ProHoster > Dienoraštis > interneto naujienos > 102 Chrome leidimas

102 Chrome leidimas

„Google“ pristatė žiniatinklio naršyklės „Chrome 102“ išleidimą. Tuo pat metu yra prieinama stabili nemokamo „Chromium“ projekto, kuris yra „Chrome“ pagrindas, leidimas. „Chrome“ naršyklė nuo „Chromium“ skiriasi tuo, kad naudoja „Google“ logotipus, yra pranešimų siuntimo įvykus gedimui sistema, nuo kopijavimo apsaugoto vaizdo turinio (DRM) atkūrimo moduliais, automatinio naujinimų diegimo sistema, visam laikui įjungiančia smėlio dėžės izoliaciją. , pateikia raktus į Google API ir perduoda RLZ- ieškant. Tiems, kuriems reikia daugiau laiko atnaujinti, išplėstinis stabilus filialas palaikomas atskirai, o po to 8 savaites. Kitas „Chrome 103“ leidimas planuojamas birželio 21 d.

Pagrindiniai „Chrome 102“ pakeitimai:

  • Siekiant užkirsti kelią pažeidžiamumui, kurį sukelia prieiga prie jau atlaisvintų atminties blokų (naudoti po-nemokama), vietoj įprastų rodyklių buvo pradėtas naudoti MiraclePtr (raw_ptr) tipas. „MiraclePtr“ suteikia susiejimo rodykles, kurios atlieka papildomus prieigos prie atlaisvintų atminties sričių patikrinimus ir strigčių, jei tokios prieigos aptinkamos. Naujojo apsaugos metodo įtaka našumui ir atminties suvartojimui vertinama kaip nereikšminga. „MiraclePtr“ mechanizmas taikomas ne visuose procesuose, ypač jis nenaudojamas atvaizdavimo procesuose, tačiau jis gali žymiai pagerinti saugumą. Pavyzdžiui, dabartinėje versijoje iš 32 ištaisytų pažeidžiamumų 12 atsirado dėl naudojimo po nemokamo naudojimo problemų.
  • Pakeistas sąsajos su informacija apie atsisiuntimus dizainas. Vietoj apatinės eilutės su duomenimis apie atsisiuntimo eigą, skydelyje su adreso juosta buvo pridėtas naujas indikatorius, kurį spustelėjus rodoma failų atsisiuntimo eiga ir istorija su jau atsisiųstų failų sąrašu. Skirtingai nuo apatinio skydelio, mygtukas nuolat rodomas skydelyje ir leidžia greitai pasiekti atsisiuntimų istoriją. Naujoji sąsaja šiuo metu pagal numatytuosius nustatymus siūloma tik kai kuriems vartotojams ir bus išplėsta visiems, jei nekils problemų. Jei norite grąžinti senąją sąsają arba įjungti naują, pateikiamas nustatymas „chrome://flags#download-bubble“.
    102 Chrome leidimas
  • Ieškant vaizdų per kontekstinį meniu („Ieškoti vaizdo naudojant Google Lens“ arba „Rasti naudojant Google Lens“), rezultatai dabar rodomi ne atskirame puslapyje, o šoninėje juostoje šalia pradinio puslapio turinio (į viename lange vienu metu galite matyti ir puslapio turinį, ir prieigos prie paieškos rezultatą).
    102 Chrome leidimas
  • Nustatymų skiltyje „Privatumas ir saugumas“ buvo pridėtas skyrius „Privatumo vadovas“, kuriame pateikiama bendra pagrindinių nustatymų, turinčių įtakos privatumui, apžvalga su išsamiais paaiškinimais apie kiekvieno nustatymo poveikį. Pavyzdžiui, skiltyje galite apibrėžti duomenų siuntimo į Google paslaugas politiką, valdyti sinchronizavimą, slapukų apdorojimą ir istorijos išsaugojimą. Funkcija siūloma kai kuriems vartotojams; norėdami ją suaktyvinti, galite naudoti nustatymą „chrome://flags#privacy-guide“.
    102 Chrome leidimas
  • Pateikiamas paieškos istorijos ir peržiūrėtų puslapių struktūrizavimas. Kai bandote ieškoti dar kartą, adreso juostoje rodoma užuomina „Tęsti kelionę“, leidžiančią tęsti paiešką nuo tos vietos, kur ji buvo nutraukta paskutinį kartą.
    102 Chrome leidimas
  • „Chrome“ internetinėje parduotuvėje yra puslapis „Plėtinių pradžios rinkinys“ su pradiniu rekomenduojamų priedų pasirinkimu.
  • Bandymo režimu CORS (Kryžminio šaltinio išteklių bendrinimo) autorizacijos užklausos siuntimas į pagrindinį svetainės serverį su antrašte „Prieiga-Control-Request-Private-Network: true“ įjungiamas, kai puslapis pasiekia šaltinį vidiniame tinkle ( 192.168.xx , 10.xxx, 172.16.xx) arba į localhost (128.xxx). Patvirtindamas operaciją atsakydamas į šią užklausą, serveris turi grąžinti antraštę „Access-Control-Allow-Private-Network: true“. „Chrome“ 102 versijoje patvirtinimo rezultatas dar neturi įtakos užklausos apdorojimui – jei patvirtinimo nėra, žiniatinklio konsolėje rodomas įspėjimas, tačiau pati antrinio šaltinio užklausa nėra užblokuota. Įgalinti blokavimą negavus patvirtinimo iš serverio nenumatoma iki „Chrome 105“ išleidimo. Jei norite įgalinti blokavimą ankstesnėse versijose, galite įgalinti nustatymą „chrome://flags/#private-network-access-respect-preflight- rezultatai“.

    Įvestas serverio įgaliojimų patikrinimas, siekiant sustiprinti apsaugą nuo atakų, susijusių su prieiga prie vietinio tinklo arba vartotojo kompiuterio (localhost) išteklių iš scenarijų, įkeltų atidarant svetainę. Tokias užklausas užpuolikai naudoja norėdami vykdyti CSRF atakas prieš maršrutizatorius, prieigos taškus, spausdintuvus, įmonės žiniatinklio sąsajas ir kitus įrenginius bei paslaugas, kurie priima užklausas tik iš vietinio tinklo. Siekdama apsisaugoti nuo tokių atakų, jei vidiniame tinkle pasiekiami papildomi ištekliai, naršyklė išsiųs aiškų prašymą leisti įkelti šiuos antrinius išteklius.

  • Atidarius nuorodas inkognito režimu per kontekstinį meniu, kai kurie parametrai, turintys įtakos privatumui, automatiškai pašalinami iš URL.
  • Buvo pakeista „Windows“ ir „Android“ naujinimų pristatymo strategija. Norint geriau palyginti naujų ir senų leidimų veikimą, dabar sugeneruotos kelios naujos versijos versijos, kurias galima atsisiųsti.
  • Tinklo segmentavimo technologija buvo stabilizuota siekiant apsaugoti nuo vartotojų judėjimo tarp svetainių stebėjimo metodų, pagrįstų identifikatorių saugojimu srityse, kurios nėra skirtos nuolatiniam informacijos saugojimui („superslapukai“). Kadangi talpykloje saugomi ištekliai yra saugomi bendroje vardų erdvėje, neatsižvelgiant į pradinį domeną, viena svetainė gali nustatyti, kad kita svetainė įkelia išteklius, patikrindama, ar tie ištekliai yra talpykloje. Apsauga pagrįsta tinklo segmentavimo (Network Partitioning) naudojimu, kurio esmė yra pridėti prie bendrų talpyklų papildomo įrašų susiejimo su domenu, iš kurio atidaromas pagrindinis puslapis, o tai riboja talpyklos aprėptį tik judėjimo sekimo scenarijuose. į dabartinę svetainę (scenarijus iš iframe negalės patikrinti, ar išteklius atsisiųstas iš kitos svetainės). Būsenos bendrinimas apima tinklo ryšius (HTTP/1, HTTP/2, HTTP/3, žiniatinklio lizdą), DNS talpyklą, ALPN/HTTP2, TLS/HTTP3 duomenis, konfigūraciją, atsisiuntimus ir Expect-CT antraštės informaciją.
  • Įdiegtoms atskiroms žiniatinklio programoms (PWA, Progressive Web App) galima pakeisti lango pavadinimo srities dizainą naudojant Window Controls Overlay komponentus, kurie išplečia žiniatinklio programos ekrano sritį iki viso lango. Žiniatinklio programa gali valdyti viso lango atvaizdavimą ir įvesties apdorojimą, išskyrus perdangos bloką su standartiniais lango valdymo mygtukais (uždaryti, sumažinti, padidinti), kad žiniatinklio programa atrodytų kaip įprasta darbalaukio programa.
    102 Chrome leidimas
  • Formų automatinio pildymo sistemoje pridėtas palaikymas virtualių kredito kortelių numerių generavimui laukuose su mokėjimo informacija už prekes internetinėse parduotuvėse. Naudojant virtualią kortelę, kurios numeris sugeneruojamas kiekvienam mokėjimui, galima neperkelti duomenų apie tikrą kreditinę kortelę, o reikalaujama, kad bankas pateiktų reikiamą paslaugą. Ši funkcija šiuo metu prieinama tik JAV bankų klientams. Norint valdyti funkcijos įtraukimą, siūlomas nustatymas „chrome://flags/#autofill-enable-virtual-card“.
  • „Capture Handle“ mechanizmas yra suaktyvintas pagal numatytuosius nustatymus, todėl galite perkelti informaciją į programas, kurios fiksuoja vaizdo įrašus. API leidžia organizuoti sąveiką tarp programų, kurių turinys įrašomas, ir programų, kurios atlieka įrašymą. Pavyzdžiui, vaizdo konferencijų programa, kuri fiksuoja vaizdo įrašą pristatymui transliuoti, gali gauti informaciją apie pristatymo valdiklius ir parodyti juos vaizdo lange.
  • Spekuliacinių taisyklių palaikymas įgalintas pagal numatytuosius nustatymus, suteikiant lanksčią sintaksę, leidžiančią nustatyti, ar su nuoroda susiję duomenys gali būti aktyviai įkeliami prieš vartotojui spustelėjus nuorodą.
  • Stabilizuotas išteklių pakavimo į paketus Web Bundle formatu mechanizmas, leidžiantis padidinti daugelio lydimųjų failų (CSS stilių, JavaScript, vaizdų, iframe) įkėlimo efektyvumą. Kitaip nei Webpack formato paketai, Web Bundle formatas turi šiuos privalumus: HTTP talpykloje saugomas ne pats paketas, o jo sudedamosios dalys; „JavaScript“ kompiliavimas ir vykdymas prasideda nelaukiant, kol paketas bus visiškai atsisiųstas; Leidžiama įtraukti papildomų išteklių, tokių kaip CSS ir vaizdai, kurie žiniatinklio pakete turėtų būti užkoduoti JavaScript eilučių pavidalu.
  • Galima apibrėžti PWA programą kaip tam tikrų MIME tipų ir failų plėtinių tvarkyklę. Apibrėžus susiejimą aprašo lauke file_handlers, programa gaus specialų įvykį, kai vartotojas bandys atidaryti su programa susietą failą.
  • Pridėtas naujas inertiškas atributas, leidžiantis pažymėti dalį DOM medžio kaip „neaktyvų“. Šioje būsenoje esantiems DOM mazgams teksto pasirinkimo ir žymeklio užvedimo tvarkyklės yra išjungtos, t.y. Rodyklės įvykiai ir vartotojo pasirinktos CSS ypatybės visada nustatomos kaip „nėra“. Jei mazgą galima redaguoti, tada inertiniu režimu jis tampa neredaguojamas.
  • Pridėta Navigacijos API, leidžianti žiniatinklio programoms perimti langų naršymo operacijas, inicijuoti naršymą ir analizuoti veiksmų su programa istoriją. API yra alternatyva ypatybėms window.history ir window.location, optimizuota vieno puslapio žiniatinklio programoms.
  • Atributui „paslėptas“ buvo pasiūlyta nauja vėliavėlė „iki rasta“, todėl elemento galima ieškoti puslapyje ir slinkti naudojant teksto kaukę. Pavyzdžiui, į puslapį galite įtraukti paslėptą tekstą, kurio turinys bus rastas atliekant vietines paieškas.
  • WebHID API, skirtoje žemo lygio prieigai prie HID įrenginių (žmogaus sąsajos įrenginių, klaviatūrų, pelių, žaidimų pultelių, jutiklinių kilimėlių) ir darbo organizavimui be konkrečių tvarkyklių sistemoje, prie užklausosDevice () buvo pridėta ypatybė exclusionFilters ( ) objektas, leidžiantis išskirti tam tikrus įrenginius, kai naršyklė rodo galimų įrenginių sąrašą. Pavyzdžiui, galite išskirti įrenginių ID, kuriuose yra žinomų problemų.
  • Draudžiama rodyti mokėjimo formą iškviečiant PaymentRequest.show() be aiškaus vartotojo veiksmo, pavyzdžiui, spustelėjus elementą, susietą su tvarkykle.
  • Alternatyvaus SDP (sesijos aprašymo protokolo) protokolo, naudojamo seansui sukurti WebRTC, diegimo palaikymas buvo nutrauktas. „Chrome“ pasiūlė dvi SDP parinktis – suvienodintas su kitomis naršyklėmis ir „Chrome“. Nuo šiol liko tik nešiojamasis variantas.
  • Buvo patobulinti žiniatinklio kūrėjams skirti įrankiai. Stilių skydelyje pridėti mygtukai, imituojantys tamsios ir šviesios temos naudojimą. Sustiprinta skirtuko Peržiūra apsauga tinklo tikrinimo režimu (įjungta turinio saugos politikos taikymas). Derinimo priemonė įgyvendina scenarijaus nutraukimą, kad iš naujo įkeltų lūžio taškus. Pasiūlytas preliminarus naujojo skydelio „Performance insights“ diegimas, leidžiantis analizuoti tam tikrų puslapio operacijų atlikimą.
    102 Chrome leidimas

Be naujovių ir klaidų pataisymų, naujoji versija pašalina 32 pažeidžiamumus. Daugelis pažeidžiamumų buvo nustatyti atlikus automatinį testavimą naudojant AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ir AFL įrankius. Vienai iš problemų (CVE-2022-1853) buvo priskirtas kritinis pavojaus lygis, o tai reiškia galimybę apeiti visus naršyklės apsaugos lygius ir vykdyti kodą sistemoje už smėlio dėžės aplinkos ribų. Išsami informacija apie šį pažeidžiamumą dar neatskleista; žinoma, kad jį sukėlė prieiga prie atlaisvintos atminties bloko (naudojimas po nemokamo) Indexed DB API diegime.

Vykdydama piniginio atlygio už dabartinio leidimo spragų atradimą, „Google“ sumokėjo 24 apdovanojimus, kurių vertė 65600 10000 USD (vieną 7500 7000 USD apdovanojimą, vieną 5000 3000 USD apdovanojimą, du 2000 1000 USD apdovanojimus, tris 500 7 USD apdovanojimus, keturis XNUMX XNUMX USD apdovanojimus, du XNUMX USD, XNUMX XNUMX USD premijos). XNUMX apdovanojimų dydis dar nenustatytas.

Šaltinis: opennet.ru

Добавить комментарий