Chrome 98 リリース

Google は Web ブラウザ Chrome 98 のリリースを発表し、同時に Chrome の基盤となる無料の Chromium プロジェクトの安定版リリースが利用可能になりました。 Chrome ブラウザは、Google ロゴの使用、クラッシュ時に通知を送信するシステムの存在、コピー保護されたビデオ コンテンツ (DRM) を再生するモジュール、更新を自動的にインストールするシステム、および更新時に RLZ パラメータを送信するシステムによって区別されます。探しています。 Chrome 99 の次回リリースは 1 月 XNUMX 日に予定されています。

Chrome 98 の主な変更点:

• ブラウザには、認証局のルート証明書の独自のストア (Chrome ルート ストア) があり、各オペレーティング システムに固有の外部ストアの代わりに使用されます。 このストアは、Firefox のルート証明書の独立したストアと同様に実装されており、HTTPS 経由でサイトを開くときに証明書の信頼チェーンをチェックする最初のリンクとして使用されます。 新しいストレージはデフォルトではまだ使用されていません。 システム ストレージ構成の移行を容易にし、移植性を確保するために、サポートされているほとんどのプラットフォームで承認された証明書の完全な選択肢が Chrome ルート ストアに含まれる移行期間が設けられます。
• サイトを開いたときに読み込まれるスクリプトによる、ローカル ネットワークまたはユーザーのコンピューター (localhost) 上のリソースへのアクセスに関連する攻撃に対する保護を強化する計画は、引き続き実装されます。 このようなリクエストは、ルーター、アクセス ポイント、プリンター、企業 Web インターフェイス、およびローカル ネットワークからのみリクエストを受け入れるその他のデバイスやサービスに対して CSRF 攻撃を実行するために攻撃者によって使用されます。

  このような攻撃から保護するために、内部ネットワーク上のサブリソースにアクセスすると、ブラウザはそのようなサブリソースをダウンロードする許可を求める明示的なリクエストの送信を開始します。 アクセス許可の要求は、内部ネットワークまたはローカルホストにアクセスする前に、ヘッダー「Access-Control-Request-Private-Network: true」を持つ CORS (Cross-Origin Resource Sharing) 要求をメイン サイト サーバーに送信することによって実行されます。 このリクエストに対する動作を確認する場合、サーバーは「Access-Control-Allow-Private-Network: true」ヘッダーを返す必要があります。 Chrome 98 では、テストモードでチェックが実装されており、確認が取れない場合は Web コンソールに警告が表示されますが、サブリソースリクエスト自体はブロックされません。 Chrome 101 がリリースされるまでブロックは有効になる予定はありません。

• アカウント設定には、Web 上のフィッシング、悪意のあるアクティビティ、その他の脅威から保護するための追加のチェックを有効にする、強化されたセーフ ブラウジングの組み込みを管理するためのツールが統合されています。 Google アカウントでモードをアクティブ化すると、Chrome でモードをアクティブ化するように求められるようになります。
• クライアント側でフィッシングの試みを検出するためのモデルを追加しました。これは、TFLite 機械学習プラットフォーム (TensorFlow Lite) を使用して実装され、Google 側で検証を実行するためにデータを送信する必要はありません (この場合、テレメトリはモデルのバージョンに関する情報とともに送信されます)各カテゴリの重みを計算します)。 フィッシングの試みが検出された場合、ユーザーは不審なサイトを開く前に警告ページが表示されます。
• Client Hints API では、User-Agent ヘッダーの代替として開発されており、サーバーからのリクエスト後にのみ、特定のブラウザーおよびシステム パラメーター (バージョン、プラットフォームなど) に関するデータを選択的に提供できます。 TLS で使用される GREASE (Generate Random Extensions And Sustain Extensibility) メカニズムと同様に、ブラウザ識別子のリストに架空の名前を置き換えることができます。 たとえば、「Chrome」に加えて; v="98" および '"クロム"; v="98''' 存在しないブラウザのランダムな識別子 ''(Not; Browser"; v="12''' をリストに追加できます。このような置換は、不明なブラウザの識別子の処理に関する問題を特定するのに役立ちます。そのため、代替ブラウザは、許容可能なブラウザのリストに対するチェックをバイパスするために、他の一般的なブラウザになりすます必要があるという事実につながります。
• 17 月 2023 日以降、Chrome ウェブストアは Chrome マニフェストのバージョン XNUMX を使用するアドオンを受け入れなくなります。 新しい追加は、マニフェストの XNUMX 番目のバージョンでのみ受け入れられるようになります。 以前に追加したアドオンの開発者は、マニフェストの XNUMX 番目のバージョンを使用して更新を公開することができます。 マニフェストの第 XNUMX バージョンの完全な廃止は XNUMX 年 XNUMX 月に予定されています。
• COLRv1 形式のカラー ベクター フォント (ベクター グリフに加えて、色情報を持つレイヤーを含む OpenType フォントのサブセット) のサポートが追加されました。これは、たとえば、多色の絵文字の作成に使用できます。 以前にサポートされていた COLRv0 形式とは異なり、COLRv1 ではグラデーション、オーバーレイ、変換を使用できるようになりました。 また、この形式はコンパクトな保存形式を提供し、効率的な圧縮を実現し、アウトラインの再利用を可能にしてフォント サイズの大幅な削減を可能にします。 たとえば、Noto Color Emoji フォントはラスター形式で 9MB、COLRv1 ベクター形式で 1.85MB を占有します。
• Origin Trials モード (別途アクティベーションが必要な実験的機能) は、キャプチャされたビデオをトリミングできるようにするリージョン キャプチャ API を実装します。 たとえば、タブのコンテンツを含むビデオをキャプチャする Web アプリケーションでは、送信前に特定のコンテンツを切り取るためにトリミングが必要になる場合があります。 オリジン トライアルとは、ローカルホストまたは 127.0.0.1 からダウンロードされたアプリケーションから、または特定のサイトで期間限定で有効な特別なトークンを登録して受信した後、指定された API を操作できる機能を意味します。
• CSS プロパティ「contain-intrinsic-size」は、値「auto」をサポートするようになりました。これは、要素の最後に記憶されたサイズを使用します（「content-visibility: auto」と併用すると、開発者は要素の表示サイズを推測する必要がなくなります）。 。
• AudioContext.outputLatency プロパティを追加しました。これにより、オーディオ出力前の予測遅延 (オーディオ要求とオーディオ出力デバイスによる受信データの処理開始の間の遅延) に関する情報を確認できます。
• CSS プロパティ color-scheme で、要素を正しく表示できる配色 (「明るい」、「暗い」、「日中モード」、「夜間モード」) を決定できるようにするため、「only」パラメーターが追加されました。個々の HTML 要素のスキーマの色の強制変更を防ぐため。 たとえば、「div { color-scheme: Only light }」を指定すると、ブラウザがダーク テーマを強制的に有効にした場合でも、div 要素にはライト テーマのみが使用されます。
• 画面が HDR (ハイ ダイナミック レンジ) をサポートしているかどうかを判断するために、CSS に「dynamic-range」および「video-dynamic-range」メディア クエリのサポートが追加されました。
• window.open() 関数に、リンクを新しいタブ、新しいウィンドウ、またはポップアップ ウィンドウで開くかを選択する機能が追加されました。 さらに、window.statusbar.visible プロパティは、ポップアップに対して "false" を返し、タブとウィンドウに対して "true" を返すようになりました。 const Popup = window.open('_blank',",'popup=1'); // ポップアップウィンドウで開きます const tab = window.open('_blank',,"'popup=0'); // タブで開く
• StructuredClone() メソッドはウィンドウとワーカーに実装されており、指定したオブジェクトだけでなく、現在のオブジェクトによって参照される他のすべてのオブジェクトのプロパティを含むオブジェクトの再帰コピーを作成できます。
• Web 認証 API に、FIDO CTAP2 仕様拡張機能のサポートが追加されました。これにより、最小許容 PIN コード サイズ (minPinLength) を設定できるようになります。
• インストールされたスタンドアロン Web アプリケーションの場合、ウィンドウ コントロール オーバーレイ コンポーネントが追加されました。これにより、アプリケーションの画面領域がタイトル領域を含むウィンドウ全体に拡張され、標準のウィンドウ コントロール ボタン (閉じる、最小化、最大化) が配置されます。 ）が重ねて表示されます。 Web アプリケーションは、ウィンドウ コントロール ボタンのあるオーバーレイ ブロックを除く、ウィンドウ全体のレンダリングと入力処理を制御できます。
• AbortSignal オブジェクトを返すシグナル処理プロパティを WritableStreamDefaultController に追加しました。このオブジェクトを使用すると、WritableStream への書き込みが完了するのを待たずにすぐに停止できます。
• WebRTC は、セキュリティ上の懸念から 2013 年に IETF によって非推奨となった SDES 鍵合意メカニズムのサポートを削除しました。
• デフォルトでは、U2F (Cryptotoken) API は無効になっていますが、これは以前に非推奨となり、Web 認証 API に置き換えられました。 U2F API は Chrome 104 で完全に削除されます。
• API ディレクトリでは、installed_browser_version フィールドは非推奨になり、新しい pending_browser_version フィールドに置き換えられました。このフィールドには、ダウンロードされたが適用されていない更新 (つまり、ブラウザが再起動されます）。
• TLS 1.0 および 1.1 のサポートを戻すことを可能にするオプションを削除しました。
• Web 開発者向けのツールが改善されました。 バックフォワード キャッシュの操作を評価するためのタブが追加されました。これにより、[戻る] ボタンと [進む] ボタンを使用するときに瞬時にナビゲーションを行うことができます。 強制カラーメディアクエリをエミュレートする機能が追加されました。 行反転プロパティと列反転プロパティをサポートするボタンを Flexbox エディタに追加しました。 「変更」タブを使用すると、コードのフォーマット後に変更が表示されるようになり、縮小されたページの解析が簡素化されます。

  コード レビュー パネルの実装が CodeMirror 6 コード エディターのリリースに更新されました。これにより、非常に大きなファイル (WASM、JavaScript) の操作パフォーマンスが大幅に向上し、ナビゲーション中のランダム オフセットの問題が解決され、推奨事項が改善されました。コード編集時のオートコンプリート システム。 プロパティ名または値で出力をフィルタリングする機能が CSS プロパティ パネルに追加されました。

  

技術革新とバグ修正に加えて、新しいバージョンでは 27 件の脆弱性が排除されています。 脆弱性の多くは、AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer、および AFL ツールを使用した自動テストの結果として特定されました。 すべてのレベルのブラウザー保護をバイパスし、サンドボックス環境外のシステム上でコードを実行できるような重大な問題は確認されていません。 現在のリリースの脆弱性発見に対する賞金プログラムの一環として、Google は 19 ドル相当の 88 件の賞金を支払った (20000 ドルの賞が 12000 件、7500 ドルの賞が 1000 件、7000 ドルの賞が 5000 件、3000 ドルの賞が 2000 件、および XNUMX ドル、XNUMX ドル、XNUMX ドル、XNUMX ドルが各 XNUMX 件)。

出所： オープンネット.ru