Гугл је објавио верзију 142 веб прегледача Chrome. Такође је доступна стабилна верзија пројекта отвореног кода Chromium, темеља Chrome-а. Chrome се разликује од Chromium-а по коришћењу Google логотипа, систему обавештавања о падовима система, модулима за репродукцију видео садржаја заштићеног копирањем (DRM), аутоматској инсталацији ажурирања, стално укљученој изолацији „пешчаника“, обезбеђивању Google API кључева и прослеђивању RLZ параметара током претраге. За оне којима је потребно више времена за ажурирање, посебна проширена стабилна грана се одржава осам недеља. Следеће издање, Chrome 143, заказано је за 2. децембар.
Кључне промене у Цхроме-у 142:
- Заштита приступа локалном систему је омогућена приликом интеракције са јавним веб локацијама. Приликом приступа веб локацији на јавној или интерној мрежи (интранету), Моја ИП адреса Претраживач ће приказати кориснику дијалошки прозор који захтева потврду операције приликом приступа локалном систему или интерфејсу за повратну петљу (127.0.0.0/8). Покушаји преузимања ресурса, захтеви fetch() и уметање iframe-а подлежу заштити. Заштита се тренутно не примењује на везе путем WebSockets-а, WebTransport-а и WebRTC-а, али ће касније бити додата за ове технологије.
Нападачи искоришћавају приступ интерним ресурсима да би извршили CSRF нападе на рутере, приступне тачке, штампаче, корпоративне веб интерфејсе и друге уређаје и сервисе који прихватају само захтеве из локалне мреже. Штавише, скенирање интерних ресурса може се користити за индиректну идентификацију или за прикупљање информација о локалној мрежи.
- Уведен је јединствени, поједностављени интерфејс за повезивање са Google налогом и синхронизацију података, као што су сачуване лозинке и обележивачи. Синхронизација је интегрисана са пријављивањем на налог и није представљена као засебна опција у подешавањима. Корисници могу да повежу Chrome са својим Google налогом и да га користе за чување лозинки, обележивача, историје прегледања и картица. Ова функција је тренутно активна за неке кориснике и биће постепено проширивана.
- Користи се нови модел изолације процеса - „Изолација порекла“, у коме сваки извор садржаја (порекло - повезивање протокола, домен и порт, на пример, „https://foo.example.com“), је изолован у посебном процесу рендеровања. Пошто повећање грануларности изолације може довести до повећане потрошње меморије и оптерећења процесора, нови режим изолације је омогућен само на системима са више од 4 GB RAM-а. На хардверу мале потрошње енергије, стари приступ изолацији ће се и даље користити, који изолује све различите изворе садржаја повезане са једним сајтом (на пример, foo.example.com и bar.example.com) у посебном процесу.
- На системима са Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- У верзији за Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Имплементација DTLS (Datagram Transport Layer Security, TLS аналог за UDP) протокола који се користи за WebRTC конекције укључује употребу постквантних алгоритама за шифровање.
- Статус активације, подешен током активности корисника на страници, сада се чува након навигације на другу страницу на истом домену. Чување активације ће поједноставити развој веб апликација са више страница и решити проблеме као што је подешавање фокуса уноса када сајт приказује своју виртуелну тастатуру.
- CSS псеудо-класе „:target-before“ и „:target-after“ су додате да би дефинисале претходне и следеће маркере у односу на тренутну позицију скроловања („:target-current“).
- Контејнери стилова (@container) и функција if() сада подржавају синтаксу опсега дефинисану у спецификацији Media Queries нивоа 4, која омогућава употребу стандардних математичких оператора поређења и логичких оператора за дефинисање опсега вредности. На пример, сада можете да наведете „@container style(—inner-padding > 1em)“ и „background-color: if(style(attr(data-columns, type ) > 2): светлоплава; иначе: бела);"
- Елементи „ “ и „ “ сада подржавају атрибут „interestfor“. Овај атрибут се може користити за покретање радњи, као што је приказивање искачућег прозора, када корисник покаже интересовање за елемент. Прегледач препознаје догађаје као што су задржавање показивача миша изнад елемента, притискање пречица или задржавање додира на екрану осетљивом на додир као индикаторе интересовања. Када се идентификује елемент са атрибутом „interestfor“, прегледач генерише InterestEvent.
- Побољшања су направљена у алатима за веб програмере. Дугме за брзо покретање AI асистента је додато у горњи десни угао. Ставка контекстног менија „Питајте AI“ је преименована у „Отклањање грешака помоћу AI“ и проширена је тако да укључује могућност извршавања тренутних радњи у зависности од контекста. У веб конзоли и панелу са кодом, Gemini AI асистент сада може да генерише препоруке помоћу кода.
Алати за веб програмере сада се интегришу са Google Developer Program (GDP). Програмери сада могу да приступе свом GDP профилу директно из Chrome DevTools-а и да зарађују награде за завршавање одређених задатака у оквиру овог интерфејса.
Поред нових функција и исправки грешака, нова верзија решава 20 рањивости. Многе рањивости су идентификоване путем аутоматизованог тестирања коришћењем AddressSanitizer-а, MemorySanitizer-а, Control Flow Integrity-а, LibFuzzer-а и AFL-а. Нису идентификовани критични проблеми који би могли омогућити заобилажење свих слојева заштите прегледача и извршавање кода ван sandbox окружења. Као део програма награђивања за рањивости за тренутно издање, Google је успоставио 20 награда у укупном износу од 130.000 долара (две награде од 50.000 долара, једна од 10000 долара, три награде од 3000 долара, две награде од 2000 долара и три награде од 1000 долара). Износи осам награда још нису одређени.
Поред тога, у Blink енџину је идентификована неотклоњена рањивост, која узрокује пад и замрзавање прегледача приликом извршавања одређеног JavaScript кода. Рањивост је узрокована архитектонским проблемима у енџину за рендеровање који се односе на недостатак ограничења брзине ажурирања својства „document.title“. Овај недостатак ограничења омогућава да се „document.title“ користи за извођење десетина милиона промена у DOM-у у секунди. Ово узрокује замрзавање интерфејса у року од неколико секунди због блокирања главне нити и значајне потрошње меморије. Након 15-60 секунди, прегледач се руши.
Извор: опеннет.ру
