の偶数要素)
• 閉じた (「open」属性なし) HTML 要素、検索とリンクが可能になり、ページ検索とフラグメント ナビゲーション (ScrollToTextFragment) を使用すると自動的に展開されます。
• サーバー応答ヘッダーのコンテンツ セキュリティ ポリシー (CSP) 制限は、以前は別個のドキュメントとして扱われていた専用ワーカーに適用されるようになりました。
• 内部ネットワークからサブリソースをダウンロードする権限に対する明示的なリクエストが提供されています。内部ネットワークまたはローカルホストにアクセスする前に、ヘッダー「Access-Control-Request-Private-」を持つ CORS (Cross-Origin Resource Sharing) リクエストが提供されています。 Network: true」は、「Access-Control-Allow-Private-Network: true」ヘッダーを返すことによって、操作の確認を必要とするメイン サイト サーバーに送信されるようになりました。
• フォント合成 CSS プロパティが追加されました。これにより、選択したフォント ファミリにない、欠落しているフォント スタイル (斜体、太字、小文字) をブラウザが合成できるかどうかを制御できます。
• CSS 変換の場合、perspective() 関数は「none」パラメータを実装します。これは、アニメーションを編成するときに無限値として扱われます。
• 権限を委任し、高度な機能を有効にするために使用される Permissions-Policy (機能ポリシー) HTTP ヘッダーは、キーボード API の使用を許可するキーボードマップ値をサポートするようになりました。 Keyboard.getLayoutMap() メソッドが実装されました。これにより、さまざまなキーボード レイアウト (たとえば、ロシア語または英語のレイアウトでキーが押されたなど) を考慮して、どのキーが押されたかを判断できます。
• HTMLScriptElement.supports() メソッドが追加されました。これにより、「script」要素で使用できる新機能の定義が統一されます。たとえば、「type」属性でサポートされている値のリストを確認できます。
• Web フォームを送信するときに改行を正規化するプロセスは、Gecko および WebKit ブラウザ エンジンに合わせて導入されました。 Chrome での改行と復帰の正規化 (/r と /n を \r\n に置き換える) は、フォーム送信処理の開始時ではなく最終段階で行われるようになりました (つまり、FormData オブジェクトを使用する中間プロセッサはデータを次のように認識します)。ユーザーによって追加され、正規化された形式ではありません)。
• プロパティ名の命名は Client Hints API 用に標準化されており、User-Agent ヘッダーの代替として開発されており、特定のブラウザーおよびシステム パラメーター (バージョン、プラットフォームなど) に関するデータを選択して提供できるようになります。サーバーによるリクエスト。 プロパティは、接頭辞「sec-ch-」を付けて指定されるようになりました。例: sec-ch-dpr、sec-ch-width、sec-ch-viewport-width、sec-ch-device-memory、sec-ch-rtt 、sec-ch-downlinkおよびsec-ch-ect。
• WebSQL API のサポート中止の第 XNUMX 段階が適用され、サードパーティのスクリプトからのアクセスがブロックされるようになりました。 将来的には、使用状況に関係なく、段階的に WebSQL のサポートを完全に廃止する予定です。 WebSQL エンジンは SQLite コードに基づいており、攻撃者が SQLite の脆弱性を悪用するために使用する可能性があります。
• Windows プラットフォームの場合、実行フローの整合性チェック (CFG、コントロール フロー ガード) を備えたアセンブリが含まれており、Chrome プロセスにコードを挿入しようとする試みをブロックします。 さらに、サンドボックス分離が別のプロセスで実行されているネットワーク サービスに適用されるようになり、これらのプロセス内のコードの機能が制限されます。
• Chrome for Android には、発行および取り消された証明書のログを動的に更新するメカニズム (証明書の透明性) が含まれており、これは以前デスクトップ システムの料金で有効化されていました。
• Web 開発者向けのツールが改良されました。 異なるデバイス間で DevTools 設定を同期するための実験的なサポートが実装されました。 新しいレコーダー パネルが追加され、ページ上のユーザー アクションを記録、再生、分析できます。

  Web コンソールでエラーを表示すると、問題に関連付けられた列番号が表示されるため、縮小された JavaScript コードの問題をデバッグするのに便利です。 モバイル デバイスでのページ表示を評価するためにシミュレートできるデバイスのリストが更新されました。 HTML ブロックを編集するためのインターフェイス (HTML として編集) に、構文の強調表示と入力のオートコンプリート機能が追加されました。

  

革新とバグ修正に加えて、新しいバージョンでは 37 件の脆弱性が排除されています。 脆弱性の多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer、および AFL ツールを使用した自動テストの結果として特定されました。 脆弱性の 2022 つは重大な問題のステータスに割り当てられており、あらゆるレベルのブラウザー保護をバイパスして、サンドボックス環境外のシステム上でコードを実行することができます。 この重大な脆弱性 (CVE-0096-XNUMX) の詳細はまだ明らかにされていませんが、内部ストレージ (ストレージ API) を操作するためのコード内の既に解放されたメモリ領域へのアクセスに関連していることだけがわかっています。

現在のリリースの脆弱性を発見した場合に賞金を支払うプログラムの一環として、Google は 24 ドル相当の 54 件の賞金を支払った (10000 ドルの賞が 5000 件、4000 ドルの賞が 3000 件、1000 ドルの賞が 14 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件)。 XNUMX の報酬の規模はまだ決定されていません。

出所： オープンネット.ru