โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > Chrome รุ่น 98

Chrome รุ่น 98

Google ได้เปิดตัวเว็บเบราว์เซอร์ Chrome 98 ในขณะเดียวกันก็มีโครงการ Chromium ฟรีที่เสถียรซึ่งทำหน้าที่เป็นพื้นฐานของ Chrome วางจำหน่ายแล้ว เบราว์เซอร์ Chrome มีความโดดเด่นด้วยการใช้โลโก้ Google, การมีระบบสำหรับส่งการแจ้งเตือนในกรณีที่เกิดข้อขัดข้อง, โมดูลสำหรับการเล่นเนื้อหาวิดีโอที่มีการป้องกันการคัดลอก (DRM), ระบบสำหรับการติดตั้งการอัปเดตอัตโนมัติและส่งพารามิเตอร์ RLZ เมื่อ กำลังค้นหา Chrome 99 รุ่นถัดไปมีกำหนดการในวันที่ 1 มีนาคม

การเปลี่ยนแปลงที่สำคัญใน Chrome 98:

  • เบราว์เซอร์มีร้านค้าใบรับรองหลักของหน่วยงานออกใบรับรอง (Chrome Root Store) ซึ่งจะถูกใช้แทนร้านค้าภายนอกเฉพาะสำหรับระบบปฏิบัติการแต่ละระบบ ร้านค้ามีการใช้งานคล้ายกับร้านค้าอิสระของใบรับรองหลักใน Firefox ซึ่งใช้เป็นลิงค์แรกในการตรวจสอบห่วงโซ่ความน่าเชื่อถือของใบรับรองเมื่อเปิดไซต์ผ่าน HTTPS พื้นที่เก็บข้อมูลใหม่ยังไม่ได้ใช้ตามค่าเริ่มต้น เพื่อความสะดวกในการเปลี่ยนการกำหนดค่าที่เก็บข้อมูลของระบบและเพื่อให้มั่นใจในการพกพา จะมีช่วงการเปลี่ยนแปลงในระหว่างที่ Chrome Root Store จะรวมใบรับรองที่ผ่านการคัดสรรทั้งหมดซึ่งได้รับการอนุมัติบนแพลตฟอร์มที่รองรับส่วนใหญ่
  • แผนเพื่อเสริมสร้างการป้องกันการโจมตีที่เกี่ยวข้องกับการเข้าถึงทรัพยากรบนเครือข่ายท้องถิ่นหรือบนคอมพิวเตอร์ของผู้ใช้ (localhost) จากสคริปต์ที่โหลดเมื่อเปิดไซต์ยังคงดำเนินการต่อไป ผู้โจมตีใช้คำขอดังกล่าวเพื่อดำเนินการโจมตี CSRF บนเราเตอร์ จุดเชื่อมต่อ เครื่องพิมพ์ เว็บอินเทอร์เฟซขององค์กร ตลอดจนอุปกรณ์และบริการอื่น ๆ ที่ยอมรับคำขอจากเครือข่ายท้องถิ่นเท่านั้น

    เพื่อป้องกันการโจมตีดังกล่าว หากมีการเข้าถึงทรัพยากรย่อยบนเครือข่ายภายใน เบราว์เซอร์จะเริ่มส่งคำขออย่างชัดเจนเพื่อขออนุญาตดาวน์โหลดทรัพยากรย่อยดังกล่าว การร้องขอสิทธิ์จะดำเนินการโดยการส่งคำขอ CORS (การแบ่งปันทรัพยากรข้ามแหล่งกำเนิด) พร้อมส่วนหัว “Access-Control-Request-Private-Network: true” ไปยังเซิร์ฟเวอร์ไซต์หลักก่อนที่จะเข้าถึงเครือข่ายภายในหรือโลคัลโฮสต์ เมื่อยืนยันการดำเนินการตามคำขอนี้ เซิร์ฟเวอร์จะต้องส่งคืนส่วนหัว “Access-Control-Allow-Private-Network: true” ใน Chrome 98 การตรวจสอบจะถูกนำมาใช้ในโหมดทดสอบ และหากไม่มีการยืนยัน คำเตือนจะแสดงบนเว็บคอนโซล แต่คำขอทรัพยากรย่อยจะไม่ถูกบล็อก ไม่มีการวางแผนให้เปิดใช้งานการบล็อกจนกว่า Chrome 101 จะออก

  • การตั้งค่าบัญชีรวมเครื่องมือสำหรับการจัดการการรวม Safe Browsing ที่ได้รับการปรับปรุง ซึ่งจะเปิดใช้งานการตรวจสอบเพิ่มเติมเพื่อป้องกันฟิชชิ่ง กิจกรรมที่เป็นอันตราย และภัยคุกคามอื่น ๆ บนเว็บ เมื่อคุณเปิดใช้งานโหมดในบัญชี Google ของคุณ คุณจะได้รับแจ้งให้เปิดใช้งานโหมดใน Chrome
  • เพิ่มแบบจำลองสำหรับการตรวจจับความพยายามฟิชชิ่งในฝั่งไคลเอ็นต์ ใช้งานโดยใช้แพลตฟอร์มการเรียนรู้ของเครื่อง TFLite (TensorFlow Lite) และไม่จำเป็นต้องส่งข้อมูลเพื่อทำการตรวจสอบในฝั่ง Google (ในกรณีนี้ telemetry จะถูกส่งพร้อมข้อมูลเกี่ยวกับเวอร์ชันของโมเดล และคำนวณน้ำหนักแต่ละประเภท) หากตรวจพบความพยายามในการฟิชชิ่ง ผู้ใช้จะเห็นหน้าคำเตือนก่อนที่จะเปิดไซต์ที่น่าสงสัย
  • ใน Client Hints API ซึ่งกำลังได้รับการพัฒนาเพื่อทดแทนส่วนหัว User-Agent และอนุญาตให้คุณเลือกส่งข้อมูลเกี่ยวกับเบราว์เซอร์และพารามิเตอร์ระบบเฉพาะ (เวอร์ชัน แพลตฟอร์ม ฯลฯ) หลังจากการร้องขอจากเซิร์ฟเวอร์เท่านั้น เป็นไปได้ที่จะเปลี่ยนชื่อสมมติลงในรายการตัวระบุเบราว์เซอร์ ตามการเปรียบเทียบกับกลไก GREASE (สร้างส่วนขยายแบบสุ่มและการขยายอย่างยั่งยืน) ที่ใช้ใน TLS ตัวอย่างเช่น นอกเหนือจาก '"Chrome"; v="98″' และ '"โครเมียม"; v="98″' ตัวระบุแบบสุ่มของเบราว์เซอร์ที่ไม่มีอยู่จริง '"(Not; Browser"; v="12″' สามารถเพิ่มลงในรายการได้ การทดแทนดังกล่าวจะช่วยระบุปัญหาเกี่ยวกับการประมวลผลตัวระบุของเบราว์เซอร์ที่ไม่รู้จัก ซึ่งนำไปสู่ความจริงที่ว่าเบราว์เซอร์สำรองถูกบังคับให้แกล้งทำเป็นเบราว์เซอร์ยอดนิยมอื่น ๆ เพื่อข้ามการตรวจสอบรายการเบราว์เซอร์ที่ยอมรับได้
  • ตั้งแต่วันที่ 17 มกราคม Chrome เว็บสโตร์จะไม่ยอมรับส่วนเสริมที่ใช้ไฟล์ Manifest ของ Chrome เวอร์ชัน 2023 อีกต่อไป ขณะนี้การเพิ่มเติมใหม่จะได้รับการยอมรับเฉพาะกับเวอร์ชันที่สามของไฟล์ Manifest เท่านั้น นักพัฒนาของส่วนเสริมที่เพิ่มไว้ก่อนหน้านี้จะยังคงสามารถเผยแพร่การอัปเดตด้วยรายการเวอร์ชันที่สองได้ การเลิกใช้งานแถลงการณ์เวอร์ชันที่ XNUMX โดยสมบูรณ์จะมีขึ้นในเดือนมกราคม XNUMX
  • เพิ่มการรองรับแบบอักษรเวกเตอร์สีในรูปแบบ COLRv1 (ชุดย่อยของแบบอักษร OpenType ที่ประกอบด้วยเลเยอร์ที่มีข้อมูลสี นอกเหนือจากสัญลักษณ์เวกเตอร์) ซึ่งสามารถนำมาใช้เพื่อสร้างอิโมจิหลากสีได้ ต่างจากรูปแบบ COLRv0 ที่รองรับก่อนหน้านี้ ตอนนี้ COLRv1 มีความสามารถในการใช้การไล่ระดับสี การซ้อนทับ และการแปลง รูปแบบนี้ยังให้รูปแบบการจัดเก็บข้อมูลขนาดกะทัดรัด ให้การบีบอัดที่มีประสิทธิภาพ และช่วยให้สามารถนำโครงร่างกลับมาใช้ใหม่ได้ ช่วยลดขนาดตัวอักษรได้อย่างมาก ตัวอย่างเช่น แบบอักษร Noto Color Emoji ใช้ขนาด 9MB ในรูปแบบแรสเตอร์ และ 1MB ในรูปแบบเวกเตอร์ COLRv1.85
    Chrome รุ่น 98
  • โหมด Origin Trials (คุณสมบัติทดลองที่ต้องมีการเปิดใช้งานแยกต่างหาก) ใช้ Region Capture API ซึ่งช่วยให้คุณสามารถครอบตัดวิดีโอที่ถ่ายได้ ตัวอย่างเช่น อาจจำเป็นต้องมีการครอบตัดในเว็บแอปพลิเคชันที่จับภาพวิดีโอพร้อมเนื้อหาในแท็บ เพื่อตัดเนื้อหาบางส่วนออกก่อนที่จะส่ง Origin Trial หมายถึงความสามารถในการทำงานกับ API ที่ระบุจากแอปพลิเคชันที่ดาวน์โหลดจาก localhost หรือ 127.0.0.1 หรือหลังจากการลงทะเบียนและรับโทเค็นพิเศษซึ่งใช้ได้ในระยะเวลาจำกัดสำหรับไซต์เฉพาะ
  • คุณสมบัติ CSS "contain-intrinsic-size" รองรับค่า "auto" ซึ่งจะใช้ขนาดที่จดจำล่าสุดขององค์ประกอบ (เมื่อใช้กับ "content-visibility: auto" นักพัฒนาไม่จำเป็นต้องเดาขนาดการแสดงผลขององค์ประกอบ) .
  • เพิ่มคุณสมบัติ AudioContext.outputLatency ซึ่งคุณสามารถค้นหาข้อมูลเกี่ยวกับความล่าช้าที่คาดการณ์ไว้ก่อนเอาท์พุตเสียง (ความล่าช้าระหว่างคำขอเสียงและการเริ่มประมวลผลข้อมูลที่ได้รับโดยอุปกรณ์เอาท์พุตเสียง)
  • โครงร่างสีคุณสมบัติ CSS ซึ่งทำให้สามารถกำหนดได้ว่าโทนสีใดที่องค์ประกอบสามารถแสดงได้อย่างถูกต้อง ("แสง", "มืด", "โหมดกลางวัน" และ "โหมดกลางคืน") เพิ่มพารามิเตอร์ "เท่านั้น" เพื่อป้องกันการบังคับให้เปลี่ยนแปลงสีสคีมาสำหรับองค์ประกอบ HTML แต่ละรายการ ตัวอย่างเช่น หากคุณระบุ “div { color-scheme: only light }” ระบบจะใช้เฉพาะธีมสีอ่อนสำหรับองค์ประกอบ div แม้ว่าเบราว์เซอร์จะบังคับให้เปิดใช้งานธีมสีเข้มก็ตาม
  • เพิ่มการรองรับคำสั่งสื่อ 'ช่วงไดนามิก' และ 'ช่วงไดนามิกวิดีโอ' ใน CSS เพื่อตรวจสอบว่าหน้าจอรองรับ HDR (ช่วงไดนามิกสูง) หรือไม่
  • เพิ่มความสามารถในการเลือกว่าจะเปิดลิงก์ในแท็บใหม่ หน้าต่างใหม่ หรือหน้าต่างป๊อปอัปไปยังฟังก์ชัน window.open() นอกจากนี้ คุณสมบัติ window.statusbar.visible จะส่งคืนค่า "false" สำหรับป๊อปอัปและ "true" สำหรับแท็บและหน้าต่าง const ป๊อปอัป = window.open('_blank',",'popup=1′); // เปิดในหน้าต่างป๊อปอัป const tab = window.open('_blank',,"'popup=0′); // เปิดในแท็บ
  • วิธีการ StructuredClone() ได้รับการปรับใช้สำหรับ windows และผู้ปฏิบัติงาน ซึ่งช่วยให้คุณสร้างสำเนาแบบเรียกซ้ำของวัตถุที่มีคุณสมบัติไม่เพียงแต่ของวัตถุที่ระบุ แต่ยังรวมถึงวัตถุอื่น ๆ ทั้งหมดที่อ้างอิงโดยวัตถุปัจจุบันด้วย
  • Web Authentication API ได้เพิ่มการรองรับส่วนขยายข้อกำหนด FIDO CTAP2 ซึ่งช่วยให้คุณสามารถตั้งค่าขนาดรหัส PIN ขั้นต่ำที่อนุญาต (minPinLength)
  • สำหรับเว็บแอปพลิเคชันแบบสแตนด์อโลนที่ติดตั้งไว้ ได้มีการเพิ่มส่วนประกอบ Window Controls Overlay ซึ่งขยายพื้นที่หน้าจอของแอปพลิเคชันไปยังหน้าต่างทั้งหมด รวมถึงพื้นที่ชื่อเรื่องซึ่งมีปุ่มควบคุมหน้าต่างมาตรฐาน (ปิด ย่อเล็กสุด ขยายใหญ่สุด) ) ซ้อนทับกัน เว็บแอปพลิเคชันสามารถควบคุมการประมวลผลการเรนเดอร์และอินพุตของทั้งหน้าต่าง ยกเว้นบล็อกโอเวอร์เลย์ที่มีปุ่มควบคุมหน้าต่าง
  • เพิ่มคุณสมบัติการจัดการสัญญาณให้กับ WritableStreamDefaultController ที่ส่งคืนวัตถุ AbortSignal ซึ่งสามารถใช้เพื่อหยุดการเขียนไปยัง WritableStream ได้ทันทีโดยไม่ต้องรอให้เสร็จสิ้น
  • WebRTC ได้ยกเลิกการสนับสนุนกลไกข้อตกลงหลักของ SDES ซึ่ง IETF เลิกใช้แล้วในปี 2013 เนื่องจากข้อกังวลด้านความปลอดภัย
  • ตามค่าเริ่มต้น U2F (Cryptotoken) API จะถูกปิดใช้งาน ซึ่งก่อนหน้านี้เลิกใช้แล้วและแทนที่ด้วย Web Authentication API U2F API จะถูกลบออกอย่างสมบูรณ์ใน Chrome 104
  • ในไดเรกทอรี API ฟิลด์ install_browser_version เลิกใช้แล้ว และแทนที่ด้วยฟิลด์ pending_browser_version ใหม่ ซึ่งแตกต่างจากฟิลด์ที่มีข้อมูลเกี่ยวกับเวอร์ชันของเบราว์เซอร์ โดยคำนึงถึงการดาวน์โหลดแต่ไม่ได้ใช้การอัปเดต (เช่น เวอร์ชันที่จะใช้งานได้หลังจาก เบราว์เซอร์จะรีสตาร์ท)
  • ลบตัวเลือกที่อนุญาตให้คืนการสนับสนุนสำหรับ TLS 1.0 และ 1.1
  • มีการปรับปรุงเครื่องมือสำหรับนักพัฒนาเว็บ มีการเพิ่มแท็บเพื่อประเมินการทำงานของแคชย้อนหลัง ซึ่งให้การนำทางทันทีเมื่อใช้ปุ่มย้อนกลับและไปข้างหน้า เพิ่มความสามารถในการจำลองคำขอสื่อที่บังคับสี เพิ่มปุ่มให้กับตัวแก้ไข Flexbox เพื่อรองรับคุณสมบัติการย้อนกลับของแถวและการย้อนกลับของคอลัมน์ แท็บ "การเปลี่ยนแปลง" ช่วยให้มั่นใจได้ว่าการเปลี่ยนแปลงจะแสดงขึ้นหลังจากการจัดรูปแบบโค้ด ซึ่งช่วยให้การแยกวิเคราะห์หน้าที่ย่อเล็กลงง่ายขึ้น
    Chrome รุ่น 98

    การใช้งานแผงตรวจสอบโค้ดได้รับการอัปเดตเป็นการเปิดตัวตัวแก้ไขโค้ด CodeMirror 6 ซึ่งปรับปรุงประสิทธิภาพการทำงานกับไฟล์ขนาดใหญ่มาก (WASM, JavaScript) อย่างมีนัยสำคัญ แก้ปัญหาเกี่ยวกับการชดเชยแบบสุ่มระหว่างการนำทาง และปรับปรุงคำแนะนำของ ระบบเติมข้อความอัตโนมัติเมื่อแก้ไขโค้ด เพิ่มความสามารถในการกรองเอาต์พุตตามชื่อคุณสมบัติหรือค่าลงในแผงคุณสมบัติ CSS แล้ว

    Chrome รุ่น 98

นอกเหนือจากนวัตกรรมและการแก้ไขข้อบกพร่องแล้ว เวอร์ชันใหม่ยังกำจัดช่องโหว่ 27 รายการอีกด้วย ช่องโหว่จำนวนมากถูกระบุอันเป็นผลมาจากการทดสอบอัตโนมัติโดยใช้เครื่องมือ AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer และ AFL ไม่พบปัญหาสำคัญที่ทำให้สามารถข้ามการป้องกันเบราว์เซอร์ทุกระดับและรันโค้ดบนระบบภายนอกสภาพแวดล้อมแซนด์บ็อกซ์ ในฐานะส่วนหนึ่งของโปรแกรมรางวัลเงินสดสำหรับการค้นพบช่องโหว่สำหรับรุ่นปัจจุบัน Google จ่ายเงินรางวัล 19 รางวัล มูลค่า 88 ดอลลาร์ (สองรางวัล 20000 ดอลลาร์สหรัฐฯ, รางวัล 12000 ดอลลาร์หนึ่งรางวัล, 7500 ดอลลาร์สองรางวัล, 1000 ดอลลาร์สี่รางวัล และรางวัลละ 7000 ดอลลาร์, 5000 ดอลลาร์, 3000 ดอลลาร์ และ 2000 ดอลลาร์อย่างละหนึ่งรางวัล

ที่มา: opennet.ru

เพิ่มความคิดเห็น