Chrome 92 リリース

Google は、Chrome 92 Web ブラウザのリリースを発表しました。同時に、Chrome の基盤となる無料の Chromium プロジェクトの安定版が利用可能になりました。 Chrome ブラウザは、Google ロゴの使用、クラッシュ時に通知を送信するシステムの存在、保護されたビデオ コンテンツ (DRM) を再生するモジュール、アップデートを自動的にインストールするシステム、および検索時の RLZ パラメータの送信によって区別されます。 Chrome 93 の次回リリースは 31 月 XNUMX 日に予定されています。

Chrome 92 の主な変更点:

• プライバシー サンドボックス コンポーネントの組み込みを制御するツールが設定に追加されました。ユーザーには、FLoC (Federated Learning of Cohorts) テクノロジーを無効にする機会が与えられます。このテクノロジーは、移動追跡 Cookie を、個人を特定せずに同様の関心を持つユーザーを識別できる「コホート」に置き換えるために Google によって開発されています。コホートは、ブラウザーで開かれた閲覧履歴データとコンテンツに機械学習アルゴリズムを適用することにより、ブラウザー側で計算されます。
• デスクトップユーザーの場合、戻る/進むキャッシュはデフォルトで有効になっており、戻るボタンと進むボタンを使用する際、または現在閲覧中のサイトで以前に表示したページ間を移動する際に、瞬時にナビゲーションできます。以前は、戻る/進むキャッシュはプラットフォームビルドでのみ利用可能でした。 Android.
• さまざまなプロセスにおけるサイトとアドオンの分離が強化されました。以前のサイト分離メカニズムにより、異なるプロセスでサイトが相互に分離され、すべてのアドオンが別のプロセスに分離されていましたが、新しいリリースでは、各アドオンを移動することでブラウザー アドオンを相互に分離します。別のプロセスに移行することで、悪意のあるアドオンからの保護に対して別の障壁を設けることが可能になりました。
• フィッシング検出の生産性と効率が大幅に向上しました。ローカル画像分析に基づいてフィッシングを検出する速度は、半数のケースで最大 50 倍向上し、99% のケースでは少なくとも 2.5 倍高速であることが判明しました。平均して、画像によってフィッシングを分類する時間は 1.8 秒から 100 ミリ秒に短縮されました。全体として、すべてのレンダリング プロセスによって生じる CPU 負荷は 1.2% 減少しました。
• ポート 989 (ftps-data) および 990 (ftps) が、禁止されるネットワーク ポートの数に追加されました。以前は、ポート 69、137、161、554、1719、1720、1723、5060、5061、6566、および 10080 は、NAT から保護するために、ブラックリスト上のポートについてはすでにブロックされていました。スリップストリーミング攻撃。攻撃者が特別に用意した Web ページをブラウザで開くと、内部アドレス範囲 (192.168.xx) が使用されているにもかかわらず、攻撃者のサーバーからユーザーのシステム上の任意の UDP または TCP ポートへのネットワーク接続を確立できます。 、10.xxx）。
• Chrome ウェブストアに新しい追加機能やバージョン更新を公開するときに、2 要素の開発者認証を使用するという要件が導入されました。
• ブラウザにすでにインストールされているアドオンがルール違反により Chrome ウェブストアから削除された場合、それらを無効にすることができるようになりました。
• DNSクエリを送信する際、従来のDNSサーバーを使用する場合は、「A」レコードと「AAAA」レコードに加えて、 IPアドレス 「HTTPS」DNS レコードも照会されるようになり、プロトコル設定、TLS ClientHello を暗号化するためのキー、エイリアス サブドメインのリストなど、HTTPS 接続の確立を高速化するパラメータが渡されます。
• iframeブロックから読み込まれた ドメノフJavaScript ダイアログ window.alert、window.confirm、window.prompt は、現在のページのドメイン以外のページでは呼び出されなくなりました。この変更により、サードパーティの通知をメインサイトからのリクエストとして偽装する不正行為からユーザーを保護します。
• 新しいタブ ページには、Google ドライブに保存されている最も人気のあるドキュメントのリストが表示されます。
• PWA（Progressive Web Apps）アプリケーションの名前やアイコンを変更することができます。
• 住所またはクレジット カード番号の入力を必要とするランダムな少数の Web フォームでは、自動入力の推奨が実験として無効になります。
• デスクトップ バージョンでは、画像検索オプション (コンテキスト メニューの [画像の検索] 項目) が、通常の Google 検索エンジンの代わりに Google レンズ サービスを使用するように切り替えられました。コンテキスト メニューの対応するボタンをクリックすると、ユーザーは別の Web アプリケーションにリダイレクトされます。
• シークレット モードのインターフェイスでは、閲覧履歴へのリンクは非表示になります (履歴が収集されないという情報を含むスタブが開かれるため、リンクは役に立ちません)。
• アドレス バーに入力すると解析される新しいコマンドが追加されました。たとえば、パスワードとアドオンのセキュリティをチェックするページにすぐに移動するボタンを表示するには、「安全性チェック」と入力するだけです。セキュリティと同期の設定に移動するには、「セキュリティ設定の管理」と入力するだけです。同期を管理します。」
• Chrome 版の具体的な変更点 Android:
  • このパネルには、ユーザーの現在のアクティビティに基づいて選択されたさまざまなショートカットが表示され、現時点で必要と思われるリンクが含まれる、カスタマイズ可能な新しい「マジック ツールバー」ボタンが備えられています。
  • フィッシングの試みを検出するためのオンデバイス機械学習モデルの実装が更新されました。フィッシングの試みが検出されると、警告ページが表示されるだけでなく、ブラウザーは機械学習モデルのバージョン、各カテゴリの計算された重み、および新しいモデルを外部のセーフ ブラウジング サービスに適用するためのフラグに関する情報を送信するようになりました。 。
  • 「ページが見つからない場合に類似ページの候補を表示する」設定を削除しました。この設定により、ページが見つからない場合に Google にクエリを送信することに基づいて類似ページが推奨されます。この設定は、以前はデスクトップ バージョンから削除されていました。
  • 個々のプロセスに対するサイト分離モードの使用が拡張されました。リソース消費の理由から、これまでのところ、選択された大規模サイトのみが別のプロセスに移動されています。新しいバージョンでは、ユーザーが OAuth 経由の認証 (Google アカウントを介した接続など) でログインしているサイト、または Cross-Origin-Opener-Policy HTTP ヘッダーを設定しているサイトにも分離が適用され始めます。すべてのサイトの個別プロセスで分離を有効にしたい場合は、「chrome://flags/#enable-site-per-process」設定が提供されます。
  • Spectre などのサイドチャネル攻撃に対する V8 エンジンの組み込み保護メカニズムは無効になっていますが、これはサイトを別のプロセスに分離するほど効果的ではないと考えられています。デスクトップ バージョンでは、これらのメカニズムは Chrome 70 のリリースで無効になっていました。
  • マイク、カメラ、位置情報へのアクセスなど、サイトの権限設定へのアクセスが簡素化されました。権限のリストを表示するには、アドレス バーの南京錠のマークをクリックし、[権限] セクションを選択します。
• いくつかの新しい API が Origin トライアル モードに追加されました (別途アクティベーションが必要な実験的な機能)。 オリジン トライアルとは、ローカルホストまたは 127.0.0.1 からダウンロードされたアプリケーションから、または特定のサイトで期間限定で有効な特別なトークンを登録して受信した後、指定された API を操作できる機能を意味します。
  • API ファイル処理。Web アプリケーションをファイル ハンドラーとして登録できます。たとえば、テキスト エディターを使用して PWA (プログレッシブ Web アプリ) モードで実行されている Web アプリケーションは、それ自体を「.txt」ファイル ハンドラーとして登録でき、その後システム ファイル マネージャーでテキスト ファイルを開くために使用できます。
  • Shared Element Transitions API。ブラウザが提供する既製のエフェクトを使用して、シングルページ (SPA、シングルページ アプリケーション) およびマルチページ (MPA、マルチページ アプリケーション) でのインターフェイスの状態の変化を視覚化できます。 ) Web アプリケーション。
• size-adjust パラメータが @font-face CSS ルールに追加されました。これにより、CSS の font-size プロパティの値を変更せずに、特定のフォント スタイルのグリフ サイズをスケールできるようになります (文字の下の領域は変わりません)。ただし、この領域のグリフのサイズは変わります)。
• JavaScript では、Array、String、および TypedArray オブジェクトは at() メソッドを実装します。これにより、末尾を基準とした負の値の指定を含む、相対インデックス付け (相対位置は配列インデックスとして指定されます) を使用できるようになります (例: 「arr.at(-1)」は配列の最後の要素を返します)。
• dayPeriod プロパティが Intl.DateTimeFormat JavaScript コンストラクターに追加され、おおよその時刻 (朝、夕方、午後、夜) を表示できるようになりました。
• 共有メモリ内に配列を作成できる SharedArrayBuffers オブジェクトを使用する場合、Cross-Origin-Opener-Policy および Cross-Origin-Embedder-Policy HTTP ヘッダーを定義する必要があります。定義しないとリクエストはブロックされます。
• 「togglemicrophone」、「togglecamera」、および「hangup」アクションがメディア セッション API に追加され、ビデオ会議システムを実装するサイトが、ピクチャー・イン・ピクチャー・インターフェース呼び出し。
• Web Bluetooth API には、検出された Bluetooth デバイスをメーカーおよび製品 ID でフィルタリングする機能が追加されました。フィルタは、Bluetooth.requestDevice() メソッドの「options.filters」パラメータを介して設定されます。
• User-Agent HTTP ヘッダーの内容をトリミングする最初の段階が実装されました。DevTools の問題タブに、navigator.userAgent、navigator.appVersion、および navigator.platform の非推奨に関する警告が表示されるようになりました。
• Web 開発者向けのツールに一部の改善が加えられました。 Web コンソールには、「const」式を再定義する機能が用意されています。 [要素] パネルでは、iframe 要素には、要素を右クリックすると表示されるコンテキスト メニューから詳細をすばやく表示する機能があります。 CORS (クロスオリジン リソース共有) エラーのデバッグが改善されました。 WebAssembly からのネットワーク リクエストをフィルタリングする機能が、ネットワーク アクティビティ検査パネルに追加されました。変更をプレビューする機能を備えた新しい CSS グリッド エディター (「display: Grid」および「display: inline-grid」) が提案されました。

革新とバグ修正に加えて、新しいバージョンでは 35 件の脆弱性が排除されています。脆弱性の多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer、および AFL ツールを使用した自動テストの結果として特定されました。すべてのレベルのブラウザー保護をバイパスし、サンドボックス環境外のシステム上でコードを実行することを可能にする重大な問題は確認されていません。現在のリリースの脆弱性を発見した場合に現金で報奨金を支払うプログラムの一環として、Google は 24 件の 112000 ドル相当の賞を支払った (15000 ドルの賞が 10000 件、8500 ドルの賞が 7500 件、5000 ドルの賞が 3000 件、500 ドルの賞が 11 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルの賞が XNUMX 件、XNUMX ドルが XNUMX 件) ）。 XNUMXの報酬の規模はまだ決定されていません。

出所： オープンネット.ru