Chrome 142 ဝဘ်ဘရောက်ဆာကို ဖြန့်ချိသည်။

Google သည် Chrome ဝဘ်ဘရောက်ဆာ၏ ဗားရှင်း 142 ကို ထုတ်ပြန်ခဲ့သည်။ Chrome ၏အခြေခံအုတ်မြစ်ဖြစ်သော open-source Chromium ပရောဂျက်၏တည်ငြိမ်သောထွက်ရှိမှုကိုလည်းရရှိနိုင်သည်။ Chrome သည် Google လိုဂိုအသုံးပြုမှု၊ ပျက်စီးမှုသတိပေးချက်စနစ်၊ ကော်ပီကာကွယ်ထားသော ဗီဒီယိုအကြောင်းအရာ (DRM)၊ အလိုအလျောက်အပ်ဒိတ်ထည့်သွင်းမှု၊ အမြဲဖွင့်ထားသည့် သဲပုံးများကို သီးခြားခွဲထုတ်ခြင်း၊ Google API သော့များကို ပံ့ပိုးပေးခြင်းနှင့် ရှာဖွေမှုအတွင်း RLZ ဘောင်များဖြတ်သန်းခြင်းအတွက် Chromium နှင့် ကွဲပြားသည်။ အပ်ဒိတ်လုပ်ရန် အချိန်ပိုလိုသူများအတွက် သီးခြား Extended Stable ဌာနခွဲကို ရှစ်ပတ်ကြာ ထိန်းသိမ်းထားသည်။ နောက်ထပ်ထွက်ရှိမည့် Chrome 143 ကို ဒီဇင်ဘာ 2 ရက်နေ့တွင် ပြုလုပ်ရန် စီစဉ်ထားသည်။

Chrome 142 တွင် အဓိကပြောင်းလဲမှုများ-

• အများသုံး ဝက်ဘ်ဆိုက်များနှင့် အပြန်အလှန် ဆက်သွယ်သည့်အခါ ဒေသတွင်းစနစ်ကို ဝင်ရောက်ခြင်းမှ ကာကွယ်မှုကို ဖွင့်ထားသည်။ အများသုံး သို့မဟုတ် အတွင်းပိုင်းကွန်ရက် (intranet) တွင် ဝက်ဘ်ဆိုက်တစ်ခုကို ဝင်ရောက်သည့်အခါ၊ IP လိပ်စာများ local system သို့မဟုတ် loopback interface (127.0.0.0/8) ကို ဝင်ရောက်သည့်အခါ browser သည် အတည်ပြုချက်တောင်းခံသည့် dialog box တစ်ခုကို user ထံ ပြသပေးမည်ဖြစ်သည်။ resources များကို download လုပ်ရန်ကြိုးပမ်းမှုများ၊ fetch() requests များနှင့် iframe insertions များကို အကျုံးဝင်ပါသည်။ WebSockets၊ WebTransport နှင့် WebRTC မှတစ်ဆင့် ချိတ်ဆက်မှုများအတွက် ကာကွယ်မှုကို လက်ရှိတွင် အသုံးမပြုသေးသော်လည်း နောက်ပိုင်းတွင် ဤနည်းပညာများအတွက် ထည့်သွင်းပေးပါမည်။

  တိုက်ခိုက်သူများသည် routers၊ access point၊ printers၊ corporate web interfaces နှင့် local network မှ တောင်းဆိုမှုများကိုသာ လက်ခံသည့် အခြားသော စက်ပစ္စည်းများနှင့် ဝန်ဆောင်မှုများပေါ်တွင် CSRF တိုက်ခိုက်မှုများကို လုပ်ဆောင်ရန်အတွက် တိုက်ခိုက်သူများသည် internal resource access ကို အသုံးချသည်။ ထို့အပြင်၊ အတွင်းပိုင်းရင်းမြစ်များကို စကင်န်ဖတ်ခြင်းကို သွယ်ဝိုက်ဖော်ထုတ်ခြင်းအတွက် သို့မဟုတ် ဒေသတွင်းကွန်ရက်နှင့်ပတ်သက်သော အချက်အလက်များကို စုဆောင်းရန်အတွက် အသုံးပြုနိုင်သည်။
• သိမ်းဆည်းထားသော စကားဝှက်များနှင့် စာညှပ်များကဲ့သို့သော Google အကောင့်တစ်ခုသို့ ချိတ်ဆက်ခြင်းနှင့် ဒေတာစင့်ခ်လုပ်ခြင်းအတွက် တစ်ခုတည်းသော၊ ရိုးရှင်းသော အင်တာဖေ့စ်ကို မိတ်ဆက်ပေးထားပါသည်။ စင့်ခ်လုပ်ခြင်းကို အကောင့်အကောင့်ဝင်ခြင်းနှင့် ပေါင်းစပ်ထားပြီး ဆက်တင်များတွင် သီးခြားရွေးချယ်မှုအဖြစ် မပြပါ။ အသုံးပြုသူများသည် Chrome ကို ၎င်းတို့၏ Google အကောင့်နှင့် ချိတ်ဆက်နိုင်ပြီး စကားဝှက်များ၊ စာညှပ်များ၊ ရှာဖွေမှုမှတ်တမ်းများနှင့် တဘ်များကို သိမ်းဆည်းရန် ၎င်းကို အသုံးပြုနိုင်သည်။ ဤအင်္ဂါရပ်သည် အချို့သောအသုံးပြုသူများအတွက် လက်ရှိအသုံးပြုနေပြီး တဖြည်းဖြည်း တိုးချဲ့သွားမည်ဖြစ်သည်။
• လုပ်ငန်းစဉ်ခွဲထုတ်မှုပုံစံအသစ်ကို အသုံးပြုထားသည် - “Origin Isolation”၊ ၎င်းတွင် အကြောင်းအရာရင်းမြစ်တစ်ခုစီ (မူရင်း - ပရိုတိုကော ချိတ်ဆက်မှု)၊ ဒိုမိန်း နှင့် port၊ ဥပမာ "https://foo.example.com") ကို သီးခြား rendering လုပ်ငန်းစဉ်တွင် ခွဲထုတ်ထားသည်။ isolation granularity ကို တိုးမြှင့်ခြင်းသည် မှတ်ဉာဏ်သုံးစွဲမှုနှင့် CPU load တိုးလာစေနိုင်သောကြောင့်၊ isolation mode အသစ်ကို RAM 4 GB ထက်ပိုသော စနစ်များတွင်သာ ဖွင့်ထားသည်။ ပါဝါနည်းသော hardware တွင်၊ isolation ချဉ်းကပ်မှုဟောင်းကို ဆက်လက်အသုံးပြုသွားမည်ဖြစ်ပြီး၊ တစ်ခုတည်းသော site (ဥပမာ foo.example.com နှင့် bar.example.com) နှင့် ဆက်စပ်နေသော မတူညီသော content source အားလုံးကို သီးခြားလုပ်ငန်းစဉ်တွင် ခွဲထုတ်သည်။
• စနစ်များပါရှိသော Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
• ဗားရှင်းအတွက် Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
• WebRTC ချိတ်ဆက်မှုများအတွက်အသုံးပြုသည့် DTLS (Datagram Transport Layer Security၊ UDP အတွက် TLS analog) ပရိုတိုကောကို အကောင်အထည်ဖော်ရာတွင် Post-quantum ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို အသုံးပြုခြင်း ပါဝင်သည်။
• စာမျက်နှာတစ်ခုပေါ်ရှိ အသုံးပြုသူ လုပ်ဆောင်ချက်အတွင်း သတ်မှတ်ထားသည့် အသက်သွင်းမှုအခြေအနေသည် တူညီသောဒိုမိန်းရှိ အခြားစာမျက်နှာသို့ သွားလာပြီးနောက် ယခုအခါ ထိန်းသိမ်းထားသည်။ အသက်သွင်းခြင်းကို ထိန်းသိမ်းခြင်းသည် စာမျက်နှာပေါင်းများစွာ ဝဘ်အက်ပ်လီကေးရှင်းများ၏ ဖွံ့ဖြိုးတိုးတက်မှုကို ရိုးရှင်းစေပြီး ဝဘ်ဆိုက်က ၎င်း၏ virtual ကီးဘုတ်ကို ပြသသည့်အခါ ထည့်သွင်းမှုအာရုံစူးစိုက်မှု သတ်မှတ်ခြင်းကဲ့သို့သော ပြဿနာများကို ဖြေရှင်းပေးမည်ဖြစ်သည်။
• CSS pseudo-classes ":target-before" နှင့် ":target-after" ကို လက်ရှိ scroll position (":target-current") နှင့် သက်ဆိုင်သော ယခင်နှင့် နောက်အမှတ်အသားများကို သတ်မှတ်ရန် ပေါင်းထည့်ထားပါသည်။
• စတိုင်ကွန်တိန်နာများ (@container) နှင့် if() လုပ်ဆောင်ချက်သည် ယခုအခါ Media Queries Level 4 သတ်မှတ်ချက်တွင် သတ်မှတ်ထားသော Range Syntax ကို ပံ့ပိုးထားပြီး၊ စံသင်္ချာဆိုင်ရာ နှိုင်းယှဉ်အော်ပရေတာများနှင့် ယုတ္တိဗေဒဆိုင်ရာ အော်ပရေတာများကို တန်ဖိုးများသတ်မှတ်ရန် စံနှုန်းများကို သတ်မှတ်ရန် ခွင့်ပြုထားသည်။ ဥပမာအားဖြင့်၊ သင်သည် ယခု "@container style(—inner-padding > 1em)" နှင့် "background-color- if(style(attr(data-columns၊ type) ကို သတ်မှတ်နိုင်ပါပြီ။ ) > 2): အပြာရောင်၊ else: အဖြူရောင်);"
• ယခုအခါ "" နှင့် " " ဒြပ်စင်များသည် "interestfor" ရည်ညွှန်းချက်ကို ထောက်ခံပါသည်။ အသုံးပြုသူသည် ဒြပ်စင်ကို စိတ်ဝင်စားကြောင်းပြသသည့်အခါ ပေါ့ပ်အပ်ကိုပြသခြင်းကဲ့သို့သော လုပ်ဆောင်ချက်များကို အစပျိုးရန် ဤအရည်အချင်းကို အသုံးပြုနိုင်သည်။ ဘရောင်ဇာသည် ဒြပ်စင်ပေါ်တွင် ညွှန်ပြချက်ကို ပျံဝဲကာ ကိုင်ထားခြင်း၊ ဟော့ကီးများ နှိပ်ခြင်း သို့မဟုတ် ထိတွေ့စခရင်ပေါ်တွင် ထိတွေ့မှုကို စိတ်ဝင်စားသည့် ညွှန်ပြချက်များအဖြစ် ဘရောင်ဇာက အသိအမှတ်ပြုသည်။ "interestfor" ရည်ညွှန်းချက်ပါရှိသော ဒြပ်စင်တစ်ခုကို ဖော်ထုတ်သောအခါ၊ ဘရောက်ဆာသည် InterestEvent ကိုထုတ်ပေးသည်။
• ဝဘ်ဆော့ဖ်ဝဲရေးသားသူကိရိယာများအတွက် တိုးတက်မှုများ ပြုလုပ်ထားသည်။ AI လက်ထောက်အတွက် အမြန်ဖွင့်ခလုတ်ကို ညာဘက်အပေါ်ထောင့်တွင် ထည့်သွင်းထားသည်။ "Ask AI" ဆက်စပ်မီနူးကို "AI ဖြင့် အမှားရှာခြင်း" သို့ အမည်ပြောင်းပြီး အကြောင်းအရာပေါ် မူတည်၍ ချက်ချင်းလုပ်ဆောင်နိုင်မှုများ ပါဝင်လာစေရန် တိုးချဲ့ထားပါသည်။ ဝဘ်ကွန်ဆိုးလ်နှင့် ကုဒ်ဘောင်တွင်၊ Gemini AI လက်ထောက်သည် ကုဒ်ဖြင့် အကြံပြုချက်များကို ထုတ်ပေးနိုင်ပါပြီ။

  ဝဘ်တီထွင်သူကိရိယာများသည် ယခုအခါ Google Developer Program (GDP) နှင့် ပေါင်းစပ်ထားသည်။ Developer များသည် ယခုအခါ ၎င်းတို့၏ GDP ပရိုဖိုင်ကို Chrome DevTools မှ တိုက်ရိုက်ဝင်ရောက်ကြည့်ရှုနိုင်ပြီး ဤအင်တာဖေ့စ်အတွင်း သီးခြားလုပ်ဆောင်စရာများကို ပြီးမြောက်ရန်အတွက် ဆုလာဘ်များ ရယူနိုင်ပါသည်။

  

အင်္ဂါရပ်အသစ်များနှင့် ချွတ်ယွင်းချက်ပြင်ဆင်မှုများအပြင် ဗားရှင်းအသစ်သည် အားနည်းချက် 20 ကို ဖြေရှင်းပေးသည်။ အားနည်းချက်များစွာကို AddressSanitizer၊ MemorySanitizer၊ Control Flow Integrity၊ LibFuzzer နှင့် AFL တို့ကို အသုံးပြု၍ အလိုအလျောက်စမ်းသပ်ခြင်းဖြင့် ဖော်ထုတ်တွေ့ရှိခဲ့သည်။ ဘရောက်ဆာကာကွယ်မှု အလွှာအားလုံးကို ကျော်လွှားပြီး sandbox ပတ်ဝန်းကျင်အပြင်ဘက်တွင် လုပ်ဆောင်နိုင်သော ကုဒ်ကို ဖော်ထုတ်နိုင်သည့် အရေးပါသည့် ပြဿနာများ မရှိပေ။ လက်ရှိဖြန့်ချိမှုအတွက် အားနည်းချက်ရှိသော ဆုကြေးအစီအစဉ်၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့်၊ Google သည် စုစုပေါင်း $130,000 (ဒေါ်လာ 50,000 ဆုနှစ်ဆု၊ $10000 ဆုကြေးတစ်ဆု၊ ဆုကြေးငွေ $3000 သုံးခု၊ $2000 ဆုကြေးနှစ်ဆုနှင့် $1000 ဆုကြေးငွေ 3 ခု) ကို တည်ထောင်ထားပါသည်။ ဆုကြေးငွေ ရှစ်သိန်းကို မသတ်မှတ်ရသေးပါဘူး။

ထို့အပြင်၊ အချို့သော JavaScript ကုဒ်ကိုလုပ်ဆောင်သောအခါတွင် ဘရောက်ဆာသည် ရပ်တန့်သွားပြီး အေးခဲသွားစေရန် Blink အင်ဂျင်တွင် ဖာထေးမှုမပြုလုပ်ထားသော အားနည်းချက်ကို ဖော်ထုတ်ထားသည်။ အားနည်းချက်သည် "document.title" ပိုင်ဆိုင်မှုကို အပ်ဒိတ်လုပ်ရာတွင် နှုန်းကန့်သတ်ချက်မရှိခြင်းနှင့် သက်ဆိုင်သည့် တင်ဆက်ခြင်းအင်ဂျင်ရှိ ဗိသုကာဆိုင်ရာ ပြဿနာများကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ ဤကန့်သတ်ချက်မရှိခြင်းက "document.title" ကို တစ်စက္ကန့်လျှင် DOM သို့ ပြောင်းလဲမှုများ သန်းပေါင်းများစွာပြုလုပ်ရန် "document.title" ကို အသုံးပြုနိုင်သည်။ ၎င်းသည် ပင်မချည်မျှင်ကို ပိတ်ဆို့ပြီး သိသိသာသာ မှတ်ဉာဏ်သုံးစွဲမှုကြောင့် အင်တာဖေ့စ်ကို စက္ကန့်အနည်းငယ်အတွင်း အေးခဲသွားစေသည်။ 15-60 စက္ကန့်ကြာပြီးနောက်၊ browser ပျက်သွားသည်။

source: opennet.ru