Izdaja Chrome 98

Google je predstavil izdajo spletnega brskalnika Chrome 98. Hkrati je na voljo stabilna izdaja brezplačnega projekta Chromium, ki služi kot osnova Chroma. Brskalnik Chrome se odlikuje po uporabi Googlovih logotipov, prisotnosti sistema za pošiljanje obvestil v primeru zrušitve, modulov za predvajanje pred kopiranjem zaščitenih video vsebin (DRM), sistema za samodejno nameščanje posodobitev in prenosa parametrov RLZ, ko iskanje. Naslednja izdaja Chrome 99 je predvidena za 1. marec.

Ključne spremembe v Chromu 98:

• Brskalnik ima lastno shrambo korenskih potrdil overiteljev (Chrome Root Store), ki bo uporabljena namesto zunanjih shramb, specifičnih za posamezen operacijski sistem. Shramba je izvedena podobno kot neodvisna shramba korenskih potrdil v Firefoxu, ki se uporablja kot prva povezava za preverjanje verige zaupanja potrdila pri odpiranju spletnih mest prek HTTPS. Nova shramba še ni privzeto uporabljena. Da bi olajšali prehod konfiguracij sistemskega pomnilnika in zagotovili prenosljivost, bo na voljo prehodno obdobje, med katerim bo Chrome Root Store vključeval celoten izbor potrdil, odobrenih na večini podprtih platform.
• Nadaljevanje izvajanja načrta krepitve zaščite pred napadi, povezanimi z dostopom do virov v lokalnem omrežju ali na uporabnikovem računalniku (localhost) s skripti, ki se naložijo ob odpiranju spletnega mesta. Takšne zahteve uporabljajo napadalci za izvajanje CSRF napadov na usmerjevalnike, dostopne točke, tiskalnike, korporativne spletne vmesnike ter druge naprave in storitve, ki sprejemajo zahteve samo iz lokalnega omrežja.

  Za zaščito pred takšnimi napadi bo brskalnik, če se v notranjem omrežju dostopa do katerega koli podvira, začel pošiljati izrecno zahtevo za dovoljenje za prenos takšnih podvirov. Zahteva za dovoljenja se izvede s pošiljanjem zahteve CORS (Cross-Origin Resource Sharing) z glavo »Access-Control-Request-Private-Network: true« na glavni strežnik spletnega mesta pred dostopom do notranjega omrežja ali lokalnega gostitelja. Ko potrdi operacijo kot odgovor na to zahtevo, mora strežnik vrniti glavo »Access-Control-Allow-Private-Network: true«. V Chromu 98 je preverjanje izvedeno v testnem načinu in če ni potrditve, se v spletni konzoli prikaže opozorilo, vendar sama zahteva podvira ni blokirana. Blokiranje naj ne bi bilo omogočeno, dokler ne bo izdan Chrome 101.

• Nastavitve računa vključujejo orodja za upravljanje vključitve izboljšanega varnega brskanja, ki aktivira dodatna preverjanja za zaščito pred lažnim predstavljanjem, zlonamerno dejavnostjo in drugimi grožnjami v spletu. Ko aktivirate način v Google Računu, boste zdaj pozvani, da aktivirate način v Chromu.
• Dodan model za zaznavanje poskusov lažnega predstavljanja na strani odjemalca, implementiran s platformo za strojno učenje TFLite (TensorFlow Lite) in ne zahteva pošiljanja podatkov za izvedbo preverjanja na Googlovi strani (v tem primeru se telemetrija pošlje z informacijami o različici modela in izračunane uteži za vsako kategorijo). Če je zaznan poskus lažnega predstavljanja, se uporabniku prikaže stran z opozorilom, preden odpre sumljivo spletno mesto.
• V API-ju Client Hints, ki se razvija kot nadomestilo za glavo User-Agent in omogoča selektivno pošiljanje podatkov o določenih parametrih brskalnika in sistema (različica, platforma itd.) šele po zahtevi strežnika, je mogoče zamenjati izmišljena imena na seznam identifikatorjev brskalnika, po analogiji z mehanizmom GREASE (Generate Random Extensions And Sustain Extensibility), ki se uporablja v TLS. Na primer, poleg '"Chrome"; v="98″" in ""Chromium"; v="98″' na seznam lahko dodate naključni identifikator neobstoječega brskalnika '"(Ne; Brskalnik"; v="12″'. Takšna zamenjava bo pomagala prepoznati težave z obdelavo identifikatorjev neznanih brskalnikov, kar vodi do dejstva, da so se alternativni brskalniki prisiljeni pretvarjati, da so drugi priljubljeni brskalniki, da bi zaobšli preverjanje glede na sezname sprejemljivih brskalnikov.
• Od 17. januarja spletna trgovina Chrome ne sprejema več dodatkov, ki uporabljajo različico 2023 Chromovega manifesta. Novi dodatki bodo zdaj sprejeti samo s tretjo različico manifesta. Razvijalci predhodno dodanih dodatkov bodo še vedno lahko objavljali posodobitve z drugo različico manifesta. Popolna opustitev druge različice manifesta je načrtovana za januar XNUMX.
• Dodana podpora za barvne vektorske pisave v formatu COLRv1 (podmnožica pisav OpenType, ki poleg vektorskih glifov vsebuje tudi plast z informacijami o barvah), ki jih je mogoče uporabiti na primer za ustvarjanje večbarvnih emojijev. Za razliko od predhodno podprtega formata COLRv0 ima COLRv1 zdaj možnost uporabe prelivov, prekrivk in transformacij. Format zagotavlja tudi kompaktno obliko za shranjevanje, omogoča učinkovito stiskanje in omogoča ponovno uporabo orisov, kar omogoča znatno zmanjšanje velikosti pisave. Na primer, pisava Noto Color Emoji zavzame 9 MB v rastrski obliki in 1 MB v vektorski obliki COLRv1.85.
• Način Origin Trials (eksperimentalne funkcije, ki zahtevajo ločeno aktivacijo) implementira Region Capture API, ki omogoča obrezovanje zajetega videa. Na primer, obrezovanje bo morda potrebno v spletnih aplikacijah, ki zajemajo video z vsebino svojega zavihka, da izrežejo določeno vsebino pred pošiljanjem. Origin Trial pomeni zmožnost dela z navedenim API-jem iz aplikacij, prenesenih z lokalnega gostitelja ali 127.0.0.1, ali po registraciji in prejemu posebnega žetona, ki je veljaven omejen čas za določeno spletno mesto.
• Lastnost CSS »contain-intrinsic-size« zdaj podpira vrednost »auto«, ki bo uporabila zadnjo zapomnjeno velikost elementa (če se uporablja z »content-visibility: auto«, razvijalcu ni treba ugibati upodobljene velikosti elementa) .
• Dodana lastnost AudioContext.outputLatency, prek katere lahko izveste informacije o predvideni zakasnitvi pred izhodom zvoka (zakasnitev med zvočno zahtevo in začetkom obdelave prejetih podatkov s strani naprave za izhod zvoka).
• Lastnost CSS color-scheme, ki omogoča določitev, v katerih barvnih shemah je element lahko pravilno prikazan (“light”, “dark”, “day mode” in “night mode”), dodan je parameter “only” za preprečevanje shem prisilnih barvnih sprememb za posamezne elemente HTML. Če na primer podate »div { color-scheme: only light }«, bo za element div uporabljena samo svetla tema, tudi če brskalnik prisili, da je temna tema omogočena.
• Dodana podpora za medijske poizvedbe 'dinamični razpon' in 'video-dinamični razpon' v CSS, da ugotovi, ali obstaja zaslon, ki podpira HDR (visok dinamični razpon).
• Funkciji window.open() je dodana možnost izbire, ali želite odpreti povezavo v novem zavihku, novem oknu ali pojavnem oknu. Poleg tega lastnost window.statusbar.visible zdaj vrne "false" za pojavna okna in "true" za zavihke in okna. const popup = window.open('_blank',,”'popup=1'); // Odpri v pojavnem oknu const tab = window.open(‘_blank’,,”’popup=0′); // Odpri v zavihku
• Metoda structuredClone() je bila implementirana za okna in delavce, ki vam omogoča ustvarjanje rekurzivnih kopij objektov, ki vključujejo lastnosti ne samo navedenega predmeta, temveč tudi vseh drugih predmetov, na katere se sklicuje trenutni objekt.
• API za spletno preverjanje pristnosti je dodal podporo za razširitev specifikacije FIDO CTAP2, ki vam omogoča nastavitev najmanjše dovoljene velikosti kode PIN (minPinLength).
• Za nameščene samostojne spletne aplikacije je dodana komponenta Window Controls Overlay, ki razširi območje zaslona aplikacije na celotno okno, vključno z naslovom, na katerem so standardni gumbi za upravljanje oken (zapri, pomanjšaj, povečaj). ) se prekrivajo. Spletna aplikacija lahko nadzoruje upodabljanje in obdelavo vnosa celotnega okna, razen prekrivnega bloka z gumbi za nadzor okna.
• V WritableStreamDefaultController je dodana lastnost za ravnanje s signali, ki vrne objekt AbortSignal, ki se lahko uporabi za takojšnjo ustavitev zapisovanja v WritableStream, ne da bi čakali, da se dokončajo.
• WebRTC je odstranil podporo za mehanizem dogovora o ključu SDES, ki ga je IETF leta 2013 opustil zaradi varnostnih težav.
• Privzeto je onemogočen API U2F (Cryptotoken), ki je bil prej opuščen in nadomeščen z API-jem za spletno preverjanje pristnosti. API U2F bo v Chromu 104 popolnoma odstranjen.
• V imeniku API je bilo polje Installed_browser_version opuščeno in nadomeščeno z novim poljem pending_browser_version, ki se razlikuje po tem, da vsebuje informacije o različici brskalnika, ob upoštevanju prenesenih, a neuporabljenih posodobitev (tj. različice, ki bo veljavna po se brskalnik znova zažene).
• Odstranjene možnosti, ki so omogočile vrnitev podpore za TLS 1.0 in 1.1.
• Orodja za spletne razvijalce so bila izboljšana. Dodan je bil zavihek za ocenjevanje delovanja predpomnilnika za nazaj in naprej, ki omogoča takojšnjo navigacijo pri uporabi gumbov Nazaj in Naprej. Dodana možnost posnemanja medijskih zahtev z vsiljenimi barvami. Dodani gumbi v urejevalnik Flexbox za podporo lastnosti obračanja vrstic in obračanja stolpcev. Zavihek »Spremembe« zagotavlja, da so spremembe prikazane po formatiranju kode, kar poenostavlja razčlenjevanje pomanjšanih strani.

  Izvedba plošče za pregled kode je bila posodobljena na izdajo urejevalnika kode CodeMirror 6, ki bistveno izboljša zmogljivost dela z zelo velikimi datotekami (WASM, JavaScript), rešuje težave z naključnimi odmiki med navigacijo in izboljša priporočila sistem samodokončanja pri urejanju kode. Na ploščo z lastnostmi CSS je bila dodana možnost filtriranja izhoda po imenu lastnosti ali vrednosti.

  

Poleg novosti in popravkov napak nova različica odpravlja 27 ranljivosti. Številne ranljivosti so bile ugotovljene kot rezultat avtomatiziranega testiranja z orodji AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer in AFL. Ugotovljene niso bile nobene kritične težave, ki bi omogočale obhod vseh ravni zaščite brskalnika in izvajanje kode v sistemu zunaj okolja peskovnika. Kot del programa denarnih nagrad za odkrivanje ranljivosti za trenutno izdajo je Google plačal 19 nagrad v vrednosti 88 tisoč dolarjev (dve nagradi po 20000 dolarjev, ena nagrada po 12000 dolarjev, dve nagradi po 7500 dolarjev, štiri nagrade po 1000 dolarjev in po eno v višini 7000, 5000, 3000 in 2000 dolarjev.

Vir: opennet.ru