ProHoster > Blog > balita sa internet > Paglabas ng Chrome 102

Paglabas ng Chrome 102

Inihayag ng Google ang paglabas ng web browser ng Chrome 102. Kasabay nito, available ang isang matatag na paglabas ng libreng proyekto ng Chromium, na nagsisilbing batayan ng Chrome. Ang Chrome browser ay naiiba sa Chromium sa paggamit ng mga logo ng Google, ang pagkakaroon ng system para sa pagpapadala ng mga notification kung sakaling magkaroon ng crash, mga module para sa paglalaro ng copy-protected video content (DRM), isang system para sa awtomatikong pag-install ng mga update, permanenteng pagpapagana ng Sandbox isolation , pagbibigay ng mga susi sa Google API at pagpapadala ng RLZ- kapag naghahanap ng mga parameter. Para sa mga nangangailangan ng mas maraming oras upang mag-update, ang Extended Stable na sangay ay hiwalay na sinusuportahan, na sinusundan ng 8 linggo. Ang susunod na release ng Chrome 103 ay naka-iskedyul para sa ika-21 ng Hunyo.

Mga pangunahing pagbabago sa Chrome 102:

  • Upang harangan ang pagsasamantala sa mga kahinaan na dulot ng pag-access sa mga nakalaya na bloke ng memorya (use-after-free), sa halip na mga ordinaryong pointer, nagsimulang gamitin ang MiraclePtr (raw_ptr) na uri. Ang MiraclePtr ay nagbibigay ng isang binding over pointer na nagsasagawa ng mga karagdagang pagsusuri sa mga pag-access sa mga libreng lugar ng memorya at mga pag-crash kung ang mga naturang pag-access ay nakita. Ang epekto ng bagong paraan ng proteksyon sa pagganap at pagkonsumo ng memorya ay tinasa bilang bale-wala. Ang mekanismo ng MiraclePtr ay hindi naaangkop sa lahat ng mga proseso, lalo na hindi ito ginagamit sa mga proseso ng pag-render, ngunit maaari itong makabuluhang mapabuti ang seguridad. Halimbawa, sa kasalukuyang release, sa 32 na mga vulnerabilities na naayos, 12 ang sanhi ng mga problemang walang paggamit.
  • Ang disenyo ng interface na may impormasyon tungkol sa mga pag-download ay binago. Sa halip na ang ilalim na linya na may data sa pag-unlad ng pag-download, isang bagong tagapagpahiwatig ang idinagdag sa panel na may address bar; kapag nag-click ka dito, ang pag-usad ng pag-download ng mga file at isang kasaysayan na may listahan ng mga na-download na file ay ipinapakita. Hindi tulad sa ilalim na panel, ang button ay patuloy na ipinapakita sa panel at nagbibigay-daan sa iyong mabilis na ma-access ang iyong kasaysayan ng pag-download. Ang bagong interface ay kasalukuyang inaalok bilang default lamang sa ilang mga user at ipapalawig sa lahat kung walang mga problema. Upang ibalik ang lumang interface o paganahin ang bago, ang setting na "chrome://flags#download-bubble" ay ibinigay.
    Paglabas ng Chrome 102
  • Kapag naghahanap ng mga larawan sa pamamagitan ng menu ng konteksto ("Maghanap ng larawan gamit ang Google Lens" o "Maghanap sa pamamagitan ng Google Lens"), ang mga resulta ay ipinapakita na hindi sa isang hiwalay na pahina, ngunit sa isang sidebar sa tabi ng nilalaman ng orihinal na pahina (sa isang window maaari mong sabay na makita ang parehong nilalaman ng pahina at ang resulta ng pag-access sa search engine).
    Paglabas ng Chrome 102
  • Sa seksyong "Privacy and Security" ng mga setting, may idinagdag na seksyong "Privacy Guide," na nag-aalok ng pangkalahatang pangkalahatang-ideya ng mga pangunahing setting na nakakaapekto sa privacy na may mga detalyadong paliwanag ng epekto ng bawat setting. Halimbawa, sa seksyon na maaari mong tukuyin ang patakaran para sa pagpapadala ng data sa mga serbisyo ng Google, pamahalaan ang pag-synchronize, pagpoproseso ng cookie at pag-save ng kasaysayan. Inaalok ang function sa ilang user; para i-activate ito, maaari mong gamitin ang setting na β€œchrome://flags#privacy-guide”.
    Paglabas ng Chrome 102
  • Ang istruktura ng kasaysayan ng paghahanap at mga pahinang tiningnan ay ibinigay. Kapag sinubukan mong maghanap muli, ang isang pahiwatig na "Ipagpatuloy ang iyong paglalakbay" ay ipinapakita sa address bar, na nagbibigay-daan sa iyong ipagpatuloy ang paghahanap mula sa lugar kung saan ito naantala noong huling pagkakataon.
    Paglabas ng Chrome 102
  • Nag-aalok ang Chrome Web Store ng page na "Extensions Starter Kit" na may paunang seleksyon ng mga inirerekomendang add-on.
  • Sa mode ng pagsubok, ang pagpapadala ng kahilingan sa awtorisasyon ng CORS (Cross-Origin Resource Sharing) sa pangunahing server ng site na may header na "Access-Control-Request-Private-Network: true" ay pinagana kapag ang pahina ay nag-access ng mapagkukunan sa panloob na network ( 192.168.xx , 10.xxx, 172.16.xx) o sa localhost (128.xxx). Kapag kinukumpirma ang operasyon bilang tugon sa kahilingang ito, dapat ibalik ng server ang header na "Access-Control-Allow-Private-Network: true". Sa bersyon 102 ng Chrome, hindi pa naaapektuhan ng resulta ng kumpirmasyon ang pagproseso ng kahilingan - kung walang kumpirmasyon, may ipapakitang babala sa web console, ngunit ang kahilingan sa subresource mismo ay hindi naka-block. Ang pagpapagana ng pag-block sa kawalan ng kumpirmasyon mula sa server ay hindi inaasahan hanggang sa paglabas ng Chrome 105. Upang paganahin ang pag-block sa mga naunang release, maaari mong paganahin ang setting na "chrome://flags/#private-network-access-respect-preflight- resulta".

    Ang pag-verify ng awtoridad ng server ay ipinakilala upang palakasin ang proteksyon laban sa mga pag-atake na nauugnay sa pag-access ng mga mapagkukunan sa lokal na network o sa computer ng user (localhost) mula sa mga script na na-load kapag nagbubukas ng isang site. Ang mga naturang kahilingan ay ginagamit ng mga umaatake upang magsagawa ng mga pag-atake ng CSRF sa mga router, access point, printer, corporate web interface at iba pang mga device at serbisyo na tumatanggap lamang ng mga kahilingan mula sa lokal na network. Upang maprotektahan laban sa mga naturang pag-atake, kung ang anumang mga sub-resource ay na-access sa panloob na network, ang browser ay magpapadala ng isang tahasang kahilingan para sa pahintulot na i-load ang mga sub-resource na ito.

  • Kapag nagbubukas ng mga link sa incognito mode sa pamamagitan ng menu ng konteksto, ang ilang parameter na nakakaapekto sa privacy ay awtomatikong inaalis sa URL.
  • Ang diskarte sa paghahatid ng update para sa Windows at Android ay nabago. Upang mas ganap na maikumpara ang gawi ng bago at lumang release, maraming build ng bagong bersyon ang nabuo ngayon para sa pag-download.
  • Ang teknolohiya ng pagse-segment ng network ay pinatatag upang maprotektahan laban sa mga paraan ng pagsubaybay sa mga paggalaw ng user sa pagitan ng mga site batay sa pag-iimbak ng mga identifier sa mga lugar na hindi nilayon para sa permanenteng pag-imbak ng impormasyon ("Supercookies"). Dahil naka-imbak ang mga naka-cache na mapagkukunan sa isang karaniwang namespace, anuman ang pinagmulan ng domain, matutukoy ng isang site na ang isa pang site ay naglo-load ng mga mapagkukunan sa pamamagitan ng pagsuri kung ang mapagkukunang iyon ay nasa cache. Ang proteksyon ay batay sa paggamit ng network segmentation (Network Partitioning), ang esensya nito ay ang magdagdag sa mga shared cache ng karagdagang pagbubuklod ng mga tala sa domain kung saan binubuksan ang pangunahing pahina, na naglilimita sa saklaw ng cache para sa mga script ng pagsubaybay sa paggalaw lamang sa kasalukuyang site (hindi masusuri ng script mula sa isang iframe kung na-download ang mapagkukunan mula sa ibang site). Saklaw ng pagbabahagi ng estado ang mga koneksyon sa network (HTTP/1, HTTP/2, HTTP/3, websocket), DNS cache, data ng ALPN/HTTP2, TLS/HTTP3, configuration, mga pag-download, at Expect-CT header na impormasyon.
  • Para sa mga naka-install na stand-alone na web application (PWA, Progressive Web App), posibleng baguhin ang disenyo ng window title area gamit ang mga bahagi ng Window Controls Overlay, na nagpapalawak ng screen area ng web application sa buong window. Maaaring kontrolin ng isang web application ang pag-render at pagpoproseso ng input ng buong window, maliban sa overlay block na may mga standard na window control button (close, minimize, maximize), upang bigyan ang web application ng hitsura ng isang regular na desktop application.
    Paglabas ng Chrome 102
  • Sa form na autofill system, idinagdag ang suporta para sa pagbuo ng mga virtual na numero ng credit card sa mga field na may mga detalye ng pagbabayad para sa mga kalakal sa mga online na tindahan. Ang paggamit ng isang virtual card, ang bilang na nabuo para sa bawat pagbabayad, ay nagbibigay-daan sa iyo na huwag maglipat ng data tungkol sa isang tunay na credit card, ngunit nangangailangan ng pagkakaloob ng kinakailangang serbisyo ng bangko. Ang tampok ay kasalukuyang magagamit lamang sa mga customer ng bangko sa US. Upang kontrolin ang pagsasama ng function, ang setting na "chrome://flags/#autofill-enable-virtual-card" ay iminungkahi.
  • Ang mekanismo ng "Capture Handle" ay isinaaktibo bilang default, na nagbibigay-daan sa iyong maglipat ng impormasyon sa mga application na kumukuha ng video. Ginagawang posible ng API na ayusin ang pakikipag-ugnayan sa pagitan ng mga application na ang nilalaman ay naitala at mga application na nagsasagawa ng pag-record. Halimbawa, ang isang video conferencing application na kumukuha ng video upang i-broadcast ang isang presentasyon ay maaaring makakuha ng impormasyon tungkol sa mga kontrol ng presentasyon at ipakita ang mga ito sa window ng video.
  • Ang suporta para sa mga speculative na panuntunan ay pinagana bilang default, na nagbibigay ng flexible na syntax para sa pagtukoy kung ang data na nauugnay sa link ay maaaring proactive na i-load bago mag-click ang user sa link.
  • Ang mekanismo para sa mga mapagkukunan ng packaging sa mga pakete sa format na Web Bundle ay na-stabilize, na nagbibigay-daan upang mapataas ang kahusayan ng pag-load ng malaking bilang ng mga kasamang file (mga istilo ng CSS, JavaScript, mga larawan, mga iframe). Hindi tulad ng mga pakete sa Webpack format, ang Web Bundle format ay may mga sumusunod na pakinabang: hindi ang package mismo ang nakaimbak sa HTTP cache, ngunit ang mga bahagi nito; magsisimula ang compilation at execution ng JavaScript nang hindi naghihintay na ganap na ma-download ang package; Pinapayagan na magsama ng mga karagdagang mapagkukunan tulad ng CSS at mga larawan, na sa webpack ay kailangang ma-encode sa anyo ng mga string ng JavaScript.
  • Posibleng tukuyin ang isang PWA application bilang isang tagapangasiwa ng ilang partikular na uri ng MIME at mga extension ng file. Pagkatapos tukuyin ang isang binding sa pamamagitan ng field ng file_handlers sa manifest, makakatanggap ang application ng isang espesyal na kaganapan kapag sinubukan ng user na magbukas ng file na nauugnay sa application.
  • Nagdagdag ng bagong inert attribute na nagbibigay-daan sa iyong markahan ang bahagi ng DOM tree bilang "hindi aktibo". Para sa mga DOM node sa estadong ito, hindi pinagana ang pagpili ng teksto at mga tagapangasiwa ng pointer hover, i.e. Palaging nakatakda sa 'wala' ang pointer-events at pinili ng user na CSS property. Kung ang isang node ay maaaring i-edit, pagkatapos ay sa inert mode ito ay nagiging uneditable.
  • Idinagdag ang Navigation API, na nagbibigay-daan sa mga web application na harangin ang mga pagpapatakbo ng window navigation, simulan ang pag-navigate, at suriin ang kasaysayan ng mga aksyon gamit ang application. Ang API ay nagbibigay ng alternatibo sa window.history at window.location properties, na na-optimize para sa mga single-page na web application.
  • Isang bagong flag, "until-found", ang iminungkahi para sa "hidden" attribute, na ginagawang nahahanap ang elemento sa page at na-scroll gamit ang text mask. Halimbawa, maaari kang magdagdag ng nakatagong teksto sa isang pahina, ang mga nilalaman nito ay makikita sa mga lokal na paghahanap.
  • Sa WebHID API, na idinisenyo para sa mababang antas ng pag-access sa mga HID device (Human interface device, keyboard, mouse, gamepad, touchpad) at pag-aayos ng trabaho nang walang presensya ng mga partikular na driver sa system, ang exclusionFilters property ay naidagdag sa requestDevice( ) object, na nagbibigay-daan sa iyong ibukod ang ilang partikular na device kapag nagpakita ang browser ng listahan ng mga available na device. Halimbawa, maaari mong ibukod ang mga device ID na may mga kilalang isyu.
  • Ipinagbabawal na magpakita ng form ng pagbabayad sa pamamagitan ng isang tawag sa PaymentRequest.show() nang walang tahasang pagkilos ng user, halimbawa, pag-click sa elementong nauugnay sa handler.
  • Ang suporta para sa isang alternatibong pagpapatupad ng protocol ng SDP (Session Description Protocol) na ginamit upang magtatag ng session sa WebRTC ay hindi na ipinagpatuloy. Nag-alok ang Chrome ng dalawang opsyon sa SDP - pinagsama sa iba pang mga browser at partikular sa Chrome. Mula ngayon, ang portable na opsyon na lang ang natitira.
  • Ang mga pagpapabuti ay ginawa sa mga tool para sa mga web developer. Nagdagdag ng mga button sa panel ng Mga Estilo upang gayahin ang paggamit ng madilim at maliwanag na tema. Ang proteksyon ng tab na Preview sa network inspection mode ay pinalakas (ang application ng Content Security Policy ay pinagana). Ang debugger ay nagpapatupad ng pagwawakas ng script upang i-reload ang mga breakpoint. Ang isang paunang pagpapatupad ng bagong panel ng "Mga pananaw sa pagganap" ay iminungkahi, na nagbibigay-daan sa iyong suriin ang pagganap ng ilang mga operasyon sa pahina.
    Paglabas ng Chrome 102

Bilang karagdagan sa mga inobasyon at pag-aayos ng bug, inaalis ng bagong bersyon ang 32 mga kahinaan. Marami sa mga kahinaan ang natukoy bilang resulta ng awtomatikong pagsubok gamit ang AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer at AFL tool. Ang isa sa mga problema (CVE-2022-1853) ay itinalaga ng isang kritikal na antas ng panganib, na nagpapahiwatig ng kakayahang i-bypass ang lahat ng antas ng proteksyon ng browser at magsagawa ng code sa system sa labas ng kapaligiran ng sandbox. Ang mga detalye sa kahinaan na ito ay hindi pa nabubunyag; alam lamang na ito ay sanhi ng pag-access sa isang napalaya na bloke ng memorya (pagkatapos ng paggamit) sa pagpapatupad ng Indexed DB API.

Bilang bahagi ng cash reward program para sa pagtuklas ng mga kahinaan para sa kasalukuyang release, nagbayad ang Google ng 24 na parangal na nagkakahalaga ng $65600 (isang $10000 na parangal, isang $7500 na parangal, dalawang $7000 na parangal, tatlong $5000 na parangal, apat na $3000 na parangal, dalawang $2000 na parangal, at dalawang $1000 na parangal, at dalawang $500 na parangal $7 na mga bonus). Ang laki ng XNUMX reward ay hindi pa natutukoy.

Pinagmulan: opennet.ru

Magdagdag ng komento