ProHoster > Blog > internetne novice > Izdaja Chrome 102

Izdaja Chrome 102

Google je predstavil izdajo spletnega brskalnika Chrome 102. Hkrati je na voljo stabilna izdaja brezplačnega projekta Chromium, ki služi kot osnova Chroma. Brskalnik Chrome se od Chromiuma razlikuje po uporabi Googlovih logotipov, prisotnosti sistema za pošiljanje obvestil v primeru zrušitve, modulov za predvajanje pred kopiranjem zaščitenih video vsebin (DRM), sistema za samodejno nameščanje posodobitev, trajnega omogočanja izolacije peskovnika , ki zagotavlja ključe za Googlov API in prenaša parametre RLZ- pri iskanju. Za tiste, ki potrebujejo več časa za posodobitev, je ločeno podprta veja Extended Stable, ki ji sledi 8 tednov. Naslednja izdaja Chroma 103 je predvidena za 21. junij.

Ključne spremembe v Chromu 102:

  • Za blokiranje izkoriščanja ranljivosti, ki jih povzroča dostop do že sproščenih pomnilniških blokov (use-after-free), se je namesto navadnih kazalcev začel uporabljati tip MiraclePtr (raw_ptr). MiraclePtr zagotavlja povezovanje preko kazalcev, ki izvaja dodatna preverjanja dostopov do sproščenih pomnilniških območij in se zruši, če so takšni dostopi zaznani. Vpliv novega načina zaščite na zmogljivost in porabo pomnilnika ocenjujejo kot zanemarljiv. Mehanizem MiraclePtr ni uporaben v vseh procesih, še posebej se ne uporablja v procesih upodabljanja, lahko pa bistveno izboljša varnost. Na primer, v trenutni izdaji je od 32 odpravljenih ranljivosti 12 povzročilo težave brez uporabe.
  • Spremenjen je dizajn vmesnika z informacijami o prenosi. Namesto spodnje vrstice s podatki o poteku prenosa je na plošči z naslovno vrstico dodan nov indikator, na katerega se ob kliku prikaže potek prenosa datotek in zgodovina s seznamom že prenesenih datotek. Za razliko od spodnje plošče je gumb stalno prikazan na plošči in vam omogoča hiter dostop do zgodovine prenosov. Novi vmesnik je trenutno privzeto na voljo samo nekaterim uporabnikom in bo razširjen na vse, če ne bo težav. Če želite vrniti stari vmesnik ali omogočiti novega, je na voljo nastavitev »chrome://flags#download-bubble«.
    Izdaja Chrome 102
  • Pri iskanju slik prek kontekstnega menija (»Išči sliko z Google Lens« ali »Najdi prek Google Lens«) rezultati zdaj niso prikazani na ločeni strani, temveč v stranski vrstici poleg vsebine izvirne strani (v v enem oknu si lahko hkrati ogledate vsebino strani in rezultat dostopa do iskalnika).
    Izdaja Chrome 102
  • V razdelku nastavitev »Zasebnost in varnost« je dodan razdelek »Vodnik po zasebnosti«, ki ponuja splošen pregled glavnih nastavitev, ki vplivajo na zasebnost s podrobnimi razlagami vpliva posamezne nastavitve. V razdelku lahko na primer določite pravilnik za pošiljanje podatkov Googlovim storitvam, upravljate sinhronizacijo, obdelavo piškotkov in shranjevanje zgodovine. Funkcija je na voljo nekaterim uporabnikom; če jo želite aktivirati, lahko uporabite nastavitev »chrome://flags#privacy-guide«.
    Izdaja Chrome 102
  • Zagotovljeno je strukturiranje zgodovine iskanja in ogledanih strani. Ko poskusite znova iskati, se v naslovni vrstici prikaže namig »Nadaljujte s potovanjem«, kar vam omogoča, da nadaljujete iskanje od mesta, kjer je bilo zadnjič prekinjeno.
    Izdaja Chrome 102
  • Spletna trgovina Chrome ponuja stran »Extensions Starter Kit« z začetnim izborom priporočenih dodatkov.
  • V testnem načinu je pošiljanje potrditvene zahteve za organ CORS (Cross-Origin Resource Sharing) z glavo »Access-Control-Request-Private-Network: true« glavnemu strežniku spletnega mesta omogočeno, ko stran dostopa do vira v notranjem omrežju (192.168.x.x, 10.x.x.x, 172.16.x.x) ali lokalnemu gostitelju (128.x.x.x). Ko potrdi operacijo kot odgovor na to zahtevo, mora strežnik vrniti glavo »Access-Control-Allow-Private-Network: true«. V Chromu različice 102 rezultat potrditve še ne vpliva na obdelavo zahteve – če potrditve ni, se v spletni konzoli prikaže opozorilo, vendar sama zahteva podvira ni blokirana. Omogočanje blokiranja brez potrditve strežnika se ne pričakuje do izdaje Chroma 105. Če želite omogočiti blokiranje v prejšnjih izdajah, lahko omogočite nastavitev »chrome://flags/#private-network-access-respect-preflight- rezultati«.

    Preverjanje avtoritete s strani strežnika je bilo uvedeno za okrepitev zaščite pred napadi, povezanimi z dostopom do virov v lokalnem omrežju ali na uporabnikovem računalniku (localhost) iz skriptov, ki se naložijo ob odpiranju spletnega mesta. Takšne zahteve uporabljajo napadalci za izvajanje CSRF napadov na usmerjevalnike, dostopne točke, tiskalnike, korporativne spletne vmesnike ter druge naprave in storitve, ki sprejemajo zahteve samo iz lokalnega omrežja. Za zaščito pred takšnimi napadi bo brskalnik, če se v notranjem omrežju dostopa do katerega koli podvira, poslal izrecno zahtevo za dovoljenje za nalaganje teh podvirov.

  • Pri odpiranju povezav v načinu brez beleženja zgodovine prek kontekstnega menija se nekateri parametri, ki vplivajo na zasebnost, samodejno odstranijo iz URL-ja.
  • Strategija dostave posodobitev za Windows in Android je bila spremenjena. Za popolnejšo primerjavo obnašanja nove in stare izdaje je zdaj ustvarjenih več gradenj nove različice za prenos.
  • Tehnologija segmentacije omrežja je bila stabilizirana za zaščito pred metodami sledenja premikov uporabnikov med spletnimi mesti na podlagi shranjevanja identifikatorjev na področjih, ki niso namenjena trajnemu shranjevanju informacij (»Superpiškotki«). Ker so predpomnjeni viri shranjeni v skupnem imenskem prostoru, lahko eno mesto ugotovi, da drugo mesto nalaga vire, tako da preveri, ali je ta vir v predpomnilniku, ne glede na izvorno domeno. Zaščita temelji na uporabi segmentacije omrežja (Network Partitioning), katere bistvo je, da v deljene predpomnilnike doda dodatno vezavo zapisov na domeno, s katere se odpre glavna stran, kar omeji pokritost predpomnilnika samo za skripte za sledenje gibanju. na trenutno spletno mesto (skript iz okvirja iframe ne bo mogel preveriti, ali je bil vir prenesen z drugega mesta). Skupna raba stanja zajema omrežne povezave (HTTP/1, HTTP/2, HTTP/3, websocket), predpomnilnik DNS, podatke ALPN/HTTP2, TLS/HTTP3, konfiguracijo, prenose in informacije o glavi Expect-CT.
  • Pri nameščenih samostojnih spletnih aplikacijah (PWA, Progressive Web App) je možno spremeniti zasnovo območja naslova okna s komponentami Window Controls Overlay, ki razširijo območje zaslona spletne aplikacije na celotno okno. Spletna aplikacija lahko nadzoruje upodabljanje in obdelavo vnosa celotnega okna, z izjemo prekrivnega bloka s standardnimi gumbi za nadzor okna (zapri, pomanjšaj, povečaj), da daje spletni aplikaciji videz običajne namizne aplikacije.
    Izdaja Chrome 102
  • V sistemu za samodejno izpolnjevanje obrazcev je dodana podpora za generiranje virtualnih številk kreditnih kartic v poljih s podatki o plačilu blaga v spletnih trgovinah. Uporaba virtualne kartice, katere številka se ustvari za vsako plačilo, vam omogoča, da ne prenašate podatkov o pravi kreditni kartici, vendar zahteva zagotavljanje potrebne storitve banke. Funkcija je trenutno na voljo le strankam ameriških bank. Za nadzor vključitve funkcije je predlagana nastavitev »chrome://flags/#autofill-enable-virtual-card«.
  • Mehanizem »Capture Handle« je privzeto aktiviran in vam omogoča prenos informacij v aplikacije, ki zajemajo video. API omogoča organizacijo interakcije med aplikacijami, katerih vsebina se snema, in aplikacijami, ki izvajajo snemanje. Na primer, aplikacija za videokonference, ki zajema video za oddajanje predstavitve, lahko pridobi informacije o kontrolnikih predstavitve in jih prikaže v video oknu.
  • Podpora za špekulativna pravila je privzeto omogočena, kar zagotavlja prilagodljivo sintakso za določanje, ali je mogoče podatke, povezane s povezavo, proaktivno naložiti, preden uporabnik klikne povezavo.
  • Mehanizem za pakiranje virov v pakete v formatu Web Bundle je bil stabiliziran, kar omogoča povečanje učinkovitosti nalaganja velikega števila spremljajočih datotek (slogi CSS, JavaScript, slike, iframes). Za razliko od paketov v formatu Webpack ima format Web Bundle naslednje prednosti: v predpomnilnik HTTP ni shranjen sam paket, temveč njegovi sestavni deli; prevajanje in izvajanje JavaScripta se začne brez čakanja, da se paket v celoti prenese; Dovoljeno je vključiti dodatne vire, kot so CSS in slike, ki bi morali biti v webpacku kodirani v obliki nizov JavaScript.
  • Aplikacijo PWA je mogoče definirati kot obdelovalca določenih vrst MIME in datotečnih končnic. Po definiranju vezave prek polja file_handlers v manifestu bo aplikacija prejela poseben dogodek, ko bo uporabnik poskušal odpreti datoteko, povezano z aplikacijo.
  • Dodan nov inertni atribut, ki vam omogoča, da označite del drevesa DOM kot "neaktiven". Za vozlišča DOM v tem stanju sta izbira besedila in upravljalniki lebdenja kazalca onemogočeni, tj. Dogodki kazalca in lastnosti CSS, ki jih izbere uporabnik, so vedno nastavljene na »brez«. Če je bilo vozlišče mogoče urejati, potem v inertnem načinu postane nemogoče urejati.
  • Dodan API za navigacijo, ki omogoča spletnim aplikacijam, da prestrežejo operacije krmarjenja po oknih, sprožijo navigacijo in analizirajo zgodovino dejanj z aplikacijo. API nudi alternativo lastnostima window.history in window.location, optimizirani za enostranske spletne aplikacije.
  • Za atribut "hidden" je bila predlagana nova zastavica, "dokler ni najden", zaradi česar je po elementu mogoče iskati na strani in se pomikati po besedilni maski. Na stran lahko na primer dodate skrito besedilo, katerega vsebino boste našli pri lokalnem iskanju.
  • V API-ju WebHID, zasnovanem za dostop na nizki ravni do naprav HID (naprave za človeški vmesnik, tipkovnice, miške, igralne ploščice, sledilne ploščice) in organiziranje dela brez prisotnosti določenih gonilnikov v sistemu, je bila lastnost exclusionFilters dodana requestDevice( ), ki omogoča izključitev določenih naprav, ko brskalnik prikaže seznam razpoložljivih naprav. Izključite lahko na primer ID-je naprav, ki imajo znane težave.
  • Prepovedano je prikazati obrazec za plačilo prek klica PaymentRequest.show() brez izrecnega dejanja uporabnika, na primer s klikom na element, povezan z obdelovalcem.
  • Podpora za alternativno izvedbo protokola SDP (Session Description Protocol), ki se uporablja za vzpostavitev seje v WebRTC, je bila ukinjena. Chrome je ponudil dve možnosti SDP - poenoteno z drugimi brskalniki in specifično za Chrome. Od zdaj naprej je ostala samo prenosna možnost.
  • Orodja za spletne razvijalce so bila izboljšana. Dodani gumbi na ploščo Slogi za simulacijo uporabe temne in svetle teme. Okrepljena je zaščita zavihka Predogled v načinu pregleda omrežja (omogočena je aplikacija Content Security Policy). Razhroščevalnik izvaja prekinitev skripta za ponovno nalaganje prelomnih točk. Predlagana je bila predhodna izvedba nove plošče »Vpogled v uspešnost«, ki vam omogoča analizo uspešnosti določenih operacij na strani.
    Izdaja Chrome 102

Poleg novosti in popravkov napak nova različica odpravlja 32 ranljivosti. Številne ranljivosti so bile ugotovljene kot rezultat avtomatiziranega testiranja z orodji AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer in AFL. Eni od težav (CVE-2022-1853) je bila dodeljena kritična stopnja nevarnosti, ki pomeni zmožnost zaobiti vse ravni zaščite brskalnika in izvajati kodo v sistemu zunaj okolja peskovnika. Podrobnosti o tej ranljivosti še niso bile razkrite; znano je le, da jo povzroča dostop do sproščenega pomnilniškega bloka (use-after-free) v izvedbi Indexed DB API.

V okviru programa denarnega nagrajevanja za odkrivanje ranljivosti za trenutno izdajo je Google izplačal 24 nagrad v vrednosti 65600 $ (eno nagrado 10000 $, eno nagrado 7500 $, dve nagradi po 7000 $, tri nagrade po 5000 $, štiri nagrade po 3000 $, dve nagradi po 2000 $, dve nagradi po 1000 $ in dve 500 $ bonusov). Velikost 7 nagrad še ni določena.

Vir: opennet.ru

Dodaj komentar