Chrome 97-versie

Google heeft de Chrome 97-webbrowser uitgebracht. Tegelijkertijd is er een stabiele versie beschikbaar van het gratis Chromium-project, de basis van Chrome. De Chrome-browser onderscheidt zich door het gebruik van Google-logo's, de aanwezigheid van een systeem voor het verzenden van meldingen bij een crash, modules voor het afspelen van kopieerbeveiligde videocontent (DRM), een systeem voor het automatisch installeren van updates en het verzenden van RLZ-parameters tijdens het zoeken. Voor wie meer tijd nodig heeft om te updaten, wordt de Extended Stable-branch apart ondersteund, vergezeld door een update van 8 weken, waarin een update voor de vorige versie van Chrome 96 is geïnstalleerd. De volgende versie van Chrome 98 staat gepland voor 1 februari.

Belangrijkste wijzigingen in Chrome 97:

• Voor sommige gebruikers gebruikt de configurator een nieuwe interface voor het beheer van browsergegevens ("chrome://settings/content/all"). Het belangrijkste verschil met de nieuwe interface is de focus op het instellen van machtigingen en het in één keer wissen van alle cookies op de site, zonder de mogelijkheid om gedetailleerde informatie over individuele cookies te bekijken en cookies selectief te verwijderen. Volgens Google kan het beheren van individuele cookies door een gewone gebruiker die niet bekend is met de complexiteit van webontwikkeling leiden tot onvoorspelbare verstoringen in de werking van sites als gevolg van ondoordachte wijzigingen in individuele parameters, evenals het onbedoeld uitschakelen van privacybeschermingsmechanismen die via cookies worden geactiveerd. Voor gebruikers die individuele cookies moeten beheren, is het raadzaam om de sectie Opslagbeheer in de tools voor webontwikkelaars (Applocatie/Opslag/Cookie) te gebruiken.
• Het blok met informatie over de site geeft nu een korte beschrijving van de site weer (bijvoorbeeld een beschrijving van Wikipedia) als de zoek- en navigatieoptimalisatiemodus is geactiveerd in de instellingen (de optie 'Zoeken en browsen verbeteren').
• Verbeterde ondersteuning voor het automatisch invullen van velden in webformulieren. Aanbevelingen met opties voor automatisch invullen worden nu iets anders weergegeven en voorzien van informatiepictogrammen voor een handiger voorbeeld en een duidelijke definitie van de relatie met het veld dat wordt ingevuld. Het profielpictogram maakt bijvoorbeeld duidelijk dat de voorgestelde automatische invulling van invloed is op velden met adres- en contactgegevens.
• Zorgde ervoor dat gebruikersprofielhandlers uit het geheugen werden verwijderd na het sluiten van de bijbehorende browservensters. Voorheen bleven profielen in het geheugen en voerden ze taken uit met betrekking tot synchronisatie en uitvoering van add-on-achtergrondscripts, wat resulteerde in onnodig resourcegebruik op systemen die meerdere profielen tegelijkertijd gebruikten (bijvoorbeeld een gastprofiel en een koppeling naar een Google-account). Daarnaast werd gezorgd voor een grondigere opschoning van gegevens die tijdens profielwerk achterbleven.
• Verbeterde pagina met zoekmachine-instellingen ("Instellingen > Zoekmachines beheren"). Automatische activering van zoekmachines, waarover informatie wordt gegeven bij het openen van een site via het OpenSearch-script, is uitgeschakeld. Nieuwe zoekmachines voor het verwerken van zoekopdrachten vanuit de adresbalk moeten nu handmatig worden geactiveerd in de instellingen (voorheen automatisch geactiveerde zoekmachines blijven ongewijzigd werken).
• Vanaf 17 januari accepteert de Chrome Web Store geen add-ons meer die gebruikmaken van de tweede versie van het Chrome Manifest. Ontwikkelaars van eerder toegevoegde add-ons kunnen echter nog steeds updates publiceren.
• Experimentele ondersteuning toegevoegd voor de WebTransport-specificatie, die een protocol en bijbehorende JavaScript-API definieert voor het verzenden en ontvangen van gegevens tussen een browser en een server. serverHet communicatiekanaal wordt tot stand gebracht via HTTP/3 met behulp van het QUIC-protocol als transportlaag. WebTransport kan worden gebruikt in plaats van WebSockets en biedt extra mogelijkheden zoals multi-streaming, unidirectionele streams, levering in willekeurige volgorde en betrouwbare en onbetrouwbare leveringsmodi. Bovendien kan WebTransport worden gebruikt in plaats van Server Push, dat door Google in Chrome is afgeschaft.
• JavaScript Array- en TypedArrays-objecten hebben nu findLast- en findLastIndex-methoden waarmee naar elementen kan worden gezocht met de resulterende uitvoer relatief ten opzichte van het einde van de array. [1,2,3,4].findLast((el) => el % 2 === 0) // → 4 (laatste even element)
• Gesloten (zonder het "open"-kenmerk) HTML-elementen , zijn nu doorzoekbaar en koppelbaar, en worden automatisch uitgevouwen bij gebruik van de paginazoekfunctie en fragmentnavigatie (ScrollToTextFragment).
• Content Security Policy (CSP)-beperkingen in responsheaders server Deze regels gelden nu voor specifieke werknemers, die voorheen als aparte documenten werden behandeld.
• Er is een expliciet verzoek ingediend voor toestemming om subresources van het interne netwerk te downloaden. Voordat er toegang wordt verkregen tot het interne netwerk of de localhost, wordt er nu een CORS-verzoek (Cross-Origin Resource Sharing) met de header "Access-Control-Request-Private-Network: true" verzonden naar de server van de hoofdsite. Hiervoor is bevestiging van de bewerking vereist door de header "Access-Control-Allow-Private-Network: true" te retourneren.
• Er is een CSS-eigenschap font-synthesis toegevoegd, waarmee u de mogelijkheid van de browser kunt beheren om ontbrekende lettertypen (schuin, vet en kleinkapitalen) te synthetiseren die niet aanwezig zijn in de geselecteerde lettertypefamilie.
• CSS-transformaties in de perspective()-functie hebben een 'none'-parameter, die tijdens het animeren als een oneindige waarde wordt behandeld.
• De HTTP-header Permissions-Policy (Feature Policy), die wordt gebruikt om machtigingen te delegeren en geavanceerde functies in te schakelen, ondersteunt nu de keyboard-map-waarde, waardoor de Keyboard API kan worden gebruikt. De methode Keyboard.getLayoutMap() is geïmplementeerd, zodat u kunt bepalen welke toets wordt ingedrukt, rekening houdend met verschillende toetsenbordindelingen (bijvoorbeeld of een toets wordt ingedrukt met een Russische of Engelse indeling).
• De methode HTMLScriptElement.supports() is toegevoegd, waarmee de definitie van nieuwe functies die beschikbaar zijn in het "script"-element wordt samengevoegd. U kunt bijvoorbeeld de lijst met ondersteunde waarden voor het "type"-kenmerk vinden.
• Het normaliseren van nieuwe regels bij het indienen van webformulieren is afgestemd op de Gecko- en WebKit-browserengines. Normalisatie van regeleinden en regeleinden (vervanging van /r en /n door \r\n) in Chrome wordt nu uitgevoerd in de laatste fase, in plaats van aan het begin van het indienen van het formulier (d.w.z. tussenliggende handlers die het FormData-object gebruiken, zien de gegevens zoals ze door de gebruiker zijn toegevoegd, in plaats van in genormaliseerde vorm).
• De naamgeving van eigenschappen voor de Client Hints API is gestandaardiseerd. Deze wordt ontwikkeld als vervanging voor de User-Agent header en maakt het mogelijk om selectief gegevens over specifieke browser- en systeemparameters (versie, platform, enz.) te retourneren, alleen na een verzoek van de server. Eigenschappen worden nu gespecificeerd met het voorvoegsel "sec-ch-", bijvoorbeeld sec-ch-dpr, sec-ch-width, sec-ch-viewport-width, sec-ch-device-memory, sec-ch-rtt, sec-ch-downlink en sec-ch-ect.
• De tweede fase van de veroudering van de WebSQL API is ingegaan en blokkeert aanroepen vanuit scripts van derden. In de toekomst is het de bedoeling om de ondersteuning voor WebSQL geleidelijk volledig te beëindigen, ongeacht de gebruikscontext. De WebSQL-handler is gebaseerd op SQLite-code en kan door aanvallers worden gebruikt om kwetsbaarheden in SQLite te misbruiken.
• Voor het platform Windows Er is een build met Control Flow Guard (CFG)-integriteitscontroles ingeschakeld, die pogingen om code in het Chrome-proces te injecteren blokkeren. Daarnaast wordt nu sandboxing toegepast op netwerkservices die in aparte processen draaien, waardoor de mogelijkheden van code binnen die processen worden beperkt.
• In Chrome voor Android Het mechanisme voor het dynamisch bijwerken van het logboek met uitgegeven en ingetrokken certificaten (Certificate Transparency), dat eerder al was geactiveerd in de desktopversies, is nu ingeschakeld.
• Er zijn verbeteringen aangebracht aan tools voor webontwikkelaars. Experimentele ondersteuning voor het synchroniseren van DevTools-instellingen tussen verschillende apparaten is geïmplementeerd. Er is een nieuw Recorder-paneel toegevoegd, waarmee u gebruikersacties op een pagina kunt opnemen, afspelen en analyseren.

  Bij het weergeven van fouten in de webconsole worden nu de kolomnummers weergegeven die bij het probleem horen. Dit is handig voor het debuggen van problemen in geminimaliseerde JavaScript-code. De lijst met apparaten die gesimuleerd kunnen worden om de weergave van een pagina op mobiele apparaten te evalueren, is bijgewerkt. Syntaxisaccentuering en automatische invoeraanvulling zijn toegevoegd aan de interface voor het bewerken van HTML-blokken (Bewerken als HTML).

  

Naast innovaties en bugfixes elimineert de nieuwe versie 37 kwetsbaarheden. Veel van de kwetsbaarheden werden geïdentificeerd tijdens geautomatiseerde tests met de tools AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer en AFL. Aan één van de kwetsbaarheden is de status 'kritiek' toegekend, waardoor u alle niveaus van browserbeveiliging kunt omzeilen en code in het systeem kunt uitvoeren, buiten de sandboxomgeving. Details over de kritieke kwetsbaarheid (CVE-2022-0096) zijn nog niet bekendgemaakt; het is alleen bekend dat deze betrekking heeft op toegang tot een reeds vrijgegeven geheugengebied in de code voor het werken met interne opslag (API Storage).

Als onderdeel van het bug bounty-programma voor de huidige release heeft Google 24 premies uitgekeerd met een totaalbedrag van $ 54 (drie premies van $ 10000, twee premies van $ 5000, één premie van $ 4000, drie premies van $ 3000 en één premie van $ 1000). De hoogte van 14 van de premies is nog niet vastgesteld.

Bron: opennet.ru