Chrome ປ່ອຍ 107

ກູໂກໄດ້ເປີດເຜີຍການປ່ອຍຕົວທ່ອງເວັບຂອງ Chrome 107 ໃນເວລາດຽວກັນ, ການປ່ອຍທີ່ຫມັ້ນຄົງຂອງໂຄງການ Chromium ຟຣີ, ເຊິ່ງເຮັດຫນ້າທີ່ເປັນພື້ນຖານຂອງ Chrome, ແມ່ນມີຢູ່. ບຣາວເຊີ Chrome ແຕກຕ່າງຈາກ Chromium ໃນການນຳໃຊ້ໂລໂກ້ຂອງ Google, ມີລະບົບສົ່ງການແຈ້ງເຕືອນໃນກໍລະນີເກີດອຸປະຕິເຫດ, ໂມດູນສຳລັບການຫຼິ້ນເນື້ອຫາວິດີໂອທີ່ປ້ອງກັນການສຳເນົາ (DRM), ລະບົບຕິດຕັ້ງອັບເດດອັດຕະໂນມັດ, ເປີດໃຊ້ການແຍກ Sandbox ຢ່າງຖາວອນ. , ການສະຫນອງກະແຈກັບ Google API ແລະສົ່ງ RLZ- ເມື່ອຊອກຫາພາລາມິເຕີ. ສໍາລັບຜູ້ທີ່ຕ້ອງການເວລາເພີ່ມເຕີມໃນການປັບປຸງ, ສາຂາທີ່ຫມັ້ນຄົງຂະຫຍາຍແມ່ນໄດ້ຮັບການສະຫນັບສະຫນູນແຍກຕ່າງຫາກ, ຕິດຕາມດ້ວຍ 8 ອາທິດ. ການປ່ອຍຕໍ່ໄປຂອງ Chrome 108 ແມ່ນກໍານົດສໍາລັບວັນທີ 29 ພະຈິກ.

ການປ່ຽນແປງທີ່ສໍາຄັນໃນ Chrome 107:

• ເພີ່ມການສະຫນັບສະຫນູນສໍາລັບກົນໄກ ECH (Encrypted Client Hello), ເຊິ່ງສືບຕໍ່ການພັດທະນາ ESNI (ຕົວຊີ້ບອກຊື່ເຄື່ອງແມ່ຂ່າຍທີ່ຖືກເຂົ້າລະຫັດ) ແລະຖືກນໍາໃຊ້ເພື່ອເຂົ້າລະຫັດຂໍ້ມູນກ່ຽວກັບພາລາມິເຕີຂອງເຊດຊັນ TLS ເຊັ່ນຊື່ໂດເມນທີ່ຮ້ອງຂໍ. ຄວາມແຕກຕ່າງທີ່ ສຳ ຄັນລະຫວ່າງ ECH ແລະ ESNI ແມ່ນວ່າແທນທີ່ຈະເຂົ້າລະຫັດໃນລະດັບຂອງແຕ່ລະຂົງເຂດ, ECH ຈະເຂົ້າລະຫັດຂໍ້ຄວາມ TLS ClientHello ທັງໝົດ, ເຊິ່ງຊ່ວຍໃຫ້ທ່ານສາມາດສະກັດກັ້ນການຮົ່ວໄຫຼຜ່ານຊ່ອງຂໍ້ມູນທີ່ ESNI ບໍ່ໄດ້ກວມເອົາ, ຕົວຢ່າງເຊັ່ນ PSK (Pre-Shared. ຄີ) ພາກສະໜາມ. ECH ຍັງໃຊ້ບັນທຶກ HTTPSSVC DNS ແທນການບັນທຶກ TXT ເພື່ອຖ່າຍທອດຂໍ້ມູນກະແຈສາທາລະນະ, ແລະໃຊ້ການເຂົ້າລະຫັດແບບທ້າຍເຖິງຈຸດສຸດທ້າຍທີ່ຮັບຮອງຄວາມຖືກຕ້ອງໂດຍອີງໃສ່ກົນໄກ Hybrid Public Key Encryption (HPKE) ເພື່ອຮັບ ແລະເຂົ້າລະຫັດລະຫັດ. ເພື່ອຄວບຄຸມວ່າ ECH ຖືກເປີດໃຊ້, ການຕັ້ງຄ່າ "chrome://flags#encrypted-client-hello" ໄດ້ຖືກສະເຫນີ.
• ຮອງຮັບການຖອດລະຫັດວິດີໂອແບບເລັ່ງຮາດແວໃນຮູບແບບ H.265 (HEVC) ແລ້ວ.
• ຂັ້ນຕອນທີຫ້າຂອງການຫຼຸດຜ່ອນຂໍ້ມູນໃນສ່ວນຫົວ HTTP ຜູ້ໃຊ້-ຕົວແທນ ແລະພາລາມິເຕີ JavaScript navigator.userAgent, navigator.appVersion ແລະ navigator.platform ໄດ້ຖືກເປີດໃຊ້, ປະຕິບັດເພື່ອຫຼຸດຜ່ອນຂໍ້ມູນທີ່ສາມາດໃຊ້ເພື່ອກໍານົດຕົວຜູ້ໃຊ້ແບບ passively. Chrome 107 ໄດ້ຫຼຸດຂໍ້ມູນແພລດຟອມ ແລະໂປເຊດເຊີໃນສາຍ User-Agent ສໍາລັບຜູ້ໃຊ້ເດັສທັອບ, ແລະແຊ່ເນື້ອຫາຂອງພາລາມິເຕີ JavaScript navigator.platform. ການ​ປ່ຽນ​ແປງ​ແມ່ນ​ມີ​ພຽງ​ແຕ່​ແຈ້ງ​ການ​ໃນ​ສະ​ບັບ​ສໍາ​ລັບ​ເວ​ທີ Windows​, ສໍາ​ລັບ​ການ​ສະ​ບັບ​ເວ​ທີ​ສະ​ເພາະ​ແມ່ນ​ການ​ປ່ຽນ​ແປງ "Windows NT 10.0​"​. ໃນ Linux, ເນື້ອໃນຂອງເວທີໃນ User-Agent ບໍ່ໄດ້ປ່ຽນແປງ.

  ກ່ອນຫນ້ານີ້, ຕົວເລກ MINOR.BUILD.PATCH ທີ່ປະກອບເປັນເວີຊັນຂອງຕົວທ່ອງເວັບໄດ້ຖືກແທນທີ່ດ້ວຍ 0.0.0. ໃນອະນາຄົດ, ມັນຖືກວາງແຜນໄວ້ພຽງແຕ່ຂໍ້ມູນກ່ຽວກັບຊື່ຂອງຕົວທ່ອງເວັບ, ຮຸ່ນຂອງຕົວທ່ອງເວັບທີ່ສໍາຄັນ, ເວທີແລະປະເພດອຸປະກອນ (ໂທລະສັບມືຖື, PC, ແທັບເລັດ) ໃນສ່ວນຫົວ. ເພື່ອໃຫ້ໄດ້ຮັບຂໍ້ມູນເພີ່ມເຕີມ, ເຊັ່ນ: ສະບັບທີ່ແນ່ນອນແລະຂໍ້ມູນແພລະຕະຟອມຂະຫຍາຍ, ທ່ານຕ້ອງໃຊ້ User Agent Client Hints API. ສໍາລັບເວັບໄຊທ໌ທີ່ບໍ່ມີຂໍ້ມູນໃຫມ່ພຽງພໍແລະຍັງບໍ່ພ້ອມທີ່ຈະປ່ຽນເປັນ User Agent Client Hints, ຈົນກ່ວາເດືອນພຶດສະພາ 2023 ພວກເຂົາມີໂອກາດທີ່ຈະກັບຄືນຜູ້ໃຊ້ - ຕົວແທນຢ່າງເຕັມທີ່.

• ເວີຊັນ Android ບໍ່ຮອງຮັບແພລະຕະຟອມ Android 6.0 ອີກຕໍ່ໄປ;
• ການອອກແບບການໂຕ້ຕອບສໍາລັບການຕິດຕາມສະຖານະການດາວໂຫຼດໄດ້ຖືກປ່ຽນແປງ. ແທນທີ່ຈະເປັນເສັ້ນທາງລຸ່ມທີ່ມີຂໍ້ມູນກ່ຽວກັບຄວາມຄືບຫນ້າການດາວໂຫຼດ, ຕົວຊີ້ວັດໃຫມ່ໄດ້ຖືກເພີ່ມໃສ່ກະດານທີ່ມີແຖບທີ່ຢູ່ເມື່ອທ່ານຄລິກໃສ່ມັນ, ຄວາມຄືບຫນ້າຂອງການດາວໂຫຼດໄຟລ໌ແລະປະຫວັດທີ່ມີບັນຊີລາຍຊື່ຂອງໄຟລ໌ທີ່ດາວໂຫລດແລ້ວແມ່ນສະແດງໃຫ້ເຫັນ. ບໍ່ເຫມືອນກັບແຜງລຸ່ມສຸດ, ປຸ່ມຈະສະແດງຢູ່ໃນແຜງຢ່າງຕໍ່ເນື່ອງ ແລະອະນຸຍາດໃຫ້ທ່ານເຂົ້າເຖິງປະຫວັດການດາວໂຫຼດຂອງທ່ານໄດ້ຢ່າງວ່ອງໄວ. ອິນເຕີເຟດໃຫມ່ໃນປັດຈຸບັນໄດ້ຖືກສະເຫນີໂດຍຄ່າເລີ່ມຕົ້ນພຽງແຕ່ກັບຜູ້ໃຊ້ບາງຄົນແລະຈະຖືກຂະຫຍາຍອອກໄປທັງຫມົດຖ້າບໍ່ມີບັນຫາ.
• ສໍາລັບຜູ້ໃຊ້ desktop, ມັນເປັນໄປໄດ້ທີ່ຈະນໍາເຂົ້າລະຫັດຜ່ານທີ່ບັນທຶກໄວ້ໃນໄຟລ໌ໃນຮູບແບບ CSV. ກ່ອນຫນ້ານີ້, ລະຫັດຜ່ານຈາກໄຟລ໌ໄປຫາຕົວທ່ອງເວັບພຽງແຕ່ສາມາດໂອນຜ່ານບໍລິການ passwords.google.com, ແຕ່ໃນປັດຈຸບັນນີ້ຍັງສາມາດເຮັດໄດ້ໂດຍຜ່ານ Google Password Manager ທີ່ສ້າງຂຶ້ນໃນຕົວທ່ອງເວັບ.
• ຫຼັງຈາກຜູ້ໃຊ້ສ້າງໂປຼໄຟລ໌ໃຫມ່, ການເຕືອນຈະຖືກສະແດງໃຫ້ທ່ານເປີດໃຊ້ synchronization ແລະໄປທີ່ການຕັ້ງຄ່າ, ໂດຍຜ່ານທີ່ທ່ານສາມາດປ່ຽນຊື່ໂປຣໄຟລ໌ແລະເລືອກຮູບແບບສີ.
• ສະບັບສໍາລັບແພລະຕະຟອມ Android ສະເຫນີການໂຕ້ຕອບໃຫມ່ສໍາລັບການເລືອກໄຟລ໌ມັນຕິມີເດຍສໍາລັບການອັບໂຫລດຮູບພາບແລະວິດີໂອ (ແທນທີ່ຈະເປັນການປະຕິບັດຂອງຕົນເອງ, ການໂຕ້ຕອບ Android Media Picker ມາດຕະຖານຖືກນໍາໃຊ້).
• ການຍົກເລີກການອະນຸຍາດໃຫ້ສະແດງການແຈ້ງເຕືອນອັດຕະໂນມັດໄດ້ຖືກສະຫນອງໃຫ້ສໍາລັບເວັບໄຊທ໌ທີ່ພົບວ່າມີການສົ່ງການແຈ້ງເຕືອນແລະຂໍ້ຄວາມທີ່ລົບກວນຜູ້ໃຊ້. ຍິ່ງໄປກວ່ານັ້ນ, ສໍາລັບສະຖານທີ່ດັ່ງກ່າວ, ການຮ້ອງຂໍການອະນຸຍາດໃຫ້ສົ່ງການແຈ້ງເຕືອນໄດ້ຖືກລະງັບໄວ້.
• API Capture API ໄດ້ເພີ່ມຄຸນສົມບັດໃຫມ່ທີ່ກ່ຽວຂ້ອງກັບການແບ່ງປັນຫນ້າຈໍ - selfBrowserSurface (ອະນຸຍາດໃຫ້ທ່ານຍົກເວັ້ນແຖບປະຈຸບັນໃນເວລາທີ່ໂທຫາ getDisplayMedia()), surfaceSwitching (ອະນຸຍາດໃຫ້ທ່ານສາມາດຊ່ອນປຸ່ມສໍາລັບການສະຫຼັບແຖບ) ແລະ displaySurface (ອະນຸຍາດໃຫ້ທ່ານຈໍາກັດການແບ່ງປັນກັບ ແຖບ, ປ່ອງຢ້ຽມ, ຫຼືຫນ້າຈໍ).
• ເພີ່ມຄຸນສົມບັດ renderBlockingStatus ໃສ່ Performance API ເພື່ອລະບຸຊັບພະຍາກອນທີ່ເຮັດໃຫ້ການສະແດງຫນ້າຢຸດຊົ່ວຄາວຈົນກ່ວາພວກມັນສໍາເລັດການໂຫຼດ.
• API ໃໝ່ຫຼາຍອັນໄດ້ຖືກເພີ່ມເຂົ້າໃນໂໝດການທົດລອງຕົ້ນສະບັບ (ລັກສະນະການທົດລອງທີ່ຕ້ອງການການເປີດໃຊ້ງານແຍກຕ່າງຫາກ). ການທົດລອງຕົ້ນສະບັບຫມາຍເຖິງຄວາມສາມາດໃນການເຮັດວຽກກັບ API ທີ່ລະບຸໄວ້ຈາກແອັບພລິເຄຊັນທີ່ດາວໂຫລດຈາກ localhost ຫຼື 127.0.0.1, ຫຼືຫຼັງຈາກລົງທະບຽນແລະໄດ້ຮັບ token ພິເສດທີ່ຖືກຕ້ອງສໍາລັບເວລາຈໍາກັດສໍາລັບສະຖານທີ່ສະເພາະ.
  • Declarative API PendingBeacon, ເຊິ່ງຊ່ວຍໃຫ້ທ່ານສາມາດຄວບຄຸມການສົ່ງຂໍ້ມູນທີ່ບໍ່ຕ້ອງການການຕອບສະຫນອງ (beacon) ກັບເຄື່ອງແມ່ຂ່າຍ. API ໃຫມ່ຊ່ວຍໃຫ້ທ່ານສາມາດມອບຫມາຍການສົ່ງຂໍ້ມູນດັ່ງກ່າວໃຫ້ກັບຕົວທ່ອງເວັບ, ໂດຍບໍ່ຈໍາເປັນຕ້ອງໂທຫາການປະຕິບັດການສົ່ງໃນເວລາທີ່ແນ່ນອນ, ຕົວຢ່າງ: ການຈັດການໂອນ telemetry ຫຼັງຈາກຜູ້ໃຊ້ປິດຫນ້າ.
  • ສ່ວນຫົວ HTTP Permissions-Policy (Feature Policy) ທີ່ໃຊ້ເພື່ອມອບສິດອຳນາດ ແລະເປີດໃຊ້ຄຸນສົມບັດຂັ້ນສູງ, ຕອນນີ້ຮອງຮັບຄ່າ "unload" ເຊິ່ງສາມາດໃຊ້ເພື່ອປິດການໃຊ້ງານ handlers ສໍາລັບເຫດການ "unload" ໃນຫນ້າ.
• ແທັກ ເພີ່ມການສະຫນັບສະຫນູນສໍາລັບຄຸນລັກສະນະ "rel", ເຊິ່ງອະນຸຍາດໃຫ້ທ່ານນໍາໃຊ້ພາລາມິເຕີ "rel = noreferrer" ກັບການນໍາທາງຜ່ານແບບຟອມເວັບເພື່ອປິດການໂອນຫົວຫນ້າ Referer ຫຼື "rel = noopener" ເພື່ອປິດການຕັ້ງຄ່າຄຸນສົມບັດ Window.opener ແລະຫ້າມ ການ​ເຂົ້າ​ເຖິງ​ສະ​ພາບ​ການ​ທີ່​ມີ​ການ​ປ່ຽນ​ແປງ​ໄດ້​.
• CSS Grid ໄດ້ເພີ່ມການສະຫນັບສະຫນູນສໍາລັບການ interpolating grid-template-columns ແລະ grid-template-rows ຄຸນສົມບັດເພື່ອໃຫ້ມີການປ່ຽນແປງທີ່ລຽບງ່າຍລະຫວ່າງລັດ grid ທີ່ແຕກຕ່າງກັນ.
• ການປັບປຸງໄດ້ຖືກເຮັດໃຫ້ເຄື່ອງມືສໍາລັບນັກພັດທະນາເວັບ. ເພີ່ມຄວາມສາມາດໃນການຕັ້ງຄ່າ hotkeys. ປັບປຸງການກວດສອບຄວາມຊົງຈຳຂອງວັດຖຸແອັບພລິເຄຊັນ C/C++ ທີ່ປ່ຽນເປັນຮູບແບບ WebAssembly.

ນອກເຫນືອໄປຈາກການປະດິດສ້າງແລະການແກ້ໄຂຂໍ້ບົກພ່ອງ, ສະບັບໃຫມ່ໄດ້ລົບລ້າງ 14 ຊ່ອງໂຫວ່. ຫຼາຍໆຊ່ອງໂຫວ່ໄດ້ຖືກລະບຸວ່າເປັນຜົນມາຈາກການທົດສອບອັດຕະໂນມັດໂດຍໃຊ້ AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ແລະ AFL tools. ບໍ່ພົບບັນຫາທີ່ສໍາຄັນທີ່ຈະຊ່ວຍໃຫ້ຜູ້ຫນຶ່ງສາມາດຂ້າມທຸກລະດັບຂອງການປົກປ້ອງຕົວທ່ອງເວັບແລະປະຕິບັດລະຫັດໃນລະບົບນອກສະພາບແວດລ້ອມ sandbox. ເປັນສ່ວນຫນຶ່ງຂອງໂຄງການທີ່ຈະຈ່າຍລາງວັນເງິນສົດສໍາລັບການຄົ້ນພົບຊ່ອງຫວ່າງສໍາລັບການເປີດຕົວໃນປັດຈຸບັນ, Google ໄດ້ຈ່າຍ 10 ລາງວັນເປັນຈໍານວນ 57 ພັນໂດລາສະຫະລັດ (ລາງວັນຫນຶ່ງຂອງ $ 20000, $ 17000 ແລະ $ 7000, ສອງລາງວັນ $ 3000, ສາມລາງວັນ $ 2000 ແລະຫນຶ່ງລາງວັນ. ລາງວັນ $1000). ຂະຫນາດຂອງລາງວັນຫນຶ່ງຍັງບໍ່ທັນໄດ້ຖືກກໍານົດ.

ແຫຼ່ງຂໍ້ມູນ: opennet.ru