Chrome 102 хувилбар

Google Chrome 102 вэб хөтчийнхөө хувилбарыг танилцууллаа. ​​Үүний зэрэгцээ Chrome-ын үндэс болсон үнэгүй Chromium төслийн тогтвортой хувилбар гарч байна. Chrome хөтөч нь Google лого ашиглах, гэмтсэн тохиолдолд мэдэгдэл илгээх систем, хуулбарлахаас хамгаалагдсан видео контентыг тоглуулах модулиуд (DRM), шинэчлэлтүүдийг автоматаар суулгах систем, Sandbox тусгаарлалтыг бүрмөсөн идэвхжүүлэх зэргээрээ Chromium-аас ялгаатай. , Google API-д түлхүүр нийлүүлж, хайлт хийх үед RLZ-г дамжуулах.. параметрүүд. Шинэчлэхийн тулд илүү их цаг шаардагдах хүмүүст Өргөтгөсөн тогтвортой салбарыг тусад нь дэмждэг бөгөөд дараа нь 8 долоо хоног байна. Chrome 103-ын дараагийн хувилбарыг 21-р сарын XNUMX-нд гаргахаар төлөвлөж байна.

Chrome 102 дээрх үндсэн өөрчлөлтүүд:

• Аль хэдийн суллагдсан санах ойн блокуудад (дараа нь үнэгүй ашиглах) хандалтаас үүдэлтэй эмзэг байдлын ашиглалтыг хаахын тулд энгийн заагчийн оронд MiraclePtr (raw_ptr) төрлийг ашиглаж эхэлсэн. MiraclePtr нь суллагдсан санах ойн хэсгүүдэд хандах хандалтыг нэмэлт шалгалт хийдэг заагч дээр холбох боломжийг олгодог бөгөөд хэрэв ийм хандалт илэрсэн бол гацдаг. Хамгаалалтын шинэ аргын гүйцэтгэл болон санах ойн зарцуулалтад үзүүлэх нөлөөллийг үл тоомсорлож байна. MiraclePtr механизмыг бүх процесст ашиглах боломжгүй, ялангуяа рэндэрлэх процесст ашигладаггүй ч аюулгүй байдлыг эрс сайжруулж чадна. Жишээлбэл, одоогийн хувилбарт 32 сул талыг зассаны 12 нь ашиглалтын дараа үнэгүй асуудал үүсгэсэн байна.
• Татаж авах тухай мэдээлэл бүхий интерфейсийн дизайн өөрчлөгдсөн. Татаж авах явцын талаарх өгөгдлийн доод мөрийн оронд хаягийн мөр бүхий самбарт шинэ үзүүлэлт нэмэгдсэн бөгөөд үүн дээр дарахад файлуудыг татаж авах явц, аль хэдийн татагдсан файлуудын жагсаалт бүхий түүхийг харуулна. Доод талын самбараас ялгаатай нь товчлуур нь самбар дээр байнга харагддаг бөгөөд та татаж авсан түүхдээ хурдан хандах боломжийг олгодог. Шинэ интерфэйсийг одоогоор анхдагчаар зөвхөн зарим хэрэглэгчдэд санал болгож байгаа бөгөөд ямар ч асуудал гарахгүй бол бүгдэд нь сунгах болно. Хуучин интерфэйсийг буцаах эсвэл шинийг идэвхжүүлэхийн тулд "chrome://flags#download-bubble" тохиргоог хийнэ.
• Контекст цэсээр зураг хайх үед ("Google Lens-ээр зураг хайх" эсвэл "Google Lens-ээр хайх") үр дүнг одоо тусдаа хуудсан дээр биш, харин эх хуудасны агуулгын хажуугийн хажуугийн самбарт харуулдаг. Нэг цонхонд та хуудасны агуулга болон хайлтын системд нэвтрэх үр дүнг нэгэн зэрэг харах боломжтой).
• Тохиргооны "Нууцлал ба Аюулгүй байдал" хэсэгт "Нууцлалын гарын авлага" хэсгийг нэмсэн бөгөөд энэ нь нууцлалд нөлөөлж буй үндсэн тохиргоонуудын ерөнхий тойм, тохиргоо тус бүрийн нөлөөллийн дэлгэрэнгүй тайлбарыг санал болгодог. Жишээлбэл, энэ хэсэгт та Google-ийн үйлчилгээнд өгөгдөл илгээх, синхрончлол, күүки боловсруулах, түүхийг хадгалах бодлогыг тодорхойлох боломжтой. Энэ функцийг зарим хэрэглэгчдэд санал болгодог бөгөөд үүнийг идэвхжүүлэхийн тулд та "chrome://flags#privacy-guide" тохиргоог ашиглаж болно.
• Хайлтын түүх болон үзсэн хуудсуудын бүтцийг оруулсан болно. Та дахин хайлт хийхийг оролдох үед хаягийн мөрөнд "Аялаа үргэлжлүүлээрэй" гэсэн сануулга гарч ирэх бөгөөд энэ нь хамгийн сүүлд тасалдсан газраас хайлтыг үргэлжлүүлэх боломжийг олгоно.
• Chrome вэб дэлгүүр нь санал болгож буй нэмэлтүүдийн эхний сонголт бүхий "Өргөтгөлийн эхлэлийн хэрэгсэл" хуудсыг санал болгож байна.
• Туршилтын горимд "Хандалт-Хяналт-Хүсэлт-Хувийн-Сүлжээ: үнэн" гарчиг бүхий CORS (Гарал үүслийн эх сурвалж хуваалцах) зөвшөөрлийн хүсэлтийг сайтын үндсэн сервер рүү илгээх нь тухайн хуудас дотоод сүлжээн дэх нөөцөд хандах үед идэвхждэг. 192.168.xx , 10.xxx, 172.16.xx) эсвэл localhost руу (128.xxx). Энэ хүсэлтийн хариуд үйлдлийг баталгаажуулахдаа сервер нь "Хандалт-Хяналт-Зөвшөөрөх-Хувийн сүлжээ: үнэн" толгойг буцаах ёстой. Chrome-ын 102 хувилбарт баталгаажуулалтын үр дүн нь хүсэлтийг боловсруулахад хараахан нөлөөлөөгүй - хэрэв баталгаа байхгүй бол вэб консол дээр анхааруулга гарч ирэх боловч дэд нөөцийн хүсэлт өөрөө хаагдахгүй. Серверээс баталгаажуулаагүй тохиолдолд блоклохыг Chrome 105-ыг гаргах хүртэл хүлээхгүй. Өмнөх хувилбаруудад блоклохыг идэвхжүүлэхийн тулд "chrome://flags/#private-network-access-respect-preflight-" тохиргоог идэвхжүүлж болно. үр дүн".

  Сайт нээх үед ачаалагдсан скриптүүдээс дотоод сүлжээ эсвэл хэрэглэгчийн компьютер (localhost) дээрх нөөцөд хандахтай холбоотой халдлагаас хамгаалах хамгаалалтыг бэхжүүлэх зорилгоор серверийн эрх мэдлийг баталгаажуулсан. Ийм хүсэлтийг халдагчид чиглүүлэгч, хандалтын цэг, принтер, корпорацийн вэб интерфэйс болон зөвхөн дотоод сүлжээнээс хүсэлт хүлээн авдаг бусад төхөөрөмж, үйлчилгээнүүдэд CSRF халдлага үйлдэхэд ашигладаг. Ийм халдлагаас хамгаалахын тулд дотоод сүлжээнд ямар нэгэн дэд эх сурвалжид хандсан тохиолдолд хөтөч нь эдгээр дэд нөөцүүдийг ачаалах зөвшөөрөл хүссэн тодорхой хүсэлтийг илгээх болно.

• Контекст цэсээр дамжуулан нууцлалын горимд холбоосыг нээх үед нууцлалд нөлөөлдөг зарим параметрүүдийг URL-аас автоматаар устгадаг.
• Windows болон Android-д зориулсан шинэчлэлтийг хүргэх стратеги өөрчлөгдсөн. Шинэ болон хуучин хувилбаруудын үйл ажиллагааг бүрэн харьцуулахын тулд шинэ хувилбарын олон хувилбарыг татаж авахаар үүсгэсэн.
• Мэдээллийг байнга хадгалахад зориулагдаагүй газруудад таниулбаруудыг хадгалахад үндэслэн сайтуудын хооронд хэрэглэгчийн хөдөлгөөнийг хянах аргуудаас хамгаалахын тулд сүлжээний сегментчлэлийн технологийг тогтворжуулсан ("Супер күүки"). Кэшд хадгалагдсан нөөцүүд нь үүсгэсэн домайнаас үл хамааран нийтлэг нэрийн талбарт хадгалагддаг тул нэг сайт нь тухайн нөөц нь кэшэд байгаа эсэхийг шалгах замаар өөр сайт нөөцийг ачаалж байгааг тодорхойлох боломжтой. Хамгаалалт нь сүлжээний сегментчилэл (Сүлжээний хуваалт) ашиглахад суурилдаг бөгөөд үүний мөн чанар нь зөвхөн хөдөлгөөнийг хянах скриптүүдийн кэшийн хамрах хүрээг хязгаарладаг үндсэн хуудас нээгдэж буй домэйн руу нэмэлт бүртгэлийг хавсаргасан кэшүүдэд нэмэх явдал юм. одоогийн сайт руу (iframe-ийн скрипт нь нөөцийг өөр сайтаас татаж авсан эсэхийг шалгах боломжгүй). Төлөв хуваалцах нь сүлжээний холболтууд (HTTP/1, HTTP/2, HTTP/3, вэбсокет), DNS кэш, ALPN/HTTP2, TLS/HTTP3 өгөгдөл, тохиргоо, татан авалт, Expect-CT толгойн мэдээллийг хамарна.
• Суулгасан бие даасан вэб програмуудын (PWA, Progressive Web App) хувьд вэб програмын дэлгэцийн талбайг бүхэлд нь цонх хүртэл өргөжүүлдэг Window Controls Overlay бүрэлдэхүүн хэсгүүдийг ашиглан цонхны гарчгийн талбайн дизайныг өөрчлөх боломжтой. Вэб програм нь ердийн ширээний програмын дүр төрхийг өгөхийн тулд стандарт цонхны хяналтын товчлуурууд (хаах, багасгах, томруулах) бүхий давхарлах блокоос бусад бүх цонхны дүрслэл болон оролтын боловсруулалтыг хянах боломжтой.
• Маягтыг автоматаар бөглөх системд онлайн дэлгүүрийн барааны төлбөрийн дэлгэрэнгүй мэдээлэл бүхий талбарт виртуал зээлийн картын дугаар үүсгэх дэмжлэг нэмэгдсэн. Төлбөр бүрийн тоогоор үүсгэгддэг виртуал картыг ашиглах нь жинхэнэ зээлийн картын мэдээллийг шилжүүлэхгүй байх боломжийг олгодог боловч банкнаас шаардлагатай үйлчилгээг үзүүлэхийг шаарддаг. Энэ функцийг одоогоор зөвхөн АНУ-ын банкны харилцагчид ашиглах боломжтой. Функцийг оруулахыг хянахын тулд "chrome://flags/#autofill-enable-virtual-card" тохиргоог санал болгож байна.
• "Capture Handle" механизм нь анхдагчаар идэвхжсэн бөгөөд энэ нь танд видео бичлэг хийх програм руу мэдээлэл дамжуулах боломжийг олгоно. API нь агуулга нь бүртгэгдсэн програмууд болон бичлэг хийдэг програмуудын хоорондын харилцан үйлчлэлийг зохион байгуулах боломжийг олгодог. Жишээлбэл, үзүүлэнг дамжуулахын тулд видео бичлэг хийх видео хурлын програм нь үзүүлэнгийн удирдлагын талаарх мэдээллийг авч, видео цонхонд харуулах боломжтой.
• Таамаглалын дүрмийн дэмжлэг нь анхдагчаар идэвхжсэн бөгөөд хэрэглэгч холбоос дээр дарахаас өмнө холбоостой холбоотой өгөгдлийг идэвхтэй ачаалах эсэхийг тодорхойлох уян хатан синтаксийг хангадаг.
• Web Bundle форматаар нөөцийг багц болгон багцлах механизмыг тогтворжуулж, олон тооны дагалдах файлуудыг (CSS загвар, JavaScript, зураг, iframes) ачаалах үр ашгийг нэмэгдүүлэх боломжийг олгосон. Webpack форматын багцуудаас ялгаатай нь Web Bundle формат нь дараах давуу талуудтай: HTTP кэшэд багц өөрөө биш, харин түүний бүрэлдэхүүн хэсгүүд хадгалагддаг; JavaScript-ийн эмхэтгэл, гүйцэтгэл нь багцыг бүрэн татаж авахыг хүлээхгүйгээр эхэлдэг; Вэб багцад JavaScript стринг хэлбэрээр кодлогдсон байх шаардлагатай CSS болон зураг зэрэг нэмэлт эх сурвалжуудыг оруулахыг зөвшөөрнө.
• PWA програмыг тодорхой MIME төрөл болон файлын өргөтгөлүүдийг зохицуулагч гэж тодорхойлох боломжтой. Манифест дахь file_handlers талбараар холбохыг тодорхойлсны дараа хэрэглэгч програмтай холбоотой файлыг нээхийг оролдох үед програм нь тусгай үйл явдлыг хүлээн авах болно.
• DOM модны зарим хэсгийг "идэвхгүй" гэж тэмдэглэх боломжийг олгодог шинэ идэвхгүй шинж чанарыг нэмсэн. Энэ төлөвт байгаа DOM зангилааны хувьд текст сонгох болон заагч дээр хулганыг чиглүүлэх ажиллагааг идэвхгүй болгосон, i.e. Заагч үйл явдлууд болон хэрэглэгчийн сонгосон CSS шинж чанаруудыг үргэлж "байхгүй" гэж тохируулдаг. Хэрэв зангилаа засварлах боломжтой бол идэвхгүй горимд засварлах боломжгүй болно.
• Вэб аппликешнүүдэд цонхны навигацийн үйлдлийг таслан зогсоох, навигацийг эхлүүлэх, програмын үйл ажиллагааны түүхийг шинжлэх боломжийг олгодог Navigation API-г нэмсэн. API нь window.history болон window.location шинж чанаруудаас өөр хувилбараар хангадаг бөгөөд энэ нь нэг хуудас вэб программуудад зориулагдсан.
• "Нуугдсан" шинж чанарын хувьд "олдох хүртэл" гэсэн шинэ тугийг санал болгосон бөгөөд энэ нь тухайн элементийг хуудаснаас хайх, текстийн маскаар гүйлгэх боломжтой болгодог. Жишээлбэл, та хуудсанд далд текст нэмж оруулах боломжтой бөгөөд үүний агуулгыг орон нутгийн хайлтаас олох болно.
• HID төхөөрөмжүүдэд (хүний ​​интерфейсийн төхөөрөмж, гар, хулгана, тоглоомын самбар, мэдрэгчтэй самбар) доод түвшний хандалт хийх, системд тодорхой драйвергүйгээр ажлыг зохион байгуулахад зориулагдсан WebHID API-д exclusionFilters шинж чанарыг requestDevice-д нэмсэн. ) объект бөгөөд энэ нь хөтөч боломжтой төхөөрөмжүүдийн жагсаалтыг харуулах үед тодорхой төхөөрөмжүүдийг хасах боломжийг олгодог. Жишээлбэл, та асуудалтай байгаа төхөөрөмжийн ID-г хасч болно.
• PaymentRequest.show() руу залгах замаар төлбөрийн маягтыг хэрэглэгчийн тодорхой үйлдэлгүйгээр, жишээлбэл, зохицуулагчтай холбоотой элемент дээр дарахгүйгээр харуулахыг хориглоно.
• WebRTC дээр сесс үүсгэхэд ашигладаг SDP (Session Description Protocol) протоколыг өөр хувилбараар хэрэгжүүлэхэд дэмжлэг үзүүлэхээ больсон. Chrome нь бусад хөтчүүдтэй нэгдсэн болон Chrome-д зориулсан хоёр SDP сонголтыг санал болгосон. Одооноос зөвхөн зөөврийн сонголт л үлдлээ.
• Вэб хөгжүүлэгчдэд зориулсан хэрэгслүүдийг сайжруулсан. Харанхуй, цайвар загварыг ашиглахыг дуурайхын тулд Загварын самбарт товчлууруудыг нэмсэн. Сүлжээний шалгалтын горим дахь Урьдчилан харах цонхны хамгаалалтыг бэхжүүлсэн (Агуулгын аюулгүй байдлын бодлогыг идэвхжүүлсэн). Дибаг хийгч нь таслах цэгүүдийг дахин ачаалахын тулд скриптийг дуусгавар болгодог. Хуудас дээрх тодорхой үйлдлүүдийн гүйцэтгэлд дүн шинжилгээ хийх боломжийг олгодог шинэ "Гүйцэтгэлийн ойлголт" самбарын урьдчилсан хэрэгжилтийг санал болгов.

Инноваци, алдаа засахаас гадна шинэ хувилбар нь 32 сул талыг арилгасан. Ихэнх эмзэг байдлыг AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer болон AFL хэрэгслийг ашиглан автоматжуулсан туршилтын үр дүнд тодорхойлсон. Асуудлуудын нэг нь (CVE-2022-1853) аюулын эгзэгтэй түвшинд тогтоогдсон бөгөөд энэ нь хөтчийн бүх түвшний хамгаалалтыг давж гарах, хамгаалагдсан хязгаарлагдмал орчны орчноос гадуур систем дээр код ажиллуулах чадварыг илэрхийлдэг. Энэ эмзэг байдлын талаарх дэлгэрэнгүй мэдээлэл хараахан гараагүй байгаа бөгөөд энэ нь зөвхөн Indexed DB API хэрэгжүүлэлт дэх суллагдсан санах ойн блок (үнэгүй ашиглах) хандалтаас үүдэлтэй гэдгийг мэддэг.

Одоогийн хувилбарын сул талыг илрүүлсэн мөнгөн урамшууллын хөтөлбөрийн нэг хэсэг болгон Google 24 долларын үнэ бүхий 65600 шагнал (нэг нь 10000 долларын шагнал, нэг нь 7500 долларын шагнал, хоёр нь 7000 долларын шагнал, гурван 5000 долларын шагнал, дөрвөн 3000 долларын шагнал, хоёр долларын шагнал, 2000, 1000, 500, 7 ам. XNUMX долларын урамшуулал). XNUMX шагналын хэмжээг хараахан тогтоогоогүй байна.

Эх сурвалж: opennet.ru