ProHoster > blog > internetnieuws > Chrome 102-versie

Chrome 102-versie

Google heeft de release onthuld van de webbrowser Chrome 102. Tegelijkertijd is er een stabiele release beschikbaar van het gratis Chromium-project, dat als basis dient voor Chrome. De Chrome-browser verschilt van Chromium in het gebruik van Google-logo's, de aanwezigheid van een systeem voor het verzenden van meldingen bij een crash, modules voor het afspelen van tegen kopiëren beveiligde videocontent (DRM), een systeem voor het automatisch installeren van updates, waardoor Sandbox-isolatie permanent mogelijk wordt gemaakt , het leveren van sleutels aan de Google API en het verzenden van RLZ- tijdens het zoeken.parameters. Voor degenen die meer tijd nodig hebben om te updaten, wordt de Extended Stable-tak afzonderlijk ondersteund, gevolgd door 8 weken. De volgende release van Chrome 103 staat gepland voor 21 juni.

Belangrijkste wijzigingen in Chrome 102:

  • Om de exploitatie van kwetsbaarheden veroorzaakt door toegang tot reeds vrijgekomen geheugenblokken (use-after-free) te blokkeren, in plaats van gewone pointers, werd het type MiraclePtr (raw_ptr) gebruikt. MiraclePtr biedt een binding over pointers die extra controles uitvoert op toegang tot vrijgekomen geheugengebieden en crasht als dergelijke toegangen worden gedetecteerd. De impact van de nieuwe beveiligingsmethode op de prestaties en het geheugenverbruik wordt als verwaarloosbaar ingeschat. Het MiraclePtr-mechanisme is niet in alle processen toepasbaar, en wordt met name niet gebruikt bij weergaveprocessen, maar het kan de beveiliging aanzienlijk verbeteren. In de huidige release werden bijvoorbeeld van de 32 opgeloste kwetsbaarheden er 12 veroorzaakt door use-after-free-problemen.
  • Het ontwerp van de interface met informatie over downloads is gewijzigd. In plaats van de onderste regel met gegevens over de downloadvoortgang is er een nieuwe indicator toegevoegd aan het paneel met de adresbalk; als je erop klikt, wordt de voortgang van het downloaden van bestanden en een geschiedenis met een lijst van reeds gedownloade bestanden getoond. In tegenstelling tot het onderste paneel wordt de knop constant op het paneel weergegeven en hebt u snel toegang tot uw downloadgeschiedenis. De nieuwe interface wordt momenteel standaard alleen aan enkele gebruikers aangeboden en zal naar alle gebruikers worden uitgebreid als er geen problemen zijn. Om de oude interface terug te brengen of een nieuwe in te schakelen, is de instelling “chrome://flags#download-bubble” beschikbaar.
    Chrome 102-versie
  • Bij het zoeken naar afbeeldingen via het contextmenu (“Afbeelding zoeken met Google Lens” of “Zoeken via Google Lens”) worden de resultaten nu niet op een aparte pagina getoond, maar in een zijbalk naast de inhoud van de originele pagina (in in één venster kunt u tegelijkertijd zowel de pagina-inhoud als het resultaat van de toegang tot de zoekmachine zien).
    Chrome 102-versie
  • In het gedeelte 'Privacy en beveiliging' van de instellingen is een gedeelte 'Privacygids' toegevoegd, dat een algemeen overzicht biedt van de belangrijkste instellingen die van invloed zijn op de privacy, met gedetailleerde uitleg over de impact van elke instelling. In de sectie kunt u bijvoorbeeld het beleid definiëren voor het verzenden van gegevens naar Google-services, het beheren van de synchronisatie, het verwerken van cookies en het opslaan van geschiedenis. De functie wordt aan sommige gebruikers aangeboden; om deze te activeren kunt u de instelling “chrome://flags#privacy-guide” gebruiken.
    Chrome 102-versie
  • Er wordt voorzien in structurering van de zoekgeschiedenis en bekeken pagina's. Wanneer u opnieuw probeert te zoeken, wordt in de adresbalk een hint “Hervat uw reis” weergegeven, zodat u de zoekopdracht kunt voortzetten vanaf de plaats waar deze de laatste keer werd onderbroken.
    Chrome 102-versie
  • De Chrome Web Store biedt een pagina 'Extensies Starter Kit' met een eerste selectie van aanbevolen add-ons.
  • In de testmodus wordt het verzenden van een CORS-bevestigingsverzoek (Cross-Origin Resource Sharing) met de header 'Access-Control-Request-Private-Network: true' naar de hoofdsiteserver ingeschakeld wanneer de pagina toegang krijgt tot een bron op het interne netwerk (192.168.x.x, 10.x.x.x, 172.16.x.x) of naar localhost (128.x.x.x). Bij het bevestigen van de bewerking als reactie op dit verzoek moet de server de header “Access-Control-Allow-Private-Network: true” retourneren. In Chrome versie 102 heeft het bevestigingsresultaat nog geen invloed op de verwerking van het verzoek. Als er geen bevestiging is, wordt er een waarschuwing weergegeven in de webconsole, maar wordt het subresourceverzoek zelf niet geblokkeerd. Het inschakelen van blokkering bij gebrek aan bevestiging van de server wordt pas verwacht bij de release van Chrome 105. Om blokkering in eerdere releases in te schakelen, kunt u de instelling 'chrome://flags/#private-network-access-respect-preflight-' inschakelen. resultaten".

    Verificatie van de autoriteit door de server werd geïntroduceerd om de bescherming te versterken tegen aanvallen die verband houden met de toegang tot bronnen op het lokale netwerk of op de computer van de gebruiker (localhost) via scripts die worden geladen bij het openen van een site. Dergelijke verzoeken worden door aanvallers gebruikt om CSRF-aanvallen uit te voeren op routers, toegangspunten, printers, bedrijfswebinterfaces en andere apparaten en diensten die alleen verzoeken van het lokale netwerk accepteren. Ter bescherming tegen dergelijke aanvallen zal de browser, als er toegang wordt verkregen tot subbronnen op het interne netwerk, een expliciet verzoek om toestemming sturen om deze subbronnen te laden.

  • Bij het openen van links in de incognitomodus via het contextmenu worden sommige parameters die van invloed zijn op de privacy automatisch uit de URL verwijderd.
  • De update-leveringsstrategie voor Windows en Android is gewijzigd. Om het gedrag van de nieuwe en oude releases beter te kunnen vergelijken, worden er nu meerdere builds van de nieuwe versie gegenereerd om te downloaden.
  • Netwerksegmentatietechnologie is gestabiliseerd ter bescherming tegen methoden voor het volgen van gebruikersbewegingen tussen sites op basis van het opslaan van identificatiegegevens in gebieden die niet bedoeld zijn voor permanente opslag van informatie (“Supercookies”). Omdat in de cache opgeslagen bronnen worden opgeslagen in een gemeenschappelijke naamruimte, ongeacht het oorspronkelijke domein, kan de ene site bepalen dat een andere site bronnen laadt door te controleren of die bron zich in de cache bevindt. De bescherming is gebaseerd op het gebruik van netwerksegmentatie (Network Partitioning), waarvan de essentie is om aan gedeelde caches een extra binding van records toe te voegen aan het domein van waaruit de hoofdpagina wordt geopend, waardoor de cachedekking alleen voor bewegingsregistratiescripts wordt beperkt. naar de huidige site (een script van een iframe kan niet controleren of de bron van een andere site is gedownload). Het delen van statussen omvat netwerkverbindingen (HTTP/1, HTTP/2, HTTP/3, websocket), DNS-cache, ALPN/HTTP2-, TLS/HTTP3-gegevens, configuratie, downloads en Expect-CT-headerinformatie.
  • Voor geïnstalleerde stand-alone webapplicaties (PWA, Progressive Web App) is het mogelijk om het ontwerp van het venstertitelgebied te wijzigen met behulp van de Window Controls Overlay-componenten, die het schermgebied van de webapplicatie uitbreiden tot het gehele venster. Een webapplicatie kan de weergave en invoerverwerking van het hele venster besturen, met uitzondering van het overlayblok met standaard vensterbedieningsknoppen (sluiten, minimaliseren, maximaliseren), om de webapplicatie het uiterlijk te geven van een gewone desktopapplicatie.
    Chrome 102-versie
  • In het formulier-autofill-systeem is ondersteuning toegevoegd voor het genereren van virtuele creditcardnummers in velden met betalingsgegevens voor goederen in online winkels. Met behulp van een virtuele kaart, waarvan het nummer voor elke betaling wordt gegenereerd, kunt u geen gegevens over een echte creditcard overdragen, maar is de levering van de noodzakelijke service door de bank vereist. De functie is momenteel alleen beschikbaar voor Amerikaanse bankklanten. Om de opname van de functie te controleren, wordt de instelling “chrome://flags/#autofill-enable-virtual-card” voorgesteld.
  • Het “Capture Handle”-mechanisme is standaard geactiveerd, waardoor u informatie kunt overbrengen naar applicaties die video opnemen. De API maakt het mogelijk om de interactie te organiseren tussen applicaties waarvan de inhoud wordt opgenomen en applicaties die de opname uitvoeren. Een toepassing voor videoconferenties die video vastlegt om een ​​presentatie uit te zenden, kan bijvoorbeeld informatie over de presentatieknoppen ophalen en deze in het videovenster weergeven.
  • Ondersteuning voor speculatieve regels is standaard ingeschakeld, waardoor een flexibele syntaxis wordt geboden om te bepalen of linkgerelateerde gegevens proactief kunnen worden geladen voordat de gebruiker op de link klikt.
  • Het mechanisme voor het verpakken van bronnen in pakketten in het Web Bundle-formaat is gestabiliseerd, waardoor de efficiëntie van het laden van een groot aantal begeleidende bestanden (CSS-stijlen, JavaScript, afbeeldingen, iframes) kan worden verhoogd. In tegenstelling tot pakketten in het Webpack-formaat heeft het Web Bundle-formaat de volgende voordelen: niet het pakket zelf wordt opgeslagen in de HTTP-cache, maar de samenstellende delen ervan; het compileren en uitvoeren van JavaScript begint zonder te wachten tot het pakket volledig is gedownload; Het is toegestaan ​​om aanvullende bronnen op te nemen, zoals CSS en afbeeldingen, die in webpack gecodeerd zouden moeten worden in de vorm van JavaScript-strings.
  • Het is mogelijk om een ​​PWA-applicatie te definiëren als afhandeling van bepaalde MIME-typen en bestandsextensies. Nadat een binding is gedefinieerd via het veld file_handlers in het manifest, ontvangt de applicatie een speciale gebeurtenis wanneer de gebruiker probeert een bestand te openen dat aan de applicatie is gekoppeld.
  • Een nieuw inert attribuut toegevoegd waarmee u een deel van de DOM-structuur als "inactief" kunt markeren. Voor DOM-knooppunten in deze status zijn tekstselectie en pointer hover handlers uitgeschakeld, d.w.z. De pointer-events en door de gebruiker geselecteerde CSS-eigenschappen zijn altijd ingesteld op 'none'. Als een knooppunt kan worden bewerkt, wordt het in de inerte modus niet meer bewerkt.
  • De navigatie-API toegevoegd, waarmee webapplicaties vensternavigatiebewerkingen kunnen onderscheppen, navigatie kunnen starten en de geschiedenis van acties met de applicatie kunnen analyseren. De API biedt een alternatief voor de eigenschappen window.history en window.location, geoptimaliseerd voor webapplicaties met één pagina.
  • Er is een nieuwe vlag, "totdat gevonden", voorgesteld voor het "verborgen" attribuut, waardoor het element doorzoekbaar is op de pagina en kan worden gescrolld met een tekstmasker. U kunt bijvoorbeeld verborgen tekst aan een pagina toevoegen, waarvan de inhoud wordt gevonden in lokale zoekopdrachten.
  • In de WebHID API, ontworpen voor toegang op laag niveau tot HID-apparaten (menselijke interface-apparaten, toetsenborden, muizen, gamepads, touchpads) en voor het organiseren van werk zonder de aanwezigheid van specifieke stuurprogramma's in het systeem, is de eigenschap uitsluitingFilters toegevoegd aan de requestDevice( ) object, waarmee u bepaalde apparaten kunt uitsluiten wanneer de browser een lijst met beschikbare apparaten weergeeft. U kunt bijvoorbeeld apparaat-ID's met bekende problemen uitsluiten.
  • Het is verboden om een ​​betalingsformulier weer te geven via een aanroep van PaymentRequest.show() zonder een expliciete gebruikersactie, bijvoorbeeld klikken op een element dat aan de handler is gekoppeld.
  • Ondersteuning voor een alternatieve implementatie van het SDP-protocol (Session Description Protocol) dat wordt gebruikt om een ​​sessie in WebRTC tot stand te brengen, is stopgezet. Chrome bood twee SDP-opties: verenigd met andere browsers en Chrome-specifiek. Vanaf nu is alleen de draagbare optie nog over.
  • Er zijn verbeteringen aangebracht in tools voor webontwikkelaars. Knoppen toegevoegd aan het paneel Stijlen om het gebruik van een donker en licht thema te simuleren. De bescherming van het tabblad Voorbeeld in de netwerkinspectiemodus is versterkt (de toepassing van Content Security Policy is ingeschakeld). De debugger implementeert scriptbeëindiging om breekpunten opnieuw te laden. Er is een voorlopige implementatie van het nieuwe paneel “Prestatie-inzichten” voorgesteld, waarmee u de prestaties van bepaalde bewerkingen op de pagina kunt analyseren.
    Chrome 102-versie

Naast innovaties en bugfixes elimineert de nieuwe versie 32 kwetsbaarheden. Veel van de kwetsbaarheden zijn geïdentificeerd als resultaat van geautomatiseerd testen met behulp van de tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL. Aan één van de problemen (CVE-2022-1853) is een kritiek niveau van gevaar toegekend, wat de mogelijkheid inhoudt om alle niveaus van browserbeveiliging te omzeilen en code op het systeem uit te voeren buiten de sandbox-omgeving. Details over dit beveiligingslek zijn nog niet bekendgemaakt; het is alleen bekend dat het wordt veroorzaakt door toegang tot een vrijgemaakt geheugenblok (use-after-free) in de Indexed DB API-implementatie.

Als onderdeel van het geldbeloningsprogramma voor het ontdekken van kwetsbaarheden voor de huidige release heeft Google 24 prijzen uitgekeerd ter waarde van $65600 (één $10000, één $7500, twee $7000, drie $5000, vier $3000, twee $2000, twee $1000 en twee $ 500 bonussen). De omvang van de 7 beloningen is nog niet vastgesteld.

Bron: opennet.ru

Voeg een reactie