ProHoster > Blog > wiadomości internetowe > Chrome wersja 102

Chrome wersja 102

Google zaprezentowało wersję przeglądarki internetowej Chrome 102. Jednocześnie dostępna jest stabilna wersja darmowego projektu Chromium, na którym opiera się Chrome. Przeglądarka Chrome różni się od Chromium wykorzystaniem logo Google, obecnością systemu wysyłania powiadomień w przypadku awarii, modułami do odtwarzania treści wideo chronionych przed kopiowaniem (DRM), systemem automatycznego instalowania aktualizacji, trwałym umożliwieniem izolacji Sandbox , dostarczając klucze do Google API i przesyłając parametry RLZ- podczas wyszukiwania. Dla tych, którzy potrzebują więcej czasu na aktualizację, dostępna jest osobno gałąź Extended Stable, po której następuje 8 tygodni. Następna wersja Chrome 103 zaplanowana jest na 21 czerwca.

Kluczowe zmiany w Chrome 102:

  • Aby zablokować wykorzystanie podatności spowodowanych dostępem do już zwolnionych bloków pamięci (use-after-free), zamiast zwykłych wskaźników zaczęto stosować typ MiraclePtr (raw_ptr). MiraclePtr zapewnia powiązanie wskaźników, które wykonuje dodatkowe kontrole dostępu do zwolnionych obszarów pamięci i ulega awarii, jeśli taki dostęp zostanie wykryty. Wpływ nowej metody ochrony na wydajność i zużycie pamięci ocenia się jako znikomy. Mechanizm MiraclePtr nie ma zastosowania we wszystkich procesach, w szczególności nie jest stosowany w procesach renderowania, ale może znacznie poprawić bezpieczeństwo. Na przykład w bieżącej wersji z 32 naprawionych luk 12 wynikało z problemów związanych z użytkowaniem po zwolnieniu.
  • Zmieniono wygląd interfejsu z informacją o pobraniu. Zamiast dolnej linii z danymi o postępie pobierania, do panelu z paskiem adresu dodano nowy wskaźnik, po kliknięciu na niego wyświetlany jest postęp pobierania plików oraz historia z listą już pobranych plików. W przeciwieństwie do dolnego panelu, przycisk jest stale wyświetlany na panelu i umożliwia szybki dostęp do historii pobierania. Nowy interfejs jest obecnie domyślnie oferowany tylko niektórym użytkownikom i zostanie rozszerzony na wszystkich, jeśli nie będzie żadnych problemów. Aby przywrócić stary interfejs lub włączyć nowy, dostępne jest ustawienie „chrome://flags#download-bubble”.
    Chrome wersja 102
  • Podczas wyszukiwania obrazów za pomocą menu kontekstowego („Wyszukaj obraz za pomocą Google Lens” lub „Wyszukaj za pomocą Google Lens”) wyniki są teraz wyświetlane nie na osobnej stronie, ale na pasku bocznym obok treści oryginalnej strony (w w jednym oknie możesz jednocześnie zobaczyć zarówno zawartość strony, jak i wynik dostępu do wyszukiwarki).
    Chrome wersja 102
  • W sekcji ustawień „Prywatność i bezpieczeństwo” dodano sekcję „Przewodnik po prywatności”, która zawiera ogólny przegląd głównych ustawień wpływających na prywatność ze szczegółowymi wyjaśnieniami wpływu każdego ustawienia. Przykładowo w sekcji możesz zdefiniować politykę przesyłania danych do usług Google, zarządzać synchronizacją, przetwarzaniem plików cookies i zapisywaniem historii. Funkcja jest oferowana niektórym użytkownikom, aby ją aktywować, możesz skorzystać z ustawienia „chrome://flags#privacy-guide”.
    Chrome wersja 102
  • Dostępna jest struktura historii wyszukiwania i przeglądanych stron. Przy ponownej próbie wyszukiwania w pasku adresu wyświetli się podpowiedź „Wznów podróż”, która umożliwi kontynuację wyszukiwania od miejsca, w którym zostało ono ostatnio przerwane.
    Chrome wersja 102
  • W sklepie Chrome Web Store dostępna jest strona „Zestaw startowy rozszerzeń”, zawierająca wstępny wybór zalecanych dodatków.
  • W trybie testowym wysyłanie żądania autoryzacji CORS (Cross-Origin Resource Sharing) do serwera witryny głównej z nagłówkiem „Access-Control-Request-Private-Network: true” jest włączone, gdy strona uzyskuje dostęp do zasobu w sieci wewnętrznej ( 192.168.xx , 10.xxx, 172.16.xx) lub na localhost (128.xxx). Potwierdzając operację w odpowiedzi na to żądanie, serwer musi zwrócić nagłówek „Access-Control-Allow-Private-Network: true”. W przeglądarce Chrome w wersji 102 wynik potwierdzenia nie ma jeszcze wpływu na przetwarzanie żądania - w przypadku braku potwierdzenia w konsoli internetowej wyświetla się ostrzeżenie, ale samo żądanie podzasobu nie jest blokowane. Włączenie blokowania w przypadku braku potwierdzenia z serwera nie jest oczekiwane aż do wydania Chrome 105. Aby włączyć blokowanie we wcześniejszych wersjach, możesz włączyć ustawienie „chrome://flags/#private-network-access-respect-preflight- wyniki".

    Weryfikacja uprawnień przez serwer została wprowadzona w celu wzmocnienia ochrony przed atakami związanymi z dostępem do zasobów w sieci lokalnej lub na komputerze użytkownika (localhost) z poziomu skryptów ładowanych podczas otwierania witryny. Takie żądania są wykorzystywane przez osoby atakujące do przeprowadzania ataków CSRF na routery, punkty dostępowe, drukarki, korporacyjne interfejsy internetowe oraz inne urządzenia i usługi, które akceptują żądania wyłącznie z sieci lokalnej. Aby zabezpieczyć się przed takimi atakami, jeśli w sieci wewnętrznej uzyskany zostanie dostęp do jakichkolwiek podzasobów, przeglądarka wyśle ​​wyraźne żądanie o pozwolenie na załadowanie tych podzasobów.

  • Podczas otwierania linków w trybie incognito za pośrednictwem menu kontekstowego niektóre parametry wpływające na prywatność są automatycznie usuwane z adresu URL.
  • Zmieniono strategię dostarczania aktualizacji dla systemów Windows i Android. Aby pełniej porównać zachowanie nowej i starej wersji, do pobrania generowanych jest teraz wiele kompilacji nowej wersji.
  • Technologia segmentacji sieci została ustabilizowana w celu zabezpieczenia przed metodami śledzenia przemieszczania się użytkowników pomiędzy witrynami w oparciu o przechowywanie identyfikatorów w obszarach nieprzeznaczonych do stałego przechowywania informacji („Supercookies”). Ponieważ zasoby buforowane są przechowywane we wspólnej przestrzeni nazw, niezależnie od domeny źródłowej, jedna witryna może określić, czy inna witryna ładuje zasoby, sprawdzając, czy zasób ten znajduje się w pamięci podręcznej. Ochrona polega na wykorzystaniu segmentacji sieci (Network Partitioning), której istotą jest dodanie do współdzielonych pamięci podręcznych dodatkowego powiązania rekordów z domeną, z której otwierana jest strona główna, co ogranicza pokrycie pamięci podręcznej jedynie dla skryptów śledzących ruch do aktualnej witryny (skrypt z ramki iframe nie będzie mógł sprawdzić, czy zasób został pobrany z innej witryny). Udostępnianie stanu obejmuje połączenia sieciowe (HTTP/1, HTTP/2, HTTP/3, websocket), pamięć podręczną DNS, dane ALPN/HTTP2, TLS/HTTP3, konfigurację, pobieranie i informacje nagłówka oczekiwać-CT.
  • W przypadku zainstalowanych samodzielnych aplikacji internetowych (PWA, Progressive Web App) istnieje możliwość zmiany wyglądu obszaru tytułowego okna za pomocą komponentów Window Controls Overlay, które rozszerzają obszar ekranu aplikacji internetowej na całe okno. Aplikacja internetowa może kontrolować renderowanie i przetwarzanie wejściowe całego okna, z wyjątkiem bloku nakładki ze standardowymi przyciskami sterującymi oknem (zamknij, minimalizuj, maksymalizuj), aby nadać aplikacji internetowej wygląd zwykłej aplikacji komputerowej.
    Chrome wersja 102
  • W systemie autouzupełniania formularzy dodano obsługę generowania wirtualnych numerów kart kredytowych w polach ze szczegółami płatności za towary w sklepach internetowych. Korzystanie z karty wirtualnej, której numer jest generowany przy każdej płatności, pozwala nie przenosić danych o prawdziwej karcie kredytowej, ale wymaga zapewnienia niezbędnej usługi przez bank. Ta funkcja jest obecnie dostępna tylko dla klientów banków w USA. Aby kontrolować włączenie funkcji, zaproponowano ustawienie „chrome://flags/#autofill-enable-virtual-card”.
  • Domyślnie włączony jest mechanizm „Capture Handle”, umożliwiający przesyłanie informacji do aplikacji przechwytujących wideo. API pozwala organizować interakcję pomiędzy aplikacjami, których treść jest nagrywana, a aplikacjami realizującymi nagrywanie. Na przykład aplikacja do wideokonferencji przechwytująca wideo w celu wyemitowania prezentacji może pobrać informacje o elementach sterujących prezentacją i wyświetlić je w oknie wideo.
  • Obsługa reguł spekulacyjnych jest domyślnie włączona, co zapewnia elastyczną składnię pozwalającą określić, czy dane związane z łączem mogą być ładowane proaktywnie, zanim użytkownik kliknie łącze.
  • Ustabilizowano mechanizm pakowania zasobów w pakiety w formacie Web Bundle, co pozwoliło zwiększyć efektywność ładowania dużej liczby plików towarzyszących (style CSS, JavaScript, obrazy, ramki iframe). W przeciwieństwie do pakietów w formacie Webpack, format Web Bundle ma następujące zalety: w pamięci podręcznej HTTP nie jest przechowywany sam pakiet, ale jego części składowe; kompilacja i wykonanie JavaScript rozpoczyna się bez oczekiwania na pełne pobranie pakietu; Dopuszczalne jest dołączenie dodatkowych zasobów takich jak CSS i obrazy, które w webpacku musiałyby być zakodowane w postaci ciągów JavaScript.
  • Możliwe jest zdefiniowanie aplikacji PWA jako procedury obsługi określonych typów MIME i rozszerzeń plików. Po zdefiniowaniu powiązania poprzez pole file_handlers w manifeście, aplikacja otrzyma specjalne zdarzenie, gdy użytkownik spróbuje otworzyć plik powiązany z aplikacją.
  • Dodano nowy atrybut inert, który pozwala oznaczyć część drzewa DOM jako „nieaktywną”. W przypadku węzłów DOM w tym stanie obsługa zaznaczania tekstu i przesuwania wskaźnika jest wyłączona, tj. Zdarzenia wskaźnikowe i właściwości CSS wybierane przez użytkownika są zawsze ustawione na „brak”. Jeśli węzeł mógłby być edytowany, to w trybie inertnym staje się nieedytowalny.
  • Dodano interfejs API nawigacji, który umożliwia aplikacjom internetowym przechwytywanie operacji nawigacji w oknie, inicjowanie nawigacji i analizowanie historii działań z aplikacją. Interfejs API stanowi alternatywę dla właściwości window.history i window.location, zoptymalizowaną pod kątem jednostronicowych aplikacji internetowych.
  • Dla atrybutu „ukryty” zaproponowano nową flagę „aż do znalezienia”, która umożliwia wyszukiwanie elementu na stronie i przewijanie go za pomocą maski tekstowej. Możesz na przykład dodać do strony ukryty tekst, którego treść będzie można znaleźć w wyszukiwarkach lokalnych.
  • W interfejsie WebHID API, zaprojektowanym z myślą o niskim poziomie dostępu do urządzeń HID (urządzenia HID, klawiatury, myszy, gamepady, touchpady) i organizowaniu pracy bez obecności określonych sterowników w systemie, do requestDevice( ) obiekt, który umożliwia wykluczenie określonych urządzeń, gdy przeglądarka wyświetli listę dostępnych urządzeń. Możesz na przykład wykluczyć identyfikatory urządzeń, w przypadku których występują znane problemy.
  • Zabrania się wyświetlania formularza płatności poprzez wywołanie PaymentRequest.show() bez wyraźnej akcji użytkownika, np. kliknięcia elementu powiązanego z handlerem.
  • Zaprzestano obsługi alternatywnej implementacji protokołu SDP (Session Opis Protocol) służącego do nawiązywania sesji w WebRTC. Chrome oferował dwie opcje SDP – ujednoliconą z innymi przeglądarkami i specyficzną dla Chrome. Odtąd pozostała już tylko opcja przenośna.
  • Wprowadzono ulepszenia w narzędziach dla twórców stron internetowych. Dodano przyciski do panelu Style, aby symulować użycie ciemnego i jasnego motywu. Wzmocniono ochronę zakładki Podgląd w trybie inspekcji sieci (włączono stosowanie Polityki Bezpieczeństwa Treści). Debuger implementuje zakończenie skryptu w celu ponownego załadowania punktów przerwania. Zaproponowano wstępną implementację nowego panelu „Performance Insights”, który pozwala na analizę wydajności poszczególnych operacji na stronie.
    Chrome wersja 102

Oprócz innowacji i poprawek błędów nowa wersja eliminuje 32 luki. Wiele luk zostało zidentyfikowanych w wyniku automatycznych testów przy użyciu narzędzi AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer i AFL. Jednemu z problemów (CVE-2022-1853) przypisano krytyczny poziom zagrożenia, co oznacza możliwość ominięcia wszystkich poziomów zabezpieczeń przeglądarki i wykonania kodu w systemie poza środowiskiem sandbox. Szczegóły tej luki nie zostały jeszcze ujawnione, wiadomo jedynie, że jest ona spowodowana dostępem do zwolnionego bloku pamięci (wykorzystanie po zwolnieniu) w implementacji API Indexed DB.

W ramach programu nagród pieniężnych za wykrywanie luk w bieżącej wersji firma Google wypłaciła 24 nagrody o wartości 65600 10000 USD (jedna nagroda 7500 7000 USD, jedna nagroda 5000 USD, dwie nagrody 3000 USD, trzy nagrody 2000 USD, cztery nagrody 1000 USD, dwie nagrody 500 USD, dwie nagrody 7 USD i dwie nagrody premii XNUMX dolarów). Wielkość XNUMX nagród nie została jeszcze ustalona.

Źródło: opennet.ru

Dodaj komentarz