ProHoster > Blog > internetové správy > Vydanie Chrome 102

Vydanie Chrome 102

Google odhalil vydanie webového prehliadača Chrome 102. Zároveň je k dispozícii stabilné vydanie bezplatného projektu Chromium, ktorý slúži ako základ prehliadača Chrome. Prehliadač Chrome sa od Chromia líši použitím log Google, prítomnosťou systému na odosielanie upozornení v prípade zlyhania, modulmi na prehrávanie videoobsahu chráneného proti kopírovaniu (DRM), systémom na automatickú inštaláciu aktualizácií, trvalou možnosťou izolácie Sandboxu. , dodáva kľúče do Google API a prenáša RLZ- pri vyhľadávaní. Pre tých, ktorí potrebujú viac času na aktualizáciu, je samostatne podporovaná vetva Extended Stable, po ktorej nasleduje 8 týždňov. Ďalšie vydanie prehliadača Chrome 103 je naplánované na 21. júna.

Kľúčové zmeny v Chrome 102:

  • Na blokovanie zneužitia zraniteľností spôsobených prístupom k už uvoľneným blokom pamäte (use-after-free) sa namiesto obyčajných ukazovateľov začal používať typ MiraclePtr (raw_ptr). MiraclePtr poskytuje väzbu nad ukazovateľmi, ktorá vykonáva dodatočné kontroly prístupov k oblastiam uvoľnenej pamäte a zlyhá, ak sa takéto prístupy zistia. Vplyv nového spôsobu ochrany na výkon a spotrebu pamäte hodnotím ako zanedbateľný. Mechanizmus MiraclePtr nie je použiteľný vo všetkých procesoch, najmä sa nepoužíva v procesoch vykresľovania, ale môže výrazne zlepšiť bezpečnosť. Napríklad v aktuálnom vydaní bolo z 32 opravených zraniteľností 12 spôsobených problémami bez použitia.
  • Zmenil sa dizajn rozhrania s informáciami o sťahovaní. Namiesto spodného riadku s údajmi o priebehu sťahovania pribudol na paneli s adresným riadkom nový ukazovateľ, po kliknutí naň sa zobrazí priebeh sťahovania súborov a história so zoznamom už stiahnutých súborov. Na rozdiel od spodného panela je tlačidlo neustále zobrazené na paneli a umožňuje vám rýchly prístup k histórii sťahovania. Nové rozhranie je v súčasnosti štandardne ponúkané len niektorým používateľom a ak sa nevyskytnú problémy, rozšíri sa na všetkých. Ak chcete vrátiť staré rozhranie alebo povoliť nové, je k dispozícii nastavenie „chrome://flags#download-bubble“.
    Vydanie Chrome 102
  • Pri vyhľadávaní obrázkov prostredníctvom kontextovej ponuky („Hľadať obrázok pomocou funkcie Google Lens“ alebo „Nájsť pomocou funkcie Google Lens“) sa výsledky teraz nezobrazujú na samostatnej stránke, ale na bočnom paneli vedľa obsahu pôvodnej stránky (v v jednom okne môžete súčasne vidieť obsah stránky aj výsledok prístupu k vyhľadávaciemu nástroju).
    Vydanie Chrome 102
  • V časti nastavení „Ochrana osobných údajov a zabezpečenie“ pribudla časť „Príručka ochrany osobných údajov“, ktorá ponúka všeobecný prehľad hlavných nastavení ovplyvňujúcich súkromie s podrobným vysvetlením vplyvu jednotlivých nastavení. V sekcii môžete napríklad definovať politiku odosielania údajov do služieb Google, spravovať synchronizáciu, spracovanie súborov cookie a ukladanie histórie. Funkcia je ponúkaná niektorým používateľom, na jej aktiváciu môžete použiť nastavenie „chrome://flags#privacy-guide“.
    Vydanie Chrome 102
  • Poskytuje sa štruktúrovanie histórie vyhľadávania a zobrazených stránok. Pri opätovnom pokuse o vyhľadávanie sa v paneli s adresou zobrazí nápoveda „Obnoviť cestu“, ktorá vám umožní pokračovať vo vyhľadávaní od miesta, kde bolo naposledy prerušené.
    Vydanie Chrome 102
  • Internetový obchod Chrome ponúka stránku „Rozšírenia Starter Kit“ s úvodným výberom odporúčaných doplnkov.
  • V testovacom režime je povolené odosielanie žiadosti o autorizáciu CORS (Cross-Origin Resource Sharing) na hlavný server lokality s hlavičkou „Access-Control-Request-Private-Network: true“, keď stránka pristupuje k zdroju vo vnútornej sieti ( 192.168.xx, 10.xxx, 172.16.xx) alebo na localhost (128.xxx). Pri potvrdení operácie v reakcii na túto požiadavku musí server vrátiť hlavičku „Access-Control-Allow-Private-Network: true“. Vo verzii Chrome 102 výsledok potvrdenia zatiaľ neovplyvňuje spracovanie požiadavky – ak nedôjde k potvrdeniu, vo webovej konzole sa zobrazí upozornenie, ale samotná požiadavka na podzdroj nie je zablokovaná. Povolenie blokovania v prípade absencie potvrdenia zo servera sa očakáva až po vydaní prehliadača Chrome 105. Ak chcete povoliť blokovanie v starších vydaniach, môžete povoliť nastavenie „chrome://flags/#private-network-access-respect-preflight- výsledky“.

    Overenie oprávnenia serverom bolo zavedené s cieľom posilniť ochranu pred útokmi súvisiacimi s prístupom k zdrojom v lokálnej sieti alebo na počítači používateľa (localhost) zo skriptov načítaných pri otváraní stránky. Takéto požiadavky využívajú útočníci na vykonávanie CSRF útokov na smerovače, prístupové body, tlačiarne, firemné webové rozhrania a ďalšie zariadenia a služby, ktoré prijímajú požiadavky iba z lokálnej siete. Na ochranu pred takýmito útokmi, ak dôjde k prístupu k niektorým čiastkovým zdrojom vo vnútornej sieti, prehliadač odošle explicitnú žiadosť o povolenie načítať tieto čiastkové zdroje.

  • Pri otváraní odkazov v režime inkognito prostredníctvom kontextovej ponuky sa z adresy URL automaticky odstránia niektoré parametre, ktoré ovplyvňujú súkromie.
  • Stratégia doručovania aktualizácií pre Windows a Android bola zmenená. Aby bolo možné lepšie porovnať správanie nového a starého vydania, na stiahnutie sa teraz generuje viacero verzií novej verzie.
  • Technológia segmentácie siete bola stabilizovaná na ochranu pred metódami sledovania pohybu používateľov medzi stránkami založenými na ukladaní identifikátorov v oblastiach, ktoré nie sú určené na trvalé ukladanie informácií („Supercookies“). Pretože prostriedky uložené vo vyrovnávacej pamäti sú uložené v spoločnom priestore názvov, bez ohľadu na pôvodnú doménu, jedna lokalita môže určiť, že zdroje načítava iná lokalita, a to tak, že skontroluje, či je daný zdroj vo vyrovnávacej pamäti. Ochrana je založená na použití segmentácie siete (Network Partitioning), ktorej podstatou je pridať do zdieľaných cache dodatočnú väzbu záznamov na doménu, z ktorej sa otvára hlavná stránka, čo obmedzuje pokrytie cache iba pre skripty na sledovanie pohybu. na aktuálnu lokalitu (skript z prvku iframe nebude môcť skontrolovať, či bol zdroj stiahnutý z inej lokality). Zdieľanie stavu zahŕňa sieťové pripojenia (HTTP/1, HTTP/2, HTTP/3, websocket), vyrovnávaciu pamäť DNS, údaje ALPN/HTTP2, TLS/HTTP3, konfiguráciu, sťahovanie a informácie v hlavičke Expect-CT.
  • Pre nainštalované samostatné webové aplikácie (PWA, Progressive Web App) je možné zmeniť dizajn oblasti nadpisu okna pomocou komponentov Window Controls Overlay, ktoré rozšíria plochu obrazovky webovej aplikácie na celé okno. Webová aplikácia môže ovládať vykresľovanie a spracovanie vstupu celého okna, s výnimkou prekryvného bloku so štandardnými tlačidlami na ovládanie okien (zavrieť, minimalizovať, maximalizovať), aby webová aplikácia získala vzhľad bežnej desktopovej aplikácie.
    Vydanie Chrome 102
  • V systéme automatického dopĺňania formulárov pribudla podpora pre generovanie virtuálnych čísel kreditných kariet v poliach s platobnými údajmi za tovar v internetových obchodoch. Používanie virtuálnej karty, ktorej číslo sa generuje pri každej platbe, umožňuje neprenášať údaje o skutočnej kreditnej karte, ale vyžaduje poskytnutie potrebnej služby zo strany banky. Táto funkcia je momentálne dostupná len pre zákazníkov amerických bánk. Na ovládanie zahrnutia funkcie sa navrhuje nastavenie „chrome://flags/#autofill-enable-virtual-card“.
  • V predvolenom nastavení je aktivovaný mechanizmus „Capture Handle“, ktorý vám umožňuje prenášať informácie do aplikácií, ktoré zachytávajú video. Rozhranie API umožňuje organizovať interakciu medzi aplikáciami, ktorých obsah sa zaznamenáva, a aplikáciami, ktoré nahrávanie vykonávajú. Napríklad aplikácia pre videokonferencie, ktorá zachytáva video na vysielanie prezentácie, môže získať informácie o ovládacích prvkoch prezentácie a zobraziť ich v okne videa.
  • V predvolenom nastavení je povolená podpora špekulatívnych pravidiel, ktorá poskytuje flexibilnú syntax na určenie, či je možné proaktívne načítať údaje súvisiace s odkazom predtým, ako používateľ klikne na odkaz.
  • Mechanizmus balenia zdrojov do balíkov vo formáte Web Bundle bol stabilizovaný, čo umožňuje zvýšiť efektivitu načítania veľkého množstva sprievodných súborov (CSS štýly, JavaScript, obrázky, iframe). Na rozdiel od balíkov vo formáte Webpack má formát Web Bundle nasledujúce výhody: v HTTP cache nie je uložený samotný balík, ale jeho súčasti; kompilácia a spustenie JavaScriptu začína bez čakania na úplné stiahnutie balíka; Je povolené zahrnúť ďalšie zdroje, ako sú CSS a obrázky, ktoré by vo webpacku museli byť zakódované vo forme reťazcov JavaScript.
  • Aplikáciu PWA je možné definovať ako obsluhu určitých typov MIME a prípon súborov. Po definovaní väzby prostredníctvom poľa file_handlers v manifeste dostane aplikácia špeciálnu udalosť, keď sa používateľ pokúsi otvoriť súbor priradený k aplikácii.
  • Pridaný nový atribút inert, ktorý vám umožňuje označiť časť stromu DOM ako „neaktívnu“. Pre uzly DOM v tomto stave sú deaktivované obslužné rutiny výberu textu a kurzora, t.j. Udalosti ukazovateľa a vlastnosti CSS vybraté používateľom sú vždy nastavené na hodnotu „none“. Ak je možné uzol upraviť, v inertnom režime sa stane neupraviteľným.
  • Pridané rozhranie API Navigation, ktoré umožňuje webovým aplikáciám zachytiť operácie navigácie v okne, spustiť navigáciu a analyzovať históriu akcií s aplikáciou. Rozhranie API poskytuje alternatívu k vlastnostiam window.history a window.location, optimalizované pre jednostránkové webové aplikácie.
  • Pre atribút „hidden“ bol navrhnutý nový príznak „until-found“, vďaka ktorému je možné prvok na stránke vyhľadávať a posúvať podľa textovej masky. Môžete napríklad pridať skrytý text na stránku, ktorej obsah sa nájde pri lokálnom vyhľadávaní.
  • V rozhraní WebHID API, navrhnutom pre nízkoúrovňový prístup k zariadeniam HID (zariadenia s ľudským rozhraním, klávesnice, myši, gamepady, touchpady) a organizovanie práce bez prítomnosti konkrétnych ovládačov v systéme, bola do requestDevice( ) objekt, ktorý vám umožňuje vylúčiť určité zariadenia, keď prehliadač zobrazí zoznam dostupných zariadení. Môžete napríklad vylúčiť identifikátory zariadení so známymi problémami.
  • Je zakázané zobrazovať platobný formulár prostredníctvom volania na PaymentRequest.show() bez explicitnej akcie používateľa, napríklad kliknutia na prvok spojený s obsluhou.
  • Podpora pre alternatívnu implementáciu protokolu SDP (Session Description Protocol), ktorý sa používa na vytvorenie relácie vo WebRTC, bola ukončená. Chrome ponúkal dve možnosti SDP – zjednotené s inými prehliadačmi a špecifické pre Chrome. Odteraz zostáva len prenosná možnosť.
  • Vylepšenia sa dočkali nástroje pre vývojárov webu. Na panel Štýly boli pridané tlačidlá na simuláciu použitia tmavého a svetlého motívu. Bola posilnená ochrana záložky Preview v režime kontroly siete (aplikácia Content Security Policy je povolená). Ladiaci program implementuje ukončenie skriptu na opätovné načítanie bodov prerušenia. Bola navrhnutá predbežná implementácia nového panelu Prehľady výkonnosti, ktorý vám umožňuje analyzovať výkonnosť určitých operácií na stránke.
    Vydanie Chrome 102

Okrem inovácií a opráv chýb nová verzia odstraňuje 32 zraniteľností. Mnohé zo zraniteľností boli identifikované ako výsledok automatizovaného testovania pomocou nástrojov AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Jedným z problémov (CVE-2022-1853) bola priradená kritická úroveň nebezpečenstva, čo znamená schopnosť obísť všetky úrovne ochrany prehliadača a spustiť kód v systéme mimo prostredia karantény. Podrobnosti o tejto zraniteľnosti ešte neboli zverejnené, je známe len to, že je spôsobená prístupom k bloku uvoľnenej pamäte (použitie po-zadarmo) v implementácii Indexed DB API.

V rámci programu peňažných odmien za objavenie slabých miest aktuálneho vydania spoločnosť Google vyplatila 24 ocenení v hodnote 65600 10000 USD (jedno ocenenie 7500 7000 USD, jedno ocenenie 5000 3000 USD, dve ocenenia 2000 1000 USD, tri ocenenia 500 7 USD, štyri ocenenia XNUMX XNUMX USD, dve ocenenia XNUMX XNUMX USD a dve ocenenia XNUMX XNUMX USD, dve bonusy XNUMX USD). Veľkosť XNUMX odmien ešte nebola stanovená.

Zdroj: opennet.ru

Pridať komentár