Google Chrome вэб хөтчийн 142-р хувилбарыг гаргалаа. Chrome-ын үндэс болох нээлттэй эхийн Chromium төслийн тогтвортой хувилбар мөн бэлэн байна. Chrome нь Google лого, гэмтлийн мэдэгдлийн систем, хуулбарлахаас хамгаалагдсан видео контентыг тоглуулах модулиуд (DRM), автомат шинэчлэлт суулгах, үргэлж нээлттэй хамгаалагдсан хязгаарлагдмал орчинд тусгаарлах, Google API түлхүүрүүдийг бэлтгэх, хайлтын явцад RLZ параметрүүдийг дамжуулах зэргээрээ Chromium-аас ялгаатай. Шинэчлэхэд илүү их цаг хэрэгтэй байгаа хүмүүст зориулж тусдаа Өргөтгөсөн тогтвортой салбарыг найман долоо хоногийн турш ажиллуулдаг. Дараагийн хувилбар болох Chrome 143-ыг 8-р сарын 2-нд гаргахаар төлөвлөж байна.
Chrome 142 дээрх үндсэн өөрчлөлтүүд:
- Олон нийтийн вэбсайтуудтай харилцах үед орон нутгийн системд нэвтрэхээс хамгаалах хамгаалалт идэвхжсэн. Олон нийтийн эсвэл дотоод сүлжээнд (интранет) вэбсайтад хандах үед, IP хаягууд Хөтөч нь локал систем эсвэл loopback интерфэйс (127.0.0.0/8) руу хандах үед үйлдлийн баталгаажуулалтыг хүссэн хэрэглэгчдэд харилцах цонхыг харуулах болно. Нөөц татаж авах, fetch() хүсэлт болон iframe оруулга хийх оролдлогууд хамгаалалтад хамаарна. Хамгаалалтыг одоогоор WebSockets, WebTransport, болон WebRTC-ээр дамжуулан холболтуудад хэрэгжүүлээгүй боловч эдгээр технологиудад дараа нь нэмэх болно.
Халдагчид нь чиглүүлэгчид, хандалтын цэгүүд, принтерүүд, корпорацийн вэб интерфэйсүүд болон зөвхөн дотоод сүлжээний хүсэлтийг хүлээн авдаг бусад төхөөрөмж, үйлчилгээнүүдэд CSRF халдлага хийх зорилгоор дотоод нөөцийн хандалтыг ашигладаг. Цаашилбал, дотоод нөөцийг сканнердах нь шууд бус таних эсвэл дотоод сүлжээний талаарх мэдээллийг цуглуулахад ашиглагдаж болно.
- Google акаунттай холбогдох, хадгалсан нууц үг, хавчуурга гэх мэт өгөгдлийг синк хийх ганц хялбаршуулсан интерфэйсийг нэвтрүүлсэн. Синк хийх нь бүртгэлд нэвтрэхтэй нэгтгэгдсэн бөгөөд тохиргоонд тусдаа сонголт хэлбэрээр харагдахгүй. Хэрэглэгчид Chrome-ыг Google бүртгэлдээ холбож, нууц үг, хавчуурга, хайлтын түүх, табуудыг хадгалахад ашиглах боломжтой. Энэ функц нь одоогоор зарим хэрэглэгчдэд идэвхтэй байгаа бөгөөд аажмаар өргөжүүлэх болно.
- Шинэ процесс тусгаарлах загварыг ашиглаж байна - "Гарал үүслийн тусгаарлалт", үүнд контентын эх сурвалж бүр (гарал үүсэл - протоколоос багц, домэйн болон порт, жишээлбэл, "https://foo.example.com") нь тусдаа дүрслэх процесст тусгаарлагдсан байдаг. Тусгаарлалтын нягтралыг нэмэгдүүлэх нь санах ойн хэрэглээ болон CPU ачааллыг нэмэгдүүлэхэд хүргэдэг тул шинэ тусгаарлах горимыг зөвхөн 4 ГБ-аас дээш RAM-тай системүүд дээр идэвхжүүлдэг. Бага чадлын техник хангамж дээр хуучин тусгаарлах аргыг үргэлжлүүлэн ашиглах бөгөөд энэ нь нэг сайттай холбоотой бүх өөр өөр контентын эх сурвалжуудыг (жишээлбэл, foo.example.com болон bar.example.com) тусдаа процесст тусгаарладаг.
- Дараах системүүд дээр Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- -д зориулсан хувилбарт Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- WebRTC холболтод ашигладаг DTLS (Datagram Transport Layer Security, UDP-д зориулсан TLS аналог) протоколыг хэрэгжүүлэхэд квантын дараах шифрлэлтийн алгоритмуудыг ашигладаг.
- Хуудас дээрх хэрэглэгчийн үйл ажиллагааны явцад тохируулсан идэвхжүүлэлтийн статус нь ижил домэйн дээрх өөр хуудас руу шилжсэний дараа одоо хадгалагдана. Идэвхжүүлэлтийг хадгалах нь олон хуудастай вэб програмуудыг хөгжүүлэх ажлыг хялбарчилж, сайт виртуал гарыг харуулах үед оролтын фокусыг тохируулах зэрэг асуудлыг шийдвэрлэх болно.
- Одоогийн гүйлгэх байрлалтай (":target-current") өмнөх болон дараагийн тэмдэглэгээг тодорхойлохын тулд ":target-before" ба ":target-after" CSS псевдо ангиудыг нэмсэн.
- Загварын савнууд (@container) болон if() функц нь одоо Media Queries Level 4 тодорхойлолтод тодорхойлсон Range Syntax-ийг дэмждэг болсон бөгөөд энэ нь стандарт математикийн харьцуулах операторууд болон утгын мужийг тодорхойлох логик операторуудыг ашиглах боломжийг олгодог. Жишээлбэл, та одоо "@container style(—inner-padding > 1em)" болон "background-color: if(style(attr(data-columns, type))-г зааж өгч болно. ) > 2): цайвар цэнхэр; өөр: цагаан);"
- " " ба " " элементүүд одоо "interestfor" шинж чанарыг дэмждэг. Энэ шинж чанарыг хэрэглэгч тухайн элементийг сонирхох үед гарч ирэх цонхыг харуулах зэрэг үйлдлүүдийг эхлүүлэхэд ашиглаж болно. Хөтөч нь тухайн элемент дээр заагчийг аваачиж барих, халуун товчлуурыг дарах, мэдрэгчтэй дэлгэцэн дээр дарах зэрэг үйл явдлуудыг сонирхлын үзүүлэлт болгон хүлээн зөвшөөрдөг. "Interestfor" шинж чанартай элементийг тодорхойлох үед хөтөч нь InterestEvent үүсгэдэг.
- Вэб хөгжүүлэгчийн хэрэгсэлд сайжруулалт хийсэн. AI туслахыг хурдан эхлүүлэх товчлуур баруун дээд буланд нэмэгдсэн. "AI-аас асуух" контекст цэсийн зүйлийн нэрийг "AI ашиглан дибаг хийх" болгон өөрчилж, контекстээс хамааран шууд үйлдлүүд хийх боломжийг багтаасан болно. Вэб консол болон кодын самбар дээр Gemini AI туслах одоо кодтой зөвлөмж гаргах боломжтой.
Вэб хөгжүүлэгчийн хэрэгслүүд одоо Google Хөгжүүлэгчийн хөтөлбөртэй (ДНБ) нэгдэж байна. Хөгжүүлэгчид одоо Chrome DevTools-оос өөрийн ДНБ-ий профайлд шууд нэвтэрч, энэ интерфэйсийн хүрээнд тодорхой ажлуудыг гүйцэтгэсний төлөө шагнал авах боломжтой.
Шинэ боломжууд болон алдаа засахаас гадна шинэ хувилбар нь 20 сул талыг шийддэг. Ихэнх эмзэг байдлыг AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer, AFL ашиглан автоматжуулсан туршилтаар илрүүлсэн. Хөтчийн хамгаалалтын бүх давхаргыг алгасах, хамгаалагдсан хязгаарлагдмал орчны орчноос гадуур кодыг ажиллуулах ямар ч чухал асуудал илрээгүй. Одоогийн хувилбарын эмзэг байдлын урамшууллын хөтөлбөрийн нэг хэсэг болгон Google 130,000 ам.долларын 20 шагнал (хоёр 50,000 ам.долларын шагнал, нэг 10000 долларын шагнал, гурван долларын шагнал, 2 мянган долларын шагнал, хоёр долларын шагнал, 1000 долларын шагнал) байгуулсан. Харин найман шагналын хэмжээг хараахан тогтоогоогүй байна.
Нэмж дурдахад, Blink хөдөлгүүрт засварлагдаагүй эмзэг байдал илэрсэн бөгөөд энэ нь тодорхой JavaScript кодыг ажиллуулах үед хөтчийг гацах, хөлдөхөд хүргэдэг. Энэ эмзэг байдал нь "document.title" өмчийг шинэчлэх хурдны хязгаарлалт байхгүйтэй холбоотой рэндэрлэгчийн системийн архитектурын асуудлаас үүдэлтэй. Энэхүү хязгаарлалтгүй "document.title"-ийг секундэд DOM-д хэдэн арван сая өөрчлөлт оруулах боломжийг олгодог. Энэ нь үндсэн утсыг хааж, санах ой их хэмжээгээр зарцуулснаас болж интерфэйс хэдхэн секундын дотор зогсоход хүргэдэг. 15-60 секундын дараа хөтөч гацах болно.
Эх сурвалж: opennet.ru
