ProHoster > Blog > lajme në internet > Publikimi 102 i Chrome

Publikimi 102 i Chrome

Google ka zbuluar lëshimin e shfletuesit të internetit Chrome 102. Në të njëjtën kohë, është i disponueshëm një lëshim i qëndrueshëm i projektit falas Chromium, i cili shërben si bazë e Chrome. Shfletuesi Chrome ndryshon nga Chromium në përdorimin e logove të Google, praninë e një sistemi për dërgimin e njoftimeve në rast përplasjeje, modulet për luajtjen e përmbajtjes video të mbrojtur nga kopjimi (DRM), një sistem për instalimin automatik të përditësimeve, aktivizimin e përhershëm të izolimit të Sandbox , duke furnizuar çelësat në API të Google dhe duke transmetuar parametrat RLZ- gjatë kërkimit. Për ata që kanë nevojë për më shumë kohë për të përditësuar, dega Extended Stable mbështetet veçmas, e ndjekur nga 8 javë. Lëshimi tjetër i Chrome 103 është planifikuar për 21 qershor.

Ndryshimet kryesore në Chrome 102:

  • Për të bllokuar shfrytëzimin e dobësive të shkaktuara nga qasja në blloqet e memories tashmë të liruara (përdorimi-pas-free), në vend të treguesve të zakonshëm, filloi të përdoret lloji MiraclePtr (raw_ptr). MiraclePtr siguron një lidhje mbi treguesit që kryen kontrolle shtesë për hyrjet në zonat e liruara të memories dhe prishet nëse zbulohen aksese të tilla. Ndikimi i metodës së re të mbrojtjes në performancën dhe konsumin e memories vlerësohet si i papërfillshëm. Mekanizmi MiraclePtr nuk është i zbatueshëm në të gjitha proceset, veçanërisht ai nuk përdoret në proceset e renderimit, por mund të përmirësojë ndjeshëm sigurinë. Për shembull, në versionin aktual, nga 32 dobësi të fiksuara, 12 u shkaktuan nga problemet e përdorimit pa pagesë.
  • Dizajni i ndërfaqes me informacione rreth shkarkimeve është ndryshuar. Në vend të vijës fundore me të dhënat për ecurinë e shkarkimit, një tregues i ri është shtuar në panel me shiritin e adresave; kur klikoni mbi të, shfaqet progresi i shkarkimit të skedarëve dhe një histori me një listë të skedarëve të shkarkuar tashmë. Ndryshe nga paneli i poshtëm, butoni shfaqet vazhdimisht në panel dhe ju lejon të aksesoni shpejt historinë tuaj të shkarkimeve. Ndërfaqja e re aktualisht ofrohet si parazgjedhje vetëm për disa përdorues dhe do të zgjerohet për të gjithë nëse nuk ka probleme. Për të kthyer ndërfaqen e vjetër ose për të aktivizuar një të re, ofrohet cilësimi "chrome://flags#download-bubble".
    Publikimi 102 i Chrome
  • Kur kërkoni për imazhe përmes menysë së kontekstit ("Kërko imazhin me "Lentin Google" ose "Gjej përmes Lenteve të Google"), rezultatet nuk shfaqen tani në një faqe të veçantë, por në një shirit anësor pranë përmbajtjes së faqes origjinale (në në një dritare mund të shihni njëkohësisht përmbajtjen e faqes dhe rezultatin e hyrjes në motorin e kërkimit).
    Publikimi 102 i Chrome
  • Në seksionin "Privatësia dhe siguria" e cilësimeve, është shtuar një seksion "Udhëzuesi i privatësisë", i cili ofron një pasqyrë të përgjithshme të cilësimeve kryesore që ndikojnë në privatësi me shpjegime të hollësishme të ndikimit të secilit cilësim. Për shembull, në seksion mund të përcaktoni politikën për dërgimin e të dhënave në shërbimet e Google, të menaxhoni sinkronizimin, përpunimin e cookie-ve dhe ruajtjen e historisë. Funksioni u ofrohet disa përdoruesve; për ta aktivizuar atë, mund të përdorni cilësimin "chrome://flags#privacy-guide".
    Publikimi 102 i Chrome
  • Ofrohet strukturimi i historisë së kërkimit dhe faqeve të shikuara. Kur përpiqeni të kërkoni përsëri, në shiritin e adresave shfaqet një sugjerim "Rifilloni udhëtimin tuaj", duke ju lejuar të vazhdoni kërkimin nga vendi ku u ndërpre herën e fundit.
    Publikimi 102 i Chrome
  • Dyqani i uebit i Chrome ofron një faqe "Extensions Starter Kit" me një përzgjedhje fillestare të shtesave të rekomanduara.
  • Në modalitetin e provës, dërgimi i një kërkese për autorizim CORS (Ndarja e burimeve ndër-origjina) te serveri kryesor i faqes me titullin "Access-Control-Request-Private-Network: true" aktivizohet kur faqja akseson një burim në rrjetin e brendshëm ( 192.168.xx, 10.xxx, 172.16.xx) ose te localhost (128.xxx). Kur konfirmoni operacionin në përgjigje të kësaj kërkese, serveri duhet të kthejë kokën "Access-Control-Allow-Private-Network: true". Në versionin 102 të Chrome, rezultati i konfirmimit nuk ndikon ende në përpunimin e kërkesës - nëse nuk ka konfirmim, një paralajmërim shfaqet në tastierën e uebit, por vetë kërkesa e nënburimit nuk është e bllokuar. Aktivizimi i bllokimit në mungesë të konfirmimit nga serveri nuk pritet deri në lëshimin e Chrome 105. Për të aktivizuar bllokimin në versionet e mëparshme, mund të aktivizoni cilësimin "chrome://flags/#private-network-access-respect-preflight- rezultatet".

    Verifikimi i autoritetit nga serveri u prezantua për të forcuar mbrojtjen kundër sulmeve që lidhen me aksesin në burimet në rrjetin lokal ose në kompjuterin e përdoruesit (localhost) nga skriptet e ngarkuara gjatë hapjes së një siti. Kërkesa të tilla përdoren nga sulmuesit për të kryer sulme CSRF në ruterat, pikat e hyrjes, printerët, ndërfaqet e internetit të korporatave dhe pajisje dhe shërbime të tjera që pranojnë kërkesa vetëm nga rrjeti lokal. Për të mbrojtur kundër sulmeve të tilla, nëse në rrjetin e brendshëm aksesohet ndonjë nën-burim, shfletuesi do të dërgojë një kërkesë të qartë për leje për të ngarkuar këto nën-burime.

  • Kur hapni lidhjet në modalitetin e fshehtë përmes menysë së kontekstit, disa parametra që ndikojnë në privatësinë hiqen automatikisht nga URL-ja.
  • Strategjia e shpërndarjes së përditësimeve për Windows dhe Android është ndryshuar. Për të krahasuar më plotësisht sjelljen e versioneve të reja dhe të vjetra, versionet e shumta të versionit të ri janë krijuar tani për shkarkim.
  • Teknologjia e segmentimit të rrjetit është stabilizuar për të mbrojtur kundër metodave të gjurmimit të lëvizjeve të përdoruesve ndërmjet sajteve bazuar në ruajtjen e identifikuesve në zona që nuk janë të destinuara për ruajtjen e përhershme të informacionit ("Supercookies"). Për shkak se burimet e memories ruhen në një hapësirë ​​emri të përbashkët, pavarësisht nga domeni fillestar, një sajt mund të përcaktojë që një sajt tjetër po ngarkon burimet duke kontrolluar nëse ai burim është në cache. Mbrojtja bazohet në përdorimin e segmentimit të rrjetit (Ndarja e rrjetit), thelbi i të cilit është shtimi në memoriet e përbashkëta të përbashkëta të lidhjes shtesë të regjistrimeve në domenin nga i cili hapet faqja kryesore, gjë që kufizon mbulimin e cache vetëm për skriptet e përcjelljes së lëvizjes. në sitin aktual (një skript nga një iframe nuk do të jetë në gjendje të kontrollojë nëse burimi është shkarkuar nga një faqe tjetër). Ndarja e gjendjes mbulon lidhjet e rrjetit (HTTP/1, HTTP/2, HTTP/3, websocket), memorien e memories DNS, ALPN/HTTP2, të dhënat TLS/HTTP3, konfigurimin, shkarkimet dhe informacionin e kokës së Expect-CT.
  • Për aplikacionet e instaluara të pavarura të ueb-it (PWA, Progressive Web App), është e mundur të ndryshoni dizajnin e zonës së titullit të dritares duke përdorur komponentët e Mbivendosjes së Kontrolleve të Dritares, të cilat zgjerojnë zonën e ekranit të aplikacionit në internet në të gjithë dritaren. Një aplikacion ueb mund të kontrollojë paraqitjen dhe përpunimin e hyrjes së të gjithë dritares, me përjashtim të bllokut të mbivendosjes me butonat standardë të kontrollit të dritares (mbyll, minimizo, maksimizoj), për t'i dhënë aplikacionit ueb pamjen e një aplikacioni të rregullt desktop.
    Publikimi 102 i Chrome
  • Në sistemin e plotësimit automatik të formularit, është shtuar mbështetje për gjenerimin e numrave virtual të kartave të kreditit në fushat me detajet e pagesës për mallrat në dyqanet online. Përdorimi i një karte virtuale, numri i së cilës gjenerohet për çdo pagesë, ju lejon të mos transferoni të dhëna për një kartë krediti të vërtetë, por kërkon ofrimin e shërbimit të nevojshëm nga banka. Funksioni është aktualisht i disponueshëm vetëm për klientët e bankave amerikane. Për të kontrolluar përfshirjen e funksionit, propozohet cilësimi "chrome://flags/#autofill-enable-virtual-card".
  • Mekanizmi "Capture Handle" aktivizohet si parazgjedhje, duke ju lejuar të transferoni informacione te aplikacionet që kapin video. API bën të mundur organizimin e ndërveprimit midis aplikacioneve përmbajtja e të cilave regjistrohet dhe aplikacioneve që kryejnë regjistrimin. Për shembull, një aplikacion videokonferencash që kap video për të transmetuar një prezantim mund të marrë informacione rreth kontrolleve të prezantimit dhe t'i shfaqë ato në dritaren e videos.
  • Mbështetja për rregullat spekulative është aktivizuar si parazgjedhje, duke siguruar sintaksë fleksibël për të përcaktuar nëse të dhënat e lidhura me lidhjen mund të ngarkohen në mënyrë proaktive përpara se përdoruesi të klikojë në lidhje.
  • Mekanizmi për paketimin e burimeve në paketa në formatin Web Bundle është stabilizuar, duke lejuar rritjen e efikasitetit të ngarkimit të një numri të madh skedarësh shoqërues (stilet CSS, JavaScript, imazhe, iframe). Ndryshe nga paketat në formatin Webpack, formati Web Bundle ka këto përparësi: nuk është vetë paketa që ruhet në cache HTTP, por pjesët përbërëse të saj; përpilimi dhe ekzekutimi i JavaScript fillon pa pritur që paketa të shkarkohet plotësisht; Lejohet të përfshihen burime shtesë si CSS dhe imazhe, të cilat në paketën e internetit duhet të kodohen në formën e vargjeve JavaScript.
  • Është e mundur të përcaktohet një aplikacion PWA si një mbajtës i llojeve të caktuara MIME dhe shtesave të skedarëve. Pas përcaktimit të një lidhjeje përmes fushës file_handlers në manifest, aplikacioni do të marrë një ngjarje të veçantë kur përdoruesi përpiqet të hapë një skedar të lidhur me aplikacionin.
  • U shtua një atribut i ri inert që ju lejon të shënoni një pjesë të pemës DOM si "joaktive". Për nyjet DOM në këtë gjendje, përzgjedhja e tekstit dhe mbajtësit e lëvizjes së treguesit janë të çaktivizuar, d.m.th. Ngjarjet e treguesit dhe vetitë CSS të zgjedhura nga përdoruesi vendosen gjithmonë në "asnjë". Nëse një nyje mund të redaktohet, atëherë në modalitetin inert bëhet e paredaktueshme.
  • U shtua API i Navigimit, i cili lejon aplikacionet në ueb të përgjojnë operacionet e lundrimit në dritare, të inicojnë navigimin dhe të analizojnë historinë e veprimeve me aplikacionin. API ofron një alternativë për vetitë window.history dhe window.location, të optimizuara për aplikacione në internet me një faqe.
  • Një flamur i ri, "deri-found", është propozuar për atributin "i fshehur", i cili e bën elementin të kërkueshëm në faqe dhe të lëvizshëm me maskë teksti. Për shembull, mund të shtoni tekst të fshehur në një faqe, përmbajtja e së cilës do të gjendet në kërkimet lokale.
  • Në WebHID API, i projektuar për qasje të nivelit të ulët në pajisjet HID (pajisjet e ndërfaqes njerëzore, tastierë, minj, tastierë lojërash, tastierë me prekje) dhe organizimin e punës pa praninë e drejtuesve të veçantë në sistem, veçoria exclusionFilters është shtuar në requestDevice( ) objekt, i cili ju lejon të përjashtoni pajisje të caktuara kur shfletuesi shfaq një listë të pajisjeve të disponueshme. Për shembull, mund të përjashtoni ID-të e pajisjes që kanë probleme të njohura.
  • Ndalohet shfaqja e një formulari pagese përmes një thirrjeje në PaymentRequest.show() pa një veprim të qartë të përdoruesit, për shembull, duke klikuar në një element të lidhur me mbajtësin.
  • Mbështetja për një implementim alternativ të protokollit SDP (Session Description Protocol) i përdorur për të krijuar një sesion në WebRTC është ndërprerë. Chrome ofroi dy opsione SDP - të unifikuara me shfletues të tjerë dhe specifikë për Chrome. Tani e tutje, ka mbetur vetëm opsioni portativ.
  • Janë bërë përmirësime në mjetet për zhvilluesit e uebit. U shtuan butona në panelin e stileve për të simuluar përdorimin e një teme të errët dhe të lehtë. Mbrojtja e skedës "Paraafishimi" në modalitetin e inspektimit të rrjetit është forcuar (aplikimi i Politikës së Sigurisë së Përmbajtjes është i aktivizuar). Korrigjuesi zbaton përfundimin e skriptit për të ringarkuar pikat e ndërprerjes. Është propozuar një zbatim paraprak i panelit të ri "Paraqitje të performancës", i cili ju lejon të analizoni performancën e operacioneve të caktuara në faqe.
    Publikimi 102 i Chrome

Përveç risive dhe rregullimeve të gabimeve, versioni i ri eliminon 32 dobësi. Shumë nga dobësitë u identifikuan si rezultat i testimit të automatizuar duke përdorur mjetet AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer dhe AFL. Një prej problemeve (CVE-2022-1853) i është caktuar një nivel kritik rreziku, i cili nënkupton aftësinë për të anashkaluar të gjitha nivelet e mbrojtjes së shfletuesit dhe për të ekzekutuar kodin në sistem jashtë mjedisit të sandbox. Detajet mbi këtë dobësi ende nuk janë zbuluar; dihet vetëm se ajo është shkaktuar nga qasja në një bllok memorie të liruar (përdorim pas-free) në zbatimin e API-së së Indeksuar DB.

Si pjesë e programit të shpërblimit në para për zbulimin e dobësive për versionin aktual, Google pagoi 24 çmime me vlerë 65600 dollarë (një çmim 10000 dollarë, një çmim 7500 dollarë, dy çmime 7000 dollarë, tre çmime 5000 dollarë, katër çmime 3000 dollarë, dy çmime 2000 dollarë 1000 dollarë bonuse). Madhësia e 500 shpërblimeve nuk është përcaktuar ende.

Burimi: opennet.ru

Shto një koment