„Chrome 145“ leidimas

„Google“ išleido 145-ąją „Chrome“ žiniatinklio naršyklės versiją. Taip pat galima įsigyti stabilią atvirojo kodo „Chromium“ projekto, kuris yra „Chrome“ pagrindas, versiją. „Chrome“ nuo „Chromium“ skiriasi tuo, kad naudoja „Google“ logotipus, gedimų pranešimų sistemą, modulius, skirtus kopijavimo apsaugotam vaizdo įrašų turiniui (DRM) leisti, automatinį naujinimų diegimą, visada įjungtą „smėlio dėžės“ izoliaciją, „Google“ API raktų teikimą ir RLZ parametrų naudojimą paieškos metu. Tiems, kuriems reikia daugiau laiko atnaujinimams, aštuonias savaites palaikoma atskira išplėstinė stabili šaka. Kita versija, „Chrome 146“, numatyta kovo 10 d.

Pagrindiniai „Chrome 145“ pakeitimai:

  • Pridėtas JPEG XL vaizdo formato, dekoduoto naudojant jxl-rs biblioteką su JPEG-XL Rust versija, palaikymas. JPEG XL palaikymas šiuo metu pagal numatytuosius nustatymus yra išjungtas ir reikalauja įjungti nustatymą „chrome://flags/#enable-jxl-image-format“.
  • Toliau tobulinome dirbtinio intelekto režimą, kuris leidžia sąveikauti su dirbtinio intelekto agentu iš adreso juostos arba iš puslapio, rodomo atidarius naują skirtuką. Dirbtinio intelekto režimas leidžia užduoti sudėtingus klausimus natūralia kalba ir gauti atsakymus, pagrįstus informacijos iš aktualiausių puslapių tam tikra tema apibendrinimu. Prireikus vartotojas gali patikslinti informaciją pateikdamas įvadinius klausimus. Šis režimas taip pat leidžia užduoti klausimus apie puslapio turinį tiesiai iš adreso juostos. „Chrome 145“ versijoje dirbtinio intelekto režimas įdiegtas platformų versijose. Android ir „iOS“. Kanados, Indijos ir Naujosios Zelandijos vartotojams „Gemini“ pokalbių robotas įjungtas pagal numatytuosius nustatymus (kai naudojama anglų kalba).
  • Pridėtas DBSC (įrenginiui susietų sesijos kredencialų) mechanizmas, leidžiantis susieti svetainės autentifikavimo sesiją su konkrečiu įrenginiu, kad būtų apsunkintos atakos iš kitų sistemų naudojant perimtus sesijos slapukus. Įrenginiui susietai sesijai sukurti siūloma HTTP antraštė „Secure-Session-Registration“. Šis apsaugos metodas apima kriptografinių raktų poros, susietos su dabartiniu įrenginiu, pateikimą, kurie generuojami prisijungus ir saugomi TPM (patikimos platformos modulyje). Sesijoje naudojami trumpo galiojimo slapukai, kurie periodiškai atnaujinami naudojant privatųjį raktą ir gali būti patikrinti naudojant viešąjį raktą.
    
„Chrome 145“ leidimas
  • Nustatymas, leidęs vartotojams išjungti priverstinių naršyklės priedų, kurie pažeidė nedideles „Chrome“ internetinės parduotuvės politikos nuostatas, blokavimą, buvo pašalintas. Nedideli pažeidimai apima galimus pažeidžiamumus, priedų diegimą be vartotojo žinios, metaduomenų manipuliavimą, vartotojo duomenų politikos pažeidimus ir klaidinančias funkcijas.
  • Platformos versijoje Android aktyvuojant išplėstinį apsaugos režimą (AAPM, Android (Išplėstinės apsaugos režimas) išjungia „WebGPU JavaScript“ API. Svetainės, kurios naudoja „WebGPU“ 3D turiniui pateikti (pvz., „Google“ žemėlapiai), gali naudoti lėtesnes alternatyvas, pvz., „WebGL“ (5.78 % lėtesnė bandymų metu). „navigator.gpu“ savybė gali būti naudojama norint nustatyti, ar „WebGPU“ yra išjungtas.
  • Versijoje, skirtoje Android Kai įjungtas patobulintas saugus naršymas, atliekama vietinė naršyklės išvaizdos analizė, siekiant nustatyti sukčiavimo požymius. Jei vietinės patikros metu aptinkamas įtariamas abejotinas turinys, atliekama papildoma patikra „Google“ serveriuose, o jei ji patvirtinama, naudotojui rodomas įspėjimas.
  • Pridėta „Origin“ API sąsaja, teikianti „Origin“ objektą, kuris įgyvendina „Web Origin“ koncepciją ir siūlo metodus „Web Origin“ palyginimui, serializavimui ir analizei. Terminas „Web Origin“ apibrėžtas RFC 6454, siekiant atskirti turinio izoliaciją nuo pasitikėjimo ribų. „Web Origin“ apima URL dalį su protokolo pavadinimu, pagrindinio kompiuterio pavadinimu ir prievado numeriu (pvz., https://opennet.ru). Ši nauja API sąsaja buvo įdiegta siekiant suvienodinti operacijas su „Web Origins“ ir pašalinti pažeidžiamumus, atsirandančius dėl neteisingo serializuotų „Web Origins“ ASCII vaizdų palyginimo nustatant, ar ištekliai priklauso tai pačiai svetainei.
  • Prieigos prie vietinės sistemos teisės sąveikaujant su viešomis svetainėmis yra atskirtos. Užklausos iš svetainės į Mano IP adresas Vietinio tinklo (intraneto arba vidinių adresų) ir kilpinės sąsajos (127.0.0.0/8) užklausos dabar apdorojamos naudojant skirtingus leidimus (vietinio tinklo ir kilpinės sąsajos tinklo), todėl vartotojas turi patvirtinti operaciją specialiame dialogo lange. Apsauga taikoma bandymams atsisiųsti išteklius, „fetch()“ užklausoms ir „iframe“ įterpimams. Užpuolikai išnaudoja vidinių išteklių užklausas, kad atliktų CSRF atakas prieš maršrutizatorius, prieigos taškus, spausdintuvus, įmonės žiniatinklio sąsajas ir kitus įrenginius bei paslaugas, kurios priima užklausas tik iš vietinio tinklo. Be to, vidinių išteklių nuskaitymas gali būti naudojamas netiesioginiam identifikavimui arba informacijai apie vietinį tinklą rinkti.
  • Nustatymas „UserAgentReduction“, kuris leido vėl perduoti neapkarpytą „User-Agent“ HTTP antraštę ir „JavaScript“ parametrus „navigator.userAgent“, „navigator.appVersion“ ir „navigator.platform“, buvo pašalintas. Dabar naršyklė visada perduoda sutrumpintą „User-Agent“ antraštę be išsamios platformos informacijos (pvz., „Android 16; S" vietoj "Android 16; SM-A205U).
  • Integruota PDF peržiūros programa dabar palaiko dokumentų išsaugojimą „Google“ disko debesies saugykloje. „Google“ diske dokumentai iš „Chrome“ išsaugomi aplanke „Išsaugota iš „Chrome“.
  • „LayoutShift“ API, kuri seka DOM elementų padėties ekrane pokyčius, buvo pakeista taip, kad informacija būtų rodoma CSS pikseliais, o ne ekrano pikseliais. CSS pikseliai atsižvelgia į ekrano DPI ir yra vizualiai vienodi visuose ekranuose, įskaitant monitorius su dideliu pikselių tankiu. Šis pakeitimas buvo atliktas siekiant suderinti „Chrome“ su kitomis naršyklėmis.
  • „Controlled Frame“ API sąsajai buvo įdiegtas „WebRequest.SecurityInfo“ metodas, leidžiantis žiniatinklio programai perimti HTTPS, WSS arba „WebTransport“ užklausą serveriui ir gauti sertifikato piršto atspaudą. serveris ir naudokite jį rankiniu būdu, kad patikrintumėte sertifikatą, naudojamą tiesioginiam ryšiui su tuo pačiu serveriu per TCP/UDP.
  • Pridėta CSS savybių „column-wrap“ ir „column-height“ palaikymas, apibrėžtoms CSS daugiasluoksnio išdėstymo 2 specifikacijoje. Savybė „column-wrap“ leidžia stulpeliams apsivynioti į naują eilutę, o ne slinkti horizontaliai, jei stulpeliai netelpa į aukštį, nurodytą savybės „column-height“.
  • Pridėta CSS savybė „text-justify“, kuri leidžia nurodyti teksto lygiavimo tipą naudojant „text-align: justify“;
  • CSS raidžių ir žodžių tarpų ypatybės leidžia nurodyti įtraukos dydį procentais.
  • „JavaScript Map“ ir „WeakMap“ objektai įgyvendina „upsert“ specifikaciją, supaprastindami darbą su raktų/reikšmių porų rinkiniais. Pridėti metodai „getOrInsert“ ir „getOrInsertComputed“, kurie grąžina reikšmę, jau esančią rinkinyje, susietame su nurodytu raktu, arba sukuria naują įrašą, jei raktas nerandamas.
  • „IndexedDB“ API įgyvendinimas buvo perrašytas naudojant „SQLite“ duomenų bazę kaip vidinę sistemą (ankstesnė įgyvendinimas rėmėsi „LevelDB“ atskirais failais). Naujasis įgyvendinimas šiuo metu naudojamas tik atminties kontekstuose, pavyzdžiui, inkognito režimu.
  • Patobulinti žiniatinklio kūrėjų įrankiai. Galimybė apriboti atskirų tinklo užklausų greitį dabar įjungta pagal numatytuosius nustatymus tinklo tikrinimo sąsajos skydelyje „Užklausų sąlygos“.

Be naujų funkcijų ir klaidų ištaisymų, naujoje versijoje ištaisytos 11 pažeidžiamumų. Daugelis pažeidžiamumų buvo nustatyti atliekant automatinius testus naudojant „AddressSanitizer“, „MemorySanitizer“, „Control Flow Integrity“, „LibFuzzer“ ir AFL. Nebuvo nustatyta jokių kritinių problemų, kurios leistų apeiti visus naršyklės apsaugos sluoksnius ir vykdyti kodą už smėlio dėžės aplinkos ribų. Pagal dabartinio leidimo pažeidžiamumų atlygio programą, „Google“ įsteigė 11 apdovanojimų ir skyrė 18 500 USD (po vieną atlygį – 8 000 USD, 5 000 USD, 2 000 USD ir 500 USD, bei tris apdovanojimus po 1 000 USD). Keturių apdovanojimų suma dar nenustatyta.

Šaltinis: opennet.ru

Pirkite patikimą prieglobą svetainėms su DDoS apsauga, VPS VDS serveriais 🔥 Įsigykite patikimą svetainių talpinimą su DDoS apsauga, VPS VDS serveriais | ProHoster