ProHoster > blog > aħbarijiet fuq l-internet > Rilaxx ta' Chrome 102

Rilaxx ta' Chrome 102

Google żvelat ir-rilaxx tal-web browser Chrome 102. Fl-istess ħin, rilaxx stabbli tal-proġett Chromium b'xejn, li jservi bħala l-bażi ta 'Chrome, huwa disponibbli. Il-browser Chrome huwa differenti minn Chromium fl-użu tal-logos ta’ Google, il-preżenza ta’ sistema biex jintbagħtu notifiki f’każ ta’ ħabta, moduli biex tilgħab kontenut tal-vidjo protett kontra l-kopja (DRM), sistema għall-installazzjoni awtomatika ta’ aġġornamenti, li tippermetti l-iżolament ta’ Sandbox b’mod permanenti , jipprovdu ċwievet lill-API ta' Google u jittrasmettu RLZ waqt it-tfittxijiet.parametri. Għal dawk li jeħtieġu aktar ħin biex jaġġornaw, il-fergħa Stabbli Estiża hija appoġġjata separatament, segwita minn 8 ġimgħat. Ir-rilaxx li jmiss ta 'Chrome 103 huwa skedat għall-21 ta' Ġunju.

Bidliet ewlenin fil-Chrome 102:

  • Biex timblokka l-isfruttament ta 'vulnerabbiltajiet ikkawżati mill-aċċess għal blokki tal-memorja diġà meħlusa (use-after-free), minflok pointers ordinarji, it-tip MiraclePtr (raw_ptr) beda jintuża. MiraclePtr jipprovdi vinkolanti fuq pointers li jwettaq kontrolli addizzjonali fuq l-aċċessi għal żoni ta 'memorja meħlusa u ħabtiet jekk dawn l-aċċessi jiġu skoperti. L-impatt tal-metodu ta' protezzjoni l-ġdid fuq il-prestazzjoni u l-konsum tal-memorja huwa vvalutat bħala negliġibbli. Il-mekkaniżmu MiraclePtr mhuwiex applikabbli fil-proċessi kollha, b'mod partikolari ma jintużax fil-proċessi tar-rendi, iżda jista 'jtejjeb b'mod sinifikanti s-sigurtà. Pereżempju, fir-rilaxx attwali, minn 32 vulnerabbiltà ffissati, 12 kienu kkawżati minn problemi ta 'użu wara l-ħelsien.
  • Id-disinn tal-interface b'informazzjoni dwar downloads inbidel. Minflok il-linja tal-qiegħ bid-dejta dwar il-progress tat-tniżżil, ġie miżjud indikatur ġdid mal-panel bil-bar tal-indirizz; meta tikklikkja fuqha, jintwera l-progress tat-tniżżil ta 'fajls u storja b'lista ta' fajls diġà mniżżla. B'differenza mill-pannell tal-qiegħ, il-buttuna tidher kontinwament fuq il-pannell u tippermettilek taċċessa malajr l-istorja tat-tniżżil tiegħek. L-interface l-ġdida bħalissa hija offruta awtomatikament għal xi utenti biss u se tkun estiża għal kulħadd jekk ma jkunx hemm problemi. Biex tirritorna l-interface l-antika jew tippermetti waħda ġdida, l-issettjar "chrome://flags#download-bubble" huwa pprovdut.
    Rilaxx ta' Chrome 102
  • Meta tkun qed tfittex immaġini permezz tal-menu tal-kuntest ("Fittex immaġni b'Google Lens" jew "Sib permezz ta' Google Lens"), ir-riżultati issa jidhru mhux fuq paġna separata, iżda f'sidebar ħdejn il-kontenut tal-paġna oriġinali (f' tieqa waħda tista' tara simultanjament kemm il-kontenut tal-paġna kif ukoll ir-riżultat tal-aċċess għall-magna tat-tiftix).
    Rilaxx ta' Chrome 102
  • Fit-taqsima "Privatezza u Sigurtà" tas-settings, ġiet miżjuda taqsima "Gwida dwar il-Privatezza", li toffri ħarsa ġenerali lejn is-settings ewlenin li jaffettwaw il-privatezza bi spjegazzjonijiet dettaljati tal-impatt ta 'kull setting. Pereżempju, fit-taqsima tista 'tiddefinixxi l-politika biex tintbagħat dejta lis-servizzi ta' Google, timmaniġġja s-sinkronizzazzjoni, l-ipproċessar tal-cookies u l-iffrankar tal-istorja. Il-funzjoni hija offruta lil xi utenti; biex tattivaha, tista’ tuża l-issettjar “chrome://flags#privacy-guide”.
    Rilaxx ta' Chrome 102
  • Jiġi pprovdut l-istrutturar tal-istorja tat-tiftix u l-paġni li rawhom. Meta tipprova terġa 'tfittex, ħjiel "Ibda l-vjaġġ tiegħek" tidher fil-bar tal-indirizz, li tippermettilek tkompli t-tfittxija mill-post fejn ġiet interrotta l-aħħar darba.
    Rilaxx ta' Chrome 102
  • Il-Chrome Web Store joffri paġna "Extensions Starter Kit" b'għażla inizjali ta' add-ons rakkomandati.
  • Fil-modalità tat-test, jintbagħat talba ta’ konferma tal-awtorità CORS (Cross-Origin Resource Sharing) bl-header “Access-Control-Request-Private-Network: vera” lis-server tas-sit prinċipali hija attivata meta l-paġna taċċessa riżors fin-netwerk intern (192.168.x.x , 10.x.x.x, 172.16.x.x) jew lil localhost (128.x.x.x). Meta tikkonferma l-operazzjoni bi tweġiba għal din it-talba, is-server għandu jirritorna l-header "Access-Control-Allow-Private-Network: true". Fil-verżjoni Chrome 102, ir-riżultat tal-konferma għadu ma jaffettwax l-ipproċessar tat-talba - jekk ma jkun hemm l-ebda konferma, tintwera twissija fil-console tal-web, iżda t-talba tas-sottoriżorsi nnifisha mhix imblukkata. L-abilitazzjoni tal-imblukkar mingħajr rikonoxximent mhix mistennija qabel Chrome 105. Biex tippermetti l-imblukkar f'rilaxxi preċedenti, tista' tattiva l-issettjar "chrome://flags/#private-network-access-respect-preflight-results".

    Il-verifika tal-awtorità mis-server ġiet introdotta biex tissaħħaħ il-protezzjoni kontra attakki relatati mal-aċċess tar-riżorsi fuq in-netwerk lokali jew fuq il-kompjuter tal-utent (localhost) minn skripts mgħobbija meta jinfetaħ sit. Tali talbiet jintużaw minn attakkanti biex iwettqu attakki CSRF fuq routers, punti ta 'aċċess, printers, interfaces tal-web korporattivi u tagħmir u servizzi oħra li jaċċettaw talbiet biss min-netwerk lokali. Biex tipproteġi minn attakki bħal dawn, jekk jiġu aċċessati xi sottoriżorsi fuq in-netwerk intern, il-browser jibgħat talba espliċita għal permess biex jitgħabbew dawn is-sottoriżorsi.

  • Meta tiftaħ links fil-mod incognito permezz tal-menu tal-kuntest, xi parametri li jaffettwaw il-privatezza jitneħħew awtomatikament mill-URL.
  • L-istrateġija tal-kunsinna tal-aġġornament għall-Windows u l-Android ġiet mibdula. Biex tqabbel aktar bis-sħiħ l-imġiba tar-rilaxxi l-ġodda u dawk qodma, bini multipli tal-verżjoni l-ġdida issa huma ġġenerati biex jitniżżlu.
  • It-teknoloġija tas-segmentazzjoni tan-netwerk ġiet stabbilizzata biex tipproteġi kontra metodi ta’ traċċar tal-movimenti tal-utenti bejn siti bbażati fuq il-ħażna ta’ identifikaturi f’żoni mhux maħsuba għall-ħażna permanenti ta’ informazzjoni (“Supercookies”). Minħabba li r-riżorsi fil-cache huma maħżuna fi spazju tal-isem komuni, irrispettivament mid-dominju li joriġina, sit wieħed jista' jiddetermina li sit ieħor qed jgħabbi riżorsi billi jiċċekkja jekk dik ir-riżorsa tkunx fil-cache. Il-protezzjoni hija bbażata fuq l-użu tas-segmentazzjoni tan-netwerk (Network Partitioning), li l-essenza tagħha hija li żżid mal-caches kondiviżi rbit addizzjonali ta 'rekords mad-dominju li minnu tinfetaħ il-paġna ewlenija, li tillimita l-kopertura tal-cache għal skripts ta' traċċar tal-moviment biss lis-sit attwali (skript minn iframe ma jkunx jista' jiċċekkja jekk ir-riżors tniżżilx minn sit ieħor). Il-kondiviżjoni tal-istat ikopri konnessjonijiet tan-netwerk (HTTP/1, HTTP/2, HTTP/3, websocket), cache DNS, ALPN/HTTP2, dejta TLS/HTTP3, konfigurazzjoni, downloads, u informazzjoni tal-header Expect-CT.
  • Għal applikazzjonijiet tal-web indipendenti installati (PWA, Progressive Web App), huwa possibbli li tinbidel id-disinn taż-żona tat-titlu tat-tieqa bl-użu tal-komponenti Window Controls Overlay, li jestendu ż-żona tal-iskrin tal-applikazzjoni tal-web għat-tieqa kollha. Applikazzjoni tal-web tista 'tikkontrolla l-għoti u l-ipproċessar tal-input tat-tieqa kollha, bl-eċċezzjoni tal-blokka overlay b'buttuni ta' kontroll tat-tieqa standard (agħlaq, timminimizza, timmassimizza), biex tagħti lill-applikazzjoni tal-web id-dehra ta 'applikazzjoni desktop regolari.
    Rilaxx ta' Chrome 102
  • Fis-sistema tal-mili awtomatika tal-formola, ġie miżjud appoġġ għall-ġenerazzjoni ta 'numri virtwali ta' karti ta 'kreditu f'oqsma b'dettalji ta' ħlas għal oġġetti fi ħwienet onlajn. L-użu ta 'karta virtwali, li n-numru tagħha huwa ġġenerat għal kull ħlas, jippermettilek li ma tittrasferixxix data dwar karta ta' kreditu reali, iżda teħtieġ il-provvista tas-servizz meħtieġ mill-bank. Il-karatteristika bħalissa hija disponibbli biss għall-klijenti tal-banek Amerikani. Biex tikkontrolla l-inklużjoni tal-funzjoni, l-issettjar "chrome://flags/#autofill-enable-virtual-card" huwa propost.
  • Il-mekkaniżmu "Capture Handle" huwa attivat awtomatikament, li jippermettilek tittrasferixxi informazzjoni għal applikazzjonijiet li jaqbdu l-vidjo. L-API jagħmilha possibbli li tiġi organizzata l-interazzjoni bejn l-applikazzjonijiet li l-kontenut tagħhom huwa rreġistrat u l-applikazzjonijiet li jwettqu r-reġistrazzjoni. Pereżempju, applikazzjoni tal-konferenzi bil-vidjo li qed taqbad vidjow biex ixandar preżentazzjoni tista' tirkupra informazzjoni dwar il-kontrolli tal-preżentazzjoni u turihom fit-tieqa tal-vidjo.
  • L-appoġġ għar-regoli spekulattivi huwa attivat awtomatikament, u jipprovdi sintassi flessibbli biex jiġi ddeterminat jekk dejta relatata mal-link tistax titgħabba b'mod proattiv qabel ma l-utent jikklikkja fuq il-link.
  • Il-mekkaniżmu għall-ippakkjar tar-riżorsi f'pakketti fil-format Web Bundle ġie stabbilizzat, li jippermetti li tiżdied l-effiċjenza tat-tagħbija ta 'numru kbir ta' fajls ta 'akkumpanjament (stili CSS, JavaScript, immaġini, iframes). B'differenza mill-pakketti fil-format Webpack, il-format Web Bundle għandu l-vantaġġi li ġejjin: mhuwiex il-pakkett innifsu li jinħażen fil-cache HTTP, iżda l-partijiet komponenti tiegħu; il-kumpilazzjoni u l-eżekuzzjoni ta 'JavaScript tibda mingħajr ma tistenna li l-pakkett jitniżżlu kompletament; Huwa permess li jiġu inklużi riżorsi addizzjonali bħal CSS u immaġini, li fil-webpack ikollhom jiġu kodifikati fil-forma ta 'strings JavaScript.
  • Huwa possibbli li tiddefinixxi applikazzjoni PWA bħala handler ta 'ċerti tipi MIME u estensjonijiet ta' fajls. Wara li tiddefinixxi rbit permezz tal-qasam file_handlers fil-manifest, l-applikazzjoni tirċievi avveniment speċjali meta l-utent jipprova jiftaħ fajl assoċjat mal-applikazzjoni.
  • Żid attribut inert ġdid li jippermettilek timmarka parti mis-siġra DOM bħala "inattiva". Għal nodi DOM f'dan l-istat, l-għażla tat-test u l-handlers tal-hover tal-pointer huma diżattivati, i.e. L-avvenimenti pointer u l-propjetajiet tas-CSS magħżula mill-utent huma dejjem issettjati għal 'xejn'. Jekk node jista 'jiġi editjat, allura fil-modalità inert isir mhux editable.
  • Żid l-API tan-Navigazzjoni, li tippermetti lill-applikazzjonijiet tal-web jinterċettaw operazzjonijiet ta 'navigazzjoni tat-twieqi, jibdew in-navigazzjoni, u janalizzaw l-istorja tal-azzjonijiet bl-applikazzjoni. L-API tipprovdi alternattiva għall-proprjetajiet window.history u window.location, ottimizzati għal applikazzjonijiet tal-web b'paġna waħda.
  • Bandiera ġdida, "sa ma tinstab", ġiet proposta għall-attribut "moħbi", li jagħmel l-element jitfittex fuq il-paġna u jiskrolljabbli b'maskra tat-test. Pereżempju, tista 'żżid test moħbi f'paġna, li l-kontenut tagħha jinstab fit-tfittxijiet lokali.
  • Fil-WebHID API, iddisinjat għal aċċess ta 'livell baxx għal apparati HID (apparat ta' interface tal-bniedem, tastieri, ġrieden, gamepads, touchpads) u l-organizzazzjoni tax-xogħol mingħajr il-preżenza ta 'sewwieqa speċifiċi fis-sistema, il-proprjetà exclusionFilters ġiet miżjuda mar-requestDevice( ) oġġett, li jippermettilek teskludi ċerti apparati meta l-browser juri lista ta’ apparati disponibbli. Pereżempju, tista' teskludi IDs tal-apparat li għandhom problemi magħrufa.
  • Huwa pprojbit li turi formola ta' ħlas permezz ta' sejħa lil PaymentRequest.show() mingħajr azzjoni espliċita tal-utent, pereżempju, tikklikkja fuq element assoċjat mal-handler.
  • L-appoġġ għal implimentazzjoni alternattiva tal-protokoll SDP (Session Description Protocol) użat biex tiġi stabbilita sessjoni fil-WebRTC twaqqaf. Chrome offra żewġ għażliet SDP - unifikata ma 'browsers oħra u speċifiċi għal Chrome. Minn issa 'l quddiem, tibqa' biss l-għażla portabbli.
  • Sar titjib fl-għodod għall-iżviluppaturi tal-web. Buttuni miżjuda mal-pannell ta 'Stili biex jissimulaw l-użu ta' tema skura u ħafifa. Il-protezzjoni tat-tab Preview fil-modalità ta 'spezzjoni tan-netwerk ġiet imsaħħa (Politika ta' Sigurtà tal-Kontenut hija attivata). Id-debugger jimplimenta t-terminazzjoni tal-iskript biex jerġa 'jikkarga l-breakpoints. Ġiet proposta implimentazzjoni preliminari tal-panel il-ġdid "Intuwizzjonijiet dwar il-prestazzjoni", li tippermettilek tanalizza l-prestazzjoni ta 'ċerti operazzjonijiet fuq il-paġna.
    Rilaxx ta' Chrome 102

Minbarra innovazzjonijiet u bug fixes, il-verżjoni l-ġdida telimina 32 vulnerabilità. Ħafna mill-vulnerabbiltajiet ġew identifikati bħala riżultat ta 'ttestjar awtomatizzat bl-użu tal-AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer u għodod AFL. Waħda mill-problemi (CVE-2022-1853) ġiet assenjata livell kritiku ta 'periklu, li jimplika l-abbiltà li tevita l-livelli kollha ta' protezzjoni tal-browser u tesegwixxi kodiċi fuq is-sistema barra l-ambjent sandbox. Dettalji dwar din il-vulnerabbiltà għadhom ma ġewx żvelati; huwa magħruf biss li hija kkawżata mill-aċċess għal blokk tal-memorja meħlusa (use-after-free) fl-implimentazzjoni tal-API Indexed DB.

Bħala parti mill-programm ta’ premju fi flus biex jiskopru vulnerabbiltajiet għar-rilaxx attwali, Google ħallset 24 premju li jiswew $65600 (premju wieħed ta’ $10000, premju wieħed ta’ $7500, żewġ premjijiet ta’ $7000, tliet premjijiet ta’ $5000, erba’ premjijiet ta’ $3000, tnejn ta’ $2000 u tnejn ta’ $1000 u tnejn. bonus ta’ $500). Id-daqs tas-7 premjijiet għadu ma ġiex determinat.

Sors: opennet.ru

Żid kumment