Chrome Release 98

Google Chrome 98 веб-браузеринин релизинин бет ачарын өткөрдү. Ошол эле учурда Chrome'дун негизи болгон акысыз Chromium долбоорунун туруктуу релизи бар. Chrome браузери Google логотиптерин колдонуу, бузулуу учурунда эскертмелерди жөнөтүү тутумунун, көчүрмөлөөдөн корголгон видео контентти (DRM) ойнотуу үчүн модулдардын, жаңыртууларды автоматтык түрдө орнотуу тутумунун жана RLZ параметрлерин жөнөтүү системасы менен айырмаланат. издөө. Кийинки Chrome 99 релизинин чыгышы 1-мартка пландаштырылган.

Chrome 98деги негизги өзгөрүүлөр:

• Браузерде ар бир операциялык системага мүнөздүү тышкы дүкөндөрдүн ордуна колдонула турган сертификациялык органдардын түпкү сертификаттарынын өзүнүн дүкөнү бар (Chrome Root Store). Дүкөн HTTPS аркылуу сайттарды ачууда тастыктама ишеним чынжырын текшерүү үчүн биринчи шилтеме катары колдонулган Firefox'тун өз алдынча түпкү сертификаттарынын дүкөнүнө окшош ишке ашырылат. Жаңы сактагыч демейки боюнча колдонула элек. Тутум сактагыч конфигурацияларынын өтүшүн жеңилдетүү жана көчүрүүнү камсыз кылуу үчүн өткөөл мезгил болот, анын жүрүшүндө Chrome Root Store көпчүлүк колдоого алынган платформаларда бекитилген сертификаттардын толук тандоосун камтыйт.
• Сайт ачылганда жүктөлгөн скрипттерден локалдык тармактагы же колдонуучунун компьютериндеги (localhost) ресурстарга кирүү менен байланышкан чабуулдардан коргоону күчөтүү планы ишке ашырылып жатат. Мындай суроо-талаптар чабуулчулар тарабынан роутерлерге, кирүү чекиттерине, принтерлерге, корпоративдик веб-интерфейстерге жана жергиликтүү тармактан гана сурамдарды кабыл алган башка түзмөктөргө жана кызматтарга CSRF чабуулдарын жүргүзүү үчүн колдонулат.

  Для защиты от подобных атак в случае обращения к любым субресурсам во внутренней сети, браузер начнёт отправлять явный запрос полномочия загрузки подобных субресурсов. Запрос полномочий осуществляется через отправку на Server основного сайта запроса CORS (Cross-Origin Resource Sharing) с заголовком «Access-Control-Request-Private-Network: true», перед обращением ко внутренней сети или к localhost. При подтверждении операции в ответ на данный запрос сервер должен вернуть заголовок «Access-Control-Allow-Private-Network: true». В Chrome 98 проверка реализована в тестовом режиме и в случае отсутствия подтверждения в web-консоли отображается предупреждение, но сам запрос субресурса не блокируется. Блокировку планируется включить не раньше выпуска Chrome 101.

• Каттоо эсебинин жөндөөлөрү Интернеттеги фишингден, зыяндуу аракеттерден жана башка коркунучтардан коргоо үчүн кошумча текшерүүлөрдү иштеткен Өркүндөтүлгөн Коопсуз Серептөөнүн камтылышын башкаруу куралдарын бириктирет. Google каттоо эсебиңиздеги режимди жандырганда, сизден Chrome'до режимди иштетүү сунушталат.
• TFLite машинаны үйрөнүү платформасын (TensorFlow Lite) колдонуу менен ишке ашырылган кардар тараптан фишинг аракеттерин аныктоо модели кошулду жана Google тарабынан текшерүү жүргүзүү үчүн маалыматтарды жөнөтүүнү талап кылбайт (бул учурда телеметрия моделдин версиясы жөнүндө маалымат менен жөнөтүлөт. жана ар бир категория үчүн эсептелген салмактар). Фишинг аракети аныкталса, шектүү сайтты ачардан мурун колдонуучуга эскертүү баракчасы көрсөтүлөт.
• Client Hints API'де, ал User-Agent аталышынын ордуна иштелип чыгып, белгилүү бир браузер жана система параметрлери (версия, платформа ж.б.) боюнча маалыматтарды суроо-талаптан кийин гана тандап кайтарууга мүмкүндүк берет. сервер, браузер идентификаторлорунун тизмесине ойдон чыгарылган браузер аталыштарын алмаштыруу мүмкүнчүлүгү ишке ашырылды, бул TLSте колдонулган GREASE (Generate Random Extensions And Sustain Extensibility) механизмине окшош. Мисалы, "Chrome"; v="98" жана "Chromium"; v="98" сыяктуу эле, тизмеге жок браузер үчүн кокустук идентификатор ""(Not;Browser"; v="12") кошулушу мүмкүн. Бул алмаштыруу белгисиз браузер идентификаторлорун иштетүүдөгү көйгөйлөрдү аныктоого жардам берет, бул альтернативдүү браузерлерди башка популярдуу браузерлер болуп көрүнүүгө мажбурлап, кабыл алынган браузерлердин тизмелерин текшерүүдөн өтүүгө мажбурлайт.
• 17-январдан баштап Chrome Желе дүкөнү Chrome манифестинин 2023-версиясын колдонгон кошумчаларды кабыл албайт. Жаңы толуктоолор эми манифесттин үчүнчү версиясы менен гана кабыл алынат. Мурда кошулган кошумчаларды иштеп чыгуучулар манифесттин экинчи версиясы менен жаңыртууларды дагы эле жарыялай алышат. Манифесттин экинчи версиясын толук жокко чыгаруу XNUMX-жылдын январына пландаштырылган.
• COLRv1 форматындагы түстүү вектордук шрифттерге колдоо кошулду (вектордук глифтерден тышкары түс маалыматы бар катмарды камтыган OpenType шрифттеринин чакан жыйындысы), аны, мисалы, көп түстүү эмодзилерди түзүү үчүн колдонсо болот. Мурда колдоого алынган COLRv0 форматынан айырмаланып, COLRv1 азыр градиенттерди, катмарларды жана трансформацияларды колдонуу мүмкүнчүлүгүнө ээ. Формат ошондой эле компакт сактоо формасын камсыз кылат, эффективдүү кысуу менен камсыз кылат жана контурларды кайра колдонууга мүмкүндүк берет, бул шрифттин өлчөмүн олуттуу кыскартууга мүмкүндүк берет. Мисалы, Noto Color Emoji шрифти растр форматында 9 МБ, ал эми COLRv1 вектордук форматында 1.85 МБ алат.
• Origin Trials режими (өзүнчө активдештирүүнү талап кылган эксперименталдык функциялар) тартылган видеону кесүүгө мүмкүндүк берген Region Capture API ишке ашырат. Мисалы, жөнөтүү алдында белгилүү бир мазмунду кесип алуу үчүн, өтмөктүн мазмуну менен видео тарткан веб-тиркемелерде кесүү керек болушу мүмкүн. Origin Trial, localhost же 127.0.0.1ден жүктөлүп алынган тиркемелерден же белгилүү бир сайт үчүн чектелген убакытка жарактуу атайын белгини каттагандан жана алгандан кийин көрсөтүлгөн API менен иштөө мүмкүнчүлүгүн билдирет.
• "contain-intrinsic-size" CSS касиети эми элементтин акыркы эсте калган өлчөмүн колдоно турган "auto" маанисин колдойт ("content-visibility: auto" менен колдонулганда, иштеп чыгуучу элементтин көрсөтүлгөн өлчөмүн болжолдоого милдеттүү эмес) .
• AudioContext.outputLatency касиети кошулду, анын жардамы менен аудио чыгарууга чейин болжолдонгон кечигүү (аудио суроо-талаптын ортосундагы кечигүү жана аудио чыгаруу түзмөгү тарабынан алынган маалыматтарды иштеп чыгуунун башталышы) жөнүндө маалымат ала аласыз.
• CSS касиетинин түс схемасы, бул элемент кайсы түс схемаларында туура көрсөтүлүшү мүмкүн экенин аныктоого мүмкүндүк берет («жарык», «караңгы», «күндүзгү режим» жана «түн режими»), «жалгыз» параметри кошулду жеке HTML элементтери үчүн аргасыз түс өзгөртүү схемаларын алдын алуу. Мисалы, "div { түс схемасы: бир гана жарык }" деп көрсөтсөңүз, браузер караңгы теманы иштетүүгө мажбурласа да, div элементи үчүн ачык тема гана колдонулат.
• Экран HDRди (Жогорку динамикалык диапазон) колдой тургандыгын аныктоо үчүн CSS'ке "динамикалык диапазон" жана "видео-динамикалык диапазон" медиа сурамдары үчүн колдоо кошулду.
• window.open() функциясына шилтемени жаңы өтмөктө, жаңы терезеде же калкыма терезеде ачууну тандоо мүмкүнчүлүгү кошулду. Кошумча, window.statusbar.visible касиети азыр калкыма терезелер үчүн "жалган" жана өтмөктөр жана терезелер үчүн "чын" кайтарат. const popup = window.open('_blank',",'popup=1′); // Калкыма терезеде ачуу const tab = window.open('_blank',,"'popup=0′); // Өтмөктө ачуу
• StrukturdClone() методу терезелер жана жумушчулар үчүн ишке ашырылган, ал объекттердин рекурсивдүү көчүрмөлөрүн түзүүгө мүмкүндүк берет, алар көрсөтүлгөн объекттин гана эмес, ошондой эле учурдагы объект тарабынан шилтеме берилген бардык башка объекттердин касиеттерин камтыйт.
• Web Authentication API минималдуу уруксат берилген PIN коддун өлчөмүн (minPinLength) коюуга мүмкүндүк берген FIDO CTAP2 спецификациясынын кеңейтүүсүн колдоону кошту.
• Орнотулган өзүнчө веб-тиркемелер үчүн, терезенин экранын башкаруунун стандарттуу баскычтары (жабуу, кичирейтүү, чоңойтуу) турган аталыш аймагын кошкондо, колдонмонун экран аймагын бүткүл терезеге кеңейтүүчү Window Controls Overlay компоненти кошулду. ) үстөмдүк кылышат. Веб-тиркеме терезенин башкаруу баскычтары менен капталган блоктон тышкары, бүт терезенин рендеринг жана киргизүү процессин көзөмөлдөй алат.
• WritableStreamDefaultControllerге сигналды иштетүү касиети кошулду, ал AbortSignal объектисин кайтарат, ал WritableStreamге жазууну аягына чейин күтпөстөн токтоосуз токтотуу үчүн колдонулушу мүмкүн.
• WebRTC коопсуздукка байланыштуу 2013-жылы IETF тарабынан жокко чыгарылган SDES негизги макулдашуу механизмин колдоону алып салды.
• Демейки боюнча, U2F (Cryptotoken) API өчүрүлгөн, ал мурда эскирилген жана Web Authentication API менен алмаштырылган. U2F API толугу менен Chrome 104'те алынып салынат.
• API каталогунда орнотулган_браузер_версия талаасы эскирилген, анын ордуна жаңы pending_browser_version талаасы алмаштырылган, ал жүктөлүп алынган, бирок колдонулбаган жаңыртууларды эске алуу менен браузердин версиясы жөнүндө маалыматты камтышы менен айырмаланат (б.а. браузер кайра иштетилди).
• TLS 1.0 жана 1.1 үчүн колдоону кайтарууга мүмкүндүк берген опциялар алынып салынды.
• Веб-иштеп чыгуучулар үчүн куралдар жакшыртылды. Артка жана Алга баскычтарын колдонууда заматта навигацияны камсыз кылган Артка алдыга кэштин иштешин баалоо үчүн өтмөк кошулду. Аргасыз түстүү медиа суроо-талаптарын эмуляциялоо мүмкүнчүлүгү кошулду. Саптын тескери жана мамычанын тескери касиеттерин колдоо үчүн Flexbox редакторуна баскычтар кошулду. "Өзгөртүү" өтмөгү кодду форматтагандан кийин өзгөртүүлөр көрсөтүлүшүн камсыздайт, бул кичирейтилген барактарды талдоону жеңилдетет.

  Кодду карап чыгуу панелин ишке ашыруу CodeMirror 6 код редакторунун чыгарылышына жаңыртылган, ал өтө чоң файлдар (WASM, JavaScript) менен иштөөнүн натыйжалуулугун бир топ жакшыртат, навигация учурунда кокус офсеттик көйгөйлөрдү чечет жана сунуштарды жакшыртат. кодду түзөтүүдө автотолтуруу системасы. Чыгарууну менчиктин аты же мааниси боюнча чыпкалоо мүмкүнчүлүгү CSS касиеттери панелине кошулду.

  

Жаңылыктардан жана мүчүлүштүктөрдү оңдоодон тышкары, жаңы версия 27 кемчиликти жок кылат. Көптөгөн алсыздыктар AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer жана AFL куралдарын колдонуу менен автоматташтырылган тестирлөөнүн натыйжасында аныкталган. Браузердин коргоосунун бардык деңгээлдерин айланып өтүүгө жана кумдук чөйрөдөн тышкары системада кодду аткарууга мүмкүндүк бере турган эч кандай олуттуу көйгөйлөр аныкталган жок. Учурдагы релиздин кемчиликтерин тапкандыгы үчүн акчалай сыйлык программасынын алкагында Google 19 миң долларлык 88 сыйлыкты (эки $20000 сыйлык, бир $12000 сыйлык, эки $7500 сыйлык, төрт $1000 сыйлык жана ар бири $7000, $5000 жана $3000) төлөгөн.

Source: opennet.ru