Google ka publikuar versionin 142 të shfletuesit të internetit Chrome. Një version i qëndrueshëm i projektit Chromium me burim të hapur, themeli i Chrome, është gjithashtu i disponueshëm. Chrome ndryshon nga Chromium në përdorimin e logove të Google, një sistem njoftimi për rrëzime, module për luajtjen e përmbajtjes video të mbrojtur nga kopjimi (DRM), instalimin automatik të përditësimeve, izolimin gjithmonë aktiv të sandbox-it, sigurimin e çelësave API të Google dhe kalimin e parametrave RLZ gjatë kërkimit. Për ata që kanë nevojë për më shumë kohë për të përditësuar, një degë e veçantë e Zgjeruar e Qëndrueshme mirëmbahet për tetë javë. Publikimi i ardhshëm, Chrome 143, është planifikuar për 2 dhjetor.
Ndryshimet kryesore në Chrome 142:
- Mbrojtja e aksesit në sistemin lokal aktivizohet kur bashkëveproni me faqet publike të internetit. Kur hyni në një faqe interneti në një rrjet publik ose të brendshëm (intranet), Adresat IP Kur hyn në sistemin lokal ose ndërfaqen loopback (127.0.0.0/8), shfletuesi do t'i shfaqë përdoruesit një kuti dialogu duke kërkuar konfirmim. Përpjekjet për të shkarkuar burime, kërkesat fetch() dhe futjet e iframe janë të mbuluara. Mbrojtja aktualisht nuk zbatohet për lidhjet nëpërmjet WebSockets, WebTransport dhe WebRTC, por do të shtohet për këto teknologji më vonë.
Sulmuesit shfrytëzojnë aksesin në burimet e brendshme për të kryer sulme CSRF në routerë, pika aksesi, printera, ndërfaqe web të korporatave dhe pajisje e shërbime të tjera që pranojnë vetëm kërkesa nga rrjeti lokal. Për më tepër, skanimi i burimeve të brendshme mund të përdoret për identifikim indirekt ose për të mbledhur informacione rreth rrjetit lokal.
- Një ndërfaqe e vetme dhe e thjeshtuar është prezantuar për lidhjen me një llogari Google dhe sinkronizimin e të dhënave, siç janë fjalëkalimet e ruajtura dhe faqeshënuesit. Sinkronizimi është i integruar me hyrjen në llogari dhe nuk paraqitet si një opsion i veçantë në cilësime. Përdoruesit mund ta lidhin Chrome me llogarinë e tyre Google dhe ta përdorin atë për të ruajtur fjalëkalimet, faqeshënuesit, historikun e shfletimit dhe skedat. Kjo veçori është aktualisht aktive për disa përdorues dhe do të zgjerohet gradualisht.
- Përdoret një model i ri i izolimit të procesit - "Izolimi i Origjinës", në të cilin çdo burim përmbajtjeje (origjina - një lidhje protokolli, domeni dhe porta, për shembull, "https://foo.example.com"), është e izoluar në një proces të veçantë renderimi. Meqenëse rritja e granularitetit të izolimit mund të çojë në rritje të konsumit të memories dhe ngarkesës së CPU-së, modaliteti i ri i izolimit aktivizohet vetëm në sisteme me më shumë se 4 GB RAM. Në harduerin me energji të ulët, do të vazhdojë të përdoret qasja e vjetër e izolimit, e cila izolon të gjitha burimet e ndryshme të përmbajtjes të lidhura me një faqe të vetme (për shembull, foo.example.com dhe bar.example.com) në një proces të veçantë.
- Në sistemet me Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Në versionin për Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Implementimi i protokollit DTLS (Datagram Transport Layer Security, një analog TLS për UDP) i përdorur për lidhjet WebRTC përfshin përdorimin e algoritmeve të enkriptimit post-kuantik.
- Statusi i aktivizimit, i vendosur gjatë aktivitetit të përdoruesit në një faqe, tani ruhet pas navigimit në një faqe tjetër në të njëjtin domen. Ruajtja e aktivizimit do të thjeshtojë zhvillimin e aplikacioneve web me shumë faqe dhe do të zgjidhë probleme të tilla si vendosja e fokusit të të dhënave hyrëse kur faqja shfaq tastierën e saj virtuale.
- Pseudoklasat CSS ":target-before" dhe ":target-after" janë shtuar për të përcaktuar shënuesit e mëparshëm dhe të ardhshëm në lidhje me pozicionin aktual të lëvizjes (":target-current").
- Kontejnerët e stilit (@kontejner) dhe funksioni if() tani mbështesin Sintaksën e Diapazonit të përcaktuar në specifikimin e Media Queries Level 4, i cili lejon përdorimin e operatorëve standardë të krahasimit matematikor dhe operatorëve logjikë për të përcaktuar diapazone vlerash. Për shembull, tani mund të specifikoni "@kontejner style(—inner-padding > 1em)" dhe "background-color: if(style(attr(data-columns, type ) > 2): blu e çelët; përndryshe: e bardhë);"
- Elementet " " dhe " " tani mbështesin atributin "interestfor". Ky atribut mund të përdoret për të shkaktuar veprime, të tilla si shfaqja e një dritareje që shfaqet, kur përdoruesi tregon interes për elementin. Shfletuesi njeh ngjarje të tilla si mbajtja e treguesit mbi element, shtypja e tasteve të shkurtra ose mbajtja e një prekjeje në një ekran me prekje si tregues interesi. Kur identifikohet një element me atributin "interestfor", shfletuesi gjeneron një InterestEvent.
- Janë bërë përmirësime në mjetet e zhvilluesve të uebit. Një buton i shpejtë për hapjen e asistentit të inteligjencës artificiale është shtuar në këndin e sipërm të djathtë. Artikulli i menysë së kontekstit "Pyet AI-në" është riemëruar në "Debug with AI" dhe është zgjeruar për të përfshirë mundësinë për të kryer veprime të menjëhershme në varësi të kontekstit. Në konsolën e uebit dhe panelin e kodit, asistenti i AI Gemini tani mund të gjenerojë rekomandime me kod.
Mjetet e zhvilluesve të uebit tani integrohen me Programin e Zhvilluesve të Google (GDP). Zhvilluesit tani mund të hyjnë në profilin e tyre të GDP direkt nga Chrome DevTools dhe të fitojnë shpërblime për përfundimin e detyrave specifike brenda kësaj ndërfaqeje.
Përveç veçorive të reja dhe rregullimeve të gabimeve, versioni i ri adreson 20 dobësi. Shumë nga dobësitë u identifikuan përmes testimit të automatizuar duke përdorur AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer dhe AFL. Nuk u identifikuan probleme kritike që mund të lejonin anashkalimin e të gjitha shtresave të mbrojtjes së shfletuesit dhe ekzekutimin e kodit jashtë mjedisit sandbox. Si pjesë e programit të shpërblimeve për dobësitë për versionin aktual, Google ka vendosur 20 shpërblime me një total prej 130,000 dollarësh (dy shpërblime prej 50,000 dollarësh, një shpërblim prej 10000 dollarësh, tre shpërblime prej 3000 dollarësh, dy shpërblime prej 2000 dollarësh dhe tre shpërblime prej 1000 dollarësh). Shumat e tetë prej shpërblimeve nuk janë përcaktuar ende.
Për më tepër, në motorin Blink është identifikuar një dobësi e paantipuar, duke shkaktuar bllokimin dhe ngrirjen e shfletuesit gjatë ekzekutimit të kodit të caktuar JavaScript. Dobësia shkaktohet nga probleme arkitekturore në motorin e renderimit që lidhen me mungesën e një limiti shpejtësie për përditësimin e vetisë "document.title". Kjo mungesë kufizimi lejon që "document.title" të përdoret për të bërë dhjetëra miliona ndryshime në DOM në sekondë. Kjo shkakton ngrirjen e ndërfaqes brenda pak sekondash për shkak të bllokimit të thread-it kryesor dhe konsumit të konsiderueshëm të memories. Pas 15-60 sekondash, shfletuesi bllokohet.
Burimi: opennet.ru
