Keluaran Chrome 97

Google telah melancarkan keluaran pelayar web Chrome 97 Pada masa yang sama, keluaran stabil projek Chromium percuma, yang berfungsi sebagai asas Chrome, tersedia. Penyemak imbas Chrome dibezakan dengan penggunaan logo Google, kehadiran sistem untuk menghantar pemberitahuan sekiranya berlaku ranap sistem, modul untuk memainkan kandungan video yang dilindungi salinan (DRM), sistem untuk memasang kemas kini secara automatik dan menghantar parameter RLZ apabila mencari. Bagi mereka yang memerlukan lebih banyak masa untuk mengemas kini, terdapat cawangan Extended Stable yang berasingan, diikuti dengan 8 minggu, yang membentuk kemas kini kepada keluaran Chrome 96 sebelum ini. Keluaran Chrome 98 seterusnya dijadualkan pada 1 Februari.

Perubahan utama dalam Chrome 97:

• Bagi sesetengah pengguna, konfigurator menggunakan antara muka baharu untuk mengurus data yang disimpan di sebelah penyemak imbas (“chrome://settings/content/all”). Perbezaan utama antara muka baharu ialah tumpuannya pada menetapkan kebenaran dan mengosongkan semua Kuki tapak sekaligus, tanpa keupayaan untuk melihat maklumat terperinci tentang Kuki individu dan memadam Kuki secara selektif. Menurut Google, akses kepada pengurusan Kuki individu untuk pengguna biasa yang tidak memahami selok-belok pembangunan web boleh membawa kepada gangguan yang tidak dapat diramalkan dalam pengendalian tapak akibat perubahan yang tidak difikirkan dalam parameter individu, serta melumpuhkan privasi secara tidak sengaja. mekanisme perlindungan diaktifkan melalui Cookies. Bagi mereka yang perlu memanipulasi Kuki individu, disyorkan untuk menggunakan bahagian pengurusan storan dalam alatan untuk pembangun web (Alokasi/Storan/Kuki).
• Dalam blok dengan maklumat tentang tapak, penerangan ringkas tapak (contohnya, penerangan daripada Wikipedia) dipaparkan jika mod pengoptimuman carian dan navigasi diaktifkan dalam tetapan (pilihan "Jadikan carian dan penyemakan imbas lebih baik").
• Sokongan yang dipertingkatkan untuk mengisi medan secara automatik dalam borang web. Pengesyoran dengan pilihan autoisi kini dipaparkan dengan anjakan sedikit dan disediakan dengan ikon maklumat untuk pratonton yang lebih mudah dan pengenalan visual sambungan dengan medan yang diisi. Contohnya, ikon profil menjelaskan dengan jelas bahawa cadangan autolengkap mempengaruhi medan yang berkaitan dengan alamat dan maklumat hubungan.
• Mendayakan pengalihan keluar pengendali profil pengguna daripada memori selepas menutup tetingkap penyemak imbas yang dikaitkan dengannya. Sebelum ini, profil kekal dalam ingatan dan terus melakukan kerja yang berkaitan dengan penyegerakan dan pelaksanaan skrip tambahan latar belakang, yang membawa kepada pembaziran sumber yang tidak perlu pada sistem yang menggunakan berbilang profil secara serentak (contohnya, profil tetamu dan memaut ke akaun Google ). Di samping itu, pembersihan data yang lebih menyeluruh semasa bekerja dengan profil dipastikan.
• Halaman yang dipertingkatkan dengan tetapan enjin carian ("Tetapan> Urus enjin carian"). Pengaktifan automatik enjin, maklumat yang diberikan semasa membuka tapak melalui skrip OpenSearch, telah dilumpuhkan - enjin baharu untuk memproses pertanyaan carian daripada bar alamat kini perlu diaktifkan secara manual dalam tetapan (enjin yang diaktifkan secara automatik sebelum ini akan terus bekerja tanpa perubahan).
• Mulai 17 Januari, Kedai Web Chrome tidak lagi menerima alat tambah yang menggunakan versi XNUMX manifes Chrome, tetapi pembangun alat tambah yang telah ditambahkan sebelum ini masih boleh menerbitkan kemas kini.
• Menambahkan sokongan percubaan untuk spesifikasi WebTransport, yang mentakrifkan protokol dan API JavaScript yang disertakan untuk menghantar dan menerima data antara penyemak imbas dan pelayan. Saluran komunikasi disusun melalui HTTP/3 menggunakan protokol QUIC sebagai pengangkutan. WebTransport boleh digunakan dan bukannya mekanisme WebSockets, menawarkan ciri tambahan seperti penghantaran berbilang aliran, aliran satu arah, penghantaran luar pesanan, mod penghantaran yang boleh dipercayai dan tidak boleh dipercayai. Selain itu, WebTransport boleh digunakan dan bukannya mekanisme Tolak Pelayan, yang telah ditinggalkan oleh Google dalam Chrome.
• Kaedah findLast dan findLastIndex telah ditambahkan pada objek JavaScript Array dan TypedArrays, membolehkan anda mencari elemen dengan output hasil relatif kepada penghujung tatasusunan. [1,2,3,4].findLast((el) => el % 2 === 0) // → 4 (elemen genap terakhir)
• Tertutup (tiada atribut "terbuka") elemen HTML , kini boleh dicari dan boleh dipautkan, dan dikembangkan secara automatik apabila menggunakan carian halaman dan navigasi serpihan (ScrollToTextFragment).
• Sekatan Dasar Keselamatan Kandungan (CSP) dalam pengepala respons pelayan kini dikenakan kepada pekerja yang berdedikasi, yang sebelum ini dianggap sebagai dokumen berasingan.
• Permintaan eksplisit untuk pihak berkuasa memuat turun mana-mana sub-sumber daripada rangkaian dalaman telah disediakan - sebelum mengakses rangkaian dalaman atau localhost, permintaan CORS (Perkongsian Sumber Silang Asal) dengan pengepala “Access-Control-Request-Private- Rangkaian: benar” kini dihantar ke pelayan tapak utama yang memerlukan pengesahan operasi dengan mengembalikan pengepala “Access-Control-Allow-Private-Network: true”.
• Menambahkan sifat CSS sintesis fon, yang membolehkan anda mengawal sama ada penyemak imbas boleh mensintesis gaya fon yang hilang (serong, tebal dan huruf kecil) yang bukan dalam keluarga fon yang dipilih.
• Untuk transformasi CSS, fungsi perspective() melaksanakan parameter 'tiada', yang dianggap sebagai nilai tak terhingga apabila mengatur animasi.
• Pengepala HTTP Dasar Kebenaran (Dasar Ciri), yang digunakan untuk mewakilkan kuasa dan mendayakan ciri lanjutan, kini menyokong nilai peta papan kekunci, yang membenarkan penggunaan API Papan Kekunci. Kaedah Keyboard.getLayoutMap() telah dilaksanakan, yang membolehkan anda menentukan kekunci yang ditekan, dengan mengambil kira reka letak papan kekunci yang berbeza (contohnya, kekunci ditekan pada susun atur Rusia atau Inggeris).
• Kaedah HTMLScriptElement.supports() ditambahkan, yang menyatukan definisi ciri baharu yang tersedia dalam elemen “skrip”, contohnya, anda boleh mengetahui senarai nilai yang disokong​​untuk atribut “jenis”.
• Proses menormalkan baris baharu apabila menyerahkan borang web telah diselaraskan dengan enjin penyemak imbas Gecko dan WebKit. Normalisasi suapan talian dan pulangan pengangkutan (menggantikan /r dan /n dengan \r\n) dalam Chrome kini dilakukan pada peringkat akhir dan bukannya pada permulaan pemprosesan penyerahan borang (iaitu pemproses perantaraan yang menggunakan objek FormData akan melihat data sebagai ditambah oleh pengguna, dan bukan dalam bentuk biasa).
• Penamaan nama harta telah diseragamkan untuk API Petunjuk Pelanggan, yang sedang dibangunkan sebagai pengganti pengepala Agen-Pengguna dan membolehkan anda memberikan data secara selektif mengenai penyemak imbas dan parameter sistem tertentu (versi, platform, dll.) hanya selepas permintaan oleh pelayan. Sifat kini ditentukan dengan awalan "sec-ch-", contohnya, sec-ch-dpr, sec-ch-width, sec-ch-viewport-width, sec-ch-device-memory, sec-ch-rtt , sec- ch-downlink dan sec-ch-ect.
• Peringkat kedua menghentikan sokongan untuk API WebSQL telah digunakan, akses yang daripada skrip pihak ketiga kini akan disekat. Pada masa hadapan, kami merancang untuk menghentikan secara beransur-ansur sokongan untuk WebSQL sepenuhnya, tanpa mengira konteks penggunaan. Enjin WebSQL adalah berdasarkan kod SQLite dan boleh digunakan oleh penyerang untuk mengeksploitasi kelemahan dalam SQLite.
• Untuk platform Windows, pemasangan dengan semakan integriti aliran pelaksanaan (CFG, Pengawal Aliran Kawalan) disertakan, menyekat percubaan untuk memasukkan kod ke dalam proses Chrome. Selain itu, pengasingan kotak pasir kini digunakan untuk perkhidmatan rangkaian yang berjalan dalam proses berasingan, mengehadkan keupayaan kod dalam proses ini.
• Chrome untuk Android termasuk mekanisme untuk mengemas kini log sijil yang dikeluarkan dan dibatalkan secara dinamik (Ketelusan Sijil), yang sebelum ini diaktifkan dalam yuran untuk sistem desktop.
• Penambahbaikan telah dibuat pada alatan untuk pembangun web. Sokongan percubaan untuk menyegerakkan tetapan DevTools antara peranti berbeza telah dilaksanakan. Panel Perakam baharu telah ditambah, yang dengannya anda boleh merakam, memainkan semula dan menganalisis tindakan pengguna pada halaman.

  Apabila memaparkan ralat dalam konsol web, nombor lajur yang dikaitkan dengan masalah dipaparkan, yang sesuai untuk masalah penyahpepijatan dalam kod JavaScript yang dikecilkan. Senarai peranti yang boleh disimulasikan untuk menilai paparan halaman pada peranti mudah alih telah dikemas kini. Dalam antara muka untuk mengedit blok HTML (Edit sebagai HTML), penyerlahan sintaks dan keupayaan untuk autolengkap input telah ditambah.

  

Sebagai tambahan kepada inovasi dan pembetulan pepijat, versi baharu menghapuskan 37 kelemahan. Banyak kelemahan telah dikenal pasti hasil daripada ujian automatik menggunakan alat AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer dan AFL. Salah satu kelemahan telah diberikan status isu kritikal, membolehkan seseorang memintas semua peringkat perlindungan penyemak imbas dan melaksanakan kod pada sistem, di luar persekitaran kotak pasir. Butiran tentang kerentanan kritikal (CVE-2022-0096) belum lagi didedahkan; ia hanya diketahui bahawa ia dikaitkan dengan mengakses kawasan memori yang telah dibebaskan dalam kod untuk bekerja dengan storan dalaman (API Penyimpanan).

Sebagai sebahagian daripada program untuk membayar ganjaran tunai kerana menemui kelemahan untuk keluaran semasa, Google membayar 24 anugerah bernilai $54 ribu (tiga anugerah $10000, dua anugerah $5000, satu anugerah $4000, tiga anugerah $3000 dan satu anugerah $1000). Saiz 14 ganjaran masih belum ditentukan.

Sumber: opennet.ru