Chrome 107 リリース

Google は Web ブラウザ Chrome 107 のリリースを発表し、同時に Chrome の基盤となる無料の Chromium プロジェクトの安定版リリースが利用可能になりました。 Chrome ブラウザは、Google ロゴの使用、クラッシュ時に通知を送信するシステムの存在、コピー保護されたビデオ コンテンツ (DRM) を再生するモジュール、アップデートを自動的にインストールするシステム、サンドボックス分離を永続的に有効にする点で Chromium とは異なります。 、Google API にキーを提供し、検索時に RLZ- パラメータを送信します。 更新にさらに時間が必要な場合は、Extended Stable ブランチが別途サポートされ、その後 8 週間サポートされます。 Chrome 108 の次回リリースは 29 月 XNUMX 日に予定されています。

Chrome 107 の主な変更点:

• ECH (Encrypted Client Hello) メカニズムのサポートが追加されました。これは ESNI (Encrypted Server Name Indication) の開発を継続し、要求されたドメイン名などの TLS セッション パラメーターに関する情報の暗号化に使用されます。 ECH と ESNI の主な違いは、個々のフィールドのレベルで暗号化する代わりに、ECH は TLS ClientHello メッセージ全体を暗号化することで、ESNI がカバーしていないフィールド、たとえば PSK (事前共有) を介した漏洩をブロックできることです。キー) フィールド。 また、ECH は、TXT レコードの代わりに HTTPSSVC DNS レコードを使用して公開キー情報を伝達し、ハイブリッド公開キー暗号化 (HPKE) メカニズムに基づく認証されたエンドツーエンド暗号化を使用してキーを取得して暗号化します。 ECH を有効にするかどうかを制御するために、「chrome://flags#encrypted-client-hello」設定が提案されています。
• H.265 (HEVC) 形式でのハードウェア アクセラレーションによるビデオ デコードのサポートが有効になります。
• User-Agent HTTP ヘッダーと JavaScript パラメーター navigator.userAgent、navigator.appVersion、および navigator.platform の情報削減の第 107 段階がアクティブ化され、ユーザーを受動的に識別するために使用できる情報を削減するために実装されました。 Chrome 10.0 では、デスクトップ ユーザー向けの User-Agent 行のプラットフォームとプロセッサの情報が削減され、navigator.platform JavaScript パラメータの内容が凍結されました。 この変更は Windows プラットフォームのバージョンでのみ顕著であり、特定のプラットフォームのバージョンは「Windows NT XNUMX」に変更されます。 Linux では、ユーザー エージェントのプラットフォームの内容は変更されていません。

  以前は、ブラウザーのバージョンを構成する MINOR.BUILD.PATCH 番号は 0.0.0 に置き換えられました。 将来的には、ブラウザーの名前、主要なブラウザーのバージョン、プラットフォーム、デバイスの種類 (携帯電話、PC、タブレット) に関する情報のみをヘッダーに残す予定です。 正確なバージョンや拡張プラットフォーム データなどの追加データを取得するには、ユーザー エージェント クライアント ヒント API を使用する必要があります。 十分な新しい情報がなく、ユーザー エージェント クライアント ヒントに切り替える準備がまだ整っていないサイトの場合、2023 年 XNUMX 月までは完全なユーザー エージェントを返す機会があります。

• Android バージョンは Android 6.0 プラットフォームをサポートしなくなり、ブラウザーには少なくとも Android 7.0 が必要になります。
• ダウンロード状況を追跡するためのインターフェースのデザインが変更されました。 ダウンロードの進行状況に関するデータを表示する最下行の代わりに、アドレス バーのあるパネルに新しいインジケーターが追加されました。これをクリックすると、ファイルのダウンロードの進行状況と、ダウンロード済みのファイルのリストを含む履歴が表示されます。 下部パネルとは異なり、ボタンはパネル上に常に表示されており、ダウンロード履歴にすぐにアクセスできます。 新しいインターフェイスは現在、デフォルトで一部のユーザーにのみ提供されていますが、問題がなければすべてのユーザーに拡張される予定です。
• デスクトップユーザーの場合は、CSV形式のファイルに保存されているパスワードをインポートできます。 以前は、ファイルからブラウザへのパスワードは、passwords.google.com サービスを介してのみ転送できましたが、現在は、ブラウザに組み込まれている Google パスワード マネージャーからも転送できるようになりました。
• ユーザーが新しいプロファイルを作成すると、同期を有効にして設定に移動するよう求めるプロンプトが表示され、プロファイル名の変更やカラーテーマの選択が可能になります。
• Android プラットフォーム用のバージョンでは、写真やビデオをアップロードするためのメディア ファイルを選択するための新しいインターフェイスが提供されます (独自の実装ではなく、標準の Android Media Picker インターフェイスが使用されます)。
• ユーザーを妨害する通知やメッセージを送信していることが判明したサイトに対しては、通知を表示する許可を自動的に取り消す機能が提供されています。 さらに、そのようなサイトに対する通知の送信許可のリクエストは停止されています。
• Screen Capture API には、画面共有に関連する新しいプロパティが追加されました - selfBrowserSurface (getDisplayMedia() を呼び出すときに現在のタブを除外できる)、surfaceSwitching (タブを切り替えるボタンを非表示にできる)、および displaySurface (共有を制限できる)タブ、ウィンドウ、または画面）。
• 読み込みが完了するまでページのレンダリングを一時停止させる原因となっているリソースを特定するために、renderBlockingStatus プロパティをパフォーマンス API に追加しました。
• いくつかの新しい API が Origin トライアル モードに追加されました (別途アクティベーションが必要な実験的な機能)。 オリジン トライアルとは、ローカルホストまたは 127.0.0.1 からダウンロードされたアプリケーションから、または特定のサイトで期間限定で有効な特別なトークンを登録して受信した後、指定された API を操作できる機能を意味します。
  • 宣言型 API PendingBeacon。サーバーへの応答 (ビーコン) を必要としないデータの送信を制御できます。 新しい API を使用すると、たとえば、ユーザーがページを閉じた後のテレメトリの転送を整理するために、特定の時間に送信操作を呼び出す必要がなく、そのようなデータの送信をブラウザーに委任できます。
  • 権限を委任し、高度な機能を有効にするために使用される Permissions-Policy (機能ポリシー) HTTP ヘッダーが、ページ上の「アンロード」イベントのハンドラーを無効にするために使用できる「アンロード」値をサポートするようになりました。
• タグ付けするには「rel」属性のサポートが追加されました。これにより、「rel=noreferrer」パラメータを Web フォームのナビゲーションに適用して Referer ヘッダーの転送を無効にするか、「rel=noopener」パラメータを適用して Window.opener プロパティの設定を無効にし、禁止することができます。遷移元のコンテキストへのアクセス。
• CSS Grid では、異なるグリッド状態間のスムーズな遷移を提供するために、grid-template-columns プロパティと Grid-template-rows プロパティを補間するサポートが追加されました。
• Web 開発者向けのツールが改善されました。 ホットキーを設定する機能が追加されました。 WebAssembly 形式に変換された C/C++ アプリケーション オブジェクトのメモリ検査が改善されました。

革新とバグ修正に加えて、新しいバージョンでは 14 件の脆弱性が排除されています。 脆弱性の多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer、および AFL ツールを使用した自動テストの結果として特定されました。 すべてのレベルのブラウザー保護をバイパスし、サンドボックス環境外のシステム上でコードを実行できるような重大な問題は確認されていません。 現在のリリースの脆弱性を発見した場合に現金で報奨金を支払うプログラムの一環として、Google は 10 件の賞金として 57 米ドルを支払いました (20000 件の賞金は 17000 ドル、7000 ドル、3000 ドル、2000 件の賞金は 1000 ドル、XNUMX 件の賞金は XNUMX ドル、XNUMX 件)賞金XNUMXドル）。 XNUMX回の報酬の規模はまだ決まっていません。

出所： オープンネット.ru