Chrome ngaleupaskeun 102

Google parantos ngumumkeun sékrési browser wéb Chrome 102. Dina waktos anu sami, sékrési stabil tina proyék Chromium gratis, anu janten dasar Chrome, sayogi. Browser Chrome béda ti Chromium dina ngagunakeun logo Google, ayana sistem pikeun ngirim bewara bisi aya kacilakaan, modul pikeun muterkeun eusi video nu ditangtayungan salinan (DRM), sistem pikeun otomatis masang apdet, permanén sangkan Sandbox isolasi. , nyadiakeun konci Google API jeung ngirimkeun RLZ- nalika néangan. Pikeun anu peryogi langkung waktos pikeun ngapdet, cabang Stable Extended dirojong sacara misah, dituturkeun ku 8 minggu. Pelepasan salajengna tina Chrome 103 dijadwalkeun pikeun 21 Juni.

Parobahan konci dina Chrome 102:

• Pikeun meungpeuk eksploitasi vulnerabilities disababkeun ku aksés geus dibébaskeun blok memori (pamakéan-sanggeus-gratis), tinimbang pointers biasa, mimiti dipaké jenis MiraclePtr (raw_ptr). MiraclePtr nyadiakeun beungkeutan leuwih pointer nu ngalakukeun cék tambahan dina aksés ka wewengkon memori dibébaskeun sarta ngadat lamun aksés sapertos nu kauninga. Dampak métode panyalindungan anyar dina kinerja sarta konsumsi memori ditaksir sakumaha negligible. Mékanisme MiraclePtr henteu tiasa dianggo dina sadaya prosés, khususna henteu dianggo dina prosés rendering, tapi sacara signifikan tiasa ningkatkeun kaamanan. Contona, dina release ayeuna, tina 32 kerentanan dibereskeun, 12 disababkeun ku masalah pamakéan-sanggeus-gratis.
• Desain antarmuka sareng inpormasi ngeunaan undeuran parantos dirobih. Gantina garis handap sareng data ngeunaan kamajuan unduhan, indikator énggal parantos ditambah kana panel kalayan bar alamat; nalika anjeun ngaklik éta, kamajuan undeuran file sareng sajarah kalayan daptar file anu parantos diunduh ditampilkeun. Beda sareng panel handap, tombolna terus ditingalikeun dina panel sareng ngamungkinkeun anjeun gancang ngaksés riwayat unduhan anjeun. Antarbeungeut anyar ayeuna ditawarkeun sacara standar ngan ka sababaraha pangguna sareng bakal diperpanjang ka sadayana upami teu aya masalah. Pikeun mulangkeun antarmuka anu lami atanapi ngaktifkeun anu énggal, setélan "Chrome: // flags # download-gelembung" disadiakeun.
• Nalika milarian gambar tina ménu kontéks ("Milarian gambar nganggo Google Lens" atanapi "Milarian via Google Lens"), hasilna ayeuna henteu ditingalikeun dina halaman anu misah, tapi dina sidebar gigireun eusi halaman aslina (dina hiji jandela anjeun sakaligus tiasa ningali eusi halaman sareng sareng hasil tina ngakses mesin pencari).
• Dina bagian "Privasi sareng Kaamanan" tina setélan, bagian "Panduan Privasi" parantos ditambahkeun, anu nawiskeun tinjauan umum ngeunaan setélan utama anu mangaruhan privasi kalayan panjelasan lengkep ngeunaan dampak unggal setélan. Contona, dina bagian anjeun bisa nangtukeun kawijakan pikeun ngirim data ka ladenan Google, ngatur sinkronisasi, ngolah cookie jeung nyimpen sajarah. Fungsina ditawarkeun ka sababaraha pangguna; pikeun ngaktipkeunana, anjeun tiasa nganggo setélan "chrome: // flags#privacy-guide".
• Structuring sajarah pilarian sarta kaca ditempo geus disadiakeun. Nalika anjeun nyobian milarian deui, pitunjuk "Teruskeun deui perjalanan anjeun" dipintonkeun dina palang alamat, ngamungkinkeun anjeun pikeun neraskeun panéangan ti tempat anu diganggu terakhir kali.
• Toko Wéb Chrome nawiskeun halaman "Extensions Starter Kit" kalayan pilihan awal tambihan anu disarankeun.
• Dina modeu tés, ngirim pamundut otorisasi CORS (Cross-Origin Resource Sharing) ka server situs utama kalayan lulugu "Access-Control-Request-Private-Network: true" diaktipkeun nalika kaca ngakses sumberdaya dina jaringan internal ( 192.168.xx, 10.xxx, 172.16.xx) atanapi ka localhost (128.xxx). Nalika ngonfirmasi operasi pikeun ngaréspon kana pamundut ieu, pangladén kedah uih deui "Access-Control-Allow-Private-Network: leres" lulugu. Dina versi Chrome 102, hasil konfirmasi henteu acan mangaruhan ngolah pamundut - upami teu aya konfirmasi, peringatan dipintonkeun dina konsol wéb, tapi pamundut subresource sorangan henteu diblokir. Aktipkeun meungpeuk dina henteuna konfirmasi ti server teu diperkirakeun nepi ka sékrési Chrome 105. Pikeun ngaktipkeun blocking dina release saméméhna, anjeun tiasa ngaktipkeun setelan "chrome: // flags / # private-network-access-respect-preflight- hasilna".

  Verifikasi otoritas ku server diwanohkeun pikeun nguatkeun panyalindungan ngalawan serangan patali ngakses sumberdaya dina jaringan lokal atawa dina komputer pamaké (localhost) tina skrip dimuat nalika muka situs. Paménta sapertos kitu dianggo ku panyerang pikeun ngalaksanakeun serangan CSRF kana router, titik aksés, panyitak, antarmuka wéb perusahaan sareng alat sareng jasa sanés anu nampi pamundut ti jaringan lokal. Pikeun ngajagaan tina serangan sapertos kitu, upami aya sub-sumber daya anu diaksés dina jaringan internal, browser bakal ngirim pamundut anu jelas pikeun idin pikeun ngamuat sub-sumber daya ieu.

• Nalika muka tautan dina modeu incognito ngaliwatan ménu kontéks, sababaraha parameter anu mangaruhan privasi sacara otomatis dipiceun tina URL.
• Strategi pangiriman update pikeun Windows sareng Android parantos dirobih. Pikeun leuwih lengkep ngabandingkeun paripolah kaluaran anyar jeung heubeul, sababaraha wangunan tina versi anyar ayeuna dihasilkeun pikeun diundeur.
• Téknologi segmentasi jaringan parantos distabilkeun pikeun ngajagaan tina metode nyukcruk gerakan pangguna antara situs dumasar kana nyimpen identifier di daérah anu henteu dimaksudkeun pikeun neundeun inpormasi permanén ("Supercookies"). Kusabab sumberdaya sindangan disimpen dina spasi ngaran umum, paduli domain asalna, hiji situs bisa nangtukeun yén situs séjén loading sumberdaya ku mariksa naha sumberdaya nu aya dina cache nu. Perlindunganna dumasar kana panggunaan ségméntasi jaringan (Network Partitioning), hakekatna nyaéta pikeun nambihan kana cache anu dibagikeun ngariung tambahan rékaman kana domain ti mana halaman utama dibuka, anu ngabatesan cakupan cache pikeun skrip pelacak gerakan wungkul. ka situs ayeuna (askrip ti hiji iframe moal bisa pariksa naha sumberdaya ieu diundeur ti loka sejen). Babagi kaayaan nyertakeun sambungan jaringan (HTTP/1, HTTP/2, HTTP/3, websocket), cache DNS, data ALPN/HTTP2, TLS/HTTP3, konfigurasi, undeuran, jeung informasi lulugu Expect-CT.
• Pikeun aplikasi wéb mandiri anu dipasang (PWA, Progressive Web App), anjeun tiasa ngarobih desain daérah judul jandela nganggo komponén Window Controls Overlay, anu manjangkeun area layar aplikasi wéb ka sadaya jandela. A aplikasi wéb bisa ngadalikeun rendering jeung input processing sakabéh jandela, iwal blok overlay jeung tombol kontrol jandela baku (nutup, ngaleutikan, maksimalkeun pungsi), pikeun masihan aplikasi wéb penampilan aplikasi desktop biasa.
• Dina sistem autofill formulir, rojongan geus ditambahkeun pikeun ngahasilkeun angka kartu kiridit maya dina widang kalawan rinci pamayaran barang di toko online. Ngagunakeun kartu virtual, jumlah nu dihasilkeun pikeun tiap pamayaran, ngidinan Anjeun pikeun teu mindahkeun data ngeunaan kartu kiridit nyata, tapi merlukeun dibekelan sahiji layanan diperlukeun ku bank. Fitur na ayeuna ngan sadia pikeun konsumén bank AS. Pikeun ngadalikeun inklusi fungsi, "chrome: // flags/#autofill-enable-virtual-card" diajukeun.
• Mékanisme "Capture Handle" diaktipkeun sacara standar, ngamungkinkeun anjeun nransferkeun inpormasi ka aplikasi anu nyandak pidéo. API ngamungkinkeun pikeun ngatur interaksi antara aplikasi anu eusina dirékam sareng aplikasi anu ngarékam. Contona, aplikasi konperénsi pidéo anu ngarékam pidéo pikeun nyiarkeun presentasi tiasa nyandak inpormasi ngeunaan kadali presentasi sareng ningalikeunana dina jandela pidéo.
• Rojongan pikeun aturan spekulatif diaktipkeun sacara standar, nyadiakeun sintaksis fléksibel pikeun nangtukeun naha data patali link bisa proactively dimuat saméméh pamaké clicks on link.
• Mékanisme pikeun ngarangkep sumberdaya kana bungkusan dina format Web Bundle parantos distabilkeun, ngamungkinkeun pikeun ningkatkeun efisiensi ngamuat sajumlah ageung file anu disarengan (gaya CSS, JavaScript, gambar, iframes). Beda sareng bungkusan dina format Webpack, format Web Bundle gaduh kaunggulan ieu: sanés pakét sorangan anu disimpen dina cache HTTP, tapi bagian komponénna; kompilasi sareng palaksanaan JavaScript dimimitian tanpa ngantosan pakét diunduh sapinuhna; Diidinan ngalebetkeun sumber tambahan sapertos CSS sareng gambar, anu dina webpack kedah disandikeun dina bentuk string JavaScript.
• Kasebut nyaéta dimungkinkeun pikeun nangtukeun hiji aplikasi PWA salaku panangan tipe MIME tangtu jeung ekstensi file. Saatos nangtukeun hiji ngariung ngaliwatan widang file_handlers dina manifest, aplikasi bakal nampa hiji acara husus nalika pamaké nyoba muka file pakait sareng aplikasi.
• Ditambahkeun atribut inert anyar nu ngidinan Anjeun pikeun nandaan bagian tina tangkal DOM salaku "henteu aktif". Pikeun titik DOM dina kaayaan ieu, pilihan téks na panangan hover pointer ditumpurkeun, i.e. The pointer-acara jeung pasipatan CSS pamaké-pilih sok disetel ka 'euweuh'. Upami titik tiasa diédit, maka dina modeu inert éta henteu tiasa diédit.
• Ditambahkeun API Navigasi, anu ngamungkinkeun aplikasi wéb pikeun nyegat operasi navigasi jandela, ngamimitian navigasi, sareng nganalisis sajarah tindakan sareng aplikasi. API nyadiakeun alternatif pikeun sipat window.history jeung window.location, dioptimalkeun pikeun aplikasi wéb single-page.
• Hiji bandéra anyar, "nepi ka-kapanggih", geus diajukeun pikeun atribut "disumputkeun", nu ngajadikeun unsur searchable dina kaca sarta scrollable ku topéng téks. Salaku conto, anjeun tiasa nambihan téks disumputkeun ka halaman, anu eusina bakal dipendakan dina pamilarian lokal.
• Dina WebHID API, dirancang pikeun aksés-tingkat low ka alat HID (Alat panganteur manusa, keyboard, beurit, gamepads, touchpads) jeung pangatur gawé tanpa ayana drivers husus dina sistem, sipat exclusionFilters geus ditambahkeun kana requestDevice ( ), nu ngidinan Anjeun pikeun ngaluarkeun alat nu tangtu lamun browser mintonkeun daptar alat nu sadia. Salaku conto, anjeun tiasa ngaluarkeun ID alat anu ngagaduhan masalah.
• Dilarang nembongkeun formulir pembayaran ngaliwatan panggero pikeun PaymentRequest.show () tanpa hiji aksi pamaké eksplisit, Contona, ngaklik dina unsur pakait sareng Handler nu.
• Rojongan pikeun palaksanaan alternatif tina protokol SDP (Session Description Protocol) anu dipaké pikeun nyieun sési di WebRTC geus dieureunkeun. Chrome nawiskeun dua pilihan SDP - ngahiji sareng panyungsi sanés sareng khusus Chrome. Ti ayeuna, ngan ukur pilihan portabel anu tinggaleun.
• Perbaikan parantos dilakukeun pikeun alat pikeun pamekar wéb. Tombol ditambahkeun kana panel Styles pikeun simulate pamakéan tema poék jeung lampu. Perlindungan tab Tilik dina modeu pamariksaan jaringan parantos dikuatkeun (aplikasi Kabijakan Kaamanan Kandungan diaktipkeun). Debugger implements terminasi Aksara pikeun ngamuat breakpoints. A palaksanaan awal panel anyar "Kinerja wawasan" geus diajukeun, nu ngidinan Anjeun pikeun nganalisis kinerja operasi tangtu dina kaca.

Salian inovasi sareng perbaikan bug, versi énggal ngaleungitkeun 32 kerentanan. Seueur kerentanan anu diidentifikasi salaku hasil tina tés otomatis nganggo AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer sareng alat AFL. Salah sahiji masalah (CVE-2022-1853) parantos ditugaskeun tingkat bahaya anu kritis, anu nunjukkeun kamampuan pikeun ngaliwat sadaya tingkat panyalindungan browser sareng ngaéksekusi kode dina sistem di luar lingkungan sandbox. Rincian ngeunaan kerentanan ieu henteu acan diungkabkeun; ngan dipikanyaho yén éta disababkeun ku ngaksés blok mémori anu dibébaskeun (pamakéan-sanggeus-gratis) dina palaksanaan Indexed DB API.

Salaku bagian tina program ganjaran tunai pikeun manggihan kerentanan keur release ayeuna, Google mayar 24 panghargaan patut $65600 (hiji $10000 pangajén, hiji $7500 pangajén, dua $7000 panghargaan, tilu panghargaan $5000, opat panghargaan $3000, dua $2000 pangajén, jeung dua panghargaan $1000. $ 500 bonus). Ukuran tina 7 ganjaran teu acan ditangtukeun.

sumber: opennet.ru