Google heeft de release onthuld van de webbrowser Chrome 92. Tegelijkertijd is er een stabiele release beschikbaar van het gratis Chromium-project, dat als basis dient voor Chrome. De Chrome-browser onderscheidt zich door het gebruik van Google-logo's, de aanwezigheid van een systeem voor het verzenden van meldingen bij een crash, modules voor het afspelen van beschermde video-inhoud (DRM), een systeem voor het automatisch installeren van updates en het verzenden van RLZ-parameters tijdens het zoeken. De volgende release van Chrome 93 staat gepland voor 31 augustus.
Belangrijkste wijzigingen in Chrome 92:
- Er zijn tools aan de instellingen toegevoegd om de opname van Privacy Sandbox-componenten te controleren. De gebruiker krijgt de mogelijkheid om de FLoC-technologie (Federated Learning of Cohorts) uit te schakelen, die door Google wordt ontwikkeld om cookies voor het volgen van bewegingen te vervangen door ‘cohorten’ waarmee gebruikers kunnen worden geïdentificeerd met vergelijkbare interesses zonder individuen te identificeren. Cohorten worden aan de browserkant berekend door machine learning-algoritmen toe te passen op browsegeschiedenisgegevens en inhoud die in de browser wordt geopend.
- Voor desktopgebruikers is de Back-Forward-cache standaard ingeschakeld, waardoor directe navigatie mogelijk is bij gebruik van de knoppen Terug en Vooruit of bij het navigeren door eerder bekeken pagina's van de huidige site. Voorheen was de jump cache alleen beschikbaar in builds voor het Android-platform.
- Verhoogde isolatie van sites en add-ons in verschillende processen. Als voorheen het Site Isolation-mechanisme ervoor zorgde dat sites van elkaar werden geïsoleerd in verschillende processen, en ook alle add-ons in een afzonderlijk proces scheidde, implementeert de nieuwe release de scheiding van browser-add-ons van elkaar door elke add-on te verplaatsen. omgezet in een afzonderlijk proces, waardoor het mogelijk werd een nieuwe barrière te creëren voor de bescherming tegen kwaadaardige add-ons.
- Aanzienlijk verhoogde productiviteit en efficiëntie van phishing-detectie. De snelheid van het detecteren van phishing op basis van lokale beeldanalyse steeg in de helft van de gevallen tot 50 keer en bleek in 99% van de gevallen minimaal 2.5 keer sneller. Gemiddeld daalde de tijd om phishing op afbeelding te classificeren van 1.8 seconden naar 100 ms. Over het geheel genomen daalde de CPU-belasting veroorzaakt door alle weergaveprocessen met 1.2%.
- Poorten 989 (ftps-data) en 990 (ftps) zijn toegevoegd aan de lijst met verboden netwerkpoorten. Voorheen waren de poorten 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 en 10080 al geblokkeerd. Voor poorten op de zwarte lijst wordt het verzenden van HTTP-, HTTPS- en FTP-verzoeken geblokkeerd ter bescherming tegen de NAT slipstreaming-aanval, waarmee bij het openen van een webpagina die speciaal door de aanvaller in een browser is voorbereid, een netwerkverbinding tot stand kan worden gebracht vanaf de server van de aanvaller naar elke UDP- of TCP-poort op het systeem van de gebruiker, ondanks het gebruik van het interne adresbereik (192.168.xx , 10.xxx).
- Er is een vereiste geïntroduceerd om tweefactorige ontwikkelaarsverificatie te gebruiken bij het publiceren van nieuwe toevoegingen of versie-updates in de Chrome Web Store.
- Het is nu mogelijk om reeds geïnstalleerde add-ons in de browser uit te schakelen als deze vanwege overtreding van de regels uit de Chrome Web Store worden verwijderd.
- Bij het versturen van DNS-query’s wordt bij het gebruik van klassieke DNS-servers naast de “A”- en “AAAA”-records voor het bepalen van IP-adressen nu ook het “HTTPS” DNS-record gevraagd, waardoor parameters worden doorgegeven om de snelheid te verhogen het tot stand brengen van HTTPS-verbindingen, zoals protocolinstellingen, TLS ClientHello-coderingssleutels en een lijst met alias-subdomeinen.
- Het aanroepen van de JavaScript-dialogen window.alert, window.confirm en window.prompt is verboden voor iframe-blokken die worden geladen vanuit andere domeinen dan het domein van de huidige pagina. De wijziging helpt gebruikers te beschermen tegen misbruik in verband met pogingen om een melding van derden te presenteren als een verzoek vanaf de hoofdsite.
- De nieuwe tabbladpagina biedt een lijst met de populairste documenten die zijn opgeslagen in Google Drive.
- Het is mogelijk om de naam en het pictogram voor PWA-applicaties (Progressive Web Apps) te wijzigen.
- Voor een klein willekeurig aantal webformulieren waarvoor u een adres of creditcardnummer moet invoeren, worden aanbevelingen voor automatisch aanvullen bij wijze van experiment uitgeschakeld.
- In de desktopversie is de zoekoptie voor afbeeldingen (het item "Afbeelding zoeken" in het contextmenu) overgeschakeld naar het gebruik van de Google Lens-service in plaats van de gebruikelijke Google-zoekmachine. Wanneer u op de betreffende knop in het contextmenu klikt, wordt de gebruiker doorgestuurd naar een aparte webapplicatie.
- In de interface van de incognitomodus zijn links naar de browsegeschiedenis verborgen (de links zijn nutteloos, omdat ze hebben geleid tot het openen van een stub met informatie dat de geschiedenis niet is verzameld).
- Nieuwe opdrachten toegevoegd die worden geparseerd wanneer ze in de adresbalk worden ingevoerd. Om bijvoorbeeld een knop weer te geven waarmee u snel naar de pagina kunt gaan waar u de veiligheid van wachtwoorden en add-ons kunt controleren, typt u gewoon 'veiligheidscontrole', en om naar de beveiligings- en synchronisatie-instellingen te gaan typt u gewoon 'beveiligingsinstellingen beheren' en ' synchronisatie beheren”.
- Specifieke wijzigingen in de Android-versie van Chrome:
- Het paneel beschikt over een nieuwe aanpasbare “Magic Toolbar”-knop die verschillende snelkoppelingen weergeeft die zijn geselecteerd op basis van de huidige activiteit van de gebruiker, en links bevat die waarschijnlijk op dat moment nodig zijn.
- De implementatie van het machine learning-model op het apparaat om phishing-pogingen te detecteren is bijgewerkt. Wanneer phishing-pogingen worden gedetecteerd, verzendt de browser nu niet alleen een waarschuwingspagina, maar ook informatie over de versie van het machine learning-model, het berekende gewicht voor elke categorie en de vlag voor toepassing van het nieuwe model naar de externe Safe Browsing-service .
- De instelling 'Suggesties voor vergelijkbare pagina's weergeven als een pagina niet kan worden gevonden' is verwijderd, wat ertoe leidde dat vergelijkbare pagina's werden aanbevolen op basis van het verzenden van een zoekopdracht naar Google als de pagina niet werd gevonden. Deze instelling is eerder verwijderd uit de desktopversie.
- Het gebruik van de site-isolatiemodus voor individuele processen is uitgebreid. Om redenen van hulpbronnengebruik zijn tot nu toe alleen geselecteerde grote locaties naar afzonderlijke processen verplaatst. In de nieuwe versie zal isolatie ook van toepassing worden op sites waarop de gebruiker is ingelogd met authenticatie via OAuth (bijvoorbeeld door verbinding te maken via een Google-account) of die de Cross-Origin-Opener-Policy HTTP-header hebben ingesteld. Voor degenen die isolatie in individuele processen van alle sites willen inschakelen, is de instelling “chrome://flags/#enable-site-per-process” beschikbaar.
- De ingebouwde beschermingsmechanismen van de V8-motor tegen zijkanaalaanvallen zoals Spectre zijn uitgeschakeld, wat niet zo effectief wordt geacht als het isoleren van sites in afzonderlijke processen. In de desktopversie waren deze mechanismen uitgeschakeld in de release van Chrome 70.
- Vereenvoudigde toegang tot instellingen voor sitemachtigingen, zoals toegang tot de microfoon, camera en locatie. Om een lijst met machtigingen weer te geven, klikt u eenvoudig op het hangslotsymbool in de adresbalk en selecteert u vervolgens het gedeelte 'Toestemmingen'.
- Er zijn verschillende nieuwe API's toegevoegd aan de Origin Trials-modus (experimentele functies die afzonderlijk moeten worden geactiveerd). Origin Trial impliceert de mogelijkheid om met de gespecificeerde API te werken vanuit applicaties die zijn gedownload van localhost of 127.0.0.1, of na registratie en ontvangst van een speciaal token dat voor een beperkte tijd geldig is voor een specifieke site.
- API File Handling, waarmee u webapplicaties kunt registreren als bestandshandlers. Een webapplicatie die in de PWA-modus (Progressive Web Apps) met een teksteditor draait, kan zichzelf bijvoorbeeld registreren als een “.txt”-bestandshandler, waarna deze in de systeembestandsbeheerder kan worden gebruikt om tekstbestanden te openen.
- Shared Element Transitions API, waarmee u kant-en-klare effecten van de browser kunt gebruiken die veranderingen in de status van de interface visualiseren op één pagina (SPA, applicaties met één pagina) en op meerdere pagina's (MPA, applicaties met meerdere pagina's) ) web applicaties.
- API File Handling, waarmee u webapplicaties kunt registreren als bestandshandlers. Een webapplicatie die in de PWA-modus (Progressive Web Apps) met een teksteditor draait, kan zichzelf bijvoorbeeld registreren als een “.txt”-bestandshandler, waarna deze in de systeembestandsbeheerder kan worden gebruikt om tekstbestanden te openen.
- De parameter size-adjust is toegevoegd aan de CSS-regel @font-face, waarmee u de glyph-grootte voor een specifieke lettertypestijl kunt schalen zonder de waarde van de CSS-eigenschap font-size te wijzigen (het gebied onder het teken blijft hetzelfde , maar de grootte van de glyph in dit gebied verandert).
- In JavaScript implementeren de objecten Array, String en TypedArray de methode at(), waarmee u relatieve indexering kunt gebruiken (de relatieve positie wordt opgegeven als de array-index), inclusief het opgeven van negatieve waarden ten opzichte van het einde (bijvoorbeeld "arr.at(-1)" retourneert het laatste element van de array).
- De eigenschap dayPeriod is toegevoegd aan de JavaScript-constructor Intl.DateTimeFormat, waarmee u bij benadering de tijd van de dag kunt weergeven (ochtend, avond, middag, nacht).
- Wanneer u SharedArrayBuffers-objecten gebruikt, waarmee u arrays in gedeeld geheugen kunt maken, moet u nu de HTTP-headers Cross-Origin-Opener-Policy en Cross-Origin-Embedder-Policy definiëren, zonder welke het verzoek wordt geblokkeerd.
- De acties ‘microfoon schakelen’, ‘camera schakelen’ en ‘ophangen’ zijn toegevoegd aan de Media Session API, waardoor sites die videoconferentiesystemen implementeren hun eigen handlers kunnen aansluiten voor de knoppen voor dempen/opheffen, camera uit/aan en beëindigen die worden weergegeven in de beeld-in-beeld-interfaceoproep.
- De Web Bluetooth API heeft de mogelijkheid toegevoegd om gevonden Bluetooth-apparaten te filteren op fabrikant en product-ID's. Het filter wordt ingesteld via de parameter “options.filters” in de methode Bluetooth.requestDevice().
- De eerste fase van het inkorten van de inhoud van de User-Agent HTTP-header is geïmplementeerd: het tabblad DevTools Issues geeft nu een waarschuwing weer over de beëindiging van navigator.userAgent, navigator.appVersion en navigator.platform.
- Er zijn een aantal verbeteringen aangebracht in de tools voor webontwikkelaars. De webconsole biedt de mogelijkheid om “const”-expressies opnieuw te definiëren. In het paneel Elementen hebben iframe-elementen de mogelijkheid om snel details te bekijken via een contextmenu dat verschijnt wanneer u met de rechtermuisknop op het element klikt. Verbeterde foutopsporing van CORS-fouten (Cross-origin resource sharing). De mogelijkheid om netwerkverzoeken van WebAssembly te filteren is toegevoegd aan het inspectiepaneel voor netwerkactiviteiten. Er is een nieuwe CSS Grid-editor voorgesteld (“display: grid” en “display: inline-grid”) met een functie voor het vooraf bekijken van wijzigingen.
Naast innovaties en bugfixes elimineert de nieuwe versie 35 kwetsbaarheden. Veel van de kwetsbaarheden zijn geïdentificeerd als resultaat van geautomatiseerd testen met behulp van de tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL. Er zijn geen kritieke problemen geïdentificeerd die het mogelijk zouden maken om alle niveaus van browserbeveiliging te omzeilen en code op het systeem uit te voeren buiten de sandbox-omgeving. Als onderdeel van het programma om contante beloningen te betalen voor het ontdekken van kwetsbaarheden voor de huidige release, heeft Google 24 beloningen uitbetaald ter waarde van $112000 (twee $15000 awards, vier $10000 awards, één $8500 award, twee $7500 awards, drie $5000 awards, één $3000 award en één $500 awards). ). De omvang van 11 beloningen is nog niet bepaald.
Bron: opennet.ru