Chrome 102 шығарылымы

Google Chrome 102 веб-шолғышының шығарылымын таныстырды.Сонымен бірге Chrome негізі болып табылатын тегін Chromium жобасының тұрақты шығарылымы қолжетімді. Chrome браузері Chromium браузерінен Google логотиптерін пайдаланумен, бұзылған жағдайда хабарландырулар жіберу жүйесінің болуымен, көшіруден қорғалған бейне мазмұнын (DRM) ойнатуға арналған модульдермен, жаңартуларды автоматты түрде орнату жүйесімен, құмсалғышты оқшаулауды тұрақты қосумен ерекшеленеді. , Google API кілттерін жеткізу және іздеу кезінде RLZ- параметрлерін жіберу. Жаңарту үшін көбірек уақыт қажет болғандар үшін Кеңейтілген тұрақты бөлімшеге бөлек қолдау көрсетіледі, одан кейін 8 апта. Chrome 103-тің келесі шығарылымы 21 маусымға жоспарланған.

Chrome 102 жүйесіндегі негізгі өзгерістер:

• Босатылған жад блоктарына (пайдаланғаннан кейін тегін) қол жеткізуден туындаған осалдықтарды пайдалануды блоктау үшін қарапайым көрсеткіштердің орнына MiraclePtr (raw_ptr) түрі қолданыла бастады. MiraclePtr бос жад аймақтарына кірулерді қосымша тексерулерді орындайтын көрсеткіштерді байланыстыруды қамтамасыз етеді және мұндай кірулер анықталған жағдайда бұзылады. Жаңа қорғау әдісінің өнімділікке және жадты тұтынуға әсері шамалы деп бағаланады. MiraclePtr механизмі барлық процестерде қолданыла бермейді, атап айтқанда рендеринг процестерінде қолданылмайды, бірақ қауіпсіздікті айтарлықтай жақсарта алады. Мысалы, ағымдағы шығарылымда түзетілген 32 осалдықтың 12-сі тегін пайдаланудан кейінгі ақаулардан туындаған.
• Жүктеп алулар туралы ақпарат бар интерфейстің дизайны өзгертілді. Жүктеп алу барысы туралы деректермен төменгі жолдың орнына мекенжай жолағы бар панельге жаңа индикатор қосылды, оны басқан кезде файлдарды жүктеу барысы және жүктелген файлдардың тізімі бар тарих көрсетіледі. Төменгі панельден айырмашылығы, түйме үнемі панельде көрсетіледі және жүктеу журналына жылдам қол жеткізуге мүмкіндік береді. Жаңа интерфейс қазіргі уақытта әдепкі бойынша тек кейбір пайдаланушыларға ұсынылады және проблемалар болмаса, барлығына кеңейтіледі. Ескі интерфейсті қайтару немесе жаңасын қосу үшін «chrome://flags#download-bubble» параметрі беріледі.
• Суреттерді мәтінмәндік мәзір арқылы («Google Lens арқылы іздеу» немесе «Google Lens арқылы іздеу») іздеу кезінде нәтижелер енді бөлек бетте емес, бастапқы бет мазмұнының жанындағы бүйірлік тақтада көрсетіледі. бір терезеде сіз бір уақытта бет мазмұнын және іздеу жүйесіне кіру нәтижесін көре аласыз).
• Параметрлердің «Құпиялылық және қауіпсіздік» бөлімінде әрбір параметрдің әсерінің егжей-тегжейлі түсіндірмесі бар құпиялылыққа әсер ететін негізгі параметрлерге жалпы шолуды ұсынатын «Құпиялылық нұсқаулығы» бөлімі қосылды. Мысалы, бөлімде Google қызметтеріне деректерді жіберу саясатын анықтауға, синхрондауды, cookie файлдарын өңдеуді және тарихты сақтауды басқаруға болады. Функция кейбір пайдаланушыларға ұсынылады, оны белсендіру үшін «chrome://flags#privacy-guide» параметрін пайдалануға болады.
• Іздеу журналы мен қаралған беттердің құрылымы қарастырылған. Қайтадан іздеуге тырысқанда, мекенжай жолағында іздеуді соңғы рет үзілген жерден жалғастыруға мүмкіндік беретін «Саяхатыңызды жалғастыру» кеңесі көрсетіледі.
• Chrome Web Store ұсынылған қондырмалардың бастапқы таңдауы бар "Кеңейтімдер бастау жинағы" бетін ұсынады.
• Сынақ режимінде бет ішкі желідегі ресурсқа қол жеткізген кезде негізгі сайт серверіне «Кіру-Басқару-Сұраныс-Жеке-Желі: шын» тақырыбымен CORS (Шығын аралық ресурстарды ортақ пайдалану) өкілеттігін растау сұрауын жіберу қосылады. (192.168.x.x, 10.x.x.x, 172.16.x.x) немесе жергілікті хостқа (128.x.x.x). Осы сұрауға жауап ретінде әрекетті растау кезінде сервер «Кіру-Басқару-Рұқсат ету-Жеке желі: шын» тақырыбын қайтаруы керек. Chrome 102 нұсқасында растау нәтижесі әлі сұрауды өңдеуге әсер етпейді - растау болмаса, веб-консольде ескерту көрсетіледі, бірақ ішкі ресурс сұрауының өзі блокталмайды. Серверден растау болмаған жағдайда блоктауды қосу Chrome 105 шығарылымына дейін күтілмейді. Бұрынғы шығарылымдарда блоктауды қосу үшін "chrome://flags/#private-network-access-respect-preflight-" параметрін қосуға болады. нәтижелері».

  Сайтты ашу кезінде жүктелген сценарийлерден жергілікті желідегі немесе пайдаланушының компьютеріндегі (localhost) ресурстарға қол жеткізуге байланысты шабуылдардан қорғауды күшейту үшін сервердің өкілеттіктерін тексеру енгізілді. Мұндай сұрауларды шабуылдаушылар маршрутизаторларға, кіру нүктелеріне, принтерлерге, корпоративтік веб-интерфейстерге және тек жергілікті желіден сұрауларды қабылдайтын басқа құрылғылар мен қызметтерге CSRF шабуылдарын жасау үшін пайдаланады. Мұндай шабуылдардан қорғау үшін ішкі желіде қандай да бір қосалқы ресурстарға қол жеткізілсе, шолғыш осы қосалқы ресурстарды жүктеуге рұқсат алу үшін нақты сұрау жібереді.

• Сілтемелерді контекстік мәзір арқылы инкогнито режимінде ашқанда, құпиялылыққа әсер ететін кейбір параметрлер URL мекенжайынан автоматты түрде жойылады.
• Windows және Android үшін жаңартуды жеткізу стратегиясы өзгертілді. Жаңа және ескі шығарылымдардың әрекетін толық салыстыру үшін жаңа нұсқаның бірнеше құрастырылымдары енді жүктеу үшін жасалады.
• Ақпаратты тұрақты сақтауға арналмаған аймақтарда идентификаторларды сақтауға негізделген сайттар арасындағы пайдаланушы қозғалысын қадағалау әдістерінен қорғау үшін желіні сегменттеу технологиясы тұрақтандырылды («Supercookies»). Кэштелген ресурстар бастапқы доменге қарамастан жалпы аттар кеңістігінде сақталатындықтан, бір торап басқа сайт ресурстарды жүктеп жатқанын сол ресурстың кэште бар-жоғын тексеру арқылы анықтай алады. Қорғау желіні сегменттеуді (Желіге бөлу) қолдануға негізделген, оның мәні ортақ кэштерге негізгі бет ашылатын доменге жазбаларды қосымша байланыстыруды қосу болып табылады, бұл тек қозғалысты бақылау сценарийлері үшін кэшті қамтуды шектейді. ағымдағы сайтқа (iframe-тен алынған сценарий ресурстың басқа сайттан жүктелгенін тексере алмайды). Күйді ортақ пайдалану желілік қосылымдарды (HTTP/1, HTTP/2, HTTP/3, веб-розетканы), DNS кэшін, ALPN/HTTP2, TLS/HTTP3 деректерін, конфигурацияны, жүктеп алуларды және Expect-CT тақырып ақпаратын қамтиды.
• Орнатылған оқшауланған веб-қосымшалар үшін (PWA, Progressive Web App) веб-бағдарламаның экран аймағын бүкіл терезеге кеңейтетін Window Controls Overlay құрамдастарын пайдаланып терезе тақырыбы аймағының дизайнын өзгертуге болады. Веб-қосымша веб-бағдарламаға кәдімгі жұмыс үстелі қолданбасының көрінісін беру үшін стандартты терезе басқару түймелері (жабу, кішірейту, үлкейту) бар қабаттасу блогын қоспағанда, бүкіл терезені көрсетуді және енгізуді басқара алады.
• Пішінді автотолтыру жүйесінде интернет-дүкендердегі тауарлар үшін төлем мәліметтері бар өрістерде виртуалды несие картасының нөмірлерін жасау үшін қолдау қосылды. Әрбір төлем үшін нөмірі қалыптасатын виртуалды картаны пайдалану нақты несие картасы туралы деректерді бермеуге мүмкіндік береді, бірақ банктің қажетті қызметті көрсетуін талап етеді. Бұл мүмкіндік тек АҚШ банкінің клиенттеріне ғана қолжетімді. Функцияның қосылуын бақылау үшін «chrome://flags/#autofill-enable-virtual-card» параметрі ұсынылады.
• «Түсіру тұтқасы» механизмі әдепкі бойынша іске қосылады, бұл ақпаратты бейне түсіретін қолданбаларға тасымалдауға мүмкіндік береді. API мазмұны жазылған қолданбалар мен жазбаны орындайтын қолданбалар арасындағы өзара әрекеттесуді ұйымдастыруға мүмкіндік береді. Мысалы, презентацияны тарату үшін бейне түсіретін бейне конференция қолданбасы көрсетілімді басқару элементтері туралы ақпаратты шығарып, оларды бейне терезесінде көрсете алады.
• Спекуляциялық ережелерді қолдау әдепкі бойынша қосылады, ол сілтемеге қатысты деректерді пайдаланушы сілтемені басқанға дейін белсенді түрде жүктеуге болатынын анықтау үшін икемді синтаксисті қамтамасыз етеді.
• Web Bundle пішіміндегі пакеттерге ресурстарды орау механизмі тұрақтандырылды, бұл ілеспе файлдардың үлкен санын (CSS мәнерлері, JavaScript, кескіндер, iframes) жүктеу тиімділігін арттыруға мүмкіндік береді. Webpack пішіміндегі бумалардан айырмашылығы, Web Bundle пішімінің келесі артықшылықтары бар: HTTP кэшінде буманың өзі емес, оның құрамдас бөліктері сақталады; JavaScript құрастыру және орындау пакеттің толық жүктелуін күтпей-ақ басталады; CSS және кескіндер сияқты қосымша ресурстарды қосуға рұқсат етіледі, олар веб-пакетте JavaScript жолдары түрінде кодталуы керек.
• PWA қолданбасын белгілі бір MIME түрлері мен файл кеңейтімдерінің өңдеушісі ретінде анықтауға болады. Манифесттегі file_handlers өрісі арқылы байланыстыруды анықтағаннан кейін, пайдаланушы қолданбамен байланысты файлды ашу әрекетін жасаған кезде қолданба арнайы оқиғаны алады.
• DOM ағашының бір бөлігін «белсенді емес» деп белгілеуге мүмкіндік беретін жаңа инертті атрибут қосылды. Осы күйдегі DOM түйіндері үшін мәтінді таңдау және меңзерді жылжыту өңдегіштері өшірілген, яғни. Көрсеткіш оқиғалары және пайдаланушы таңдаған CSS сипаттары әрқашан «жоқ» күйіне орнатылады. Егер түйінді өңдеуге болатын болса, инертті режимде ол өңделмейтін болады.
• Веб қолданбаларға терезе шарлау әрекеттерін тоқтатуға, шарлауды бастауға және қолданбамен әрекеттер тарихын талдауға мүмкіндік беретін Navigation API қосылды. API бір беттік веб-қосымшалар үшін оңтайландырылған window.history және window.location сипаттарына балама ұсынады.
• Элементті бетте іздеуге және мәтіндік маска арқылы айналдыруға болатын "жасырын" төлсипаты үшін "табылғанға дейін" жаңа жалаушасы ұсынылды. Мысалы, мазмұны жергілікті іздеулерде табылатын бетке жасырын мәтін қосуға болады.
• HID құрылғыларына (адам интерфейсі құрылғылары, пернетақталар, тышқандар, геймпадтар, сенсорлық тақталар) төмен деңгейде қол жеткізуге және жүйеде арнайы драйверлердің қатысуынсыз жұмысты ұйымдастыруға арналған WebHID API интерфейсінде exclusionFilters сипаты requestDevice() қосылды. ) шолғыш қол жетімді құрылғылар тізімін көрсеткен кезде белгілі бір құрылғыларды алып тастауға мүмкіндік беретін нысан. Мысалы, белгілі ақаулары бар құрылғы идентификаторларын шығаруға болады.
• Төлем пішінін PaymentRequest.show() қызметіне қоңырау шалу арқылы пайдаланушының нақты әрекетінсіз көрсетуге тыйым салынады, мысалы, өңдеушімен байланысты элементті басу.
• WebRTC жүйесінде сеанс орнату үшін пайдаланылатын SDP (Session Description Protocol) протоколының баламалы орындалуына қолдау көрсету тоқтатылды. Chrome екі SDP опциясын ұсынды - басқа браузерлермен біріктірілген және Chrome-ға тән. Бұдан былай портативті опция ғана қалды.
• Веб-әзірлеушілерге арналған құралдарға жақсартулар жасалды. Күңгірт және ашық тақырыпты пайдалануды имитациялау үшін Мәнерлер тақтасына түймелер қосылды. Желіні тексеру режиміндегі «Алдын ала қарау» қойындысының қорғауы күшейтілді (Мазмұн қауіпсіздігі саясаты қолданбасы қосылған). Түзеткіш тоқтау нүктелерін қайта жүктеу үшін сценарийді тоқтатуды жүзеге асырады. Беттегі белгілі бір операциялардың орындалуын талдауға мүмкіндік беретін жаңа «Өнімділік көрсеткіштері» панелін алдын ала енгізу ұсынылды.

Инновациялар мен қателерді түзетуден басқа, жаңа нұсқа 32 осалдықты жояды. Көптеген осалдықтар AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer және AFL құралдары арқылы автоматтандырылған тестілеу нәтижесінде анықталды. Мәселелердің біріне (CVE-2022-1853) қауіптіліктің критикалық деңгейі тағайындалды, ол браузерді қорғаудың барлық деңгейлерін айналып өту және жүйеде құмсалғыш ортасынан тыс кодты орындау мүмкіндігін білдіреді. Бұл осалдық туралы егжей-тегжейлі мәліметтер әлі ашылған жоқ; тек оның Indexed DB API іске асыруында босатылған жад блогына (пайдалану тегін) қол жеткізуден туындағаны белгілі.

Ағымдағы шығарылымның осалдықтарын анықтағаны үшін ақшалай сыйақы бағдарламасының бір бөлігі ретінде Google $24 құнына 65600 сыйлық (бір $10000 марапат, бір $7500 марапат, екі $7000 марапат, үш $5000 марапат, төрт $3000 марапат, екі $2000 және 1000 доллар) төледі. $500 бонустар). 7 сыйлықтың мөлшері әлі анықталған жоқ.

Ақпарат көзі: opennet.ru