ProHoster > блог > интернет вести > Издание на Chrome 102

Издание на Chrome 102

Google го претстави објавувањето на веб-прелистувачот Chrome 102. Во исто време, достапно е стабилно издание на бесплатниот проект Chromium, кој служи како основа на Chrome. Прелистувачот Chrome се разликува од Chromium по употребата на логоа на Google, присуството на систем за испраќање известувања во случај на пад, модули за репродукција на видео содржини заштитени со копирање (DRM), систем за автоматско инсталирање ажурирања, трајно овозможување изолација на Sandbox , снабдување клучеви на Google API и пренесување RLZ- при пребарување. За оние на кои им треба повеќе време за ажурирање, одделно е поддржана гранката Extended Stable, по што следуваат 8 недели. Следното издание на Chrome 103 е закажано за 21-ви јуни.

Клучни промени во Chrome 102:

  • За да се блокира експлоатацијата на пропусти предизвикани од пристап до веќе ослободени мемориски блокови (користење-по-слободно), наместо обични покажувачи, почна да се користи типот MiraclePtr (raw_ptr). MiraclePtr обезбедува врзување преку покажувачите што врши дополнителни проверки на пристапите до ослободените мемориски области и паѓа ако се откријат такви пристапи. Влијанието на новиот метод на заштита врз перформансите и потрошувачката на меморија се оценува како занемарливо. Механизмот MiraclePtr не е применлив во сите процеси, особено не се користи во процесите на рендерирање, но може значително да ја подобри безбедноста. На пример, во тековното издание, од 32 поправени пропусти, 12 беа предизвикани од проблеми со користење после бесплатно.
  • Променет е дизајнот на интерфејсот со информации за преземања. Наместо крајната линија со податоци за напредокот на преземањето, на панелот со лентата за адреси е додаден нов индикатор; кога ќе кликнете на него, се прикажува напредокот на преземањето датотеки и историја со список на веќе преземени датотеки. За разлика од долниот панел, копчето постојано се прикажува на панелот и ви овозможува брз пристап до историјата на преземања. Новиот интерфејс моментално стандардно се нуди само за некои корисници и ќе биде проширен на сите доколку нема проблеми. За да го вратите стариот интерфејс или да овозможите нов, обезбедена е поставката „chrome://flags#download-bubble“.
    Издание на Chrome 102
  • Кога пребарувате слики преку контекстното мени („Пребарај слика со Google Lens“ или „Најди преку Google Lens“), резултатите сега се прикажуваат не на посебна страница, туку во странична лента до содржината на оригиналната страница (во еден прозорец можете истовремено да ја видите и содржината на страницата и резултатот од пристапот до пребарувачот).
    Издание на Chrome 102
  • Во делот „Приватност и безбедност“ од поставките, додаден е дел „Водич за приватност“, кој нуди општ преглед на главните поставки кои влијаат на приватноста со детални објаснувања за влијанието на секоја поставка. На пример, во делот можете да ја дефинирате политиката за испраќање податоци до услугите на Google, да управувате со синхронизација, обработка на колачиња и зачувување историја. Функцијата им се нуди на некои корисници; за да ја активирате, можете да ја користите поставката „chrome://flags#privacy-guide“.
    Издание на Chrome 102
  • Обезбедено е структурирање на историјата на пребарување и прегледани страници. Кога ќе се обидете повторно да пребарувате, во лентата за адреси се прикажува навестување „Продолжи го своето патување“, што ви овозможува да го продолжите пребарувањето од местото каде што беше прекинато минатиот пат.
    Издание на Chrome 102
  • Веб-продавницата на Chrome нуди страница „Почетен комплет за наставки“ со првичен избор на препорачани додатоци.
  • Во режим на тестирање, испраќањето барање за авторизација CORS (Споделување ресурси со вкрстено потекло) до главниот сервер на страницата со заглавие „Access-Control-Request-Private-Network: true“ е овозможено кога страницата пристапува до ресурс на внатрешната мрежа ( 192.168.xx, 10.xxx, 172.16.xx) или на localhost (128.xxx). Кога ја потврдувате операцијата како одговор на ова барање, серверот мора да го врати заглавието „Access-Control-Allow-Private-Network: true“. Во верзијата 102 на Chrome, резултатот од потврдата сè уште не влијае на обработката на барањето - ако нема потврда, се прикажува предупредување во веб-конзолата, но самото барање за подресурс не е блокирано. Овозможувањето блокирање во отсуство на потврда од серверот не се очекува до објавувањето на Chrome 105. За да овозможите блокирање во претходните изданија, можете да ја овозможите поставката „chrome://flags/#private-network-access-respect-preflight- резултати“.

    Верификацијата на авторитетот од страна на серверот беше воведена за да се зајакне заштитата од напади поврзани со пристап до ресурси на локалната мрежа или на компјутерот на корисникот (локален хост) од скрипти вчитани при отворање на страницата. Ваквите барања напаѓачите ги користат за да извршат CSRF напади на рутери, пристапни точки, печатачи, корпоративни веб-интерфејси и други уреди и услуги кои прифаќаат барања само од локалната мрежа. За да се заштити од такви напади, доколку се пристапи до некои подресурси на внатрешната мрежа, прелистувачот ќе испрати експлицитно барање за дозвола за вчитување на овие подресурси.

  • Кога отворате врски во режим на инкогнито преку контекстното мени, некои параметри кои влијаат на приватноста автоматски се отстрануваат од URL-то.
  • Стратегијата за испорака на ажурирања за Windows и Android е променета. За поцелосно споредување на однесувањето на новите и старите изданија, сега се генерираат повеќе изданија на новата верзија за преземање.
  • Технологијата за сегментација на мрежата е стабилизирана за да се заштити од методите за следење на движењата на корисниците помеѓу страниците засновани на складирање идентификатори во области кои не се наменети за трајно складирање на информации („Суперколачиња“). Бидејќи кешираните ресурси се зачувани во заеднички именски простор, без оглед на изворниот домен, една локација може да утврди дека друга локација вчитува ресурси со проверка дали тој ресурс е во кешот. Заштитата се заснова на употреба на мрежна сегментација (Network Partitioning), чија суштина е да се додаде во споделените кешови дополнително врзување на записите до доменот од кој се отвора главната страница, што ја ограничува покриеноста на кешот само за скрипти за следење движења на тековната локација (скрипта од iframe нема да може да провери дали ресурсот е преземен од друга локација). Споделувањето на состојбата ги опфаќа мрежните врски (HTTP/1, HTTP/2, HTTP/3, веб-сокет), кешот на DNS, ALPN/HTTP2, TLS/HTTP3 податоци, конфигурација, преземања и информации за заглавието на Expect-CT.
  • За инсталирани самостојни веб-апликации (PWA, прогресивна веб-апликација), можно е да се промени дизајнот на областа за наслов на прозорецот со помош на компонентите за преклопување на контролите на прозорецот, кои ја прошируваат областа на екранот на веб-апликацијата до целиот прозорец. Веб-апликацијата може да го контролира прикажувањето и обработката на влезот на целиот прозорец, со исклучок на блокот за преклопување со стандардни контролни копчиња на прозорецот (затвори, минимизира, максимизира), за да и даде на веб-апликацијата изглед на обична десктоп апликација.
    Издание на Chrome 102
  • Во системот за автоматско пополнување на формата, додадена е поддршка за генерирање броеви на виртуелни кредитни картички во полиња со детали за плаќање за стоки во онлајн продавници. Користењето на виртуелна картичка, чиј број се генерира за секое плаќање, ви овозможува да не пренесувате податоци за вистинска кредитна картичка, туку бара обезбедување на потребната услуга од страна на банката. Функцијата моментално е достапна само за клиентите на американските банки. За да го контролирате вклучувањето на функцијата, предложена е поставката „chrome://flags/#autofill-enable-virtual-card“.
  • Механизмот „Рачка за снимање“ е стандардно активиран, што ви овозможува да пренесувате информации до апликациите што снимаат видео. API овозможува организирање на интеракцијата помеѓу апликациите чија содржина е снимена и апликациите кои вршат снимање. На пример, апликација за видео конференции која снима видео за емитување презентација може да добие информации за контролите за презентација и да ги прикаже во видео прозорецот.
  • Поддршката за шпекулативни правила е стандардно овозможена, обезбедувајќи флексибилна синтакса за одредување дали податоците поврзани со врската може проактивно да се вчитаат пред корисникот да кликне на врската.
  • Механизмот за пакување ресурси во пакети во формат на Web Bundle е стабилизиран, овозможувајќи да се зголеми ефикасноста на вчитување на голем број придружни датотеки (стилови на CSS, JavaScript, слики, iframes). За разлика од пакетите во форматот Webpack, форматот на Web Bundle ги има следните предности: не е самиот пакет што се складира во кешот HTTP, туку неговите составни делови; компилацијата и извршувањето на JavaScript започнува без да се чека целосно да се преземе пакетот; Дозволено е да се вклучат дополнителни ресурси како што се CSS и слики, кои во веб-пакетот мораа да бидат кодирани во форма на стрингови JavaScript.
  • Можно е да се дефинира апликација PWA како управувач на одредени типови MIME и екстензии на датотеки. По дефинирањето на врзувањето преку полето file_handlers во манифестот, апликацијата ќе добие посебен настан кога корисникот ќе се обиде да отвори датотека поврзана со апликацијата.
  • Додаден е нов инертен атрибут кој ви овозможува да означите дел од дрвото DOM како „неактивен“. За јазлите на DOM во оваа состојба, селекцијата на текст и управувачите со лебдење на покажувачот се оневозможени, т.е. Покажувачите-настани и CSS својствата кои ги избира корисникот секогаш се поставени на „нема“. Ако некој јазол може да се уредува, тогаш во инертен режим станува неуредлив.
  • Додадено е Navigation API, кое им овозможува на веб-апликациите да пресретнуваат операции за навигација со прозорци, да иницираат навигација и да ја анализираат историјата на дејствата со апликацијата. API обезбедува алтернатива на својствата window.history и window.location, оптимизирани за веб-апликации на една страница.
  • Предложено е ново знаменце, „додека не се најде“ за атрибутот „скриен“, што го прави елементот може да се пребарува на страницата и да може да се прелистува по текст маска. На пример, можете да додадете скриен текст на страница, чија содржина ќе се најде во локалните пребарувања.
  • Во WebHID API, дизајниран за пристап на ниско ниво до уредите HID (уреди со човечки интерфејс, тастатури, глувци, подлоги за игри, подлоги за допир) и организирање работа без присуство на специфични двигатели во системот, својството exclusionFilters е додадено во requestDevice( ) објект, кој ви овозможува да исклучите одредени уреди кога прелистувачот прикажува список на достапни уреди. На пример, можете да исклучите идентификатори на уреди кои имаат познати проблеми.
  • Забрането е прикажување на формулар за плаќање преку повик до PaymentRequest.show() без експлицитно дејство на корисникот, на пример, кликнување на елемент поврзан со управувачот.
  • Поддршката за алтернативна имплементација на протоколот SDP (Session Description Protocol) што се користи за воспоставување сесија во WebRTC е прекината. Chrome понуди две SDP опции - унифицирани со други прелистувачи и специфични за Chrome. Отсега останува само преносната опција.
  • Направени се подобрувања на алатките за веб-програмери. Додадени се копчиња на панелот Стилови за да се симулира употребата на темна и светла тема. Зајакната е заштитата на картичката Преглед во режимот за проверка на мрежата (овозможена е примена на Политика за безбедност на содржината). Дебагерот имплементира завршување на скриптата за повторно вчитување точки на прекин. Предложена е прелиминарна имплементација на новиот панел „Увид во перформансите“, кој ви овозможува да ги анализирате перформансите на одредени операции на страницата.
    Издание на Chrome 102

Покрај иновациите и поправените грешки, новата верзија елиминира 32 пропусти. Многу од ранливостите беа идентификувани како резултат на автоматско тестирање со помош на алатките AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. На еден од проблемите (CVE-2022-1853) му е доделено критично ниво на опасност, што подразбира можност да се заобиколат сите нивоа на заштита на прелистувачот и да се изврши код на системот надвор од околината на песокот. Деталите за оваа ранливост сè уште не се откриени; познато е само дека е предизвикана од пристап до ослободен мемориски блок (користење-по-бесплатно) во имплементацијата на Indexed DB API.

Како дел од програмата за парични награди за откривање ранливости за тековното издание, Google плати 24 награди во вредност од 65600 долари (една награда од 10000 долари, една награда од 7500 долари, две награди од 7000 долари, три награди од 5000 долари, четири награди од 3000 долари, две награди од 2000 долари, две награди од 1000 долари. бонуси од 500 долари). Големината на 7-те награди сè уште не е одредена.

Извор: opennet.ru

Додадете коментар