Google ได้เปิดตัวเว็บเบราเซอร์ Chrome 97 พร้อมกันนี้ โครงการ Chromium เวอร์ชันเสถียรฟรีซึ่งเป็นพื้นฐานของ Chrome ก็พร้อมให้ใช้งานแล้ว เบราว์เซอร์ Chrome แตกต่างจากการใช้โลโก้ Google, การมีระบบสำหรับส่งการแจ้งเตือนในกรณีที่เกิดการขัดข้อง, โมดูลสำหรับเล่นเนื้อหาวิดีโอที่มีการป้องกันการคัดลอก (DRM), ระบบอัปเดตอัตโนมัติ และการส่งเมื่อค้นหา RLZ พารามิเตอร์ สำหรับผู้ที่ต้องการเวลาเพิ่มเติมในการอัปเดต สาขา Extended Stable แยกต่างหากจะได้รับการดูแล ตามด้วย 8 สัปดาห์ ซึ่งจะสร้างการอัปเดตสำหรับ Chrome 96 รุ่นล่าสุด Chrome 98 รุ่นถัดไปมีกำหนดการในวันที่ 1 กุมภาพันธ์
การเปลี่ยนแปลงที่สำคัญใน Chrome 97:
- สำหรับผู้ใช้บางราย เครื่องมือกำหนดค่าจะใช้อินเทอร์เฟซใหม่สำหรับจัดการข้อมูลที่จัดเก็บไว้ในฝั่งเบราว์เซอร์ (“chrome://settings/content/all”) ความแตกต่างที่สำคัญของอินเทอร์เฟซใหม่คือการเน้นที่การตั้งค่าการอนุญาตและการล้างคุกกี้ทั้งหมดบนไซต์ในคราวเดียว โดยไม่สามารถดูรายละเอียดเกี่ยวกับคุกกี้แต่ละรายการและเลือกลบคุกกี้ได้ ในความเห็นของ Google การเข้าถึงการจัดการคุกกี้แต่ละรายการสำหรับผู้ใช้ทั่วไปที่ไม่เข้าใจความซับซ้อนของการพัฒนาเว็บอาจนำไปสู่การละเมิดการทำงานของไซต์โดยไม่คาดคิดเนื่องจากการเปลี่ยนแปลงการตั้งค่าส่วนบุคคลโดยไม่ได้ตั้งใจ เช่นเดียวกับ การปิดใช้งานกลไกการป้องกันความเป็นส่วนตัวที่เปิดใช้งานคุกกี้โดยไม่ตั้งใจ สำหรับผู้ที่ต้องการจัดการคุกกี้แต่ละตัว ขอแนะนำให้ใช้ส่วนการจัดการพื้นที่เก็บข้อมูลในเครื่องมือสำหรับนักพัฒนาเว็บ (แอปพลิเคชัน/พื้นที่จัดเก็บ/คุกกี้)
- ในบล็อกที่มีข้อมูลเกี่ยวกับไซต์ คำอธิบายสั้น ๆ ของไซต์ (เช่น คำอธิบายจาก Wikipedia) จะปรากฏขึ้นหากเปิดใช้งานโหมดการค้นหาและการนำทางให้เหมาะสมในการตั้งค่า (ตัวเลือก "ทำให้การค้นหาและการท่องเว็บดีขึ้น")
- ปรับปรุงการรองรับการกรอกข้อมูลอัตโนมัติในแบบฟอร์มบนเว็บ คำแนะนำที่มีตัวเลือกการเติมข้อความอัตโนมัติจะแสดงขึ้นโดยมีการเปลี่ยนแปลงเล็กน้อย และมีไอคอนแสดงข้อมูลเพื่อการดูตัวอย่างที่สะดวกยิ่งขึ้นและการระบุภาพของการเชื่อมต่อกับฟิลด์ที่จะกรอก ตัวอย่างเช่น ไอคอนโปรไฟล์ทำให้ชัดเจนว่าการเติมข้อความอัตโนมัติที่แนะนำส่งผลต่อฟิลด์ที่เกี่ยวข้องกับที่อยู่และข้อมูลติดต่อ
- ตรวจสอบให้แน่ใจว่าตัวจัดการโปรไฟล์ผู้ใช้ถูกลบออกจากหน่วยความจำหลังจากปิดหน้าต่างเบราว์เซอร์ที่เกี่ยวข้อง ก่อนหน้านี้ โปรไฟล์ยังคงอยู่ในหน่วยความจำและยังคงทำงานที่เกี่ยวข้องกับการซิงโครไนซ์และการดำเนินการของสคริปต์พื้นหลังของส่วนเสริม ซึ่งนำไปสู่การสิ้นเปลืองทรัพยากรอย่างไม่สมเหตุสมผลในระบบที่ใช้หลายโปรไฟล์พร้อมกัน (เช่น โปรไฟล์ผู้เยี่ยมชมและ เชื่อมโยงกับบัญชี Google) นอกจากนี้ยังมีการล้างข้อมูลที่เหลืออยู่ในกระบวนการทำงานกับโปรไฟล์อย่างละเอียดยิ่งขึ้น
- ปรับปรุงหน้าการตั้งค่าเครื่องมือค้นหา ("การตั้งค่า>จัดการเครื่องมือค้นหา") ปิดใช้งานการเปิดใช้งานเอ็นจิ้นโดยอัตโนมัติ ข้อมูลที่ได้รับเมื่อเปิดไซต์ผ่านสคริปต์ OpenSearch - เอ็นจิ้นใหม่สำหรับการประมวลผลคำค้นหาจากแถบที่อยู่จำเป็นต้องเปิดใช้งานด้วยตนเองในการตั้งค่า (ก่อนหน้านี้เอ็นจิ้นที่เปิดใช้งานอัตโนมัติจะทำงานต่อไปโดยไม่มีการเปลี่ยนแปลง ).
- ตั้งแต่วันที่ 17 มกราคม แคตตาล็อก Chrome เว็บสโตร์จะไม่ยอมรับส่วนเสริมที่ใช้รายการ Chrome เวอร์ชันที่สองอีกต่อไป แต่นักพัฒนาซอฟต์แวร์ของส่วนเสริมที่เพิ่มไว้ก่อนหน้านี้จะยังสามารถเผยแพร่การอัปเดตได้
- เพิ่มการสนับสนุนการทดลองสำหรับข้อกำหนด WebTransport ซึ่งกำหนดโปรโตคอลและ JavaScript API ที่มาพร้อมกันสำหรับการส่งและรับข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ ช่องทางการสื่อสารได้รับการจัดระเบียบผ่าน HTTP/3 โดยใช้โปรโตคอล QUIC เป็นตัวส่งผ่าน สามารถใช้ WebTransport แทนกลไก WebSockets โดยนำเสนอคุณลักษณะเพิ่มเติม เช่น มัลติเธรด การไหลแบบทิศทางเดียว การจัดส่งนอกคำสั่งซื้อ โหมดการจัดส่งที่เชื่อถือได้และไม่น่าเชื่อถือ นอกจากนี้ยังสามารถใช้ WebTransport แทนกลไก Server Push ที่ Google เลิกใช้แล้วใน Chrome
- มีการเพิ่มเมธอด findLast และ findLastIndex ให้กับอ็อบเจกต์ JavaScript ของ Array และ TypedArrays ทำให้คุณสามารถค้นหาองค์ประกอบที่มีเอาต์พุตผลลัพธ์ที่สัมพันธ์กับส่วนท้ายของอาร์เรย์ [1,2,3,4].findLast((el) => el % 2 === 0) // → 4 (องค์ประกอบคู่สุดท้าย)
- ปิด (ไม่มีแอตทริบิวต์ "เปิด") องค์ประกอบ HTML ขณะนี้สามารถค้นหาและเชื่อมโยงได้ และขยายโดยอัตโนมัติเมื่อใช้การค้นหาหน้าและการนำทางส่วนย่อย (ScrollToTextFragment)
- ข้อจำกัดของนโยบายความปลอดภัยเนื้อหา (CSP) ในส่วนหัวการตอบสนองของเซิร์ฟเวอร์ตอนนี้ใช้กับผู้ปฏิบัติงานเฉพาะซึ่งก่อนหน้านี้ถือว่าเป็นเอกสารแยกต่างหาก
- มีการร้องขออย่างชัดเจนสำหรับการอนุญาตให้ดาวน์โหลดทรัพยากรย่อยใด ๆ จากเครือข่ายภายใน - ก่อนที่จะเข้าถึงเครือข่ายภายในหรือ localhost คำขอ CORS (Cross-Origin Resource Sharing) จะถูกส่งไปยังเซิร์ฟเวอร์ของไซต์หลักพร้อมส่วนหัว "Access-Control-Request-Private-Network: true" ซึ่งต้องการการยืนยันการดำเนินการโดยส่งคืนส่วนหัว "Access-Control-Allow-Private-Network: true"
- มีการเพิ่มคุณสมบัติ CSS การสังเคราะห์ฟอนต์เพื่อควบคุมว่าเบราว์เซอร์สามารถสังเคราะห์รูปแบบฟอนต์ที่ขาดหายไป (เฉียง ตัวหนา และตัวพิมพ์เล็ก) ที่ไม่ได้อยู่ในตระกูลฟอนต์ที่เลือกได้หรือไม่
- สำหรับการแปลง CSS พารามิเตอร์ 'none' จะถูกนำไปใช้ในฟังก์ชันperspective() ซึ่งถือว่าเป็นค่าที่ไม่สิ้นสุดเมื่อสร้างภาพเคลื่อนไหว
- ส่วนหัว HTTP ของ Permissions-Policy (Feature Policy) ซึ่งใช้ในการมอบหมายสิทธิ์และเปิดใช้คุณสมบัติขั้นสูง ขณะนี้สนับสนุนค่าการแมปแป้นพิมพ์ที่อนุญาตให้ใช้ Keyboard API มีการใช้เมธอด Keyboard.getLayoutMap() ซึ่งช่วยให้คุณกำหนดได้ว่าแป้นใดถูกกด โดยคำนึงถึงรูปแบบแป้นพิมพ์ที่แตกต่างกัน (เช่น แป้นถูกกดในรูปแบบภาษารัสเซียหรือภาษาอังกฤษ)
- มีการเพิ่มเมธอด HTMLScriptElement.supports() ซึ่งรวมคำจำกัดความของคุณสมบัติใหม่ที่มีอยู่ในองค์ประกอบ "สคริปต์" ตัวอย่างเช่น คุณสามารถค้นหารายการค่าที่รองรับสำหรับแอตทริบิวต์ "ประเภท"
- ขั้นตอนการขึ้นบรรทัดใหม่ให้เป็นมาตรฐานเมื่อส่งแบบฟอร์มทางเว็บนั้นสอดคล้องกับกลไกของเบราว์เซอร์ Gecko และ WebKit การทำให้เป็นบรรทัดฐานของอักขระการขึ้นบรรทัดใหม่และการขึ้นบรรทัดใหม่ (การแทนที่ /r และ /n ด้วย \r\n) ใน Chrome จะดำเนินการในขั้นตอนสุดท้าย ไม่ใช่ที่จุดเริ่มต้นของการประมวลผลการส่งแบบฟอร์ม (เช่น ตัวจัดการระดับกลางที่ใช้วัตถุ FormData จะเห็น ข้อมูลที่เพิ่มโดยผู้ใช้ไม่ใช่ในรูปแบบปกติ)
- การตั้งชื่อคุณสมบัติได้รับการกำหนดมาตรฐานสำหรับ Client Hints API ซึ่งพัฒนาขึ้นเพื่อใช้แทนส่วนหัว User-Agent และอนุญาตให้คุณเลือกส่งคืนข้อมูลเกี่ยวกับเบราว์เซอร์และพารามิเตอร์ระบบเฉพาะ (เวอร์ชัน แพลตฟอร์ม ฯลฯ) หลังจาก ร้องขอโดยเซิร์ฟเวอร์ ตอนนี้คุณสมบัตินำหน้าด้วย "sec-ch-" เช่น sec-ch-dpr, sec-ch-width, sec-ch-viewport-width, sec-ch-device-memory, sec-ch-rtt, sec-ch -downlink และ sec-ch-ect
- มีการใช้ระยะที่สองของการเลิกใช้งาน WebSQL API ซึ่งการเข้าถึงจากสคริปต์ของบุคคลที่สามจะถูกบล็อก จากนี้ไป เราวางแผนที่จะยุติการสนับสนุน WebSQL โดยสิ้นเชิง โดยไม่คำนึงถึงบริบทการใช้งาน เอ็นจิ้น WebSQL ใช้โค้ด SQLite และผู้โจมตีสามารถใช้ช่องโหว่ใน SQLite ได้
- สำหรับแพลตฟอร์ม Windows จะมีการเปิดใช้งานแอสเซมบลีที่มีการตรวจสอบความสมบูรณ์ของการดำเนินการ (CFG, Control Flow Guard) ซึ่งจะบล็อกความพยายามในการแทนที่โค้ดในกระบวนการ Chrome นอกจากนี้ ขณะนี้บริการเครือข่ายที่ทำงานในกระบวนการที่แยกจากกันได้รับการทำแซนด์บ็อกซ์ ซึ่งจำกัดว่ารหัสใดที่สามารถทำได้ในกระบวนการเหล่านั้น
- Chrome สำหรับ Android มีกลไกในการอัปเดตบันทึกของใบรับรองที่ออกและเพิกถอนแบบไดนามิก (ความโปร่งใสของใบรับรอง) ซึ่งก่อนหน้านี้เปิดใช้งานในค่าธรรมเนียมสำหรับระบบเดสก์ท็อป
- มีการปรับปรุงเครื่องมือสำหรับนักพัฒนาเว็บ ใช้การสนับสนุนการทดลองสำหรับการซิงโครไนซ์การตั้งค่า DevTools ระหว่างอุปกรณ์ต่างๆ เพิ่มแผงตัวบันทึกใหม่ ซึ่งคุณสามารถบันทึก เล่น และวิเคราะห์การกระทำของผู้ใช้บนเพจได้
เมื่อแสดงข้อผิดพลาดในเว็บคอนโซล หมายเลขคอลัมน์ที่เกี่ยวข้องกับปัญหาจะแสดงขึ้น ซึ่งมีประโยชน์สำหรับการดีบักปัญหาในโค้ด JavaScript ที่ย่อขนาด อัปเดตรายการอุปกรณ์ที่สามารถจำลองเพื่อประเมินการแสดงผลหน้าบนอุปกรณ์มือถือ ในอินเทอร์เฟซสำหรับแก้ไขบล็อก HTML (แก้ไขเป็น HTML) เพิ่มการเน้นไวยากรณ์และความสามารถในการป้อนข้อมูลอัตโนมัติ
นอกจากนวัตกรรมและการแก้ไขข้อบกพร่องแล้ว ช่องโหว่ 37 รายการยังได้รับการแก้ไขในเวอร์ชันใหม่ ช่องโหว่จำนวนมากได้รับการระบุจากเครื่องมือทดสอบอัตโนมัติ AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer และ AFL ช่องโหว่หนึ่งรายการได้รับการอัปเกรดเป็นปัญหาร้ายแรงที่ช่วยให้สามารถข้ามการป้องกันเบราว์เซอร์ทุกระดับและรันโค้ดบนระบบได้ นอกสภาพแวดล้อมแบบแซนด์บ็อกซ์ รายละเอียดเกี่ยวกับช่องโหว่ร้ายแรง (CVE-2022-0096) ยังไม่ได้รับการเปิดเผย ทราบเพียงว่าเกี่ยวข้องกับการเข้าถึงพื้นที่หน่วยความจำที่ว่างอยู่แล้วในรหัสสำหรับการทำงานกับที่เก็บข้อมูลภายใน (ที่เก็บข้อมูล API)
ส่วนหนึ่งของโปรแกรม Vulnerability Bounty สำหรับรุ่นปัจจุบัน Google จ่ายรางวัล 24 รางวัล มูลค่า 54 ดอลลาร์ (รางวัล $10000 สามรางวัล รางวัล $5000 สองรางวัล รางวัล $4000 หนึ่งรางวัล รางวัล $3000 สามรางวัล และรางวัล $1000 หนึ่งรางวัล) ยังไม่ได้กำหนดจำนวน 14 รางวัล
ที่มา: opennet.ru