Google ir prezentÄjis tÄ«mekļa pÄrlÅ«kprogrammas Chrome 102 izlaidumu. TajÄ paÅ”Ä laikÄ ir pieejams stabils bezmaksas Chromium projekta izlaidums, kas kalpo par Chrome pamatu. PÄrlÅ«kprogramma Chrome atŔķiras no Chromium ar Google logotipu izmantoÅ”anu, sistÄmas klÄtbÅ«tni paziÅojumu nosÅ«tÄ«Å”anai avÄrijas gadÄ«jumÄ, moduļiem pret kopÄÅ”anu aizsargÄta video satura atskaÅoÅ”anai (DRM), sistÄmu automÄtiskai atjauninÄjumu instalÄÅ”anai, pastÄvÄ«gi iespÄjojot smilÅ”kastes izolÄciju. , piegÄdÄjot atslÄgas Google API un pÄrsÅ«tot RLZ meklÄÅ”anas laikÄ. Tiem, kam ir nepiecieÅ”ams vairÄk laika, lai atjauninÄtu, paplaÅ”inÄtÄ stabilÄ filiÄle tiek atbalstÄ«ta atseviŔķi, kam seko 8 nedÄļas. NÄkamais Chrome 103 laidiens ir paredzÄts 21. jÅ«nijÄ.
GalvenÄs izmaiÅas pÄrlÅ«kÄ Chrome 102:
- Lai bloÄ·Ätu ievainojamÄ«bu izmantoÅ”anu, kas raduÅ”Äs, piekļūstot jau atbrÄ«votajiem atmiÅas blokiem (use-after-free), parasto rÄdÄ«tÄju vietÄ sÄka izmantot MiraclePtr (raw_ptr) tipu. MiraclePtr nodroÅ”ina saistÄ«Å”anas norÄdes, kas veic papildu pÄrbaudes par piekļuvi atbrÄ«votajiem atmiÅas apgabaliem un avÄrijÄm, ja Å”Ädas piekļuves tiek atklÄtas. JaunÄs aizsardzÄ«bas metodes ietekme uz veiktspÄju un atmiÅas patÄriÅu tiek vÄrtÄta kÄ niecÄ«ga. MiraclePtr mehÄnisms nav piemÄrojams visos procesos, jo Ä«paÅ”i tas netiek izmantots renderÄÅ”anas procesos, taÄu tas var bÅ«tiski uzlabot droŔību. PiemÄram, paÅ”reizÄjÄ laidienÄ no 32 labotajÄm ievainojamÄ«bÄm 12 izraisÄ«ja lietoÅ”anas pÄc brÄ«vas lietoÅ”anas problÄmas.
- Ir mainÄ«ts interfeisa dizains ar informÄciju par lejupielÄdÄm. ApakÅ”ÄjÄs rindiÅas vietÄ ar datiem par lejupielÄdes gaitu panelim ar adreses joslu ir pievienots jauns indikators, noklikŔķinot uz tÄ, tiek parÄdÄ«ta failu lejupielÄdes gaita un vÄsture ar jau lejupielÄdÄto failu sarakstu. AtŔķirÄ«bÄ no apakÅ”ÄjÄ paneļa, poga pastÄvÄ«gi tiek rÄdÄ«ta panelÄ« un ļauj Ätri piekļūt lejupielÄdes vÄsturei. JaunÄ saskarne paÅ”laik pÄc noklusÄjuma tiek piedÄvÄta tikai dažiem lietotÄjiem un tiks paplaÅ”inÄta uz visiem, ja nebÅ«s problÄmu. Lai atgrieztu veco saskarni vai iespÄjotu jaunu, tiek nodroÅ”inÄts iestatÄ«jums āchrome://flags#download-bubbleā.
- MeklÄjot attÄlus konteksta izvÄlnÄ (āMeklÄt attÄlu, izmantojot Google Lensā vai āAtrast, izmantojot Google Lensā), rezultÄti tagad tiek rÄdÄ«ti nevis atseviÅ”Ä·Ä lapÄ, bet gan sÄnjoslÄ blakus sÄkotnÄjÄs lapas saturam ( vienÄ logÄ vienlaikus var redzÄt gan lapas saturu, gan piekļūŔanas meklÄtÄjprogrammai rezultÄtu).
- IestatÄ«jumu sadaÄ¼Ä "PrivÄtums un droŔība" ir pievienota sadaļa "PrivÄtuma ceļvedis", kurÄ ir vispÄrÄ«gs pÄrskats par galvenajiem iestatÄ«jumiem, kas ietekmÄ privÄtumu, ar detalizÄtiem paskaidrojumiem par katra iestatÄ«juma ietekmi. PiemÄram, sadaÄ¼Ä varat definÄt datu nosÅ«tÄ«Å”anas uz Google pakalpojumiem politiku, pÄrvaldÄ«t sinhronizÄciju, sÄ«kfailu apstrÄdi un vÄstures saglabÄÅ”anu. Funkcija tiek piedÄvÄta dažiem lietotÄjiem; lai to aktivizÄtu, varat izmantot iestatÄ«jumu āchrome://flags#privacy-guideā.
- Tiek nodroÅ”inÄta meklÄÅ”anas vÄstures un skatÄ«to lapu strukturÄÅ”ana. MÄÄ£inot meklÄt vÄlreiz, adreses joslÄ tiek parÄdÄ«ts mÄjiens āAtsÄkt ceļojumuā, kas ļauj turpinÄt meklÄÅ”anu no vietas, kur tÄ tika pÄrtraukta iepriekÅ”Äjo reizi.
- Chrome interneta veikalÄ ir pieejama lapa āPaplaÅ”inÄjumu sÄkuma komplektsā ar sÄkotnÄjo ieteicamo papildinÄjumu izvÄli.
- Testa režīmÄ ir iespÄjota CORS (Cross-Origin Resource Sharing) autorizÄcijas pieprasÄ«juma nosÅ«tÄ«Å”ana uz galveno vietnes serveri ar galveni āPiekļuve-kontrole-PieprasÄ«jums-Private-Network: trueā, kad lapa piekļūst resursam iekÅ”ÄjÄ tÄ«klÄ ( 192.168.xx , 10.xxx, 172.16.xx) vai vietÄjam resursdatoram (128.xxx). Apstiprinot darbÄ«bu, atbildot uz Å”o pieprasÄ«jumu, serverim ir jÄatgriež galvene āAccess-Control-Allow-Private-Network: trueā. Chrome versijÄ 102 apstiprinÄjuma rezultÄts vÄl neietekmÄ pieprasÄ«juma apstrÄdi ā ja apstiprinÄjuma nav, tÄ«mekļa konsolÄ tiek parÄdÄ«ts brÄ«dinÄjums, bet pats apakÅ”resursa pieprasÄ«jums netiek bloÄ·Äts. Ja no servera nav saÅemts apstiprinÄjums, bloÄ·ÄÅ”ana tiks iespÄjota tikai pÄc Chrome 105 izlaiÅ”anas. Lai iespÄjotu bloÄ·ÄÅ”anu iepriekÅ”Äjos laidienos, varat iespÄjot iestatÄ«jumu "chrome://flags/#private-network-access-respect-preflight- rezultÄti".
Servera pilnvaru pÄrbaude tika ieviesta, lai stiprinÄtu aizsardzÄ«bu pret uzbrukumiem, kas saistÄ«ti ar piekļuvi resursiem lokÄlajÄ tÄ«klÄ vai lietotÄja datorÄ (localhost) no skriptiem, kas ielÄdÄti, atverot vietni. Å Ädus pieprasÄ«jumus uzbrucÄji izmanto, lai veiktu CSRF uzbrukumus marÅ”rutÄtÄjiem, piekļuves punktiem, printeriem, uzÅÄmuma tÄ«mekļa saskarnÄm un citÄm ierÄ«cÄm un pakalpojumiem, kas pieÅem pieprasÄ«jumus tikai no lokÄlÄ tÄ«kla. Lai aizsargÄtu pret Å”Ädiem uzbrukumiem, ja iekÅ”ÄjÄ tÄ«klÄ tiek piekļūts kÄdiem apakÅ”resursiem, pÄrlÅ«kprogramma nosÅ«tÄ«s skaidru pieprasÄ«jumu atļaujai ielÄdÄt Å”os apakÅ”resursus.
- Atverot saites inkognito režīmÄ, izmantojot konteksta izvÄlni, daži parametri, kas ietekmÄ privÄtumu, tiek automÄtiski noÅemti no URL.
- Windows un Android atjauninÄjumu piegÄdes stratÄÄ£ija ir mainÄ«ta. Lai pilnÄ«gÄk salÄ«dzinÄtu jauno un veco laidienu darbÄ«bu, tagad lejupielÄdei tiek Ä£enerÄtas vairÄkas jaunÄs versijas bÅ«ves.
- TÄ«kla segmentÄcijas tehnoloÄ£ija ir stabilizÄta, lai aizsargÄtu pret metodÄm, kÄ izsekot lietotÄju kustÄ«bÄm starp vietnÄm, pamatojoties uz identifikatoru glabÄÅ”anu vietÄs, kas nav paredzÄtas pastÄvÄ«gai informÄcijas glabÄÅ”anai (āsupersÄ«kfailiā). TÄ kÄ keÅ”atmiÅÄ saglabÄtie resursi tiek glabÄti kopÄjÄ nosaukumvietÄ neatkarÄ«gi no sÄkotnÄjÄ domÄna, viena vietne var noteikt, ka cita vietne ielÄdÄ resursus, pÄrbaudot, vai Å”is resurss atrodas keÅ”atmiÅÄ. AizsardzÄ«bas pamatÄ ir tÄ«kla segmentÄcijas (Network Partitioning) izmantoÅ”ana, kuras bÅ«tÄ«ba ir pievienot koplietotajÄm keÅ”atmiÅÄm papildu ierakstu saistÄ«Å”anu ar domÄnu, no kura tiek atvÄrta galvenÄ lapa, kas ierobežo keÅ”atmiÅas pÄrklÄjumu tikai kustÄ«bas izsekoÅ”anas skriptiem. uz paÅ”reizÄjo vietni (skripts no iframe nevarÄs pÄrbaudÄ«t, vai resurss ir lejupielÄdÄts no citas vietnes). StÄvokļa koplietoÅ”ana aptver tÄ«kla savienojumus (HTTP/1, HTTP/2, HTTP/3, tÄ«mekļa ligzdu), DNS keÅ”atmiÅu, ALPN/HTTP2, TLS/HTTP3 datus, konfigurÄciju, lejupielÄdes un Expect-CT galvenes informÄciju.
- InstalÄtÄm atseviŔķÄm tÄ«mekļa lietojumprogrammÄm (PWA, Progressive Web App) ir iespÄjams mainÄ«t loga virsraksta apgabala dizainu, izmantojot Window Controls Overlay komponentus, kas paplaÅ”ina tÄ«mekļa lietojumprogrammas ekrÄna laukumu lÄ«dz visam logam. TÄ«mekļa lietojumprogramma var kontrolÄt visa loga renderÄÅ”anu un ievades apstrÄdi, izÅemot pÄrklÄjuma bloku ar standarta loga vadÄ«bas pogÄm (aizvÄrt, minimizÄt, palielinÄt), lai tÄ«mekļa lietojumprogrammai pieŔķirtu parastas darbvirsmas lietojumprogrammas izskatu.
- Veidlapu automÄtiskÄs aizpildes sistÄmÄ ir pievienots atbalsts virtuÄlo kredÄ«tkarÅ”u numuru Ä£enerÄÅ”anai laukos ar maksÄjumu rekvizÄ«tiem par precÄm interneta veikalos. VirtuÄlÄs kartes izmantoÅ”ana, kuras numurs tiek Ä£enerÄts katram maksÄjumam, ļauj nepÄrsÅ«tÄ«t datus par Ä«stu kredÄ«tkarti, bet gan nepiecieÅ”ams nodroÅ”inÄt nepiecieÅ”amo pakalpojumu no bankas. Funkcija paÅ”laik ir pieejama tikai ASV banku klientiem. Lai kontrolÄtu funkcijas iekļauÅ”anu, tiek piedÄvÄts iestatÄ«jums āchrome://flags/#autofill-enable-virtual-cardā.
- āCapture Handleā mehÄnisms ir aktivizÄts pÄc noklusÄjuma, ļaujot pÄrsÅ«tÄ«t informÄciju uz lietojumprogrammÄm, kas uzÅem video. API ļauj organizÄt mijiedarbÄ«bu starp lietojumprogrammÄm, kuru saturs ir ierakstÄ«ts, un lietojumprogrammÄm, kas veic ierakstÄ«Å”anu. PiemÄram, videokonferenÄu lietojumprogramma, kas uzÅem video prezentÄcijas pÄrraidÄ«Å”anai, var izgÅ«t informÄciju par prezentÄcijas vadÄ«klÄm un parÄdÄ«t tÄs video logÄ.
- SpekulatÄ«vo noteikumu atbalsts ir iespÄjots pÄc noklusÄjuma, nodroÅ”inot elastÄ«gu sintaksi, lai noteiktu, vai ar saiti saistÄ«tos datus var aktÄ«vi ielÄdÄt, pirms lietotÄjs noklikŔķina uz saites.
- MehÄnisms resursu iesaiÅoÅ”anai pakotnÄs Web Bundle formÄtÄ ir stabilizÄts, ļaujot palielinÄt liela skaita pavadfailu (CSS stilu, JavaScript, attÄlu, iframe) ielÄdes efektivitÄti. AtŔķirÄ«bÄ no Webpack formÄta pakotnÄm Web Bundle formÄtam ir Å”Ädas priekÅ”rocÄ«bas: HTTP keÅ”atmiÅÄ tiek saglabÄta nevis pati pakotne, bet gan tÄs sastÄvdaļas; JavaScript kompilÄcija un izpilde sÄkas, negaidot pakotnes pilnÄ«gu lejupielÄdi; Ir atļauts iekļaut papildu resursus, piemÄram, CSS un attÄlus, kas tÄ«mekļa pakotnÄ bÅ«tu jÄiekodÄ JavaScript virkÅu veidÄ.
- Ir iespÄjams definÄt PWA lietojumprogrammu kÄ noteiktu MIME tipu un failu paplaÅ”inÄjumu apstrÄdÄtÄju. PÄc saistÄ«Å”anas definÄÅ”anas, izmantojot manifesta lauku file_handlers, lietojumprogramma saÅems Ä«paÅ”u notikumu, kad lietotÄjs mÄÄ£inÄs atvÄrt ar lietojumprogrammu saistÄ«tu failu.
- Pievienots jauns inertais atribÅ«ts, kas ļauj atzÄ«mÄt daļu no DOM koka kÄ "neaktÄ«vu". Å ajÄ stÄvoklÄ« esoÅ”ajiem DOM mezgliem teksta atlases un rÄdÄ«tÄja kursora apdarinÄtÄji ir atspÄjoti, t.i. RÄdÄ«tÄja notikumi un lietotÄja atlasÄ«tie CSS rekvizÄ«ti vienmÄr ir iestatÄ«ti uz "nav". Ja mezglu varÄja rediÄ£Ät, tad inertÄ režīmÄ tas kļūst nerediÄ£Äjams.
- Pievienota navigÄcijas API, kas ļauj tÄ«mekļa lietojumprogrammÄm pÄrtvert logu navigÄcijas darbÄ«bas, uzsÄkt navigÄciju un analizÄt darbÄ«bu vÄsturi ar lietojumprogrammu. API nodroÅ”ina alternatÄ«vu rekvizÄ«tiem window.history un window.location, kas optimizÄts vienas lapas tÄ«mekļa lietojumprogrammÄm.
- AtribÅ«tam "slÄpts" ir ierosinÄts jauns karodziÅÅ” "lÄ«dz atrasts", kas padara elementu meklÄjamu lapÄ un ritinÄmu, izmantojot teksta masku. PiemÄram, lapai var pievienot slÄptu tekstu, kura saturs tiks atrasts vietÄjÄ meklÄÅ”anÄ.
- WebHID API, kas paredzÄts zema lÄ«meÅa piekļuvei HID ierÄ«cÄm (cilvÄka interfeisa ierÄ«cÄm, tastatÅ«rÄm, pelÄm, spÄļu paneļiem, skÄrienpaliktÅiem) un darba organizÄÅ”anai bez Ä«paÅ”u draiveru klÄtbÅ«tnes sistÄmÄ, rekvizÄ«ts exclusionFilters ir pievienots rekvizÄ«tam requestDevice( ) objektu, kas ļauj izslÄgt noteiktas ierÄ«ces, kad pÄrlÅ«kprogramma parÄda pieejamo ierÄ«Äu sarakstu. PiemÄram, varat izslÄgt ierÄ«Äu ID, kurÄm ir zinÄmas problÄmas.
- Ir aizliegts parÄdÄ«t maksÄjuma veidlapu, izsaucot PaymentRequest.show() bez skaidras lietotÄja darbÄ«bas, piemÄram, noklikŔķinot uz elementa, kas saistÄ«ts ar apstrÄdÄtÄju.
- Ir pÄrtraukts atbalsts alternatÄ«vai SDP (sesijas apraksta protokola) protokola ievieÅ”anai, ko izmanto sesijas izveidei WebRTC. Chrome piedÄvÄja divas SDP opcijas ā apvienotas ar citÄm pÄrlÅ«kprogrammÄm un Chrome specifiskas. TurpmÄk ir palikusi tikai portatÄ«vÄ iespÄja.
- Ir veikti tÄ«mekļa izstrÄdÄtÄju rÄ«ku uzlabojumi. Stili panelim ir pievienotas pogas, lai simulÄtu tumÅ”as un gaiÅ”as tÄmas izmantoÅ”anu. Cilnes PriekÅ”skatÄ«jums aizsardzÄ«ba tÄ«kla pÄrbaudes režīmÄ ir pastiprinÄta (ir iespÄjota satura droŔības politikas pielietoÅ”ana). AtkļūdotÄjs ievieÅ” skripta pÄrtraukÅ”anu, lai atkÄrtoti ielÄdÄtu pÄrtraukumpunktus. Ir ierosinÄta jaunÄ paneļa āPerformance insightsā provizoriska ievieÅ”ana, kas ļauj analizÄt noteiktu lapas darbÄ«bu veiktspÄju.
Papildus jauninÄjumiem un kļūdu labojumiem jaunÄ versija novÄrÅ” 32 ievainojamÄ«bas. Daudzas ievainojamÄ«bas tika identificÄtas automatizÄtas testÄÅ”anas rezultÄtÄ, izmantojot AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer un AFL rÄ«kus. Vienai no problÄmÄm (CVE-2022-1853) ir pieŔķirts kritisks bÄ«stamÄ«bas lÄ«menis, kas nozÄ«mÄ iespÄju apiet visus pÄrlÅ«kprogrammas aizsardzÄ«bas lÄ«meÅus un izpildÄ«t kodu sistÄmÄ Ärpus smilÅ”kastes vides. SÄ«kÄka informÄcija par Å”o ievainojamÄ«bu vÄl nav izpausta; ir zinÄms tikai tas, ka to izraisa piekļuve atbrÄ«votam atmiÅas blokam (izmantot pÄc brÄ«vas lietoÅ”anas) indeksÄtÄ DB API ievieÅ”anÄ.
KÄ daļu no naudas atlÄ«dzÄ«bas programmas par paÅ”reizÄjÄ laidiena ievainojamÄ«bu atklÄÅ”anu, Google izmaksÄja 24 balvas 65600 10000 USD vÄrtÄ«bÄ (viena 7500 7000 USD balva, viena 5000 USD balva, divas 3000 USD balvas, trÄ«s 2000 USD balvas, Äetras 1000 USD balvas, divas 500 USD, 7 divas XNUMX USD XNUMX USD prÄmijas). XNUMX atlÄ«dzÄ«bas lielums vÄl nav noteikts.
Avots: opennet.ru