ProHoster > Dienoraštis > interneto naujienos > 98 Chrome leidimas

98 Chrome leidimas

„Google“ pristatė „Chrome 98“ žiniatinklio naršyklės leidimą. Tuo pat metu yra prieinama stabili nemokamo „Chromium“ projekto, kuris yra „Chrome“ pagrindas, leidimas. „Chrome“ naršyklė išsiskiria „Google“ logotipų naudojimu, pranešimų siuntimo gedimo atveju sistemos buvimu, nuo kopijavimo apsaugoto vaizdo turinio (DRM) atkūrimo moduliais, automatinio naujinimų diegimo sistema ir RLZ parametrų perdavimu, kai ieškant. Kitas „Chrome 99“ leidimas numatytas kovo 1 d.

Pagrindiniai „Chrome 98“ pakeitimai:

  • Naršyklė turi savo šakninių sertifikavimo institucijų sertifikatų saugyklą („Chrome Root Store“), kuri bus naudojama vietoj išorinių, būdingų kiekvienai operacinei sistemai. Parduotuvė įdiegta panašiai kaip nepriklausoma šakninių sertifikatų saugykla „Firefox“, kuri naudojama kaip pirmoji nuoroda patikrinti sertifikatų patikimumo grandinę atidarant svetaines per HTTPS. Pagal numatytuosius nustatymus nauja saugykla dar nenaudojama. Siekiant palengvinti sistemos saugyklos konfigūracijų perkėlimą ir užtikrinti perkeliamumą, bus pereinamasis laikotarpis, per kurį „Chrome Root Store“ bus įtrauktas visas sertifikatų, patvirtintų daugumoje palaikomų platformų, pasirinkimas.
  • Ir toliau įgyvendinamas planas stiprinti apsaugą nuo atakų, susijusių su prieiga prie išteklių vietiniame tinkle arba vartotojo kompiuteryje (localhost) iš scenarijų, įkeltų atidarius svetainę. Tokias užklausas užpuolikai naudoja norėdami vykdyti CSRF atakas prieš maršrutizatorius, prieigos taškus, spausdintuvus, įmonės žiniatinklio sąsajas ir kitus įrenginius bei paslaugas, kurie priima užklausas tik iš vietinio tinklo.

    Siekdama apsisaugoti nuo tokių atakų, jei vidiniame tinkle pasiekiami papildomi ištekliai, naršyklė pradės siųsti aiškų prašymą leisti atsisiųsti tokius antrinius išteklius. Leidimų užklausa vykdoma siunčiant CORS (Kryžminio šaltinio išteklių bendrinimo) užklausą su antrašte „Prieiga-Control-Request-Private-Network: true“ į pagrindinį svetainės serverį prieš pasiekiant vidinį tinklą arba vietinį pagrindinį kompiuterį. Patvirtindamas operaciją atsakydamas į šią užklausą, serveris turi grąžinti antraštę „Access-Control-Allow-Private-Network: true“. „Chrome 98“ patikrinimas įgyvendinamas bandomuoju režimu ir, jei nėra patvirtinimo, žiniatinklio konsolėje rodomas įspėjimas, tačiau pati antrinio šaltinio užklausa nėra užblokuota. Blokavimo neplanuojama įjungti, kol nebus išleista „Chrome 101“.

  • Paskyros nustatymuose integruoti įrankiai, skirti valdyti patobulinto saugaus naršymo įtraukimą, kuris suaktyvina papildomus patikrinimus, kad apsaugotų nuo sukčiavimo, kenkėjiškos veiklos ir kitų grėsmių žiniatinklyje. Kai suaktyvinsite režimą „Google“ paskyroje, būsite paraginti suaktyvinti režimą „Chrome“.
  • Pridėtas sukčiavimo bandymų kliento pusėje aptikimo modelis, įdiegtas naudojant TFLite mašininio mokymosi platformą (TensorFlow Lite) ir nereikalauja duomenų siuntimo norint atlikti patikrinimą iš Google pusės (šiuo atveju telemetrija siunčiama su informacija apie modelio versiją ir apskaičiuotas kiekvienos kategorijos svoris). Jei aptinkamas sukčiavimo bandymas, prieš atidarant įtartiną svetainę vartotojui bus parodytas įspėjimo puslapis.
  • Client Hints API, kuri kuriama kaip User-Agent antraštės pakaitalas ir leidžia pasirinktinai siųsti duomenis apie konkrečius naršyklės ir sistemos parametrus (versiją, platformą ir kt.) tik gavus serverio užklausą. galima pakeisti išgalvotus pavadinimus į naršyklės identifikatorių sąrašą pagal analogiją su GREASE (Generate Random Extensions And Sustain Extensibility) mechanizmu, naudojamu TLS. Pavyzdžiui, be „Chrome“; v="98" ir "Chromium"; v="98"' atsitiktinis neegzistuojančios naršyklės identifikatorius "(Not; Browser"; v="12"'. Toks pakeitimas padės nustatyti problemas, susijusias su nežinomų naršyklių identifikatorių apdorojimu, o tai lemia tai, kad alternatyvios naršyklės yra priverstos apsimesti kitomis populiariomis naršyklėmis, kad išvengtų patikrinimo pagal priimtinų naršyklių sąrašus.
  • Nuo sausio 17 d. „Chrome“ internetinėje parduotuvėje nebepriimami priedai, kuriuose naudojama 2023 „Chrome“ aprašo versija. Nauji papildymai dabar bus priimti tik su trečiąja manifesto versija. Anksčiau pridėtų priedų kūrėjai vis tiek galės skelbti atnaujinimus naudodami antrąją aprašo versiją. Visiškai panaikinti antrąją manifesto versiją planuojama XNUMX m. sausį.
  • Pridėtas spalvų vektorinių šriftų palaikymas COLRv1 formatu (OpenType šriftų poaibis, kuriame, be vektorinių glifų, yra sluoksnis su spalvų informacija), kurį galima naudoti, pavyzdžiui, kuriant daugiaspalvius jaustukus. Skirtingai nuo anksčiau palaikomo formato COLRv0, COLRv1 dabar turi galimybę naudoti gradientus, perdangas ir transformacijas. Formatas taip pat suteikia kompaktišką saugojimo formą, efektyvų glaudinimą ir leidžia pakartotinai naudoti kontūrus, leidžiančius žymiai sumažinti šrifto dydį. Pavyzdžiui, Noto Color Emoji šriftas užima 9 MB rastriniu formatu ir 1 MB COLRv1.85 vektoriniu formatu.
    98 Chrome leidimas
  • „Origin Trials“ režimas (eksperimentinės funkcijos, kurias reikia suaktyvinti atskirai) įgyvendina „Region Capture“ API, kuri leidžia apkarpyti užfiksuotą vaizdo įrašą. Pavyzdžiui, gali prireikti apkarpyti žiniatinklio programose, kurios fiksuoja vaizdo įrašą su skirtuko turiniu, kad būtų iškirptas tam tikras turinys prieš siunčiant. „Origin Trial“ reiškia galimybę dirbti su nurodyta API iš programų, atsisiųstų iš „localhost“ arba 127.0.0.1, arba užsiregistravus ir gavus specialų prieigos raktą, kuris galioja ribotą laiką konkrečioje svetainėje.
  • CSS ypatybė „contain-intrinsic-size“ dabar palaiko reikšmę „auto“, kuri naudos paskutinį įsimintą elemento dydį (kai naudojama su „content-visibility: auto“, kūrėjas neprivalo atspėti elemento pateikto dydžio). .
  • Pridėta ypatybė AudioContext.outputLatency, per kurią galite sužinoti informaciją apie numatomą delsą prieš garso išvestį (delsą nuo garso užklausos iki gautų duomenų apdorojimo garso išvesties įrenginio pradžios).
  • CSS ypatybių spalvų schema, leidžianti nustatyti, kuriose spalvų schemose elementas gali būti teisingai atvaizduojamas („šviesus“, „tamsus“, „dieninis režimas“ ir „naktinis režimas“), pridėtas parametras „tik“ kad būtų išvengta priverstinio atskirų HTML elementų spalvų keitimo schemų. Pavyzdžiui, jei nurodysite „div { color-scheme: only light }“, tada elementui div bus naudojama tik šviesi tema, net jei naršyklė privers įgalinti tamsiąją temą.
  • Pridėtas CSS „dinaminio diapazono“ ir „vaizdo dinaminio diapazono“ medijos užklausų palaikymas, siekiant nustatyti, ar ekranas palaiko HDR (didelį dinaminį diapazoną).
  • Pridėta galimybė pasirinkti, ar nuorodą atidaryti naujame skirtuke, naujame lange ar iššokančiame lange į funkciją window.open(). Be to, ypatybė window.statusbar.visible dabar pateikia „false“ iššokantiems langams ir „true“ skirtukams ir langams. const popup = window.open('_blank',",'popupas=1'); // Atidaryti iššokančiajame lange const tab = window.open('_blank',,"'popup=0'); // Atidaryti skirtuke
  • „Windows“ ir „workers“ buvo įdiegtas „structurdClone()“ metodas, leidžiantis kurti rekursines objektų kopijas, apimančias ne tik nurodyto objekto, bet ir visų kitų objektų, kuriuos nurodo dabartinis objektas, savybes.
  • Žiniatinklio autentifikavimo API papildė FIDO CTAP2 specifikacijos plėtinio palaikymą, kuris leidžia nustatyti mažiausią leistiną PIN kodo dydį (minPinLength).
  • Įdiegtoms atskiroms žiniatinklio programoms buvo pridėtas „Window Controls Overlay“ komponentas, kuris praplečia programos ekrano sritį iki viso lango, įskaitant pavadinimo sritį, kurioje yra standartiniai lango valdymo mygtukai (uždaryti, sumažinti, padidinti). ) yra uždėti. Žiniatinklio programa gali valdyti viso lango atvaizdavimą ir įvesties apdorojimą, išskyrus perdangos bloką su lango valdymo mygtukais.
  • Prie WritableStreamDefaultController pridėta signalo tvarkymo ypatybė, kuri grąžina AbortSignal objektą, kurį galima naudoti norint nedelsiant sustabdyti rašymą į WritableStream, nelaukiant, kol jie baigsis.
  • WebRTC pašalino SDES rakto susitarimo mechanizmo palaikymą, kurį IETF 2013 m. panaikino dėl saugumo problemų.
  • Pagal numatytuosius nustatymus U2F (Cryptotoken) API yra išjungta, kuri anksčiau buvo nebenaudojama ir pakeista žiniatinklio autentifikavimo API. U2F API bus visiškai pašalinta naudojant „Chrome 104“.
  • API kataloge laukas install_browser_version buvo nebenaudojamas, pakeistas nauju laukeliu laukiantis_browser_version, kuris skiriasi tuo, kad jame pateikiama informacija apie naršyklės versiją, atsižvelgiant į atsisiųstus, bet nepritaikytas naujinimus (t. y. versiją, kuri galios po naršyklė paleidžiama iš naujo).
  • Pašalintos parinktys, leidžiančios grąžinti TLS 1.0 ir 1.1 palaikymą.
  • Buvo patobulinti žiniatinklio kūrėjams skirti įrankiai. Pridėtas skirtukas, skirtas įvertinti talpyklos „Atgal pirmyn“ veikimą, kuri suteikia greitą naršymą naudojant mygtukus Atgal ir Pirmyn. Pridėta galimybė emuliuoti priverstinių spalvų medijos užklausas. Prie „Flexbox“ redaktoriaus pridėti mygtukai, palaikantys eilučių atvirkštinės ir stulpelio atvirkštinės ypatybes. Skirtuke „Pakeitimai“ užtikrinama, kad pakeitimai būtų rodomi suformatavus kodą, o tai supaprastina sumažintų puslapių analizę.
    98 Chrome leidimas

    Kodo peržiūros skydelio diegimas buvo atnaujintas iki CodeMirror 6 kodo redaktoriaus išleidimo, kuris žymiai pagerina darbo su labai dideliais failais našumą (WASM, JavaScript), išsprendžia atsitiktinių poslinkių problemas naršymo metu ir pagerina rekomendacijas automatinio užbaigimo sistema redaguojant kodą. Galimybė filtruoti išvestį pagal nuosavybės pavadinimą arba reikšmę buvo įtraukta į CSS ypatybių skydelį.

    98 Chrome leidimas

Be naujovių ir klaidų pataisymų, naujoji versija pašalina 27 pažeidžiamumus. Daugelis pažeidžiamumų buvo nustatyti atlikus automatinį testavimą naudojant AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ir AFL įrankius. Nenustatyta jokių kritinių problemų, kurios leistų apeiti visus naršyklės apsaugos lygius ir vykdyti kodą sistemoje ne smėlio dėžės aplinkoje. Vykdydama piniginio atlygio už dabartinio leidimo spragų atradimą, „Google“ sumokėjo 19 apdovanojimų už 88 tūkst. USD (du 20000 12000 USD apdovanojimus, vieną 7500 1000 USD apdovanojimą, du 7000 5000 USD apdovanojimus, keturis 3000 2000 USD apdovanojimus ir po vieną XNUMX XNUMX USD, XNUMX XNUMX USD ir XNUMX XNUMX USD).

Šaltinis: opennet.ru

Добавить комментарий