Chrome 118-version: Gör dig redo att blockera tredjepartscookies i Chrome

Google har publicerat utgivningen av webbläsaren Chrome 118. Samtidigt finns en stabil version av det kostnadsfria Chromium-projektet, som fungerar som grunden för Chrome. Chrome-webbläsaren skiljer sig från Chromium i användningen av Google-logotyper, närvaron av ett system för att skicka aviseringar vid en krasch, moduler för att spela upp kopieringsskyddat videoinnehåll (DRM), ett system för automatisk installation av uppdateringar, som permanent möjliggör isolering av sandlåda , tillhandahåller nycklar till Googles API och sänder RLZ- vid sökning av parametrar. För de som behöver mer tid för att uppdatera stöds Extended Stable-grenen separat, följt av 8 veckor. Nästa version av Chrome 119 är planerad till den 31 oktober.

Viktiga ändringar i Chrome 118:

• Förberedelserna har börjat för att Chrome ska sluta stödja tredjepartscookies som ställs in vid åtkomst till andra webbplatser än den aktuella sidans domän. Sådana cookies används för att spåra användarrörelser mellan webbplatser i koden för reklamnätverk, widgets för sociala nätverk och webbanalyssystem. Förändringarna drivs genom initiativet Privacy Sandbox, som syftar till att skapa en kompromiss mellan användarnas behov av integritet och annonsnätverkens och webbplatsernas önskan att spåra besökarnas preferenser.

  I Chrome 118 ger webbutvecklarverktyg nu en varning när cookies skickas som är föremål för framtida blockering. Lade också till ett kommandoradsalternativ "—test-third-party-cookie-phaseout" och en inställning "chrome://flags/#test-third-party-cookie-phaseout" för att tvinga blockering att aktiveras för teständamål. Den faktiska blockeringen av tredjepartscookies börjar under första kvartalet 2024 och kommer endast att påverka 1 % av Chrome-användarna under en testperiod fram till tredje kvartalet. Efter tredje kvartalet 2024 kommer spärrtäckningen att utökas till 100 %.

  Istället för att spåra cookies föreslås det att du använder följande API:er:

  • FedCM (Federated Credential Management) låter dig skapa enhetliga identitetstjänster som säkerställer integritet och fungerar utan cookies från tredje part.
  • Private State Tokens låter dig separera olika användare utan att använda cross-site identifierare och överföra användarens autenticitetsinformation mellan olika sammanhang.
  • Ämnen (kritik) ger möjlighet att definiera kategorier av användarintressen som kan användas för att identifiera grupper av användare med liknande intressen utan att identifiera enskilda användare med hjälp av spårningscookies. Intressen beräknas baserat på användarens surfaktivitet och lagras på användarens enhet. Med hjälp av Topics API kan ett annonsnätverk få allmän information om individuella intressen utan att behöva känna till specifik användaraktivitet.
  • Skyddad publik, lösa problem med ominriktning och utvärdera din egen publik (att arbeta med användare som redan har besökt sidan tidigare).
  • Attributionsrapportering låter dig utvärdera sådana egenskaper hos annonseringseffektivitet som övergångar och konvertering (köp på webbplatsen efter övergången).
  • Storage Access API kan användas för att begära användarens behörighet att få åtkomst till cookielagring om tredjepartscookies är blockerade som standard.
• Stöd för mekanismen ECH (Encrypted Client Hello) är aktiverat för alla användare, vilket fortsätter utvecklingen av ESNI (Encrypted Server Name Indication) och används för att kryptera information om TLS-sessionsparametrar, såsom det begärda domännamnet. Den viktigaste skillnaden mellan ECH och ESNI är att istället för att kryptera på nivån för enskilda fält, krypterar ECH hela TLS ClientHello-meddelandet, vilket gör att du kan blockera läckor genom fält som ESNI inte täcker, till exempel PSK (Pre-Shared) Key) fältet. För att kontrollera om ECH är aktiverat, tillhandahålls inställningen "chrome://flags#encrypted-client-hello".
• När du aktiverar utökat webbläsarskydd (Safe Browsing > Förbättrat skydd) är det nu möjligt att fjärrinaktivera skadliga tillägg installerade utanför standardtilläggskatalogen. Beslutet att ta bort det tas på Googles servrar baserat på en manuell kontroll eller efter att ett automatiskt system för att upptäcka skadlig kod har utlösts.
• När standardwebbläsarskydd är aktiverat (Säker surfning > Standardskydd) implementeras en säkerhetskontroll i realtid av öppna URL:er, baserat på överföringen till servrar Googles partiella hashkoder från webbadresserna som öppnats av användaren. För att förhindra matchning. IP-adresser Användar- och hashdata överförs via en mellanliggande proxy. Tidigare utfördes kontrollen genom att ladda ner en lokal kopia av listan över osäkra webbadresser till användarens system. Det nya schemat möjliggör snabbare blockering av skadliga webbadresser.
• Utformningen av sidorna som visas när man försöker öppna en webbplats som visade sig vara osäker när den skannades genom Safe Browsing-mekanismen har förbättrats.
• Telemetri som skickas till Googles servrar när förbättrat surfskydd är aktiverat (Säker webbsökning > Förbättrat skydd) inkluderar nu anrop till chrome.tabs API-tillägg. Data samlas in för att identifiera skadlig aktivitet och policyöverträdelser i tillägg.
• När du aktiverar avancerat webbläsarskydd (Safe Browsing > Förbättrat skydd) stöds djupskanning av krypterade ZIP- och RAR-arkiv på Google-sidan (användaren uppmanas att ange ett uppackningslösenord, varefter innehållet skickas till Googles servrar för skanning) .
• Ny text har lagts till i konfiguratorn och integritetsguiden för att förklara skyddsnivåerna för Safe Browsing och länkar till relaterade artiklar med ytterligare information har lagts till. Förenklade beskrivningar av standardskydd, inaktiveringsskydd och varningar om lösenordskompromettering.
• Information om tillgängligheten av rabatter har lagts till i uppdragssektionen (spårning av priser i nätbutiker) på den nya fliksidan. Rabattindikatorn kan också visas i adressfältet när du öppnar sidor med produkter från nätbutiker som spåras av Google.
• I enlighet med RFC-6265bis-specifikationen blockeras alla cookies som innehåller kontrolltecken och är inställda via JavaScript. Tidigare trunkerades cookies med nolltecken, vagnreturer och radmatningar vid den problematiska karaktären snarare än blockerades, vilket kunde användas i skadliga syften i vissa situationer. För att inaktivera det nya beteendet kan du använda alternativet "--disable-features=BlockTruncatedCookies".
• Service Workers som är registrerade med tillägg får åtkomst till WebUSB API.
• Behovet för användaren att först aktivera möjligheten att visa dialogrutor för att begära och bekräfta betalningar har tagits bort.
• Slutade avkoda representationen av ASCII-tecken som "%xx"-koder. Till exempel, tidigare avkodades "http://example.com/%41" till "http://example.com/A" innan det skrevs till url.href, men nu kommer det att förbli "http://example. com/%41” "
• Lade till möjligheten att placera text vertikalt i webbformulärelement välj, mätare, framsteg, knapp, textområde och inmatning. Positioneringen av text i formulär ställs in med CSS-egenskapen skrivläge, som kan ta värdena vertical-rl eller vertical-lr för vertikal visning.
• CSS-egenskapen "appearance" stöder inte längre icke-standardiserade nyckelord: inner-spin-button, media-slider, media-sliderthumb, media-volume-slider, media-volume-sliderthumb, push-button, searchfield-cancel-button, slider -horisontal, sliderthumb-horisontal, sliderthumb-vertical och square-button. För att bedöma efterfrågan på dessa sökord som inte ingick i specifikationen samlades statistik in, enligt vilken den endast användes i 0.001 % av fallen.
• Lade till @scope CSS-regel, som binder CSS-stilar med hänsyn till närheten av stildefinitionen till elementen. @scope-regeln kan användas för att kringgå den typiska stilen baserat på ordningen på element, eller för att justera stilen för en komponent utan att påverka stilarna för dess kapslade element. Till exempel, för kapslade div:er: Jag är ljusrosa! Olika rosa! allt innehåll kommer att färgas ljusrosa på grund av effekten av stilen "ljusrosa-tema" som anges i överordnad div på hela blocket. Med @scope kan du ändra omfattningen och tvinga den kapslade div-delen att formateras "rosa-tema" baserat på närheten till stildefinitionen, snarare än ordningen för definitionen i koden: @scope (.pink-theme) { a { färg: hotpink; } } @scope (.lightpink-theme){ a { color: lightpink; } }
• Tillagt stöd för mediefrågan (@media) "scripting", som låter dig kontrollera tillgängligheten för möjligheten att köra skript (till exempel i CSS kan du avgöra om JavaScript-stöd är aktiverat).
• Tillagt stöd för mediefrågan prefers-reduced-transparency, vilket gör det möjligt att bestämma en förändring i systeminställningarna som är ansvariga för att minska användningen av transparens- eller genomskinlighetseffekter (till exempel läget "Reducera transparency" i macOS, som används för att öka textens läsbarhet).
• Lagt till stöd för nya värden "float: inline-start", "float: inline-end", "clear: inline-start", "clear: inline-end", "resize: block", "resize: inline" i CSS styr den logiska positioneringen av element (för att stödja språk som inte är skrivna uppifrån och ned och från vänster till höger, använder logisk positionering begreppen början, slut och textriktning).
• CSS-egenskapen "transform-box" stöder nu stroke-box-, content-box- och border-box-värden, vilket gör att du kan ändra metoden för att beräkna referensområdet för transformationsoperationer, till exempel för att implementera avancerade grafiska effekter.
• Lagt till möjligheten att ställa in fokus på rullningsblock när du navigerar med tangentbordet (till exempel kan fokus på rullning ställas in genom att trycka på Tab-tangenten och rulla med markörtangenterna).
• Förbättringar har gjorts av verktyg för webbutvecklare. Möjligheterna för panelen Källor har utökats, där istället för avsnittet "Filsystem", en "Arbetsyta"-flik erbjuds, genom vilken du kan synkronisera ändringar som lagts till genom utvecklarverktyg med källfiler.

  Det är möjligt att ändra ordningen på flikarna i panelen Källor genom att flytta dem med musen i dra-och-släpp-läge. Säkerställer formatering av JavaScript-kod inbäddad i skriptelement med typer modul, importmap och spekulationsregler. Lagt till syntaxmarkering för skript med importmap- och spekulationsregeltyper.

  

  I panelen Element, på fliken Stilar, har ett separat avsnitt lagts till för anpassade egenskaper, så att du kan definiera dina egna CSS-egenskaper utan att köra JavaScript. Sökresultat visar nu alla matchningar i en sträng, inte bara den första matchningen, vilket är användbart när du söker i JavaScript-filer som har packats för att minska storleken (om du klickar på ett resultat öppnas filen i redigeraren och rullas vertikalt och horisontellt för att visa positionen hittades) .

  

Förutom innovationer och buggfixar eliminerar den nya versionen 20 sårbarheter. Många av sårbarheterna identifierades som ett resultat av automatiserade tester med hjälp av verktygen AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer och AFL. Bland annat eliminerar den nya utgåvan den kritiska sårbarheten CVE-2023-5218 som är förknippad med minnesåtkomst efter frigöring (Använd efter fri) i platsisoleringsmekanismen. Sårbarheten gör att du kan kringgå alla nivåer av webbläsarskydd och exekvera kod på systemet utanför sandlådemiljön. Som en del av kontantbelöningsprogrammet för att upptäcka sårbarheter för den aktuella utgåvan, betalade Google ut 14 priser värda 30,5 6000 $ (en utmärkelse på $5000 3000, två utmärkelser på $2000 1000, två utmärkelser på $500 XNUMX, en utmärkelse på $XNUMX XNUMX, sex utmärkelser på $XNUMX XNUMX och en utmärkelse på $XNUMX). Storleken på en belöning har ännu inte fastställts.

Källa: opennet.ru