Chrome 107 version

Google har släppt webbläsaren Chrome 107. Samtidigt finns en stabil version av det kostnadsfria Chromium-projektet, som är grunden för Chrome, tillgänglig. Chrome-webbläsaren skiljer sig från Chromium genom att den använder Googles logotyper, har ett system för att skicka aviseringar vid en krasch, har moduler för uppspelning av kopieringsskyddat videoinnehåll (DRM), har ett automatiskt installationssystem för uppdateringar, möjliggör alltid Sandbox-isolering, tillhandahåller nycklar till Googles API och sänder RLZ-parametrar vid sökning. För de som behöver mer tid att uppdatera finns en separat Extended Stable-gren som underhålls i 8 veckor. Nästa version av Chrome 108 är planerad till den 29 november.

Viktiga ändringar i Chrome 107:

• Lade till stöd för mekanismen ECH (Encrypted Client Hello), som fortsätter utvecklingen av ESNI (Encrypted Server Name Indication) och används för att kryptera information om TLS-sessionsparametrar, såsom det begärda domännamnet. Den viktigaste skillnaden mellan ECH och ESNI är att ECH, istället för att kryptera enskilda fält, krypterar hela ClientHello TLS-meddelandet, vilket tillåter blockering av läckor genom fält som ESNI inte täcker, såsom PSK-fältet (Pre-Shared Key). ECH använder också HTTPSSVC DNS-posten istället för TXT-posttypen för att bära information om offentlig nyckel och använder autentiserad end-to-end-kryptering baserad på HPKE-mekanismen (Hybrid Public Key Encryption) för att härleda och kryptera nyckeln. För att kontrollera om ECH är aktiverat, föreslås inställningen "chrome://flags#encrypted-client-hello".
• Aktiverat stöd för hårdvaruacceleration av videoavkodning i H.265 (HEVC)-format.
• Det femte steget av trunkering av information i User-Agent HTTP-huvudet och JavaScript-parametrarna navigator.userAgent, navigator.appVersion och navigator.platform har aktiverats, implementerat i syfte att minska information som kan användas för passiv användaridentifiering. Chrome 107 förkortar plattforms- och processorinformationen i User-Agent-strängen för datoranvändare och fryser innehållet i JavaScript-parametern navigator.platform. Förändringen märks endast i versioner för Windows-plattformen, för vilka den specifika plattformsversionen ersätts med "Windows NT 10.0". På Linux har plattformsinnehållet i User-Agent inte ändrats.

  Tidigare har MINOR.BUILD.PATCH-numren som utgjorde webbläsarversionen ersatts med 0.0.0. I framtiden är det planerat att endast lämna information om namnet på webbläsaren, större webbläsarversion, plattform och enhetstyp (mobiltelefon, PC, surfplatta) i rubriken. För att få ytterligare data, såsom den exakta versionen och utökade plattformsdata, måste du använda User Agent Client Hints API. För webbplatser som inte har tillräckligt med ny information och ännu inte är redo att byta till User Agent Client Hints, har de fram till maj 2023 möjlighet att returnera hela User-Agenten.

• Android-versionen stöder inte längre Android 6.0-plattformen, och webbläsaren kräver nu minst Android 7.0 för att köras.
• Gränssnittsdesignen för att spåra nedladdningsstatus har ändrats. Istället för den nedersta raden med data om nedladdningsförloppet har en ny indikator lagts till i panelen med adressfältet. När du klickar på den visar den förloppet för nedladdning av filer och historiken med en lista över redan nedladdade filer. Till skillnad från den nedre panelen visas knappen permanent på panelen och låter dig snabbt komma åt din nedladdningshistorik. Det nya gränssnittet erbjuds för närvarande som standard endast för vissa användare och kommer att utökas till alla om det inte finns några problem.
• För datoranvändare är det möjligt att importera lösenord sparade i en fil i CSV-format. Tidigare kunde lösenord från en fil till webbläsaren endast överföras via tjänsten passwords.google.com, men nu kan detta även göras via Google Password Manager inbyggt i webbläsaren.
• När användaren har skapat en ny profil visas en uppmaning som uppmanar dig att aktivera synkronisering och gå till inställningar, genom vilka du kan ändra profilnamnet och välja ett färgtema.
• Versionen för Android-plattformen erbjuder ett nytt gränssnitt för att välja multimediafiler för uppladdning av foton och videor (istället för sin egen implementering används standardgränssnittet för Android Media Picker).
• Automatisk återkallelse av tillstånd att visa aviseringar har tillhandahållits för webbplatser som visar sig skicka meddelanden och meddelanden som stör användaren. För sådana webbplatser har förfrågningar om tillåtelse att skicka meddelanden avbrutits.
• Screen Capture API har lagt till nya egenskaper relaterade till skärmdelning - selfBrowserSurface (låter dig utesluta den aktuella fliken när du anropar getDisplayMedia()), surfaceSwitching (låter dig dölja knappen för att byta flik) och displaySurface (låter dig begränsa delning till en flik, ett fönster eller en skärm).
• Lade till egenskapen renderBlockingStatus till Performance API för att identifiera resurser som gör att sidrenderingen pausas tills de är klara att laddas.
• Flera nya API:er har lagts till i Origin Trials-läget (experimentella funktioner som kräver separat aktivering). Origin Trial innebär möjligheten att arbeta med det specificerade API:et från applikationer som laddats ner från localhost eller 127.0.0.1, eller efter registrering och mottagande av en speciell token som är giltig under en begränsad tid för en specifik webbplats.
  • Declarative API PendingBeacon, som låter dig kontrollera sändningen av data som inte kräver ett svar (beacon) till servern. Det nya API:et låter dig delegera sändningen av sådan data till webbläsaren, utan att behöva anropa sändningsoperationer vid en viss tidpunkt, till exempel för att organisera överföringen av telemetri efter att användaren stänger sidan.
  • HTTP-huvudet Permissions-Policy (Feature Policy), som används för att delegera auktoritet och aktivera avancerade funktioner, stöder nu värdet "unload", som kan användas för att inaktivera hanterare för händelsen "unload" på sidan.
• I tagg Lade till stöd för "rel"-attributet, vilket gör att du kan tillämpa parametern "rel=noreferrer" på navigering genom webbformulär för att inaktivera överföringen av referenshuvudet eller "rel=noopener" för att inaktivera inställningen av egenskapen Window.opener och förbjuda åtkomst till sammanhanget från vilket övergången gjordes.
• CSS Grid har lagt till stöd för att interpolera egenskaperna för grid-template-columns och grid-template-rader för att möjliggöra mjuka övergångar mellan olika grid-tillstånd.
• Förbättringar har gjorts av verktyg för webbutvecklare. Lade till möjligheten att anpassa snabbtangenter. Förbättrad minnesinspektion av C/C++-applikationsobjekt konverterade till WebAssembly-format.

Förutom innovationer och buggfixar eliminerar den nya versionen 14 sårbarheter. Många av sårbarheterna identifierades genom automatiserade tester med AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer och AFL-verktyg. Inga kritiska problem har identifierats som skulle göra det möjligt att kringgå alla nivåer av webbläsarskydd och exekvera kod i systemet utanför sandlådemiljön. Som en del av bug-bounty-programmet för den aktuella utgåvan har Google delat ut 10 bounties på totalt $57 20000 (en prispenning på $17000 7000, en bounty på $3000 2000, en bounty på $1000 XNUMX, två bounties på $XNUMX XNUMX, tre bounties på $XNUMX och en bounty på $XNUMX, $). Storleken på en belöning har ännu inte fastställts.

Källa: opennet.ru