Google imetoa toleo la 142 la kivinjari cha Chrome. Toleo thabiti la mradi wa chanzo huria wa Chromium, msingi wa Chrome, unapatikana pia. Chrome inatofautiana na Chromium katika matumizi yake ya nembo za Google, mfumo wa arifa za kuacha kufanya kazi, moduli za kucheza maudhui ya video yanayolindwa na nakala (DRM), usakinishaji wa sasisho otomatiki, utengaji wa kisanduku cha mchanga kila wakati, utoaji wa funguo za API ya Google, na upitishaji wa vigezo vya RLZ wakati wa utafutaji. Kwa wale wanaohitaji muda zaidi kusasisha, tawi tofauti la Imara Iliyopanuliwa hudumishwa kwa wiki nane. Toleo lijalo, Chrome 143, limepangwa kufanyika tarehe 2 Desemba.
Mabadiliko muhimu katika Chrome 142:
- Ulinzi wa ufikiaji wa mfumo wa ndani huwezeshwa wakati wa kuingiliana na tovuti za umma. Wakati wa kufikia tovuti kwenye mtandao wa umma au wa ndani (intranet), Anwani za IP Wakati wa kufikia mfumo wa ndani au kiolesura cha kitanzi (127.0.0.0/8), kivinjari kitaonyesha kisanduku cha mazungumzo kwa mtumiaji kinachoomba uthibitisho. Majaribio ya kupakua rasilimali, maombi ya kuchota(), na viingilio vya iframe yamefunikwa. Ulinzi hautumiki kwa sasa kwenye miunganisho kupitia WebSockets, WebTransport, na WebRTC, lakini utaongezwa kwa teknolojia hizi baadaye.
Wavamizi hutumia ufikiaji wa rasilimali ya ndani ili kufanya mashambulizi ya CSRF kwenye vipanga njia, maeneo ya ufikiaji, vichapishaji, violesura vya tovuti vya shirika, na vifaa na huduma zingine zinazokubali maombi kutoka kwa mtandao wa ndani pekee. Zaidi ya hayo, kuchanganua rasilimali za ndani kunaweza kutumika kwa utambulisho usio wa moja kwa moja au kukusanya taarifa kuhusu mtandao wa ndani.
- Kiolesura kimoja kilichorahisishwa kimeanzishwa kwa ajili ya kuunganishwa kwa akaunti ya Google na kusawazisha data, kama vile manenosiri na vialamisho vilivyohifadhiwa. Usawazishaji umeunganishwa na kuingia kwa akaunti na haujawasilishwa kama chaguo tofauti katika mipangilio. Watumiaji wanaweza kuunganisha Chrome kwenye akaunti yao ya Google na kuitumia kuhifadhi manenosiri, alamisho, historia ya kuvinjari na vichupo. Kipengele hiki kwa sasa kinatumika kwa baadhi ya watumiaji, na kitapanuliwa hatua kwa hatua.
- Mfano mpya wa kutenganisha michakato unatumika - "Utenganishaji wa Asili", ambapo kila chanzo cha maudhui (asili - itifaki inayofungamana, kikoa na lango, kwa mfano, "https://foo.example.com"), limetengwa katika mchakato tofauti wa utoaji. Kwa kuwa kuongeza unene wa kutenga kunaweza kusababisha kuongezeka kwa matumizi ya kumbukumbu na mzigo wa CPU, hali mpya ya kutenga inawezeshwa tu kwenye mifumo yenye RAM ya zaidi ya GB 4. Kwenye vifaa vya nguvu ndogo, mbinu ya zamani ya kutenga itaendelea kutumika, ambayo hutenganisha vyanzo vyote tofauti vya maudhui vinavyohusiana na tovuti moja (kwa mfano, foo.example.com na bar.example.com) katika mchakato tofauti.
- Kwenye mifumo yenye Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
- Katika toleo la Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
- Utekelezaji wa itifaki ya DTLS (Datagram Transport Layer Security, analogi ya TLS ya UDP) inayotumika kwa miunganisho ya WebRTC inajumuisha matumizi ya algoriti za usimbaji fiche baada ya wingi.
- Hali ya kuwezesha, iliyowekwa wakati wa shughuli ya mtumiaji kwenye ukurasa, sasa inahifadhiwa baada ya kuelekea kwenye ukurasa mwingine kwenye kikoa sawa. Kuhifadhi kuwezesha kutarahisisha uundaji wa programu za wavuti za kurasa nyingi na kutatua matatizo kama vile kuweka umakini wa ingizo wakati tovuti inaonyesha kibodi yake pepe.
- Madarasa ya uwongo ya CSS ":lengo-kabla" na ":lengo-baada" yameongezwa ili kufafanua alama za awali na zinazofuata kuhusiana na nafasi ya sasa ya kusogeza (":lengo-sasa").
- Vyombo vya mitindo (@container) na chaguo za kukokotoa if() sasa vinaauni Sintaksia ya Masafa iliyofafanuliwa katika hali ya Kiwango cha 4 cha Hoji za Vyombo vya Habari, ambayo inaruhusu matumizi ya waendeshaji wa ulinganishaji wa kawaida wa hisabati na waendeshaji kimantiki kufafanua safu za thamani. Kwa mfano, sasa unaweza kubainisha "@container style(—inner-padding > 1em)" na "background-color: if(style(attr(data-columns, type) ) > 2): samawati nyepesi; mwingine: nyeupe);"
- Vipengele " " na "" sasa vinaunga mkono sifa ya "interestfor". Sifa hii inaweza kutumika kuanzisha vitendo, kama vile kuonyesha dirisha ibukizi, wakati mtumiaji anaonyesha kupendezwa na kipengele. Kivinjari hutambua matukio kama vile kuelea na kushikilia kielekezi juu ya kipengele, kubofya vitufe vya moto, au kushikilia mguso kwenye skrini ya kugusa kama viashirio vya kukuvutia. Wakati kipengele chenye sifa ya "interestfor" kinatambuliwa, kivinjari hutengeneza InterestEvent.
- Maboresho yamefanywa kwa zana za wasanidi wavuti. Kitufe cha uzinduzi wa haraka cha msaidizi wa AI kimeongezwa kwenye kona ya juu kulia. Kipengee cha menyu ya muktadha cha "Uliza AI" kimepewa jina jipya na kuwa "Tatua kwa kutumia AI" na kupanuliwa ili kujumuisha uwezo wa kufanya vitendo vya haraka kulingana na muktadha. Katika kiweko cha wavuti na paneli ya msimbo, msaidizi wa Gemini AI sasa anaweza kutoa mapendekezo kwa kutumia msimbo.
Zana za wasanidi wavuti sasa zinaunganishwa na Mpango wa Wasanidi Programu wa Google (GDP). Wasanidi programu sasa wanaweza kufikia wasifu wao wa Pato la Taifa moja kwa moja kutoka kwa Chrome DevTools na kupata zawadi kwa kukamilisha kazi mahususi ndani ya kiolesura hiki.
Kando na vipengele vipya na marekebisho ya hitilafu, toleo jipya linashughulikia athari 20. Athari nyingi za kiusalama zilitambuliwa kupitia majaribio ya kiotomatiki kwa kutumia AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer na AFL. Hakuna masuala muhimu ambayo yanaweza kuruhusu kupitisha safu zote za ulinzi wa kivinjari na kutekeleza msimbo nje ya mazingira ya sandbox yalitambuliwa. Kama sehemu ya mpango wa fadhila katika mazingira magumu kwa toleo la sasa, Google imeanzisha fadhila 20 za jumla ya $130,000 (fadhila mbili za $50,000, fadhila moja ya $10000, fadhila tatu za $3000, fadhila mbili za $2000, na fadhila tatu za $1000). Kiasi cha fadhila nane bado hazijabainishwa.
Zaidi ya hayo, udhaifu ambao haujawekewa kibandiko umetambuliwa katika injini ya Blink, na kusababisha kivinjari kuvurugika na kuganda wakati wa kutekeleza msimbo fulani wa JavaScript. Athari hii inasababishwa na masuala ya usanifu katika injini ya uwasilishaji yanayohusiana na ukosefu wa kikomo cha kiwango cha kusasisha sifa ya "document.title". Ukosefu huu wa kikomo huruhusu "document.title" kutumika kufanya makumi ya mamilioni ya mabadiliko kwenye DOM kwa sekunde. Hii husababisha kiolesura kuganda ndani ya sekunde chache kutokana na uzi kuu kuzuiwa na matumizi makubwa ya kumbukumbu. Baada ya sekunde 15-60, kivinjari kinaanguka.
Chanzo: opennet.ru
