„Google“ išleido 142 „Chrome“ žiniatinklio naršyklės versiją. Taip pat galima įsigyti stabilią atvirojo kodo „Chromium“ projekto, „Chrome“ pagrindo, versiją. „Chrome“ nuo „Chromium“ skiriasi tuo, kad naudoja „Google“ logotipus, turi gedimų pranešimų sistemą, modulius, skirtus kopijavimo apsaugotam vaizdo įrašų turiniui (DRM) leisti, automatinį naujinimų diegimą, visada įjungtą „smėlio dėžės“ izoliaciją, „Google“ API raktų teikimą ir RLZ parametrų perdavimą paieškos metu. Tiems, kuriems reikia daugiau laiko atnaujinimams, aštuonias savaites palaikoma atskira išplėstinė stabili šaka. Kita versija, „Chrome 143“, numatyta gruodžio 2 d.
Pagrindiniai „Chrome 142“ pakeitimai:
- Vietinės sistemos prieigos apsauga įjungiama sąveikaujant su viešomis svetainėmis. Kai jungiamasi prie svetainės viešajame arba vidiniame tinkle (intranete), Mano IP adresas Prisijungus prie vietinės sistemos arba kilpinės sąsajos (127.0.0.0/8), naršyklė vartotojui parodys patvirtinimo dialogo langą. Apsauga taikoma bandymams atsisiųsti išteklius, „fetch()“ užklausoms ir „iframe“ įterpimams. Apsauga šiuo metu netaikoma ryšiams per „WebSockets“, „WebTransport“ ir „WebRTC“, tačiau šioms technologijoms ji bus pridėta vėliau.
Užpuolikai išnaudoja vidinių išteklių prieigą, kad atliktų CSRF atakas prieš maršrutizatorius, prieigos taškus, spausdintuvus, įmonių žiniatinklio sąsajas ir kitus įrenginius bei paslaugas, kurios priima užklausas tik iš vietinio tinklo. Be to, vidinių išteklių nuskaitymas gali būti naudojamas netiesioginiam identifikavimui arba informacijos apie vietinį tinklą rinkimui.
- Įdiegta viena supaprastinta sąsaja, skirta susieti su „Google“ paskyra ir sinchronizuoti duomenis, pvz., išsaugotus slaptažodžius ir žymes. Sinchronizavimas integruotas su paskyros prisijungimu ir nėra pateikiamas kaip atskira parinktis nustatymuose. Vartotojai gali prijungti „Chrome“ prie savo „Google“ paskyros ir naudoti ją slaptažodžiams, žymėms, naršymo istorijai ir skirtukams saugoti. Ši funkcija šiuo metu aktyvi kai kuriems vartotojams ir bus palaipsniui plečiama.
- Naudojamas naujas procesų izoliavimo modelis – „Pradinės kilmės izoliavimas“, kuriame kiekvienas turinio šaltinis (pradinė kilmės šalis – protokolų paketas, domenas ir prievadas, pavyzdžiui, „https://foo.example.com“), yra izoliuojamas atskirame vaizdavimo procese. Kadangi padidinus izoliacijos detalumą gali padidėti atminties sunaudojimas ir procesoriaus apkrova, naujas izoliacijos režimas įjungiamas tik sistemose, turinčiose daugiau nei 4 GB RAM. Mažos galios aparatinėje įrangoje ir toliau bus naudojamas senasis izoliacijos metodas, kuris atskirame procese izoliuoja visus skirtingus turinio šaltinius, susietus su viena svetaine (pvz., foo.example.com ir bar.example.com).
- Sistemose su Windows и macOSProgramoms, kurios nenaudoja centralizuoto „Chrome“ valdymo, įdiegėme automatinį priverstinai įdiegtų naršyklės priedų, kurie pažeidžia nedidelius „Chrome“ internetinės parduotuvės politikos pažeidimus, išjungimą. Nedideli pažeidimai apima galimus pažeidžiamumus, be naudotojo žinios įdiegtus priedus, metaduomenų manipuliavimą, naudotojo duomenų politikos pažeidimus ir klaidinančias funkcijas. Naudotojai gali atkurti išjungtus priedus, jei to pageidauja.
- Versijoje, skirtoje AndroidPanašiai kaip ir darbalaukio versijose, įdiegtas įspėjimas apie apgaulingus puslapius, kuriuos aptinka didelis kalbos modelis, pagrįstas turinio analize. Naršyklės patobulintame saugaus naršymo režime naudojamas dirbtinis intelektas. Dirbtinio intelekto modelis veikia kliento pusėje, tačiau aptikus įtariamą abejotiną turinį, atliekamas papildomas patikrinimas „Google“ serveriuose.
- Įdiegus DTLS (Datagram Transport Layer Security, TLS analogas UDP) protokolą, naudojamą „WebRTC“ ryšiams, naudojami postkvantiniai šifravimo algoritmai.
- Aktyvinimo būsena, nustatyta vartotojo veiklos puslapyje metu, dabar išsaugoma ir naršant į kitą to paties domeno puslapį. Aktyvinimo išsaugojimas supaprastins kelių puslapių žiniatinklio programų kūrimą ir išspręs tokias problemas kaip įvesties fokusavimo nustatymas, kai svetainėje rodoma virtuali klaviatūra.
- Pridėtos CSS pseudoklasės „:target-before“ ir „:target-after“, skirtos apibrėžti ankstesnius ir kitus žymeklius dabartinės slinkimo pozicijos („:target-current“) atžvilgiu.
- Stilių konteineriai (@container) ir funkcija if() dabar palaiko diapazono sintaksę, apibrėžtą „Media Queries Level 4“ specifikacijoje, kuri leidžia naudoti standartinius matematinius palyginimo operatorius ir loginius operatorius reikšmių diapazonams apibrėžti. Pavyzdžiui, dabar galite nurodyti „@container style(—inner-padding > 1em)“ ir „background-color: if(style(attr(data-columns, type ) > 2): šviesiai mėlyna; kitaip: balta);"
- Elementai „ “ ir „ “ dabar palaiko atributą „interestfor“. Šį atributą galima naudoti veiksmams, pvz., iššokančiojo lango rodymui, suaktyvinti, kai vartotojas parodo susidomėjimą elementu. Naršyklė atpažįsta tokius įvykius kaip žymeklio užvedimas ir laikymas virš elemento, karštųjų klavišų paspaudimas arba lietimo palaikymas jutikliniame ekrane kaip susidomėjimo rodiklius. Kai identifikuojamas elementas su atributu „interestfor“, naršyklė sugeneruoja „InterestEvent“.
- Patobulinti žiniatinklio kūrėjo įrankiai. Viršutiniame dešiniajame kampe pridėtas DI asistento greito paleidimo mygtukas. Kontekstinio meniu elementas „Klausti DI“ pervadintas į „Derinti naudojant DI“ ir išplėstas, kad būtų galima atlikti neatidėliotinus veiksmus, atsižvelgiant į kontekstą. Žiniatinklio konsolėje ir kodo skydelyje „Gemini“ DI asistentas dabar gali generuoti rekomendacijas naudodamas kodą.
Žiniatinklio kūrėjų įrankiai dabar integruojami su „Google“ kūrėjų programa (GDP). Kūrėjai dabar gali pasiekti savo GDP profilį tiesiai iš „Chrome DevTools“ ir gauti atlygį už konkrečių užduočių atlikimą šioje sąsajoje.
Be naujų funkcijų ir klaidų ištaisymų, naujoje versijoje ištaisyta 20 pažeidžiamumų. Daugelis pažeidžiamumų buvo nustatyti atliekant automatinius testus naudojant „AddressSanitizer“, „MemorySanitizer“, „Control Flow Integrity“, „LibFuzzer“ ir AFL. Nebuvo nustatyta jokių kritinių problemų, kurios leistų apeiti visus naršyklės apsaugos sluoksnius ir vykdyti kodą už smėlio dėžės aplinkos ribų. Pagal dabartinės versijos pažeidžiamumų premijų programą „Google“ nustatė 20 premijų, kurių bendra suma siekia 130 000 USD (dvi 50 000 USD premijas, vieną 10 000 USD premiją, tris 3 000 USD premijas, dvi 2 000 USD premijas ir tris 1 000 USD premijas). Aštuonių premijų sumos dar nenustatytos.
Be to, „Blink“ variklyje buvo aptikta nepataisyta spraga, dėl kurios naršyklė užstringa ir užstringa vykdant tam tikrą „JavaScript“ kodą. Pažeidžiamumą sukelia atvaizdavimo variklio architektūrinės problemos, susijusios su „document.title“ savybės atnaujinimo greičio apribojimo nebuvimu. Šis apribojimo trūkumas leidžia naudoti „document.title“ atlikti dešimtis milijonų DOM pakeitimų per sekundę. Dėl to sąsaja užstringa per kelias sekundes dėl blokuojamo pagrindinio srauto ir didelio atminties suvartojimo. Po 15–60 sekundžių naršyklė užstringa.
Šaltinis: opennet.ru
