Издание на Chrome 98

Google го претстави објавувањето на веб-прелистувачот Chrome 98. Во исто време, достапно е стабилно издание на бесплатниот проект Chromium, кој служи како основа на Chrome. Прелистувачот Chrome се одликува со употреба на логоа на Google, присуство на систем за испраќање известувања во случај на пад, модули за репродукција на видео содржини заштитени со копирање (DRM), систем за автоматско инсталирање ажурирања и пренос на RLZ параметри кога барајќи. Следното издание на Chrome 99 е закажано за 1-ви март.

Клучни промени во Chrome 98:

• Прелистувачот има своја продавница на коренски сертификати на органи за сертификација (Chrome Root Store), која ќе се користи наместо надворешни продавници специфични за секој оперативен систем. Продавницата е имплементирана слично како независната продавница на root сертификати во Firefox, која се користи како прва врска за проверка на синџирот на доверба на сертификати при отворање на сајтови преку HTTPS. Новата меморија сè уште не се користи стандардно. За да се олесни транзицијата на конфигурациите за складирање на системот и да се обезбеди преносливост, ќе има преоден период за време на кој Chrome Root Store ќе вклучи целосен избор на сертификати одобрени на повеќето поддржани платформи.
• Продолжува да се имплементира планот за зајакнување на заштитата од напади поврзани со пристап до ресурси на локалната мрежа или на компјутерот на корисникот (локален хост) од скрипти вчитани при отворањето на страницата. Ваквите барања напаѓачите ги користат за да извршат CSRF напади на рутери, пристапни точки, печатачи, корпоративни веб-интерфејси и други уреди и услуги кои прифаќаат барања само од локалната мрежа.

  За да се заштити од такви напади, доколку се пристапи до некои подресурси на внатрешната мрежа, прелистувачот ќе започне да испраќа експлицитно барање за дозвола за преземање на таквите подресурси. Барањето за дозволи се врши со испраќање на CORS (Споделување ресурси со вкрстено потекло) со наслов „Access-Control-Request-Private-Network: точно“ до главниот сервер на локацијата пред да пристапите до внатрешната мрежа или локалниот хост. Кога ја потврдувате операцијата како одговор на ова барање, серверот мора да го врати заглавието „Access-Control-Allow-Private-Network: true“. Во Chrome 98, проверката се спроведува во режим на тестирање и ако нема потврда, се прикажува предупредување во веб-конзолата, но самото барање за подресурс не е блокирано. Блокирањето не се планира да се овозможи додека не биде објавен Chrome 101.

• Поставките за сметката интегрираат алатки за управување со вклучувањето на Подобрено безбедно прелистување, кое активира дополнителни проверки за заштита од кражба на идентитет, злонамерни активности и други закани на Интернет. Кога ќе активирате режим во вашата сметка на Google, сега ќе ви биде побарано да го активирате режимот во Chrome.
• Додаден е модел за откривање обиди за фишинг на страната на клиентот, имплементиран со користење на платформата за машинско учење TFLite (TensorFlow Lite) и не бара испраќање податоци за да се изврши проверка на страната на Google (во овој случај, телеметријата се испраќа со информации за верзијата на моделот и пресметани тежини за секоја категорија) . Ако се открие обид за фишинг, на корисникот ќе му се покаже страница за предупредување пред да ја отвори сомнителната локација.
• Во Client Hints API, кој се развива како замена за заглавието User-Agent и ви овозможува селективно да испраќате податоци за одредени параметри на прелистувачот и системот (верзија, платформа, итн.) само по барање од серверот, можно е да се заменат фиктивни имиња во списокот со идентификатори на прелистувачот, според аналогии со механизмот GREASE (Генерирај случајни наставки и одржлива екстензибилност) што се користи во TLS. На пример, покрај „Хром“; v="98" и "Chromium"; v="98″' случаен идентификатор на непостоечки прелистувач '"(Не; Прелистувач"; v="12″' може да се додаде на списокот. Таквата замена ќе помогне да се идентификуваат проблемите со обработката на идентификаторите на непознати прелистувачи, што доведува до фактот дека алтернативните прелистувачи се принудени да се преправаат дека се други популарни прелистувачи за да ја заобиколат проверката на списоците на прифатливи прелистувачи.
• Почнувајќи од 17 јануари, веб-продавницата на Chrome веќе не прифаќа додатоци што ја користат верзијата 2023 на манифестот на Chrome. Новите додатоци сега ќе бидат прифатени само со третата верзија на манифестот. Програмерите на претходно додадени додатоци сè уште ќе можат да објавуваат ажурирања со втората верзија на манифестот. Целосното укинување на втората верзија на манифестот е планирано за јануари XNUMX година.
• Додадена е поддршка за векторски фонтови во боја во формат COLRv1 (подмножество на фонтови OpenType кои содржат, покрај векторските хидроглифи, слој со информации за боја), што може да се користи, на пример, за создавање емотикони во повеќе бои. За разлика од претходно поддржаниот формат COLRv0, COLRv1 сега има можност да користи градиенти, преклопувања и трансформации. Форматот обезбедува и компактна форма за складирање, обезбедува ефикасна компресија и овозможува повторна употреба на контурите, овозможувајќи значително намалување на големината на фонтот. На пример, фонтот Noto Color Emoji зафаќа 9MB во растерски формат и 1MB во векторски формат COLRv1.85.
• Режимот Origin Trials (експериментални карактеристики кои бараат посебно активирање) го имплементира Region Capture API, кој ви овозможува да го исечете снименото видео. На пример, може да биде потребно сечење во веб-апликации кои снимаат видео со содржината на нивната картичка, за да се отсече одредена содржина пред да се испрати. Origin Trial подразбира можност за работа со наведеното API од апликации преземени од localhost или 127.0.0.1, или по регистрирање и примање специјален токен кој важи ограничено време за одредена локација.
• Својството на CSS „contain-intrinsic-size“ сега ја поддржува вредноста „auto“, која ќе ја користи последната запаметена големина на елементот (кога се користи со „content-visibility: auto“, развивачот не мора да ја погодува рендерираната големина на елементот) .
• Додадено е својството AudioContext.outputLatency, преку кое можете да дознаете информации за предвиденото доцнење пред аудио излезот (одложувањето помеѓу барањето за аудио и почетокот на обработката на примените податоци од уредот за аудио излез).
• Својство на CSS шема на бои, што овозможува да се одреди во кои шеми на бои може правилно да се прикаже елементот („светло“, „темно“, „ден режим“ и „ноќен режим“), додаден е параметарот „единствен“ за да се спречат принудните шеми за промена на бојата за поединечни HTML елементи. На пример, ако наведете „div { шема на бои: само светло }“, тогаш само светлата тема ќе се користи за елементот div, дури и ако прелистувачот принудува темната тема да се овозможи.
• Додадена е поддршка за медиумски пребарувања со „динамичен опсег“ и „видео-динамичен опсег“ на CSS за да се утврди дали има екран што поддржува HDR (висок динамички опсег).
• Додадена е можност за избор дали да се отвори врска во нов таб, нов прозорец или скокачки прозорец во функцијата window.open(). Дополнително, својството window.statusbar.visible сега враќа „false“ за скокачки прозорци и „true“ за јазичиња и прозорци. const popup = window.open('_празно',,"'popup=1'); // Отвори во скокачки прозорец const tab = window.open('_blank',,"'popup=0'); // Отвори во табот
• Методот structuredClone() е имплементиран за прозорци и работници, што ви овозможува да креирате рекурзивни копии од објекти кои вклучуваат својства не само на наведениот објект, туку и на сите други објекти референцирани од тековниот објект.
• АПИ за веб-автентикација додаде поддршка за екстензијата за спецификација FIDO CTAP2, која ви овозможува да ја поставите минималната дозволена големина на PIN-кодот (minPinLength).
• За инсталирани самостојни веб-апликации, додадена е компонентата Преклопување на контролите на прозорецот, која ја проширува областа на екранот на апликацијата на целиот прозорец, вклучувајќи ја и областа за наслов, на која се стандардните контролни копчиња на прозорецот (затвори, минимизира, максимизира ) се надредени. Веб-апликацијата може да го контролира рендерирањето и обработката на внесување на целиот прозорец, освен блокот за преклопување со контролни копчиња на прозорецот.
• Додадено е својство за ракување со сигнали во WritableStreamDefaultController што враќа објект AbortSignal, кој може да се користи за веднаш да се прекине пишувањето на WritableStream без да се чека нивното завршување.
• WebRTC ја отстрани поддршката за механизмот за клучни договори SDES, кој беше отфрлен од IETF во 2013 година поради безбедносни грижи.
• Стандардно, U2F (Cryptotoken) API е оневозможен, кој претходно беше застарен и заменет со Web API за автентикација. U2F API ќе биде целосно отстранет во Chrome 104.
• Во директориумот API, полето installed_browser_version е застарено, заменето со ново поле pending_browser_version, кое се разликува по тоа што содржи информации за верзијата на прелистувачот, земајќи ги предвид преземените, но не применетите ажурирања (т.е. верзијата што ќе биде валидна по прелистувачот се рестартира).
• Отстранети се опциите што овозможија враќање на поддршката за TLS 1.0 и 1.1.
• Направени се подобрувања на алатките за веб-програмери. Додадено е јазиче за да се оцени работата на кешот Назад-напред, кој обезбедува инстант навигација кога се користат копчињата Назад и Напред. Додадена е способност за емулација на барања за медиуми со присилни бои. Додадени се копчиња во уредувачот Flexbox за поддршка на својствата на ред и обратна колона. Јазичето „Промени“ осигурува дека промените се прикажуваат по форматирањето на кодот, што го поедноставува парсирањето на минимизираните страници.

  Имплементацијата на панелот за преглед на кодот е ажурирана до изданието на уредувачот на код CodeMirror 6, кој значително ги подобрува перформансите на работа со многу големи датотеки (WASM, JavaScript), ги решава проблемите со случајни поместувања за време на навигацијата и ги подобрува препораките на системот за автоматско пополнување при уредување код. Способноста да се филтрира излезот по име или вредност на имотот е додадена на панелот за својства на CSS.

  

Покрај иновациите и поправените грешки, новата верзија елиминира 27 пропусти. Многу од ранливостите беа идентификувани како резултат на автоматско тестирање со помош на алатките AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Не се идентификувани критични проблеми што ќе овозможат да се заобиколат сите нивоа на заштита на прелистувачот и да се изврши код на системот надвор од околината на песокот. Како дел од програмата за парични награди за откривање на ранливости за тековното издание, Google плати 19 награди во вредност од 88 илјади долари (две награди од 20000 долари, една награда од 12000 долари, две награди од 7500 долари, четири награди од 1000 долари и по една од 7000, 5000 и 3000 долари.

Извор: opennet.ru