โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > Chrome รุ่น 102

Chrome รุ่น 102

Google ได้เปิดตัวเว็บเบราว์เซอร์ Chrome 102 ในเวลาเดียวกันก็มีการเปิดตัวโครงการ Chromium ฟรีที่เสถียรซึ่งทำหน้าที่เป็นพื้นฐานของ Chrome ด้วยเช่นกัน เบราว์เซอร์ Chrome แตกต่างจาก Chromium ในการใช้โลโก้ Google, การมีระบบสำหรับส่งการแจ้งเตือนในกรณีที่เกิดข้อขัดข้อง, โมดูลสำหรับการเล่นเนื้อหาวิดีโอที่มีการป้องกันการคัดลอก (DRM), ระบบสำหรับการติดตั้งการอัปเดตอัตโนมัติ, เปิดใช้งานการแยก Sandbox อย่างถาวร จัดหาคีย์ให้กับ Google API และส่ง RLZ- เมื่อค้นหา พารามิเตอร์ สำหรับผู้ที่ต้องการเวลาเพิ่มเติมในการอัปเดต ระบบจะรองรับสาขา Extended Stable แยกกัน ตามด้วย 8 สัปดาห์ Chrome 103 รุ่นถัดไปมีกำหนดการในวันที่ 21 มิถุนายน

การเปลี่ยนแปลงที่สำคัญใน Chrome 102:

  • เพื่อป้องกันการหาประโยชน์จากช่องโหว่ที่เกิดจากการเข้าถึงบล็อกหน่วยความจำที่ว่างแล้ว (ใช้งานฟรี) แทนที่จะใช้พอยน์เตอร์ทั่วไป จึงเริ่มใช้ประเภท MiraclePtr (raw_ptr) MiraclePtr จัดให้มีการเชื่อมโยงพอยน์เตอร์ที่ทำการตรวจสอบเพิ่มเติมในการเข้าถึงพื้นที่หน่วยความจำที่ว่าง และหยุดทำงานหากตรวจพบการเข้าถึงดังกล่าว ผลกระทบของวิธีการป้องกันใหม่ต่อประสิทธิภาพและการใช้หน่วยความจำได้รับการประเมินว่าไม่มีนัยสำคัญ กลไก MiraclePtr ไม่สามารถใช้ได้กับทุกกระบวนการ โดยเฉพาะอย่างยิ่งไม่ได้ใช้ในกระบวนการเรนเดอร์ แต่สามารถปรับปรุงความปลอดภัยได้อย่างมาก ตัวอย่างเช่น ในเวอร์ชันปัจจุบัน มีช่องโหว่ที่แก้ไขแล้วจากทั้งหมด 32 รายการ มี 12 รายการที่เกิดจากปัญหาการใช้งานภายหลังการใช้งานฟรี
  • การออกแบบอินเทอร์เฟซพร้อมข้อมูลเกี่ยวกับการดาวน์โหลดมีการเปลี่ยนแปลง แทนที่จะเป็นบรรทัดล่างที่มีข้อมูลเกี่ยวกับความคืบหน้าในการดาวน์โหลด ตัวบ่งชี้ใหม่ได้ถูกเพิ่มลงในแผงพร้อมแถบที่อยู่ เมื่อคุณคลิก ความคืบหน้าของการดาวน์โหลดไฟล์และประวัติพร้อมรายการไฟล์ที่ดาวน์โหลดไปแล้วจะปรากฏขึ้น ปุ่มนี้ต่างจากแผงด้านล่างตรงที่จะแสดงบนแผงตลอดเวลาและช่วยให้คุณเข้าถึงประวัติการดาวน์โหลดได้อย่างรวดเร็ว ขณะนี้อินเทอร์เฟซใหม่มีให้บริการโดยค่าเริ่มต้นสำหรับผู้ใช้บางรายเท่านั้น และจะขยายไปยังทุกคนหากไม่มีปัญหา หากต้องการคืนอินเทอร์เฟซเก่าหรือเปิดใช้งานอินเทอร์เฟซใหม่ จะมีการตั้งค่า "chrome://flags#download-bubble" ไว้ให้
    Chrome รุ่น 102
  • เมื่อค้นหาภาพผ่านเมนูบริบท (“ค้นหาภาพด้วย Google Lens” หรือ “ค้นหาผ่าน Google Lens”) ตอนนี้ผลลัพธ์จะไม่แสดงในหน้าแยกต่างหาก แต่ในแถบด้านข้างถัดจากเนื้อหาของหน้าต้นฉบับ (ใน หน้าต่างเดียวที่คุณสามารถดูทั้งเนื้อหาของหน้าและผลลัพธ์ของการเข้าถึงเครื่องมือค้นหาพร้อมกัน)
    Chrome รุ่น 102
  • ในส่วน "ความเป็นส่วนตัวและความปลอดภัย" ของการตั้งค่า มีการเพิ่มส่วน "คำแนะนำความเป็นส่วนตัว" ซึ่งนำเสนอภาพรวมทั่วไปของการตั้งค่าหลักที่ส่งผลต่อความเป็นส่วนตัวพร้อมคำอธิบายโดยละเอียดเกี่ยวกับผลกระทบของการตั้งค่าแต่ละอย่าง ตัวอย่างเช่น ในส่วนนี้ คุณสามารถกำหนดนโยบายสำหรับการส่งข้อมูลไปยังบริการของ Google จัดการการซิงโครไนซ์ การประมวลผลคุกกี้ และการบันทึกประวัติ ผู้ใช้บางคนเสนอฟังก์ชันนี้ หากต้องการเปิดใช้งาน คุณสามารถใช้การตั้งค่า "chrome://flags#privacy-guide"
    Chrome รุ่น 102
  • มีการจัดโครงสร้างของประวัติการค้นหาและหน้าที่ดู เมื่อคุณพยายามค้นหาอีกครั้ง คำใบ้ “เดินทางต่อ” จะแสดงขึ้นในแถบที่อยู่ ทำให้คุณสามารถค้นหาต่อจากตำแหน่งที่ถูกขัดจังหวะครั้งล่าสุดได้
    Chrome รุ่น 102
  • Chrome เว็บสโตร์นำเสนอหน้า "ชุดส่วนขยายเริ่มต้น" พร้อมด้วยส่วนเสริมที่แนะนำเบื้องต้น
  • ในโหมดทดสอบ การส่งคำขออนุญาต CORS (Cross-Origin Resource Sharing) ไปยังเซิร์ฟเวอร์ไซต์หลักที่มีส่วนหัว “Access-Control-Request-Private-Network: true” จะถูกเปิดใช้งานเมื่อเพจเข้าถึงทรัพยากรบนเครือข่ายภายใน ( 192.168.xx , 10.xxx, 172.16.xx) หรือไปยัง localhost (128.xxx) เมื่อยืนยันการดำเนินการตามคำขอนี้ เซิร์ฟเวอร์จะต้องส่งคืนส่วนหัว “Access-Control-Allow-Private-Network: true” ใน Chrome เวอร์ชัน 102 ผลการยืนยันยังไม่ส่งผลต่อการประมวลผลคำขอ - หากไม่มีการยืนยัน คำเตือนจะแสดงบนเว็บคอนโซล แต่คำขอทรัพยากรย่อยจะไม่ถูกบล็อก ไม่คาดว่าจะเปิดใช้งานการบล็อกในกรณีที่ไม่มีการยืนยันจากเซิร์ฟเวอร์จนกว่าจะมีการเปิดตัว Chrome 105 หากต้องการเปิดใช้งานการบล็อกในรุ่นก่อนหน้า คุณสามารถเปิดใช้งานการตั้งค่า "chrome://flags/#private-network-access-respect-preflight- ผลลัพธ์".

    มีการแนะนำการตรวจสอบสิทธิ์โดยเซิร์ฟเวอร์เพื่อเสริมสร้างการป้องกันการโจมตีที่เกี่ยวข้องกับการเข้าถึงทรัพยากรบนเครือข่ายท้องถิ่นหรือบนคอมพิวเตอร์ของผู้ใช้ (localhost) จากสคริปต์ที่โหลดเมื่อเปิดไซต์ ผู้โจมตีใช้คำขอดังกล่าวเพื่อดำเนินการโจมตี CSRF บนเราเตอร์ จุดเชื่อมต่อ เครื่องพิมพ์ เว็บอินเทอร์เฟซขององค์กร ตลอดจนอุปกรณ์และบริการอื่น ๆ ที่ยอมรับคำขอจากเครือข่ายท้องถิ่นเท่านั้น เพื่อป้องกันการโจมตีดังกล่าว หากมีการเข้าถึงทรัพยากรย่อยบนเครือข่ายภายใน เบราว์เซอร์จะส่งคำขออย่างชัดเจนเพื่อขออนุญาตโหลดทรัพยากรย่อยเหล่านี้

  • เมื่อเปิดลิงก์ในโหมดไม่ระบุตัวตนผ่านเมนูบริบท พารามิเตอร์บางตัวที่ส่งผลต่อความเป็นส่วนตัวจะถูกลบออกจาก URL โดยอัตโนมัติ
  • กลยุทธ์การส่งมอบการอัปเดตสำหรับ Windows และ Android มีการเปลี่ยนแปลง เพื่อเปรียบเทียบลักษณะการทำงานของรีลีสใหม่และรุ่นเก่าได้ครบถ้วนยิ่งขึ้น ขณะนี้มีการสร้างเวอร์ชันใหม่หลายเวอร์ชันเพื่อดาวน์โหลด
  • เทคโนโลยีการแบ่งส่วนเครือข่ายได้รับความเสถียรเพื่อป้องกันวิธีการติดตามความเคลื่อนไหวของผู้ใช้ระหว่างไซต์ตามการจัดเก็บตัวระบุในพื้นที่ที่ไม่ได้มีไว้สำหรับการจัดเก็บข้อมูลถาวร (“Supercookies”) เนื่องจากทรัพยากรที่แคชถูกจัดเก็บไว้ในเนมสเปซทั่วไป โดยไม่คำนึงถึงโดเมนต้นทาง ไซต์หนึ่งจึงสามารถระบุได้ว่าไซต์อื่นกำลังโหลดทรัพยากรโดยการตรวจสอบว่าทรัพยากรนั้นอยู่ในแคชหรือไม่ การป้องกันขึ้นอยู่กับการใช้การแบ่งส่วนเครือข่าย (การแบ่งพาร์ติชันเครือข่าย) สาระสำคัญของมันคือการเพิ่มการเชื่อมโยงบันทึกเพิ่มเติมไปยังโดเมนที่เปิดหน้าหลักลงในแคชที่ใช้ร่วมกันซึ่งจำกัดความครอบคลุมของแคชสำหรับสคริปต์ติดตามการเคลื่อนไหวเท่านั้น ไปยังไซต์ปัจจุบัน (สคริปต์จาก iframe จะไม่สามารถตรวจสอบได้ว่าทรัพยากรถูกดาวน์โหลดจากไซต์อื่นหรือไม่) การแชร์สถานะครอบคลุมการเชื่อมต่อเครือข่าย (HTTP/1, HTTP/2, HTTP/3, websocket), แคช DNS, ข้อมูล ALPN/HTTP2, TLS/HTTP3, การกำหนดค่า, การดาวน์โหลด และข้อมูลส่วนหัวของ Expect-CT
  • สำหรับเว็บแอปพลิเคชันแบบสแตนด์อโลนที่ติดตั้ง (PWA, Progressive Web App) สามารถเปลี่ยนการออกแบบพื้นที่หัวเรื่องหน้าต่างได้โดยใช้ส่วนประกอบ Window Controls Overlay ซึ่งจะขยายพื้นที่หน้าจอของเว็บแอปพลิเคชันไปทั่วทั้งหน้าต่าง เว็บแอปพลิเคชันสามารถควบคุมการเรนเดอร์และการประมวลผลอินพุตของทั้งหน้าต่าง ยกเว้นบล็อกโอเวอร์เลย์ด้วยปุ่มควบคุมหน้าต่างมาตรฐาน (ปิด ย่อเล็กสุด ขยายใหญ่สุด) เพื่อให้เว็บแอปพลิเคชันมีลักษณะเหมือนแอปพลิเคชันเดสก์ท็อปทั่วไป
    Chrome รุ่น 102
  • ในระบบกรอกแบบฟอร์มอัตโนมัติ มีการเพิ่มการรองรับการสร้างหมายเลขบัตรเครดิตเสมือนในช่องที่มีรายละเอียดการชำระเงินสำหรับสินค้าในร้านค้าออนไลน์ การใช้บัตรเสมือนซึ่งเป็นจำนวนที่สร้างขึ้นสำหรับการชำระเงินแต่ละครั้งทำให้คุณไม่สามารถถ่ายโอนข้อมูลเกี่ยวกับบัตรเครดิตจริงได้ แต่ต้องมีการให้บริการที่จำเป็นจากธนาคาร ปัจจุบันฟีเจอร์นี้มีให้บริการเฉพาะลูกค้าธนาคารในสหรัฐฯ เท่านั้น หากต้องการควบคุมการรวมฟังก์ชัน ระบบจะเสนอการตั้งค่า “chrome://flags/#autofill-enable-virtual-card”
  • กลไก "Capture Handle" จะเปิดใช้งานตามค่าเริ่มต้น ทำให้คุณสามารถถ่ายโอนข้อมูลไปยังแอปพลิเคชันที่จับภาพวิดีโอได้ API ช่วยให้สามารถจัดระเบียบการโต้ตอบระหว่างแอปพลิเคชันที่มีการบันทึกเนื้อหาและแอปพลิเคชันที่ทำการบันทึกได้ ตัวอย่างเช่น แอปพลิเคชันการประชุมทางวิดีโอที่จับภาพวิดีโอเพื่อออกอากาศงานนำเสนอสามารถดึงข้อมูลเกี่ยวกับส่วนควบคุมการนำเสนอและแสดงในหน้าต่างวิดีโอ
  • การสนับสนุนกฎเก็งกำไรจะถูกเปิดใช้งานตามค่าเริ่มต้น โดยให้ไวยากรณ์ที่ยืดหยุ่นในการพิจารณาว่าข้อมูลที่เกี่ยวข้องกับลิงก์สามารถโหลดเชิงรุกก่อนที่ผู้ใช้จะคลิกลิงก์ได้หรือไม่
  • กลไกการบรรจุทรัพยากรลงในแพ็คเกจในรูปแบบ Web Bundle ได้รับความเสถียร ทำให้สามารถเพิ่มประสิทธิภาพในการโหลดไฟล์ที่มาพร้อมกันจำนวนมาก (สไตล์ CSS, JavaScript, รูปภาพ, iframe) แตกต่างจากแพ็คเกจในรูปแบบ Webpack รูปแบบ Web Bundle มีข้อดีดังต่อไปนี้ ไม่ใช่ตัวแพ็คเกจเองที่เก็บอยู่ในแคช HTTP แต่เป็นส่วนประกอบ การคอมไพล์และการใช้งาน JavaScript เริ่มต้นโดยไม่ต้องรอให้ดาวน์โหลดแพ็คเกจจนเต็ม อนุญาตให้รวมทรัพยากรเพิ่มเติม เช่น CSS และรูปภาพ ซึ่งใน webpack จะต้องได้รับการเข้ารหัสในรูปแบบของสตริง JavaScript
  • คุณสามารถกำหนดแอปพลิเคชัน PWA เป็นตัวจัดการ MIME บางประเภทและนามสกุลไฟล์ได้ หลังจากกำหนดการเชื่อมโยงผ่านฟิลด์ file_handlers ในรายการแล้ว แอปพลิเคชันจะได้รับเหตุการณ์พิเศษเมื่อผู้ใช้พยายามเปิดไฟล์ที่เกี่ยวข้องกับแอปพลิเคชัน
  • เพิ่มแอตทริบิวต์เฉื่อยใหม่ที่ช่วยให้คุณสามารถทำเครื่องหมายส่วนหนึ่งของแผนผัง DOM เป็น "ไม่ได้ใช้งาน" สำหรับโหนด DOM ในสถานะนี้ การเลือกข้อความและตัวจัดการโฮเวอร์พอยน์เตอร์จะถูกปิดใช้งาน เช่น ตัวชี้เหตุการณ์และคุณสมบัติ CSS ที่ผู้ใช้เลือกจะถูกตั้งค่าเป็น 'ไม่มี' เสมอ หากโหนดสามารถแก้ไขได้ ในโหมดเฉื่อย โหนดนั้นจะไม่สามารถแก้ไขได้
  • เพิ่ม Navigation API ซึ่งช่วยให้เว็บแอปพลิเคชันสามารถสกัดกั้นการดำเนินการนำทางของหน้าต่าง เริ่มต้นการนำทาง และวิเคราะห์ประวัติการดำเนินการกับแอปพลิเคชัน API เป็นทางเลือกแทนคุณสมบัติ window.history และ window.location ซึ่งได้รับการปรับให้เหมาะกับเว็บแอปพลิเคชันหน้าเดียว
  • มีการเสนอการตั้งค่าสถานะใหม่ "จนกว่าจะพบ" สำหรับแอตทริบิวต์ "ซ่อน" ซึ่งทำให้องค์ประกอบสามารถค้นหาได้บนหน้าเว็บและเลื่อนได้ด้วยมาสก์ข้อความ ตัวอย่างเช่น คุณสามารถเพิ่มข้อความที่ซ่อนลงในเพจได้ ซึ่งเนื้อหาจะพบได้ในการค้นหาในท้องถิ่น
  • ใน WebHID API ได้รับการออกแบบมาเพื่อการเข้าถึงอุปกรณ์ HID ระดับต่ำ (อุปกรณ์อินเทอร์เฟซของมนุษย์ คีย์บอร์ด เมาส์ เกมแพด ทัชแพด) และการจัดระเบียบงานโดยไม่ต้องมีไดรเวอร์เฉพาะในระบบ คุณสมบัติ exclusionFilters ได้ถูกเพิ่มไปยัง requestDevice( ) ซึ่งช่วยให้คุณยกเว้นอุปกรณ์บางอย่างได้เมื่อเบราว์เซอร์แสดงรายการอุปกรณ์ที่มีอยู่ ตัวอย่างเช่น คุณสามารถยกเว้นรหัสอุปกรณ์ที่มีปัญหาที่ทราบได้
  • ห้ามมิให้แสดงแบบฟอร์มการชำระเงินผ่านการเรียกไปยัง PaymentRequest.show() โดยที่ผู้ใช้ไม่ได้ดำเนินการอย่างชัดเจน เช่น การคลิกที่องค์ประกอบที่เกี่ยวข้องกับตัวจัดการ
  • การสนับสนุนสำหรับการใช้งานทางเลือกอื่นของโปรโตคอล SDP (Session Description Protocol) ที่ใช้เพื่อสร้างเซสชันใน WebRTC ถูกยกเลิกแล้ว Chrome เสนอตัวเลือก SDP สองตัวเลือก - รวมเป็นหนึ่งเดียวกับเบราว์เซอร์อื่นและเฉพาะ Chrome จากนี้ไปจะเหลือเพียงออปชั่นพกพาเท่านั้น
  • มีการปรับปรุงเครื่องมือสำหรับนักพัฒนาเว็บ เพิ่มปุ่มในแผงสไตล์เพื่อจำลองการใช้ธีมสีเข้มและสีอ่อน การป้องกันแท็บแสดงตัวอย่างในโหมดการตรวจสอบเครือข่ายได้รับการปรับปรุงให้แข็งแกร่งขึ้น (เปิดใช้งานแอปพลิเคชันนโยบายความปลอดภัยของเนื้อหา) ดีบักเกอร์ใช้การยกเลิกสคริปต์เพื่อรีโหลดเบรกพอยต์ มีการเสนอการใช้งานเบื้องต้นของแผง "ข้อมูลเชิงลึกด้านประสิทธิภาพ" ใหม่ ซึ่งช่วยให้คุณสามารถวิเคราะห์ประสิทธิภาพของการดำเนินการบางอย่างบนหน้าเว็บได้
    Chrome รุ่น 102

นอกเหนือจากนวัตกรรมและการแก้ไขข้อบกพร่องแล้ว เวอร์ชันใหม่ยังกำจัดช่องโหว่ถึง 32 รายการ ช่องโหว่จำนวนมากถูกระบุอันเป็นผลมาจากการทดสอบอัตโนมัติโดยใช้เครื่องมือ AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer และ AFL ปัญหาหนึ่ง (CVE-2022-1853) ได้รับการกำหนดระดับอันตรายขั้นวิกฤต ซึ่งหมายถึงความสามารถในการเลี่ยงการป้องกันเบราว์เซอร์ทุกระดับและรันโค้ดบนระบบภายนอกสภาพแวดล้อมแซนด์บ็อกซ์ รายละเอียดเกี่ยวกับช่องโหว่นี้ยังไม่ได้รับการเปิดเผย ทราบเพียงว่าเกิดจากการเข้าถึงบล็อกหน่วยความจำที่ว่าง (ใช้งานฟรี) ในการใช้งาน Indexed DB API

ในฐานะส่วนหนึ่งของโปรแกรมรางวัลเงินสดสำหรับการค้นพบช่องโหว่สำหรับรุ่นปัจจุบัน Google จ่ายเงินรางวัล 24 รางวัลมูลค่า $65600 (หนึ่งรางวัล $10000, หนึ่งรางวัล $7500, สองรางวัล $7000, สามรางวัล $5000, สามรางวัล $3000, สองรางวัล $2000, สอง $1000 และสองรางวัล โบนัส $500) ขนาดของรางวัลทั้ง 7 ยังไม่ได้กำหนด

ที่มา: opennet.ru

เพิ่มความคิดเห็น