Izdaja Chrome 119

Google je objavil izdajo spletnega brskalnika Chrome 119. Hkrati je na voljo stabilna izdaja brezplačnega projekta Chromium, ki služi kot osnova Chroma. Brskalnik Chrome se od Chromiuma razlikuje po uporabi Googlovih logotipov, prisotnosti sistema za pošiljanje obvestil v primeru zrušitve, modulov za predvajanje pred kopiranjem zaščitenih video vsebin (DRM), sistema za samodejno nameščanje posodobitev, trajnega omogočanja izolacije peskovnika , ki zagotavlja ključe za Googlov API in prenaša parametre RLZ- pri iskanju. Za tiste, ki potrebujejo več časa za posodobitev, je ločeno podprta veja Extended Stable, ki ji sledi 8 tednov. Naslednja izdaja Chroma 120 je predvidena za 5. december.

Ključne spremembe v Chromu 119:

• Skrajšan je cikel generiranja izdaje, v katerem je skrajšan čas med ustvarjanjem nove veje in začetkom beta testiranja – beta različica se zdaj oblikuje dva dni po ustvarjanju veje in ne po 8 dneh. Stabilizacija beta različice, kot prej, se izvede v 4 tednih. Tako se je cikel priprav na nove izdaje skrajšal za en teden.
• Zagotovljena je možnost shranjevanja skupin zavihkov. Uporabnik lahko zdaj shrani skupino in zapre zavihke, ki so v njej vključeni, tako da ne zasedajo virov. Kasneje, ko se pojavi potreba, lahko zavihke iz shranjene skupine vrnemo in odpremo tudi na drugih napravah, ki sodelujejo pri sinhronizaciji zavihkov. Funkcija je omogočena za nekatere uporabnike; za prisilno omogočanje je na voljo nastavitev »chrome://flags/#tab-groups-save«.
• Vmesnik je spremenil besedilo operacij in nastavitev v zvezi z brisanjem in izgubo podatkov. Namesto izraza »brisanje« se zdaj pri tovrstnih operacijah uporablja beseda »brisanje«, saj beseda »brisanje« pri posameznih uporabnikih ni bila zaznana kot znak nepovratne izgube podatkov.
• Samodokončanje URL-jev zdaj upošteva vse ključne besede, ki so bile prej uporabljene za iskanje spletnega mesta, in ne samo besed, ki se ujemajo z začetkom naslova. Na primer, samodokončanje naslova »https://www.google.com/travel/flights« ne bo delovalo le, ko vnesete besedo »google«, ampak tudi, ko vnesete »flights«.
• Izvedeno je bilo samodejno popravljanje tipkarskih napak pri vnosu naslova spletnega mesta in prikazani so bili ustrezni namigi, pri oblikovanju katerih so upoštevana spletna mesta, ki jih je predhodno odprl trenutni uporabnik. Če na primer vtipkate »youtube«, boste pozvani, da odprete YouTube.com.
• Prek naslovne vrstice je mogoče iskati po razdelkih zaznamkov. Med tipkanjem lahko na primer dodate ime razdelka z zaznamki in Chrome bo predlagal povezave iz tega razdelka, ki se ujemajo z vneseno ključno besedo. Če na primer vtipkate »trips 2023 New«, boste predlagali povezave iz razdelka z zaznamki potovanja 2023, povezane z New Yorkom.
• Implementiran prikaz priporočil za priljubljena spletna mesta, tudi če jih uporabnik še ni obiskal ali se je zmotil pri vnosu URL-ja. Na primer, ko po nečijem priporočilu, naj odpre Google Earth, uporabnik začne tipkati »googleear«, ne da bi poznal točen naslov, bo brskalnik ponudil, da gre na earth.google.com.
• Chrome za namizne računalnike je izboljšal berljivost informacij v naslovni vrstici in naredil vmesnik bolj odziven – rezultati so zdaj prikazani takoj, ko začnete tipkati v naslovno vrstico.
• V skladu s spremembo specifikacije API-ja Fetch je avtorizacijska glava HTTP odstranjena pri preusmerjanju na drugo domeno (navzkrižni izvor).
• V nastavitvah obveščanja in lokacije je dodana možnost za omogočanje storitve samodejnega onemogočanja zahtevkov za potrditev avtoritete (Permission Suggestions Service). Na voljo so naslednji načini:
  • Vedno prikaži zahteve za dovoljenja za obvestila in dostop do lokacije;
  • samodejno prezrite neželene zahteve za dovoljenja z uporabo mehanizma Permission Suggestions Service;
  • vedno prezrite vse zahteve za prikaz obvestil;
  • Vedno blokiraj vse zahteve za obvestila in dovoljenja za lokacijo.
• V različicah za platformo Android je, ko je omogočena standardna zaščita brskalnika (Varno brskanje > Standardna zaščita), implementirano varnostno preverjanje odprtih URL-jev v realnem času, ki temelji na prenosu delnih zgoščenih URL-jev, ki jih uporabnik odpre, v Googlove strežnike. . Da bi se izognili ujemanju uporabnikovega naslova IP in zgoščene vrednosti, se podatki prenašajo prek vmesnega posrednika. Prej se je preverjanje izvajalo s prenosom lokalne kopije seznama URL-jev, ki niso varni, v sistem uporabnika. Nova shema vam omogoča hitrejše blokiranje zlonamernih URL-jev. Za namizne sisteme je bil podoben način omogočen v zadnji izdaji.
• Izhod neabecednih znakov v imenu gostitelja pri klicu funkcije URL je bil usklajen s posodobljeno specifikacijo. Na primer, klic funkcije 'URL("http://exa(mple.com;")' je prej vrnil 'http://exa%28mple.com/', zdaj pa bo povzročil napako "Neveljaven URL".
• Za vse predhodno shranjene piškotke velja doživljenjska omejitev, ki je podobna tisti, ki velja od izdaje Chroma 104 za nove in posodobljene piškotke. Življenjska doba obstoječih piškotkov bo glede na izdajo Chroma 400 skrajšana na 119 dni.
• CSS uvaja nova psevdorazreda ":user-valid" in ":user-invalid", ki predstavljata elemente obrazca, katerih vrednosti prestanejo ali ne prestanejo preverjanja. Za razliko od »:valid« in »:invalid« se novi psevdo-razredi sprožijo šele po interakciji uporabnika z elementom obrazca.
• Ko nastavljate barve v CSS, lahko določite vrednosti, ki se izračunajo glede na druge barvne parametre. Če na primer navedete "oklab(from magenta calc(l * 0.8) ab)", bo nastala barva, ki je 80 % svetlejša od magenta.
• Lastnost CSS clip-path, ki vam omogoča, da omejite vidnost elementa na določeno območje, zdaj podpira vrednost da določite območje po meri za obrezovanje. Prav tako je mogoče uporabiti funkciji xywh() in rect() za poenostavitev definicije pravokotnih ali zaobljenih površin.
• Podpora za API WebSQL je bila onemogočena, zato je priporočljivo, da namesto tega uporabite API za spletno shranjevanje in indeksirano bazo podatkov. Motor WebSQL temelji na kodi knjižnice SQLite. API WebSQL ni bil podprt v drugih brskalnikih, vezan na API zunanje knjižnice in je povečal tveganje za varnostne težave (WebSQL bi lahko uporabili napadalci za izkoriščanje ranljivosti v SQLite). Za vrnitev podpore za WebSQL za poslovne uporabnike je bil ohranjen pravilnik WebSQLAccess, ki bo odstranjen v Chromu 123.
• Začasno odstranjen API za čiščenje HTML, ki vam omogoča, da iz vsebine izrežete elemente, ki vplivajo na prikaz in izvajanje pri izpisu prek metode setHTML(). API je bil zasnovan za odstranjevanje oznak HTML, ki se lahko uporabljajo za izvajanje napadov XSS. Razlog za odstranitev je nepopolnost specifikacije, ki se je močno spremenila od dodajanja Sanitizerja v Chrome. Ko bo specifikacija pripravljena, bo API vrnjen.
• Odstranjen je bil nestandardni atribut shadowRoot, ki izvornim elementom omogoča dostop do lastnega ločenega korena v Shadow DOM, ne glede na stanje. Namesto shadowRoot je bil v Chromu 111 predlagan atribut shadowRootMode, ki je bil vključen v spletni standard.
• Izboljšana implementacija elementa HTML " «, ki je podoben »iframe« in omogoča tudi vdelavo vsebine tretjih oseb na stran. Razlike se zmanjšajo na omejevanje interakcije vdelane vsebine z vsebino strani na ravni DOM in atributov. Na primer, stran news.example, ki ima oglasni blok vdelan z uporabo ograjenega okvirja, naloženega iz shoes.example, ne more dostopati do podatkov shoes.example, posledično pa koda s spletnega mesta shoes.example ne more dostopati do podatkov povezano iz novic.primer. Nova različica dodaja podporo za zamenjave makrov za velikost oglasne enote, ki se je pojavila v API-ju Protected Audience, na primer »https://ad.com?width={/%AD_WIDTH%}&height={/%AD_HEIGHT%}« .
• Metodi getDisplayMedia() je bil dodan parameter monitorTypeSurfaces, s katerim je mogoče preprečiti skupno rabo celotnega zaslona.
• Metodi window.open() je bil dodan eksperimentalni (izvorni preizkus) celozaslonski parameter, ki vam omogoča, da okno takoj odprete v celozaslonskem načinu.
• V API AudioEncoderConfig je bila dodana zastavica »bitrateMode« za izbiro med konstantno in spremenljivo bitno hitrostjo.
• TLS vključuje implementacijo mehanizma enkapsulacije ključev (KEM, Key Encapsulation Mechanism) z uporabo hibridnega algoritma X25519Kyber768, ki je odporen na selekcijo na kvantnih računalnikih. Za ustvarjanje ključev seje, ki se uporabljajo za šifriranje podatkov v povezavah TLS, je zdaj mogoče uporabiti kombinacijo mehanizma za izmenjavo ključev X25519 eliptične krivulje, ki se zdaj uporablja v TLS, z algoritmom Kyber-768, ki uporablja kriptografske metode, ki temeljijo na reševanju problemov teorije mreže. , katerega čas rešitve se ne razlikuje pri običajnih in kvantnih računalnikih.
• Podpora za razširitev WasmGC je privzeto omogočena, kar poenostavlja prenos programov, napisanih v programskih jezikih, ki uporabljajo zbiralnik smeti (Kotlin, PHP, Java itd.), v WebAssembly. WasmGC dodaja nove vrste struktur in nizov, ki lahko uporabljajo nelinearno dodeljevanje pomnilnika.
• Orodja za spletne razvijalce so bila izboljšana. Dodana možnost urejanja pravil CSS »@property« in prikaza opozoril, če so nepravilno definirana. Seznam emuliranih naprav je posodobljen (dodana sta bila na primer iPhone 14 in Pixel 7). Samodejno izpolnjevanje zasebnih polj je implementirano v spletni konzoli. Zagotovljeno oblikovanje podatkov JSON znotraj blokov

Poleg novosti in popravkov napak nova različica odpravlja 15 ranljivosti. Številne ranljivosti so bile ugotovljene kot rezultat avtomatiziranega testiranja z orodji AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer in AFL. Ugotovljene niso bile nobene kritične težave, ki bi omogočale obhod vseh ravni zaščite brskalnika in izvajanje kode v sistemu zunaj okolja peskovnika. V okviru programa izplačevanja denarnih nagrad za odkrite ranljivosti za trenutno izdajo je Google izplačal 13 nagrad v vrednosti 40.5 tisoč ameriških dolarjev (eno nagrado 16000 $, 11000 $, 2000 $ in 500 $, tri nagrade po 3000 $ in dve nagradi po 1000 $ ). Velikost 4 nagrad še ni določena.

Vir: opennet.ru