ProHoster > Blog > berita internet > Keluaran Chrome 102

Keluaran Chrome 102

Google telah melancarkan keluaran pelayar web Chrome 102. Pada masa yang sama, keluaran stabil projek Chromium percuma, yang berfungsi sebagai asas Chrome, tersedia. Penyemak imbas Chrome berbeza daripada Chromium dalam penggunaan logo Google, kehadiran sistem untuk menghantar pemberitahuan sekiranya berlaku ranap sistem, modul untuk memainkan kandungan video yang dilindungi salinan (DRM), sistem untuk memasang kemas kini secara automatik, mendayakan pengasingan Kotak Pasir secara kekal , membekalkan kunci kepada API Google dan menghantar parameter RLZ- apabila mencari. Bagi mereka yang memerlukan lebih banyak masa untuk mengemas kini, cawangan Extended Stable disokong secara berasingan, diikuti dengan 8 minggu. Keluaran seterusnya Chrome 103 dijadualkan pada 21 Jun.

Perubahan utama dalam Chrome 102:

  • Untuk menyekat eksploitasi kelemahan yang disebabkan oleh mengakses blok memori yang telah dibebaskan (guna-selepas-bebas), bukannya penunjuk biasa, jenis MiraclePtr (raw_ptr) mula digunakan. MiraclePtr menyediakan pengikat pada penunjuk yang melakukan pemeriksaan tambahan pada akses ke kawasan memori yang dibebaskan dan ranap jika akses tersebut dikesan. Kesan kaedah perlindungan baharu terhadap prestasi dan penggunaan ingatan dinilai sebagai boleh diabaikan. Mekanisme MiraclePtr tidak boleh digunakan dalam semua proses, khususnya ia tidak digunakan dalam proses pemaparan, tetapi ia boleh meningkatkan keselamatan dengan ketara. Sebagai contoh, dalam keluaran semasa, daripada 32 kelemahan yang diperbaiki, 12 disebabkan oleh masalah bebas penggunaan.
  • Reka bentuk antara muka dengan maklumat tentang muat turun telah diubah. Daripada garis bawah dengan data tentang kemajuan muat turun, penunjuk baharu telah ditambahkan pada panel dengan bar alamat; apabila anda mengklik padanya, kemajuan memuat turun fail dan sejarah dengan senarai fail yang telah dimuat turun ditunjukkan. Tidak seperti panel bawah, butang sentiasa ditunjukkan pada panel dan membolehkan anda mengakses sejarah muat turun anda dengan cepat. Antara muka baharu kini ditawarkan secara lalai hanya kepada sesetengah pengguna dan akan diperluaskan kepada semua jika tiada masalah. Untuk mengembalikan antara muka lama atau mendayakan yang baharu, tetapan “chrome://flags#download-bubble” disediakan.
    Keluaran Chrome 102
  • Apabila mencari imej melalui menu konteks ("Cari imej dengan Google Lens" atau "Cari melalui Google Lens"), hasilnya kini tidak ditunjukkan pada halaman yang berasingan, tetapi dalam bar sisi di sebelah kandungan halaman asal (dalam satu tetingkap anda boleh melihat kedua-dua kandungan halaman secara serentak dan dan hasil daripada mengakses enjin carian).
    Keluaran Chrome 102
  • Dalam bahagian "Privasi dan Keselamatan" pada tetapan, bahagian "Panduan Privasi" telah ditambahkan, yang menawarkan gambaran keseluruhan umum tetapan utama yang mempengaruhi privasi dengan penjelasan terperinci tentang kesan setiap tetapan. Sebagai contoh, dalam bahagian anda boleh menentukan dasar untuk menghantar data ke perkhidmatan Google, mengurus penyegerakan, pemprosesan kuki dan penjimatan sejarah. Fungsi ini ditawarkan kepada sesetengah pengguna; untuk mengaktifkannya, anda boleh menggunakan tetapan "chrome://flags#privacy-guide".
    Keluaran Chrome 102
  • Penstrukturan sejarah carian dan halaman yang dilihat disediakan. Apabila anda cuba mencari sekali lagi, pembayang "Sambung semula perjalanan anda" dipaparkan dalam bar alamat, membolehkan anda meneruskan carian dari tempat ia terganggu kali terakhir.
    Keluaran Chrome 102
  • Kedai Web Chrome menawarkan halaman "Kit Pemula Sambungan" dengan pilihan awal alat tambah yang disyorkan.
  • Dalam mod ujian, menghantar permintaan kebenaran CORS (Cross-Origin Resource Sharing) ke pelayan tapak utama dengan pengepala "Access-Control-Request-Private-Network: true" didayakan apabila halaman mengakses sumber pada rangkaian dalaman ( 192.168.xx , 10.xxx, 172.16.xx) atau kepada localhost (128.xxx). Apabila mengesahkan operasi sebagai tindak balas kepada permintaan ini, pelayan mesti mengembalikan pengepala "Access-Control-Allow-Private-Network: true". Dalam Chrome versi 102, hasil pengesahan belum lagi menjejaskan pemprosesan permintaan - jika tiada pengesahan, amaran dipaparkan dalam konsol web, tetapi permintaan subsumber itu sendiri tidak disekat. Mendayakan penyekatan sekiranya tiada pengesahan daripada pelayan tidak dijangka sehingga keluaran Chrome 105. Untuk mendayakan penyekatan dalam keluaran terdahulu, anda boleh mendayakan tetapan "chrome://flags/#private-network-access-respect-preflight- hasil".

    Pengesahan kuasa oleh pelayan telah diperkenalkan untuk mengukuhkan perlindungan terhadap serangan yang berkaitan dengan mengakses sumber pada rangkaian tempatan atau pada komputer pengguna (localhost) daripada skrip yang dimuatkan semasa membuka tapak. Permintaan sedemikian digunakan oleh penyerang untuk menjalankan serangan CSRF pada penghala, titik capaian, pencetak, antara muka web korporat dan peranti serta perkhidmatan lain yang hanya menerima permintaan daripada rangkaian tempatan. Untuk melindungi daripada serangan sedemikian, jika mana-mana sub-sumber diakses pada rangkaian dalaman, penyemak imbas akan menghantar permintaan eksplisit untuk kebenaran untuk memuatkan sub-sumber ini.

  • Apabila membuka pautan dalam mod inkognito melalui menu konteks, beberapa parameter yang menjejaskan privasi dialih keluar secara automatik daripada URL.
  • Strategi penghantaran kemas kini untuk Windows dan Android telah diubah. Untuk membandingkan dengan lebih lengkap gelagat keluaran baharu dan lama, berbilang binaan versi baharu kini dijana untuk dimuat turun.
  • Teknologi pembahagian rangkaian telah distabilkan untuk melindungi daripada kaedah menjejak pergerakan pengguna antara tapak berdasarkan penyimpanan pengecam di kawasan yang tidak bertujuan untuk penyimpanan maklumat kekal (“Supercookies”). Oleh kerana sumber cache disimpan dalam ruang nama biasa, tanpa mengira domain asal, satu tapak boleh menentukan bahawa tapak lain memuatkan sumber dengan menyemak sama ada sumber itu berada dalam cache. Perlindungan adalah berdasarkan penggunaan pembahagian rangkaian (Pembahagian Rangkaian), intipatinya adalah untuk menambah pada cache kongsi pengikatan rekod tambahan ke domain dari mana halaman utama dibuka, yang mengehadkan liputan cache untuk skrip penjejakan pergerakan sahaja ke tapak semasa (skrip daripada iframe tidak akan dapat menyemak sama ada sumber itu dimuat turun dari tapak lain). Perkongsian negeri meliputi sambungan rangkaian (HTTP/1, HTTP/2, HTTP/3, soket web), cache DNS, data ALPN/HTTP2, TLS/HTTP3, konfigurasi, muat turun dan maklumat pengepala Expect-CT.
  • Untuk aplikasi web berdiri sendiri yang dipasang (PWA, Apl Web Progresif), adalah mungkin untuk menukar reka bentuk kawasan tajuk tetingkap menggunakan komponen Tindanan Kawalan Tetingkap, yang memanjangkan kawasan skrin aplikasi web ke seluruh tetingkap. Aplikasi web boleh mengawal pemaparan dan pemprosesan input keseluruhan tetingkap, dengan pengecualian blok tindanan dengan butang kawalan tetingkap standard (tutup, minimumkan, maksimumkan), untuk memberikan aplikasi web rupa aplikasi desktop biasa.
    Keluaran Chrome 102
  • Dalam sistem autoisi borang, sokongan telah ditambahkan untuk menjana nombor kad kredit maya dalam medan dengan butiran pembayaran untuk barangan di kedai dalam talian. Menggunakan kad maya, bilangan yang dijana untuk setiap pembayaran, membolehkan anda tidak memindahkan data tentang kad kredit sebenar, tetapi memerlukan penyediaan perkhidmatan yang diperlukan oleh bank. Ciri ini pada masa ini hanya tersedia untuk pelanggan bank AS. Untuk mengawal kemasukan fungsi, tetapan "chrome://flags/#autofill-enable-virtual-card" dicadangkan.
  • Mekanisme "Capture Handle" diaktifkan secara lalai, membolehkan anda memindahkan maklumat ke aplikasi yang menangkap video. API memungkinkan untuk mengatur interaksi antara aplikasi yang kandungannya direkodkan dan aplikasi yang melakukan rakaman. Contohnya, aplikasi persidangan video yang merakam video untuk menyiarkan pembentangan boleh mendapatkan maklumat tentang kawalan pembentangan dan memaparkannya dalam tetingkap video.
  • Sokongan untuk peraturan spekulatif didayakan secara lalai, menyediakan sintaks yang fleksibel untuk menentukan sama ada data berkaitan pautan boleh dimuatkan secara proaktif sebelum pengguna mengklik pada pautan.
  • Mekanisme untuk membungkus sumber ke dalam pakej dalam format Web Bundle telah distabilkan, membolehkan untuk meningkatkan kecekapan memuatkan sejumlah besar fail yang disertakan (gaya CSS, JavaScript, imej, iframe). Tidak seperti pakej dalam format Webpack, format Web Bundle mempunyai kelebihan berikut: bukan pakej itu sendiri yang disimpan dalam cache HTTP, tetapi bahagian komponennya; penyusunan dan pelaksanaan JavaScript bermula tanpa menunggu pakej dimuat turun sepenuhnya; Ia dibenarkan untuk memasukkan sumber tambahan seperti CSS dan imej, yang dalam pek web perlu dikodkan dalam bentuk rentetan JavaScript.
  • Adalah mungkin untuk menentukan aplikasi PWA sebagai pengendali jenis MIME dan sambungan fail tertentu. Selepas menentukan pengikatan melalui medan file_handlers dalam manifes, aplikasi akan menerima acara khas apabila pengguna cuba membuka fail yang dikaitkan dengan aplikasi.
  • Menambahkan atribut lengai baharu yang membolehkan anda menandakan sebahagian daripada pepohon DOM sebagai "tidak aktif". Untuk nod DOM dalam keadaan ini, pemilihan teks dan pengendali tuding penunjuk dilumpuhkan, i.e. Ciri-ciri peristiwa penuding dan CSS pilihan pengguna sentiasa ditetapkan kepada 'tiada'. Jika nod boleh diedit, maka dalam mod lengai ia menjadi tidak boleh diedit.
  • Menambahkan API Navigasi, yang membolehkan aplikasi web memintas operasi navigasi tetingkap, memulakan navigasi dan menganalisis sejarah tindakan dengan aplikasi. API menyediakan alternatif kepada sifat window.history dan window.location, dioptimumkan untuk aplikasi web satu halaman.
  • Bendera baharu, "sehingga-ditemui", telah dicadangkan untuk atribut "tersembunyi", yang menjadikan elemen boleh dicari pada halaman dan boleh ditatal menggunakan topeng teks. Sebagai contoh, anda boleh menambah teks tersembunyi pada halaman, yang kandungannya akan ditemui dalam carian setempat.
  • Dalam API WebHID, direka untuk akses peringkat rendah kepada peranti HID (peranti antara muka manusia, papan kekunci, tetikus, pad permainan, pad sentuh) dan mengatur kerja tanpa kehadiran pemacu tertentu dalam sistem, sifat exclusionFilters telah ditambahkan pada requestDevice( ) objek, yang membolehkan anda mengecualikan peranti tertentu apabila penyemak imbas memaparkan senarai peranti yang tersedia. Contohnya, anda boleh mengecualikan ID peranti yang mempunyai masalah yang diketahui.
  • Dilarang memaparkan borang pembayaran melalui panggilan ke PaymentRequest.show() tanpa tindakan pengguna yang jelas, contohnya, mengklik pada elemen yang dikaitkan dengan pengendali.
  • Sokongan untuk pelaksanaan alternatif protokol SDP (Session Description Protocol) yang digunakan untuk menubuhkan sesi dalam WebRTC telah dihentikan. Chrome menawarkan dua pilihan SDP - bersatu dengan penyemak imbas lain dan khusus Chrome. Mulai sekarang, hanya pilihan mudah alih yang tinggal.
  • Penambahbaikan telah dibuat pada alatan untuk pembangun web. Menambahkan butang pada panel Gaya untuk mensimulasikan penggunaan tema gelap dan terang. Perlindungan tab Pratonton dalam mod pemeriksaan rangkaian telah diperkukuh (aplikasi Dasar Keselamatan Kandungan didayakan). Penyahpepijat melaksanakan penamatan skrip untuk memuat semula titik putus. Pelaksanaan awal panel "Cerapan prestasi" baharu telah dicadangkan, yang membolehkan anda menganalisis prestasi operasi tertentu pada halaman.
    Keluaran Chrome 102

Selain inovasi dan pembetulan pepijat, versi baharu menghapuskan 32 kelemahan. Banyak kelemahan telah dikenal pasti hasil daripada ujian automatik menggunakan alat AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer dan AFL. Salah satu masalah (CVE-2022-1853) telah ditetapkan tahap bahaya kritikal, yang membayangkan keupayaan untuk memintas semua peringkat perlindungan penyemak imbas dan melaksanakan kod pada sistem di luar persekitaran kotak pasir. Butiran tentang kerentanan ini belum lagi didedahkan; ia hanya diketahui bahawa ia disebabkan oleh mengakses blok memori yang dibebaskan (guna-selepas-bebas) dalam pelaksanaan API DB Berindeks.

Sebagai sebahagian daripada program ganjaran tunai untuk menemui kelemahan untuk keluaran semasa, Google membayar 24 anugerah bernilai $65600 (satu anugerah $10000, satu anugerah $7500, dua anugerah $7000, tiga anugerah $5000, empat anugerah $3000, dua anugerah $2000 dan dua anugerah $1000. bonus $500). Saiz 7 ganjaran masih belum ditentukan.

Sumber: opennet.ru

Tambah komen