ProHoster > blog > habari za mtandao > Toleo la Chrome 102

Toleo la Chrome 102

Google imefunua kutolewa kwa kivinjari cha Chrome 102. Wakati huo huo, kutolewa kwa kutosha kwa mradi wa bure wa Chromium, ambao hutumika kama msingi wa Chrome, unapatikana. Kivinjari cha Chrome kinatofautiana na Chromium katika utumiaji wa nembo za Google, uwepo wa mfumo wa kutuma arifa iwapo kutatokea hitilafu, moduli za kucheza maudhui ya video yanayolindwa na nakala (DRM), mfumo wa kusakinisha masasisho kiotomatiki, kuwezesha kutengwa kwa Sandbox kabisa. , kusambaza vitufe kwa API ya Google na kusambaza RLZ- wakati wa kutafuta. Kwa wale wanaohitaji muda zaidi kusasisha, tawi la Imara Iliyopanuliwa linaweza kutumika kando, likifuatiwa na wiki 8. Toleo lijalo la Chrome 103 limepangwa kufanyika tarehe 21 Juni.

Mabadiliko muhimu katika Chrome 102:

  • Ili kuzuia unyonyaji wa udhaifu unaosababishwa na kufikia vizuizi vya kumbukumbu vilivyoachiliwa (kutumia-baada ya bure), badala ya viashiria vya kawaida, aina ya MiraclePtr (raw_ptr) ilianza kutumika. MiraclePtr hutoa kiambatanisho juu ya viashiria ambavyo hukagua zaidi ufikiaji wa maeneo ya kumbukumbu yaliyotolewa na kuacha kufanya kazi ikiwa ufikiaji kama huo utatambuliwa. Athari za mbinu mpya ya ulinzi kwenye utendakazi na utumiaji wa kumbukumbu hutathminiwa kuwa hazifai. Utaratibu wa MiraclePtr hautumiki katika michakato yote, haswa haitumiki katika michakato ya uwasilishaji, lakini inaweza kuboresha usalama kwa kiasi kikubwa. Kwa mfano, katika toleo la sasa, kati ya udhaifu 32 uliowekwa, 12 ulisababishwa na matatizo ya matumizi baada ya bure.
  • Muundo wa kiolesura chenye habari kuhusu vipakuliwa umebadilishwa. Badala ya msingi na data juu ya maendeleo ya upakuaji, kiashiria kipya kimeongezwa kwenye paneli na upau wa anwani; unapobofya juu yake, maendeleo ya kupakua faili na historia yenye orodha ya faili zilizopakuliwa tayari zinaonyeshwa. Tofauti na kidirisha cha chini, kitufe kinaonyeshwa kila mara kwenye paneli na hukuruhusu kufikia historia yako ya upakuaji haraka. Kiolesura kipya kwa sasa kinatolewa kwa chaguo-msingi tu kwa baadhi ya watumiaji na kitapanuliwa kwa wote ikiwa hakuna matatizo. Ili kurejesha kiolesura cha zamani au kuwezesha mpya, mpangilio wa "chrome://flags#download-Bubble" umetolewa.
    Toleo la Chrome 102
  • Unapotafuta picha kupitia menyu ya muktadha ("Tafuta picha kwa kutumia Lenzi ya Google" au "Pata kupitia Lenzi ya Google"), matokeo sasa hayaonyeshwi kwenye ukurasa tofauti, lakini kwenye upau wa kando karibu na maudhui ya ukurasa asili (katika dirisha moja unaweza kuona wakati huo huo yaliyomo kwenye ukurasa na matokeo ya kupata injini ya utaftaji).
    Toleo la Chrome 102
  • Katika sehemu ya "Faragha na Usalama" ya mipangilio, sehemu ya "Mwongozo wa Faragha" imeongezwa, ambayo inatoa muhtasari wa jumla wa mipangilio kuu inayoathiri faragha yenye maelezo ya kina ya athari za kila mpangilio. Kwa mfano, katika sehemu hiyo unaweza kufafanua sera ya kutuma data kwa huduma za Google, kudhibiti usawazishaji, kuchakata vidakuzi na kuhifadhi historia. Chaguo hili hutolewa kwa baadhi ya watumiaji; ili kuiwasha, unaweza kutumia mpangilio wa "chrome://flags#privacy-guide".
    Toleo la Chrome 102
  • Muundo wa historia ya utafutaji na kurasa zinazotazamwa hutolewa. Unapojaribu kutafuta tena, kidokezo "Endelea na safari yako" huonyeshwa kwenye upau wa anwani, huku kuruhusu kuendelea na utafutaji kutoka mahali ambapo ulikatizwa mara ya mwisho.
    Toleo la Chrome 102
  • Duka la Chrome kwenye Wavuti linatoa ukurasa wa "Extensions Starter Kit" na uteuzi wa awali wa viongezi vinavyopendekezwa.
  • Katika hali ya jaribio, kutuma ombi la uidhinishaji la CORS (Cross-Origin Resource Sharing) kwa seva kuu ya tovuti yenye kichwa "Access-Control-Ombi-Private-Network: true" huwashwa wakati ukurasa unafikia rasilimali kwenye mtandao wa ndani ( 192.168.xx , 10.xxx, 172.16.xx) au kwa mwenyeji (128.xxx). Wakati wa kuthibitisha utendakazi kwa kujibu ombi hili, seva lazima irudishe kichwa cha "Ufikiaji-Udhibiti-Ruhusu-Mtandao wa Kibinafsi: kweli". Katika toleo la 102 la Chrome, matokeo ya uthibitisho bado hayaathiri usindikaji wa ombi - ikiwa hakuna uthibitisho, onyo linaonyeshwa kwenye kiweko cha wavuti, lakini ombi la rasilimali ndogo yenyewe haijazuiwa. Kuwezesha kuzuia bila uthibitisho kutoka kwa seva hakutarajiwi hadi Chrome 105 itolewe. Ili kuwezesha kuzuia katika matoleo ya awali, unaweza kuwezesha mpangilio "chrome://flags/#private-network-access-respect-preflight- matokeo".

    Uthibitishaji wa mamlaka na seva ulianzishwa ili kuimarisha ulinzi dhidi ya mashambulizi yanayohusiana na kufikia rasilimali kwenye mtandao wa ndani au kwenye kompyuta ya mtumiaji (localhost) kutoka kwa hati zilizopakiwa wakati wa kufungua tovuti. Maombi kama haya hutumiwa na washambuliaji kutekeleza mashambulizi ya CSRF kwenye vipanga njia, sehemu za ufikiaji, vichapishaji, violesura vya tovuti vya shirika na vifaa na huduma zingine zinazokubali maombi kutoka kwa mtandao wa ndani pekee. Ili kulinda dhidi ya mashambulizi kama hayo, ikiwa rasilimali ndogo ndogo zitafikiwa kwenye mtandao wa ndani, kivinjari kitatuma ombi la wazi la ruhusa ya kupakia rasilimali hizi ndogo.

  • Unapofungua viungo katika hali fiche kupitia menyu ya muktadha, baadhi ya vigezo vinavyoathiri faragha huondolewa kiotomatiki kutoka kwa URL.
  • Mbinu ya uwasilishaji sasisho kwa Windows na Android imebadilishwa. Ili kulinganisha kikamilifu zaidi tabia ya matoleo mapya na ya zamani, miundo mingi ya toleo jipya sasa inatolewa ili kupakuliwa.
  • Teknolojia ya ugawaji wa mtandao imeimarishwa ili kulinda dhidi ya mbinu za kufuatilia mienendo ya watumiaji kati ya tovuti kulingana na kuhifadhi vitambulisho katika maeneo ambayo hayakusudiwi uhifadhi wa kudumu wa maelezo (β€œSupercookies”). Kwa sababu rasilimali zilizoakibishwa huhifadhiwa katika nafasi ya majina ya kawaida, bila kujali kikoa asili, tovuti moja inaweza kubainisha kuwa tovuti nyingine inapakia rasilimali kwa kuangalia kama rasilimali hiyo iko kwenye akiba. Ulinzi unategemea utumiaji wa mgawanyiko wa mtandao (Mgawanyiko wa Mtandao), kiini cha ambayo ni kuongeza kwa kache zilizoshirikiwa kufunga rekodi kwa kikoa ambacho ukurasa kuu hufunguliwa, ambayo inazuia chanjo ya kache kwa hati za ufuatiliaji wa harakati pekee. kwa tovuti ya sasa (hati kutoka kwa iframe haitaweza kuangalia kama rasilimali ilipakuliwa kutoka kwa tovuti nyingine). Kushiriki kwa serikali kunajumuisha miunganisho ya mtandao (HTTP/1, HTTP/2, HTTP/3, soketi), akiba ya DNS, ALPN/HTTP2, data ya TLS/HTTP3, usanidi, vipakuliwa na maelezo ya kichwa cha Tarajia-CT.
  • Kwa programu za wavuti zilizosakinishwa za kusimama pekee (PWA, Programu ya Wavuti inayoendelea), inawezekana kubadilisha muundo wa eneo la kichwa cha dirisha kwa kutumia vipengee vya Uwekeleaji wa Udhibiti wa Dirisha, ambavyo vinapanua eneo la skrini ya programu ya wavuti hadi dirisha lote. Programu ya wavuti inaweza kudhibiti uwasilishaji na uchakataji wa ingizo la dirisha zima, isipokuwa kiwanja chenye vibonye vya kawaida vya kudhibiti dirisha (funga, punguza, ongeza), ili kuipa programu ya wavuti mwonekano wa programu ya kawaida ya eneo-kazi.
    Toleo la Chrome 102
  • Katika mfumo wa kujaza kiotomatiki wa fomu, usaidizi umeongezwa kwa ajili ya kuzalisha nambari pepe za kadi ya mkopo katika sehemu zenye maelezo ya malipo ya bidhaa katika maduka ya mtandaoni. Kutumia kadi ya kawaida, idadi ambayo huzalishwa kwa kila malipo, inakuwezesha si kuhamisha data kuhusu kadi halisi ya mkopo, lakini inahitaji utoaji wa huduma muhimu na benki. Kipengele hiki kinapatikana kwa wateja wa benki ya Marekani pekee. Ili kudhibiti ujumuishaji wa chaguo la kukokotoa, mipangilio ya "chrome://flags/#autofill-enable-virtual-card" inapendekezwa.
  • Utaratibu wa "Nasa Hushughulikia" huwashwa kwa chaguomsingi, huku kuruhusu kuhamisha taarifa kwa programu zinazonasa video. API huwezesha kupanga mwingiliano kati ya programu ambazo maudhui yake yanarekodiwa na programu zinazorekodi. Kwa mfano, programu ya mkutano wa video ambayo inanasa video ili kutangaza wasilisho inaweza kurejesha maelezo kuhusu vidhibiti vya uwasilishaji na kuvionyesha kwenye dirisha la video.
  • Usaidizi wa sheria za kubahatisha unawezeshwa kwa chaguo-msingi, ikitoa sintaksia inayoweza kunyumbulika ili kubaini kama data inayohusiana na kiungo inaweza kupakiwa kwa vitendo kabla ya mtumiaji kubofya kiungo.
  • Utaratibu wa upakiaji wa rasilimali kwenye vifurushi katika muundo wa Kifungu cha Wavuti umeimarishwa, na kuruhusu kuongeza ufanisi wa kupakia idadi kubwa ya faili zinazoambatana (mitindo ya CSS, JavaScript, picha, iframes). Tofauti na vifurushi katika muundo wa Webpack, muundo wa Kifungu cha Wavuti una faida zifuatazo: sio kifurushi yenyewe kilichohifadhiwa kwenye kashe ya HTTP, lakini sehemu zake za sehemu; ujumuishaji na utekelezaji wa JavaScript huanza bila kungoja kifurushi kupakuliwa kikamilifu; Inaruhusiwa kujumuisha nyenzo za ziada kama vile CSS na picha, ambazo katika pakiti ya wavuti itabidi zisimbwe kwa njia ya mifuatano ya JavaScript.
  • Inawezekana kufafanua programu ya PWA kama kidhibiti cha aina fulani za MIME na viendelezi vya faili. Baada ya kubainisha kiambatanisho kupitia uga wa file_handlers katika faili ya maelezo, programu itapokea tukio maalum mtumiaji anapojaribu kufungua faili inayohusishwa na programu.
  • Imeongeza sifa mpya ya ajizi inayokuruhusu kutia alama sehemu ya mti wa DOM kama "isiyofanya kazi". Kwa nodi za DOM katika hali hii, uteuzi wa maandishi na vidhibiti vya hover ya pointer vimezimwa, i.e. Matukio ya vielelezo na sifa za CSS zilizochaguliwa na mtumiaji huwekwa kila wakati kuwa 'hakuna'. Ikiwa nodi inaweza kuhaririwa, basi katika hali ya inert inakuwa haiwezi kuhaririwa.
  • Imeongeza API ya Urambazaji, ambayo huruhusu programu za wavuti kukatiza utendakazi wa kusogeza kwenye dirisha, kuanzisha usogezaji, na kuchanganua historia ya vitendo na programu. API hutoa mbadala kwa sifa za window.history na window.location, zilizoboreshwa kwa programu za wavuti za ukurasa mmoja.
  • Bendera mpya, "hadi kupatikana", imependekezwa kwa sifa "iliyofichwa", ambayo hufanya kipengele kutafutwa kwenye ukurasa na kusongeshwa kwa barakoa ya maandishi. Kwa mfano, unaweza kuongeza maandishi yaliyofichwa kwenye ukurasa, yaliyomo ambayo yatapatikana katika utafutaji wa ndani.
  • Katika API ya WebHID, iliyoundwa kwa ufikiaji wa kiwango cha chini cha vifaa vya HID (vifaa vya kiolesura cha binadamu, kibodi, panya, padi za michezo, padi za kugusa) na kuandaa kazi bila uwepo wa viendeshi maalum kwenye mfumo, kipengele cha ExclusionFilters kimeongezwa kwenye requestDevice( ) kitu, ambayo inakuwezesha kuwatenga vifaa fulani wakati kivinjari kinaonyesha orodha ya vifaa vinavyopatikana. Kwa mfano, unaweza kutenga vitambulisho vya kifaa ambavyo vina matatizo yanayojulikana.
  • Hairuhusiwi kuonyesha fomu ya malipo kupitia simu kwa PaymentRequest.show() bila hatua ya wazi ya mtumiaji, kwa mfano, kubofya kipengele kinachohusishwa na kidhibiti.
  • Usaidizi wa utekelezaji mbadala wa itifaki ya SDP (Itifaki ya Maelezo ya Kikao) inayotumiwa kuanzisha kipindi katika WebRTC umekatishwa. Chrome ilitoa chaguzi mbili za SDP - zilizounganishwa na vivinjari vingine na mahususi kwa Chrome. Kuanzia sasa, chaguo tu la kubebeka limesalia.
  • Maboresho yamefanywa kwa zana za wasanidi wavuti. Vifungo vilivyoongezwa kwenye kidirisha cha Mitindo ili kuiga matumizi ya mandhari meusi na mepesi. Ulinzi wa kichupo cha Hakiki katika hali ya ukaguzi wa mtandao umeimarishwa (utumiaji wa Sera ya Usalama wa Maudhui umewezeshwa). Kitatuzi hutekelezea kusitishwa kwa hati ili kupakia upya vizuizi. Utekelezaji wa awali wa kidirisha kipya cha "Maarifa ya Utendaji" umependekezwa, ambao hukuruhusu kuchanganua utendaji wa shughuli fulani kwenye ukurasa.
    Toleo la Chrome 102

Kando na ubunifu na marekebisho ya hitilafu, toleo jipya huondoa udhaifu 32. Athari nyingi za kiusalama zilitambuliwa kutokana na majaribio ya kiotomatiki kwa kutumia AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer na zana za AFL. Mojawapo ya shida (CVE-2022-1853) imepewa kiwango muhimu cha hatari, ambayo inamaanisha uwezo wa kupita viwango vyote vya ulinzi wa kivinjari na kutekeleza nambari kwenye mfumo nje ya mazingira ya kisanduku cha mchanga. Maelezo kuhusu athari hii bado haijafichuliwa; inajulikana tu kuwa inasababishwa na kufikia kizuizi cha kumbukumbu kilichoachiliwa (kutumia baada ya bila malipo) katika utekelezaji wa API ya Fahirisi ya DB.

Kama sehemu ya mpango wa zawadi ya pesa taslimu kwa kugundua udhaifu wa toleo la sasa, Google ililipa tuzo 24 zenye thamani ya $65600 (tuzo moja ya $10000, tuzo moja ya $7500, tuzo mbili za $7000, tuzo tatu za $5000, tuzo nne za $3000, $2000 mbili na $1000 mbili, $ 500 bonasi). Ukubwa wa zawadi 7 bado haujabainishwa.

Chanzo: opennet.ru

Kuongeza maoni