Chrome Release 102

Google Chrome 102 веб-браузеринин релизинин бет ачарын өткөрдү.Ошол эле учурда Chrome'дун негизи болгон акысыз Chromium долбоорунун туруктуу релизи бар. Chrome серепчиси Chromiumдан Google логотиптерин колдонуу, бузулуу учурунда эскертмелерди жөнөтүү тутумунун болушу, көчүрүүдөн корголгон видео мазмунду ойнотуу үчүн модулдар (DRM), жаңыртууларды автоматтык түрдө орнотуу системасы, Sandbox изоляциясын туруктуу иштетүү менен айырмаланат. , Google API ачкычтарын берүү жана издөөдө RLZ- берүү. Жаңыртуу үчүн көбүрөөк убакыт керек болгондор үчүн, Кеңейтилген туруктуу филиал өзүнчө колдоого алынат, андан кийин 8 жума. Кийинки Chrome 103 релизинин чыгышы 21-июнга пландаштырылган.

Chrome 102деги негизги өзгөрүүлөр:

• Кадимки көрсөткүчтөрдүн ордуна мурунтан бошотулган эстутум блокторуна (пайдалануу-акысыз) кирүүдөн келип чыккан кемчиликтерди эксплуатациялоону бөгөттөө үчүн, MiraclePtr (raw_ptr) түрү колдонула баштады. MiraclePtr бошогон эстутум аймактарына кирүүдө кошумча текшерүүлөрдү жүргүзгөн көрсөткүчтөрдүн үстүнөн байланыштырууну камсыз кылат жана эгерде мындай мүмкүнчүлүктөр аныкталса, бузулат. Коргоонун жаңы ыкмасынын иштешине жана эс тутумуна тийгизген таасири анча деле эмес деп бааланат. MiraclePtr механизми бардык процесстерде колдонулбайт, атап айтканда, рендеринг процессинде колдонулбайт, бирок коопсуздукту олуттуу түрдө жакшыртат. Мисалы, учурдагы чыгарылышта 32 кемчиликтин 12си колдонуудан кийинки көйгөйлөрдөн келип чыккан.
• Жүктөлүп алынгандар тууралуу маалымат менен интерфейстин дизайны өзгөртүлдү. Жүктөлүп алуунун жүрүшү жөнүндө маалыматтар менен төмөнкү саптын ордуна дарек тилкеси бар панелге жаңы индикатор кошулду, аны басканда, файлдарды жүктөөнүн жүрүшү жана мурда жүктөлгөн файлдардын тизмеси менен тарых көрсөтүлөт. Төмөнкү панелден айырмаланып, баскыч дайыма панелде көрсөтүлүп турат жана жүктөө таржымалыңызга тез жетүүгө мүмкүндүк берет. Жаңы интерфейс учурда демейки боюнча айрым колдонуучуларга гана сунушталат жана эч кандай көйгөйлөр болбосо, бардыгына жайылтылат. Эски интерфейсти кайтаруу же жаңысын иштетүү үчүн “chrome://flags#download-bubble” жөндөөсү берилген.
• Сүрөттөрдү контексттик меню аркылуу издөөдө («Google Lens менен сүрөт издөө» же «Google Lens аркылуу табуу») натыйжалар эми өзүнчө баракта эмес, түпнуска барактын мазмунунун жанындагы каптал тилкесинде көрсөтүлөт. бир терезеде сиз бир эле учурда барактын мазмунун жана издөө системасына жетүү натыйжасын көрө аласыз).
• Орнотуулардын "Купуялык жана коопсуздук" бөлүмүндө "Купуялык колдонмосу" бөлүмү кошулду, ал ар бир жөндөөнүн таасирин деталдуу түшүндүрүү менен купуялуулукка таасир этүүчү негизги жөндөөлөргө жалпы серепти сунуштайт. Мисалы, бөлүмдө сиз Google кызматтарына маалыматтарды жөнөтүү саясатын аныктай аласыз, синхрондоштурууну, кукилерди иштетүүнү жана тарыхты сактоону башкара аласыз. Функция кээ бир колдонуучуларга сунушталат, аны иштетүү үчүн “chrome://flags#privacy-guide” жөндөөсүн колдонсоңуз болот.
• Издөө таржымалын жана көрүлгөн баракчаларды структуралаштыруу каралган. Кайра издөөгө аракет кылганыңызда, дарек тилкесинде "Сапарыңызды улантыңыз" деген кыйытма пайда болуп, издөөнү акыркы жолу үзгүлтүккө учураган жерден улантууга мүмкүндүк берет.
• Chrome Желе дүкөнү сунуш кылынган кошумчалардын баштапкы тандоосу менен "Кеңейтүүлөрдүн башталгыч комплекти" барагын сунуштайт.
• Сыноо режиминде, барак ички тармактагы ресурска киргенде, "Кирүү-Контрол-Суроо-Жеке-Тармак: чын" аталышы менен негизги сайт серверине CORS (Cross-Origin Resource Sharing) авторизация сурамын жөнөтүү иштетилет ( 192.168.xx, 10.xxx, 172.16.xx) же localhost (128.xxx). Бул суроо-талапка жооп катары операцияны ырастаганда, сервер "Кирүү-Контролдоо-Уруксат берүү-Жеке-Тармак: чыныгы" башын кайтарышы керек. Chrome 102 версиясында ырастоо натыйжасы азырынча суроо-талапты иштетүүгө таасир этпейт - ырастоо жок болсо, веб-консолдо эскертүү көрсөтүлөт, бирок субресурстук суроо-талаптын өзү бөгөттөлгөн эмес. Серверден ырастоо болбогон учурда бөгөттөөнү иштетүү Chrome 105 чыгарылмайынча күтүлбөйт. Мурунку чыгарылыштарда бөгөттөөнү иштетүү үчүн "chrome://flags/#private-network-access-respect-preflight-" жөндөөсүн иштетсеңиз болот. натыйжалары".

  Сервер тарабынан ыйгарым укуктарды текшерүү сайтты ачууда жүктөлгөн скрипттерден локалдык тармактагы же колдонуучунун компьютериндеги (localhost) ресурстарга кирүүгө байланышкан чабуулдардан коргоону күчөтүү үчүн киргизилген. Мындай суроо-талаптар чабуулчулар тарабынан роутерлерге, кирүү чекиттерине, принтерлерге, корпоративдик веб-интерфейстерге жана жергиликтүү тармактан гана сурамдарды кабыл алган башка түзмөктөргө жана кызматтарга CSRF чабуулдарын жүргүзүү үчүн колдонулат. Мындай чабуулдардан коргоо үчүн, эгерде ички тармакта кандайдыр бир суб-ресурстарга кирсе, браузер бул суб-ресурстарды жүктөөгө уруксат алуу үчүн ачык суроо-талапты жөнөтөт.

• Контексттик меню аркылуу инкогнито режиминде шилтемелер ачылганда, купуялуулукка таасир этүүчү кээ бир параметрлер URL дарегинен автоматтык түрдө алынып салынат.
• Windows жана Android үчүн жаңыртууларды жеткирүү стратегиясы өзгөртүлдү. Жаңы жана эски релиздердин жүрүм-турумун толугураак салыштыруу үчүн, жаңы версиянын бир нече түзүлүшү азыр жүктөп алуу үчүн түзүлдү.
• Тармакты сегменттөө технологиясы маалыматты туруктуу сактоого арналбаган аймактарда идентификаторлорду сактоонун негизинде сайттар ортосундагы колдонуучулардын кыймылдарына көз салуу ыкмаларынан коргоо үчүн турукташтырылган («Суперкукилер»). Кэштелген ресурстар жалпы аттар мейкиндигинде сакталгандыктан, баштапкы доменге карабастан, бир сайт бул ресурстун кэште бар же жок экенин текшерүү аркылуу башка сайт ресурстарды жүктөп жатканын аныктай алат. Коргоо тармак сегментациясын (Network Partitioning) колдонууга негизделген, анын маңызы жалпы кэштерге негизги бет ачылган доменге жазууларды кошумча байланыштыруу болуп саналат, бул кыймылды көзөмөлдөө скрипттери үчүн гана кэш камтуусун чектейт. учурдагы сайтка (iframe скрипти бул ресурстун башка сайттан жүктөлүп алынгандыгын текшере албайт). Мамлекетти бөлүшүү тармак туташуусун (HTTP/1, HTTP/2, HTTP/3, веб-сокет), DNS кэшин, ALPN/HTTP2, TLS/HTTP3 дайындарын, конфигурацияны, жүктөөлөрдү жана Expect-CT баш маалыматын камтыйт.
• Орнотулган өз алдынча веб тиркемелери үчүн (PWA, Progressive Web App) терезенин аталышынын аймагынын дизайнын терезенин аталышынын аймагын Window Controls Overlay компоненттери аркылуу өзгөртүүгө болот, алар веб-тиркеменин экран аймагын бүт терезеге чейин кеңейтет. Веб-тиркеме терезенин стандарттуу баскычтары (жабуу, кичирейтүү, чоңойтуу) менен жабылган блокту кошпогондо, бүт терезени көрсөтүүнү жана киргизүүнү башкара алат.
• Форманын автотолтуруу системасында интернет-дүкөндөрдөгү товарлар үчүн төлөм реквизиттери менен талааларда виртуалдык кредиттик карта номерлерин түзүү үчүн колдоо кошулду. Ар бир төлөм үчүн номери түзүлүүчү виртуалдык картаны колдонуу чыныгы кредиттик карта жөнүндө маалыматтарды өткөрүп бербөөгө мүмкүндүк берет, бирок банк тарабынан керектүү кызмат көрсөтүүнү талап кылат. Бул функция учурда АКШ банкынын кардарларына гана жеткиликтүү. Функциянын кошулушун көзөмөлдөө үчүн “chrome://flags/#autofill-enable-virtual-card” жөндөөсү сунушталат.
• "Capture Handle" механизми демейки боюнча иштетилип, маалыматты видеого тарткан тиркемелерге өткөрүүгө мүмкүндүк берет. API мазмуну жазылган тиркемелер менен жазууну аткарган тиркемелердин ортосундагы өз ара аракеттенүүнү уюштурууга мүмкүндүк берет. Мисалы, презентацияны берүү үчүн видеого тартып жаткан видеоконференция колдонмосу презентацияны башкаруу элементтери жөнүндө маалыматты алып, аларды видео терезеде көрсөтө алат.
• Спекуляциялык эрежелерди колдоо демейки боюнча иштетилип, колдонуучу шилтемени чыкылдатканга чейин шилтемеге байланышкан маалыматтарды активдүү түрдө жүктөө мүмкүнбү же жокпу аныктоо үчүн ийкемдүү синтаксисти камсыз кылат.
• Web Bundle форматындагы пакеттерге ресурстарды таңгактоо механизми стабилдештирилди, бул көп сандагы коштомо файлдарды (CSS стилдери, JavaScript, сүрөттөр, iframes) жүктөөнүн натыйжалуулугун жогорулатууга мүмкүндүк берет. Webpack форматындагы пакеттерден айырмаланып, Web Bundle форматы төмөнкү артыкчылыктарга ээ: HTTP кэшинде пакеттин өзү эмес, анын курамдык бөлүктөрү сакталат; JavaScript компиляциясы жана аткарылышы пакеттин толук жүктөлүшүн күтпөстөн башталат; Веб пакетте JavaScript саптары түрүндө коддолушу керек болгон CSS жана сүрөттөр сыяктуу кошумча ресурстарды кошууга уруксат берилет.
• PWA тиркемесин айрым MIME түрлөрүн жана файл кеңейтүүлөрүн иштетүүчү катары аныктоого болот. Манифесттеги file_handlers талаасы аркылуу байлоону аныктагандан кийин, колдонуучу колдонмо менен байланышкан файлды ачууга аракет кылганда, колдонмо атайын окуяны алат.
• DOM дарагынын бир бөлүгүн "аракетсиз" деп белгилөөгө мүмкүндүк берген жаңы инерттүү атрибут кошулду. Бул абалдагы DOM түйүндөрү үчүн текстти тандоо жана көрсөткүчтү көтөрүү иштеткичтери өчүрүлгөн, б.а. Көрсөткүч окуялары жана колдонуучу тандаган CSS касиеттери ар дайым "жок" деп коюлат. Эгерде түйүн түзөтүлсө, анда инерттүү режимде ал түзөтүлгүс болуп калат.
• Навигация API кошулду, ал веб-тиркемелерге терезенин навигация операцияларын кармап турууга, навигацияны баштоого жана тиркеме менен болгон аракеттердин тарыхын талдоого мүмкүндүк берет. API бир беттик веб тиркемелери үчүн оптималдаштырылган window.history жана window.location касиеттерине альтернатива берет.
• "Жашыруун" атрибуту үчүн "табылганга чейин" жаңы желек сунушталды, ал элементти баракта издөөгө жана текст маскасы менен жылдырууга мүмкүнчүлүк берет. Мисалы, сиз мазмунун жергиликтүү издөөдө таба турган баракка жашыруун текстти кошо аласыз.
• HID түзүлүштөрүнө (Адам интерфейсинин түзүлүштөрү, клавиатуралар, чычкандар, геймпаддар, сенсордук панелдер) төмөн деңгээлде кирүү үчүн иштелип чыккан WebHID API'де системада конкреттүү драйверлердин катышуусуз жумушту уюштуруу үчүн exclusionFilters касиети requestDevice() кошулган. ) объект, ал браузер жеткиликтүү түзмөктөрдүн тизмесин көрсөткөндө белгилүү бир түзүлүштөрдү алып салууга мүмкүндүк берет. Мисалы, сиз белгилүү көйгөйлөрү бар түзмөктүн идентификаторлорун чыгара аласыз.
• Төлөм формасын PaymentRequest.show() дарегине чалуу аркылуу ачык колдонуучунун аракетисиз көрсөтүүгө тыюу салынат, мисалы, иштеткич менен байланышкан элементти чыкылдатуу.
• WebRTCде сессияны түзүү үчүн колдонулган SDP (Session Description Protocol) протоколунун альтернативалуу ишке ашырылышын колдоо токтотулду. Chrome эки SDP вариантын сунуштады - башка серепчилер менен бириктирилген жана Chrome үчүн атайын. Мындан ары көчмө опция гана калды.
• Веб-иштеп чыгуучулар үчүн куралдар жакшыртылды. Стилдер панелине караңгы жана жарык теманы колдонууну окшоштуруу үчүн баскычтар кошулду. Тармакты текшерүү режиминде "Алдын ала көрүү" өтмөгүнүн коргоосу күчөтүлдү (Мазмунду коопсуздук саясатын колдонуу иштетилген). Мүчүлүштүктөрдү оңдоочу үзүлүү чекиттерин кайра жүктөө үчүн скриптти токтотууну ишке ашырат. Барактагы айрым операциялардын аткарылышын анализдөөгө мүмкүндүк берген жаңы “Аткаруу көрсөткүчтөрү” панелин алдын ала ишке ашыруу сунушталды.

Жаңылыктардан жана мүчүлүштүктөрдү оңдоодон тышкары, жаңы версия 32 кемчиликти жок кылат. Көптөгөн алсыздыктар AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer жана AFL куралдарын колдонуу менен автоматташтырылган тестирлөөнүн натыйжасында аныкталган. Көйгөйлөрдүн бирине (CVE-2022-1853) коркунучтун критикалык деңгээли ыйгарылган, ал браузерди коргоонун бардык деңгээлдеринен айланып өтүү жана системадагы кодду кум чөйрөсүнөн тышкары аткаруу мүмкүнчүлүгүн билдирет. Бул алсыздыктын чоо-жайы азырынча ачыла элек; ал Indexed DB API ишке ашырууда бошотулган эстутум блогуна (акысыз колдонуу) жетүү менен шартталганы гана белгилүү.

Учурдагы чыгарылыштагы кемчиликтерди тапкандыгы үчүн акчалай сыйлык программасынын бир бөлүгү катары Google 24 долларлык 65600 сыйлык (бир $10000 сыйлык, бир $7500 сыйлык, эки $7000 сыйлык, үч $5000 сыйлык, төрт $3000 сыйлык, эки $2000, 1000 $) төлөгөн. $500 бонустар). 7 сыйлыктын өлчөмү азырынча аныктала элек.

Source: opennet.ru