Chrome-versjon 98

Google har avduket utgivelsen av nettleseren Chrome 98. Samtidig er en stabil utgivelse av det gratis Chromium-prosjektet, som fungerer som grunnlaget for Chrome, tilgjengelig. Chrome-nettleseren utmerker seg ved bruk av Google-logoer, tilstedeværelsen av et system for å sende varsler i tilfelle krasj, moduler for avspilling av kopibeskyttet videoinnhold (DRM), et system for automatisk installasjon av oppdateringer og overføring av RLZ-parametere når søker. Den neste Chrome 99-utgivelsen er planlagt til 1. mars.

Viktige endringer i Chrome 98:

• Nettleseren har sin egen butikk med rotsertifikater fra sertifiseringsmyndighetene (Chrome Root Store), som vil bli brukt i stedet for eksterne butikker som er spesifikke for hvert operativsystem. Butikken er implementert på samme måte som den uavhengige butikken av rotsertifikater i Firefox, som brukes som den første lenken for å sjekke sertifikattillitskjeden når du åpner nettsteder over HTTPS. Den nye lagringen er ennå ikke brukt som standard. For å lette overgangen av systemlagringskonfigurasjoner og for å sikre portabilitet, vil det være en overgangsperiode der Chrome Root Store vil inkludere et komplett utvalg av sertifikater som er godkjent på de fleste støttede plattformer.
• Planen for å styrke beskyttelsen mot angrep knyttet til tilgang til ressurser på det lokale nettverket eller på brukerens datamaskin (localhost) fra skript som lastes inn når nettstedet åpnes, fortsetter å bli implementert. Slike forespørsler brukes av angripere til å utføre CSRF-angrep på rutere, tilgangspunkter, skrivere, bedriftens webgrensesnitt og andre enheter og tjenester som kun aksepterer forespørsler fra det lokale nettverket.

  For å beskytte mot slike angrep, hvis noen underressurser er tilgjengelig på det interne nettverket, vil nettleseren begynne å sende en eksplisitt forespørsel om tillatelse til å laste ned slike underressurser. Forespørselen om tillatelser utføres ved å sende en CORS-forespørsel (Cross-Origin Resource Sharing) med overskriften "Access-Control-Request-Private-Network: true" til hovedserveren før du får tilgang til det interne nettverket eller lokalverten. Når du bekrefter operasjonen som svar på denne forespørselen, må serveren returnere "Access-Control-Allow-Private-Network: true"-overskriften. I Chrome 98 implementeres sjekken i testmodus, og hvis det ikke er noen bekreftelse, vises en advarsel i nettkonsollen, men selve subressursforespørselen blokkeres ikke. Blokkering er ikke planlagt å aktiveres før Chrome 101 er utgitt.

• Kontoinnstillinger integrerer verktøy for å administrere inkluderingen av Enhanced Safe Browsing, som aktiverer ekstra kontroller for å beskytte mot phishing, ondsinnet aktivitet og andre trusler på nettet. Når du aktiverer en modus i Google-kontoen din, blir du nå bedt om å aktivere modusen i Chrome.
• Lagt til en modell for å oppdage phishing-forsøk på klientsiden, implementert ved hjelp av TFLite maskinlæringsplattform (TensorFlow Lite) og krever ikke sending av data for å utføre verifisering på Google-siden (i dette tilfellet sendes telemetri med informasjon om modellversjonen og beregnede vekter for hver kategori). Hvis et phishing-forsøk oppdages, vil brukeren bli vist en advarselsside før han åpner det mistenkelige nettstedet.
• I Client Hints API, som utvikles som en erstatning for User-Agent-overskriften og lar deg selektivt sende data om spesifikke nettleser- og systemparametere (versjon, plattform osv.) etter en forespørsel fra serveren, er det mulig å erstatte fiktive navn i listen over nettleseridentifikatorer, i henhold til analogier med GREASE-mekanismen (Generate Random Extensions And Sustain Extensibility) som brukes i TLS. For eksempel, i tillegg til «Chrome»; v="98″' og ""Chromium"; v="98″' en tilfeldig identifikator for en ikke-eksisterende nettleser '"(Not; Browser"; v="12″' kan legges til listen. En slik erstatning vil hjelpe med å identifisere problemer med å behandle identifikatorer for ukjente nettlesere, som fører til at alternative nettlesere blir tvunget til å utgi seg for å være andre populære nettlesere for å omgå sjekking mot lister over akseptable nettlesere.
• Fra og med 17. januar godtar ikke Chrome Nettmarked lenger tillegg som bruker versjon 2023 av Chrome-manifestet. Nye tillegg vil nå bare bli akseptert med den tredje versjonen av manifestet. Utviklere av tidligere lagt til tillegg vil fortsatt kunne publisere oppdateringer med den andre versjonen av manifestet. Den fullstendige avviklingen av den andre versjonen av manifestet er planlagt i januar XNUMX.
• Lagt til støtte for fargevektorfonter i COLRv1-formatet (en undergruppe av OpenType-fonter som inneholder, i tillegg til vektorglyfer, et lag med fargeinformasjon), som for eksempel kan brukes til å lage flerfarge-emoji. I motsetning til det tidligere støttede COLRv0-formatet, har COLRv1 nå muligheten til å bruke gradienter, overlegg og transformasjoner. Formatet gir også en kompakt lagringsform, gir effektiv komprimering og muliggjør gjenbruk av konturer, noe som gir betydelig reduksjon i skriftstørrelse. For eksempel tar Noto Color Emoji-fonten opp 9 MB i rasterformat og 1 MB i COLRv1.85 vektorformat.
• Origin Trials-modus (eksperimentelle funksjoner som krever separat aktivering) implementerer Region Capture API, som lar deg beskjære den fangede videoen. For eksempel kan beskjæring være nødvendig i nettapplikasjoner som tar opp video med innholdet på fanen deres, for å kutte ut bestemt innhold før sending. Origin Trial innebærer muligheten til å arbeide med spesifisert API fra applikasjoner lastet ned fra localhost eller 127.0.0.1, eller etter registrering og mottak av en spesiell token som er gyldig i en begrenset periode for et spesifikt nettsted.
• CSS-egenskapen "contain-intrinsic-size" støtter nå verdien "auto", som vil bruke elementets sist huskede størrelse (når den brukes med "content-visibility: auto", trenger ikke utvikleren å gjette elementets gjengitte størrelse) .
• Lagt til egenskapen AudioContext.outputLatency, der du kan finne informasjon om den anslåtte forsinkelsen før lydutgang (forsinkelsen mellom lydforespørselen og begynnelsen av behandlingen av mottatte data av lydutgangsenheten).
• CSS-egenskapsfargeskjema, som gjør det mulig å bestemme i hvilke fargeskjemaer et element kan vises riktig («lys», «mørk», «dagmodus» og «nattmodus»), parameteren «bare» er lagt til for å forhindre tvungne fargeendringer-skjemaer for individuelle HTML-elementer. For eksempel, hvis du spesifiserer "div { color-scheme: only light }", vil bare lystemaet bli brukt for div-elementet, selv om nettleseren tvinger det mørke temaet til å aktiveres.
• Lagt til støtte for «dynamic-range» og «video-dynamic-range» mediespørringer til CSS for å avgjøre om en skjerm støtter HDR (High Dynamic Range).
• Lagt til muligheten til å velge om du vil åpne en lenke i en ny fane, nytt vindu eller popup-vindu til window.open()-funksjonen. I tillegg returnerer egenskapen window.statusbar.visible nå "false" for popup-vinduer og "true" for faner og vinduer. const popup = window.open('_blank',",'popup=1′); // Åpne i et popup-vindu const tab = window.open('_blank',,"'popup=0′); // Åpne i fanen
• StructuredClone()-metoden er implementert for Windows og arbeidere, som lar deg lage rekursive kopier av objekter som inkluderer egenskaper ikke bare for det spesifiserte objektet, men også for alle andre objekter som det gjeldende objektet refererer til.
• Web Authentication API har lagt til støtte for FIDO CTAP2-spesifikasjonsutvidelsen, som lar deg angi minimum tillatt PIN-kodestørrelse (minPinLength).
• For installerte frittstående nettapplikasjoner har Window Controls Overlay-komponenten blitt lagt til, som utvider skjermområdet til applikasjonen til hele vinduet, inkludert tittelområdet, der standard vinduskontrollknapper (lukk, minimer, maksimer ) er overlagret. Nettapplikasjonen kan kontrollere gjengivelsen og inndatabehandlingen av hele vinduet, bortsett fra overleggsblokken med vinduskontrollknapper.
• Lagt til en signalhåndteringsegenskap til WritableStreamDefaultController som returnerer et AbortSignal-objekt, som kan brukes til å umiddelbart stoppe skriving til en WritableStream uten å vente på at de skal fullføres.
• WebRTC har fjernet støtten for SDES-nøkkelavtalemekanismen, som ble avskrevet av IETF i 2013 på grunn av sikkerhetshensyn.
• Som standard er U2F (Cryptotoken) API deaktivert, som tidligere ble avviklet og erstattet av Web Authentication API. U2F API vil bli fullstendig fjernet i Chrome 104.
• I API-katalogen er installed_browser_version-feltet avviklet, erstattet av et nytt pending_browser_version-felt, som er forskjellig ved at det inneholder informasjon om nettleserversjonen, tar hensyn til nedlastede, men ikke anvendte oppdateringer (dvs. versjonen som vil være gyldig etter at nettleseren startes på nytt).
• Fjernet alternativer som tillot å returnere støtte for TLS 1.0 og 1.1.
• Det er gjort forbedringer av verktøy for webutviklere. En fane er lagt til for å evaluere driften av Back-forward-bufferen, som gir umiddelbar navigering når du bruker Tilbake- og Forover-knappene. Lagt til muligheten til å emulere medieforespørsler i tvungne farger. Lagt til knapper i Flexbox-editoren for å støtte egenskapene for rad-revers og kolonne-revers. "Endringer"-fanen sikrer at endringer vises etter formatering av koden, noe som forenkler analyseringen av forminskede sider.

  Implementeringen av kodegjennomgangspanelet er oppdatert til utgivelsen av CodeMirror 6-kodeeditoren, som forbedrer ytelsen ved arbeid med svært store filer (WASM, JavaScript), løser problemer med tilfeldige forskyvninger under navigering og forbedrer anbefalingene fra autofullføringssystemet ved redigering av kode. Muligheten til å filtrere utdata etter egenskapsnavn eller verdi er lagt til CSS-egenskapspanelet.

  

I tillegg til innovasjoner og feilrettinger, eliminerer den nye versjonen 27 sårbarheter. Mange av sårbarhetene ble identifisert som et resultat av automatisert testing ved bruk av AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer og AFL-verktøyene. Ingen kritiske problemer er identifisert som ville tillate en å omgå alle nivåer av nettleserbeskyttelse og kjøre kode på systemet utenfor sandkassemiljøet. Som en del av kontantbelønningsprogrammet for å oppdage sårbarheter for den nåværende utgivelsen, betalte Google 19 priser verdt $88 20000 (to $12000 7500 priser, en $1000 7000-pris, to $5000-priser, fire $3000-priser og en hver på $2000, $XNUMX og $XNUMX.

Kilde: opennet.ru