Google har avduket utgivelsen av nettleseren Chrome 92. Samtidig er en stabil utgivelse av det gratis Chromium-prosjektet, som fungerer som grunnlaget for Chrome, tilgjengelig. Chrome-nettleseren utmerker seg ved bruk av Google-logoer, tilstedeværelsen av et system for å sende varsler i tilfelle krasj, moduler for avspilling av beskyttet videoinnhold (DRM), et system for automatisk installasjon av oppdateringer og overføring av RLZ-parametere ved søk. Den neste utgivelsen av Chrome 93 er planlagt til 31. august.
Viktige endringer i Chrome 92:
- Verktøy er lagt til innstillingene for å kontrollere inkluderingen av Privacy Sandbox-komponenter. Brukeren gis muligheten til å deaktivere FLoC (Federated Learning of Cohorts)-teknologi, som utvikles av Google for å erstatte bevegelsessporingsinformasjonskapsler med "kohorter" som gjør at brukere kan identifiseres med lignende interesser uten å identifisere enkeltpersoner. Kohorter beregnes på nettlesersiden ved å bruke maskinlæringsalgoritmer på nettleserhistorikkdata og innhold som åpnes i nettleseren.
- For skrivebordsbrukere er Back-forward-bufferen aktivert som standard, og gir umiddelbar navigering når du bruker Tilbake- og Forover-knappene eller når du navigerer gjennom tidligere viste sider på gjeldende nettsted. Tidligere var jump-cachen kun tilgjengelig i builds for Android-plattformen.
- Økt isolasjon av nettsteder og tilleggsprogrammer i ulike prosesser. Hvis nettstedsisolasjonsmekanismen tidligere sikret isolering av nettsteder fra hverandre i forskjellige prosesser, og også separerte alle tillegg i en separat prosess, implementerer den nye utgivelsen separasjon av nettlesertillegg fra hverandre ved å flytte hvert tillegg- videre til en egen prosess, som gjorde det mulig å lage en annen barriere for beskyttelse mot ondsinnede tillegg.
- Betydelig økt produktivitet og effektivitet av phishing-deteksjon. Hastigheten for å oppdage phishing basert på lokal bildeanalyse økte opptil 50 ganger i halvparten av tilfellene, og i 99 % av tilfellene viste det seg å være minst 2.5 ganger raskere. I gjennomsnitt ble tiden for å klassifisere nettfisking etter bilde redusert fra 1.8 sekunder til 100 ms. Totalt sett reduserte CPU-belastningen skapt av alle gjengivelsesprosesser med 1.2 %.
- Portene 989 (ftps-data) og 990 (ftps) er lagt til listen over forbudte nettverksporter. Tidligere var portene 69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566 og 10080 allerede blokkert. For porter på svartelisten er sending av HTTP, HTTPS og FTP-forespørsler blokkert for å beskytte mot NAT for å beskytte mot slipstreaming-angrep, som gjør det mulig når du åpner en nettside spesielt forberedt av angriperen i en nettleser, etablere en nettverksforbindelse fra angriperens server til en hvilken som helst UDP- eller TCP-port på brukerens system, til tross for bruk av det interne adresseområdet (192.168.xx , 10.xxx).
- Det er innført et krav om å bruke to-faktor utviklerverifisering når du publiserer nye tillegg eller versjonsoppdateringer til Chrome Nettmarked.
- Det er nå mulig å deaktivere allerede installerte tillegg i nettleseren hvis de fjernes fra Chrome Nettmarked på grunn av brudd på reglene.
- Når du sender DNS-spørringer, i tilfelle bruk av klassiske DNS-servere, i tillegg til "A" og "AAAA"-postene for å bestemme IP-adresser, blir nå også "HTTPS" DNS-posten forespurt, som parametere sendes gjennom for å øke hastigheten etablering av HTTPS-tilkoblinger, for eksempel protokollinnstillinger, TLS ClientHello-krypteringsnøkler og en liste over alias-underdomener.
- Å kalle JavaScript-dialogboksene window.alert, window.confirm og window.prompt er forbudt fra iframe-blokker lastet fra andre domener enn domenet til den gjeldende siden. Endringen vil bidra til å beskytte brukere mot misbruk knyttet til forsøk på å presentere en tredjepartsvarsling som en forespørsel fra hovedsiden.
- Den nye fanesiden gir en liste over de mest populære dokumentene som er lagret i Google Disk.
- Det er mulig å endre navn og ikon for PWA-applikasjoner (Progressive Web Apps).
- For et lite tilfeldig antall nettskjemaer som krever at du oppgir en adresse eller et kredittkortnummer, vil autofyll-anbefalinger bli deaktivert som et eksperiment.
- I skrivebordsversjonen er bildesøk-alternativet («Finn bilde»-elementet i kontekstmenyen) byttet til å bruke Google Lens-tjenesten i stedet for den vanlige Google-søkemotoren. Når du klikker på den tilsvarende knappen i kontekstmenyen, vil brukeren bli omdirigert til en egen nettapplikasjon.
- I grensesnittet for inkognitomodus er lenker til nettlesingsloggen skjult (lenkene er ubrukelige, da de førte til åpningen av en stubbe med informasjon om at historien ikke er samlet inn).
- Lagt til nye kommandoer som analyseres når de legges inn i adressefeltet. For å vise en knapp for å raskt gå til siden for å sjekke sikkerheten til passord og tillegg, skriv bare "sikkerhetssjekk", og for å gå til sikkerhets- og synkroniseringsinnstillingene, skriv bare "administrere sikkerhetsinnstillinger" og " administrere synkronisering".
- Spesifikke endringer i Android-versjonen av Chrome:
- Panelet har en ny tilpassbar "Magisk verktøylinje"-knapp som viser forskjellige snarveier valgt basert på brukerens nåværende aktivitet og inkluderer lenker som sannsynligvis er nødvendige for øyeblikket.
- Implementeringen av maskinlæringsmodellen på enheten for å oppdage phishing-forsøk har blitt oppdatert. Når phishing-forsøk oppdages, i tillegg til å vise en advarselsside, vil nettleseren nå sende informasjon om versjonen av maskinlæringsmodellen, den beregnede vekten for hver kategori og flagget for å bruke den nye modellen til den eksterne Safe Browsing-tjenesten .
- Fjernet «Vis forslag for lignende sider når en side ikke kan bli funnet»-innstillingen, noe som resulterte i at lignende sider ble anbefalt basert på å sende en forespørsel til Google hvis siden ikke ble funnet. Denne innstillingen ble tidligere fjernet fra skrivebordsversjonen.
- Bruken av stedsisolasjonsmodus for individuelle prosesser er utvidet. Av hensyn til ressursforbruk er det så langt kun utvalgte store lokaliteter som er flyttet til egne prosesser. I den nye versjonen vil isolasjon også begynne å gjelde for nettsteder som brukeren er logget på med autentisering via OAuth (for eksempel ved å koble til via en Google-konto) eller som setter Cross-Origin-Opener-Policy HTTP-headeren. For de som ønsker å aktivere isolasjon i individuelle prosesser for alle nettsteder, er "chrome://flags/#enable-site-per-process"-innstillingen gitt.
- V8-motorens innebygde beskyttelsesmekanismer mot sidekanalangrep som Spectre er deaktivert, som ikke anses å være like effektive som å isolere steder i separate prosesser. I skrivebordsversjonen ble disse mekanismene deaktivert i utgivelsen av Chrome 70.
- Forenklet tilgang til innstillinger for nettstedstillatelser, for eksempel mikrofon, kamera og posisjonstilgang. For å vise en liste over tillatelser klikker du bare på hengelåssymbolet i adressefeltet, og velger deretter delen "Tillatelser".
- Flere nye API-er er lagt til Origin Trials-modusen (eksperimentelle funksjoner som krever separat aktivering). Origin Trial innebærer muligheten til å arbeide med spesifisert API fra applikasjoner lastet ned fra localhost eller 127.0.0.1, eller etter registrering og mottak av en spesiell token som er gyldig i en begrenset periode for et spesifikt nettsted.
- API File Handling, som lar deg registrere webapplikasjoner som filbehandlere. For eksempel kan en nettapplikasjon som kjører i PWA (Progressive Web Apps)-modus med en tekstredigerer registrere seg som en ".txt"-filbehandler, hvoretter den kan brukes i systemfilbehandlingen for å åpne tekstfiler.
- Shared Element Transitions API, som lar deg bruke ferdige effekter levert av nettleseren som visualiserer endringer i tilstanden til grensesnittet i enkeltside (SPA, enkeltsideapplikasjoner) og flersides (MPA, flersidesapplikasjoner) ) nettapplikasjoner.
- API File Handling, som lar deg registrere webapplikasjoner som filbehandlere. For eksempel kan en nettapplikasjon som kjører i PWA (Progressive Web Apps)-modus med en tekstredigerer registrere seg som en ".txt"-filbehandler, hvoretter den kan brukes i systemfilbehandlingen for å åpne tekstfiler.
- Størrelsesjusteringsparameteren er lagt til @font-face CSS-regelen, som lar deg skalere glyph-størrelsen for en spesifikk skriftstil uten å endre verdien til font-size CSS-egenskapen (området under tegnet forblir det samme , men størrelsen på glyfen i dette området endres).
- I JavaScript implementerer Array-, String- og TypedArray-objektene at()-metoden, som lar deg bruke relativ indeksering (relativ posisjon er spesifisert som array-indeksen), inkludert å spesifisere negative verdier i forhold til slutten (for eksempel, "arr.at(-1)" vil returnere det siste elementet i matrisen).
- Egenskapen dayPeriod er lagt til Intl.DateTimeFormat JavaScript-konstruktøren, som lar deg vise omtrentlig tid på dagen (morgen, kveld, ettermiddag, natt).
- Når du bruker SharedArrayBuffers-objekter, som lar deg lage matriser i delt minne, må du nå definere HTTP-hodene Cross-Origin-Opener-Policy og Cross-Origin-Embedder-Policy, uten hvilke forespørselen vil bli blokkert.
- "togglemicrophone", "togglecamera" og "hangup"-handlingene er lagt til Media Session API, slik at nettsteder som implementerer videokonferansesystemer kan legge til sine egne behandlere for dempe/oppheve demping, kamera av/på og avslutt-knappene som vises i bilde-i-bilde-grensesnittanrop.
- Web Bluetooth API har lagt til muligheten til å filtrere funnet Bluetooth-enheter etter produsent og produktidentifikatorer. Filteret settes via parameteren "options.filters" i Bluetooth.requestDevice()-metoden.
- Den første fasen av trimming av innholdet i User-Agent HTTP-headeren er implementert: kategorien DevTools Issues viser nå en advarsel om avvikling av navigator.userAgent, navigator.appVersion og navigator.platform.
- En del forbedringer er gjort i verktøy for webutviklere. Nettkonsollen gir muligheten til å redefinere "konst"-uttrykk. I Elements-panelet har iframe-elementer muligheten til å raskt vise detaljer gjennom en kontekstmeny som vises når du høyreklikker på elementet. Forbedret feilsøking av CORS-feil (Cross-origin Resource Sharing). Muligheten til å filtrere nettverksforespørsler fra WebAssembly er lagt til nettverksaktivitetsinspeksjonspanelet. En ny CSS Grid-editor har blitt foreslått ("display: grid" og "display: inline-grid") med en funksjon for forhåndsvisning av endringer.
I tillegg til innovasjoner og feilrettinger, eliminerer den nye versjonen 35 sårbarheter. Mange av sårbarhetene ble identifisert som et resultat av automatisert testing ved bruk av AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL-verktøyene. Ingen kritiske problemer er identifisert som ville tillate en å omgå alle nivåer av nettleserbeskyttelse og kjøre kode på systemet utenfor sandkassemiljøet. Som en del av programmet for å betale kontantbelønninger for å oppdage sårbarheter for den nåværende utgivelsen, utbetalte Google 24 priser verdt 112000 15000 USD (to priser på 10000 8500 USD, fire priser på 7500 5000 USD, en premie på 3000 500 USD, to priser på 11 XNUMX USD, tre priser på XNUMX XNUMX USD, én premie på USD XNUMX, en premie på USD XNUMX, en premie på USD XNUMX. ). Størrelsen på XNUMX belønninger er ennå ikke bestemt.
Kilde: opennet.ru