Vydanie Chrome 98

Google odhalil vydanie webového prehliadača Chrome 98. Zároveň je k dispozícii stabilné vydanie bezplatného projektu Chromium, ktorý slúži ako základ prehliadača Chrome. Prehliadač Chrome sa vyznačuje použitím log Google, prítomnosťou systému na odosielanie upozornení v prípade zlyhania, modulmi na prehrávanie videoobsahu chráneného proti kopírovaniu (DRM), systémom na automatickú inštaláciu aktualizácií a prenosom parametrov RLZ pri vyhľadávanie. Ďalšie vydanie prehliadača Chrome 99 je naplánované na 1. marca.

Kľúčové zmeny v Chrome 98:

• Prehliadač má vlastné úložisko koreňových certifikátov certifikačných autorít (Chrome Root Store), ktoré budú použité namiesto externých úložisk špecifických pre každý operačný systém. Úložisko je implementované podobne ako nezávislé úložisko koreňových certifikátov vo Firefoxe, ktoré sa používa ako prvý odkaz na kontrolu dôveryhodného reťazca certifikátov pri otváraní stránok cez HTTPS. Nové úložisko sa ešte štandardne nepoužíva. Na uľahčenie prechodu konfigurácií systémového úložiska a zabezpečenie prenosnosti bude existovať prechodné obdobie, počas ktorého bude koreňový obchod Chrome obsahovať úplný výber certifikátov schválených na väčšine podporovaných platforiem.
• Naďalej sa implementuje plán na posilnenie ochrany pred útokmi súvisiacimi s prístupom k zdrojom v lokálnej sieti alebo na počítači používateľa (localhost) zo skriptov načítaných pri otvorení stránky. Takéto požiadavky využívajú útočníci na vykonávanie CSRF útokov na smerovače, prístupové body, tlačiarne, firemné webové rozhrania a ďalšie zariadenia a služby, ktoré prijímajú požiadavky iba z lokálnej siete.

  Na ochranu pred takýmito útokmi, ak dôjde k prístupu k niektorým čiastkovým zdrojom vo vnútornej sieti, prehliadač začne odosielať výslovnú žiadosť o povolenie na stiahnutie takýchto čiastkových zdrojov. Žiadosť o povolenia sa vykonáva odoslaním požiadavky CORS (Cross-Origin Resource Sharing) s hlavičkou „Access-Control-Request-Private-Network: true“ na hlavný server lokality pred prístupom k internej sieti alebo localhost. Pri potvrdení operácie v reakcii na túto požiadavku musí server vrátiť hlavičku „Access-Control-Allow-Private-Network: true“. V Chrome 98 je kontrola implementovaná v testovacom režime a ak nedôjde k potvrdeniu, vo webovej konzole sa zobrazí varovanie, ale samotná požiadavka na podzdroj nie je zablokovaná. Povolenie blokovania sa plánuje až po vydaní prehliadača Chrome 101.

• Nastavenia účtu integrujú nástroje na správu zahrnutia vylepšeného bezpečného prehliadania, ktoré aktivuje dodatočné kontroly na ochranu pred phishingom, škodlivými aktivitami a inými hrozbami na webe. Keď vo svojom účte Google aktivujete režim, zobrazí sa výzva na aktiváciu režimu v prehliadači Chrome.
• Pridaný model na detekciu pokusov o phishing na strane klienta, implementovaný pomocou platformy strojového učenia TFLite (TensorFlow Lite) a nevyžaduje odosielanie údajov na vykonanie overenia na strane Google (v tomto prípade sa telemetria odosiela s informáciami o verzii modelu a vypočítané váhy pre každú kategóriu). Ak sa zistí pokus o phishing, používateľovi sa pred otvorením podozrivej stránky zobrazí stránka s upozornením.
• V Client Hints API, ktoré je vyvíjané ako náhrada za hlavičku User-Agent a umožňuje selektívne odosielať údaje o konkrétnych parametroch prehliadača a systému (verzia, platforma atď.) až po požiadavke servera, je možné nahradiť fiktívne mená do zoznamu identifikátorov prehliadača podľa analógií s mechanizmom GREASE (Generate Random Extensions And Sustain Extensibility) používaným v TLS. Napríklad okrem „Chrome“; v="98″" a '"Chromium"; v="98″' do zoznamu možno pridať náhodný identifikátor neexistujúceho prehliadača '"(Nie; Prehliadač"; v="12″'. Takáto náhrada pomôže identifikovať problémy so spracovaním identifikátorov neznámych prehliadačov, čo vedie k tomu, že alternatívne prehliadače sú nútené predstierať, že sú inými populárnymi prehliadačmi, aby sa vyhli kontrole podľa zoznamov prijateľných prehliadačov.
• Od 17. januára už Internetový obchod Chrome neprijíma doplnky, ktoré používajú verziu 2023 manifestu Chrome. Nové dodatky budú teraz akceptované len s treťou verziou manifestu. Vývojári predtým pridaných doplnkov budú môcť aj naďalej zverejňovať aktualizácie s druhou verziou manifestu. Úplné ukončenie podpory druhej verzie manifestu je naplánované na január XNUMX.
• Pridaná podpora farebných vektorových fontov vo formáte COLRv1 (podmnožina OpenType fontov, ktoré obsahujú okrem vektorových glyfov aj vrstvu s farebnými informáciami), ktoré je možné použiť napríklad na vytváranie viacfarebných emoji. Na rozdiel od predtým podporovaného formátu COLRv0 má teraz COLRv1 možnosť používať prechody, prekrytia a transformácie. Formát tiež poskytuje kompaktnú formu ukladania, poskytuje efektívnu kompresiu a umožňuje opätovné použitie obrysov, čo umožňuje výrazné zníženie veľkosti písma. Napríklad písmo Noto Color Emoji zaberá 9 MB v rastrovom formáte a 1 MB vo vektorovom formáte COLRv1.85.
• Režim Origin Trials (experimentálne funkcie, ktoré vyžadujú samostatnú aktiváciu) implementuje rozhranie Region Capture API, ktoré vám umožňuje orezať zachytené video. Orezanie môže byť napríklad potrebné vo webových aplikáciách, ktoré zachytávajú video s obsahom ich karty, na vystrihnutie určitého obsahu pred odoslaním. Origin Trial znamená schopnosť pracovať so špecifikovaným API z aplikácií stiahnutých z localhost alebo 127.0.0.1, alebo po registrácii a prijatí špeciálneho tokenu, ktorý je platný na obmedzený čas pre konkrétnu stránku.
• Vlastnosť CSS "contain-intrinsic-size" teraz podporuje hodnotu "auto", ktorá použije poslednú zapamätanú veľkosť prvku (pri použití s ​​"content-visibility: auto" vývojár nemusí uhádnuť vykreslenú veľkosť prvku) .
• Pridaná vlastnosť AudioContext.outputLatency, prostredníctvom ktorej môžete zistiť informácie o predpovedanom oneskorení pred zvukovým výstupom (oneskorenie medzi zvukovou požiadavkou a začiatkom spracovania prijatých údajov výstupným zvukovým zariadením).
• CSS vlastnosť color-scheme, ktorá umožňuje určiť, v akých farebných schémach môže byť prvok správne zobrazený („svetlý“, „tmavý“, „denný režim“ a „nočný režim“), pridaný parameter „only“ aby sa predišlo vynúteným zmenám farieb pre jednotlivé prvky HTML. Ak napríklad zadáte „div { farebná schéma: iba svetlá }“, pre prvok div sa použije iba svetlá téma, aj keď prehliadač vynúti aktiváciu tmavého motívu.
• Pridaná podpora pre mediálne dopyty „dynamic-range“ a „video-dynamic-range“ do CSS na určenie, či obrazovka podporuje HDR (High Dynamic Range).
• Pridaná možnosť vybrať si, či sa má odkaz otvoriť v novej karte, novom okne alebo vyskakovacom okne na funkciu window.open(). Okrem toho vlastnosť window.statusbar.visible teraz vracia "false" pre kontextové okná a "true" pre karty a okná. const popup = window.open('_blank',",'popup=1′); // Otvoriť vo vyskakovacom okne const tab = window.open('_blank',,"'popup=0′); // Otvoriť na karte
• Pre okná a pracovníkov bola implementovaná metóda structuredClone() , ktorá umožňuje vytvárať rekurzívne kópie objektov, ktoré obsahujú vlastnosti nielen zadaného objektu, ale aj všetkých ostatných objektov, na ktoré odkazuje aktuálny objekt.
• Web Authentication API pridalo podporu pre rozšírenie špecifikácie FIDO CTAP2, ktoré umožňuje nastaviť minimálnu povolenú veľkosť PIN kódu (minPinLength).
• Pre nainštalované samostatné webové aplikácie bol pridaný komponent Window Controls Overlay, ktorý rozširuje oblasť obrazovky aplikácie na celé okno vrátane oblasti nadpisu, na ktorej sú štandardné tlačidlá na ovládanie okna (zavrieť, minimalizovať, maximalizovať ) sú prekryté. Webová aplikácia môže ovládať vykresľovanie a spracovanie vstupu celého okna, okrem prekrývacieho bloku s tlačidlami na ovládanie okien.
• Do WritableStreamDefaultController bola pridaná vlastnosť spracovania signálov, ktorá vracia objekt AbortSignal, ktorý možno použiť na okamžité zastavenie zápisov do WritableStream bez čakania na ich dokončenie.
• WebRTC odstránil podporu pre mechanizmus kľúčovej dohody SDES, ktorý IETF v roku 2013 zavrhla z bezpečnostných dôvodov.
• V predvolenom nastavení je rozhranie API U2F (Cryptotoken) zakázané, ktoré bolo v minulosti zastarané a nahradené rozhraním Web Authentication API. Rozhranie U2F API bude v Chrome 104 úplne odstránené.
• V adresári API bolo pole install_browser_version zastarané, nahradené novým poľom pending_browser_version, ktoré sa líši v tom, že obsahuje informácie o verzii prehliadača, berúc do úvahy stiahnuté, ale neaplikované aktualizácie (t. j. verziu, ktorá bude platná po prehliadač sa reštartuje).
• Odstránené možnosti, ktoré umožňovali vrátiť podporu pre TLS 1.0 a 1.1.
• Vylepšenia sa dočkali nástroje pre vývojárov webu. Bola pridaná karta na vyhodnotenie fungovania vyrovnávacej pamäte Back-forward, ktorá poskytuje okamžitú navigáciu pri použití tlačidiel Späť a Vpred. Pridaná možnosť emulovať požiadavky na médiá s vynútenými farbami. Do editora Flexbox boli pridané tlačidlá na podporu vlastností obrátenia riadkov a obrátenia stĺpcov. Karta „Zmeny“ zaisťuje zobrazenie zmien po naformátovaní kódu, čo zjednodušuje analýzu miniifikovaných stránok.

  Implementácia panela kontroly kódu bola aktualizovaná do vydania editora kódu CodeMirror 6, ktorý výrazne zlepšuje výkon práce s veľmi veľkými súbormi (WASM, JavaScript), rieši problémy s náhodnými posunmi počas navigácie a zlepšuje odporúčania systém automatického dopĺňania pri úprave kódu. Na panel vlastností CSS bola pridaná možnosť filtrovať výstup podľa názvu vlastnosti alebo hodnoty.

  

Okrem inovácií a opráv chýb nová verzia odstraňuje 27 zraniteľností. Mnohé zo zraniteľností boli identifikované ako výsledok automatizovaného testovania pomocou nástrojov AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer a AFL. Neboli identifikované žiadne kritické problémy, ktoré by umožnili obísť všetky úrovne ochrany prehliadača a spustiť kód v systéme mimo prostredia karantény. V rámci programu peňažných odmien za objavenie slabých miest aktuálneho vydania spoločnosť Google vyplatila 19 ocenení v hodnote 88 20000 USD (dve ocenenia 12000 7500 USD, jedno ocenenie 1000 7000 USD, dve ocenenia 5000 3000 USD, štyri ocenenia 2000 XNUMX USD a po jednom XNUMX XNUMX, XNUMX XNUMX a XNUMX USD

Zdroj: opennet.ru