Chrome sürümü 102

Google, Chrome 102 web tarayıcısının sürümünü duyurdu.Aynı zamanda Chrome'un temelini oluşturan ücretsiz Chromium projesinin kararlı sürümü de mevcut. Chrome tarayıcısı, Google logolarının kullanımı, çökme durumunda bildirim göndermek için bir sistemin varlığı, kopya korumalı video içeriğini (DRM) oynatmak için modüller, güncellemeleri otomatik olarak yüklemek için bir sistem, Sandbox izolasyonunu kalıcı olarak etkinleştirme açısından Chromium'dan farklıdır. , Google API'sinin anahtarlarını sağlamak ve arama yaparken RLZ- parametrelerini iletmek. Güncelleme için daha fazla zamana ihtiyaç duyanlar için Genişletilmiş Stabil şubesi ayrı olarak desteklenir ve bunu 8 hafta takip eder. Chrome 103'ün bir sonraki sürümünün 21 Haziran'da yayınlanması planlanıyor.

Chrome 102'deki önemli değişiklikler:

• Halihazırda serbest bırakılmış bellek bloklarına erişimden kaynaklanan güvenlik açıklarından (ücretsiz kullanımdan sonra) yararlanılmasını engellemek için sıradan işaretçiler yerine MiraclePtr (raw_ptr) türü kullanılmaya başlandı. MiraclePtr, boş hafıza alanlarına erişimlerde ek kontroller gerçekleştiren işaretçiler üzerinde bir bağlama sağlar ve bu tür erişimler tespit edilirse çöker. Yeni koruma yönteminin performans ve bellek tüketimi üzerindeki etkisi ihmal edilebilir düzeyde değerlendiriliyor. MiraclePtr mekanizması tüm süreçlerde geçerli değildir, özellikle render süreçlerinde kullanılmaz ancak güvenliği önemli ölçüde artırabilir. Örneğin, mevcut sürümde düzeltilen 32 güvenlik açığından 12'si serbest kullanımdan sonra kullanım sorunlarından kaynaklanıyordu.
• İndirmelerle ilgili bilgilerin yer aldığı arayüzün tasarımı değiştirildi. İndirme ilerlemesine ilişkin verileri içeren alt satır yerine, adres çubuğuyla birlikte panele yeni bir gösterge eklendi; üzerine tıkladığınızda, dosyaların indirilmesinin ilerlemesi ve önceden indirilmiş dosyaların listesini içeren bir geçmiş gösterilir. Düğme, alt panelden farklı olarak panelde sürekli olarak gösterilir ve indirme geçmişinize hızlı bir şekilde erişmenizi sağlar. Yeni arayüz şu anda varsayılan olarak yalnızca bazı kullanıcılara sunuluyor ve herhangi bir sorun yaşanmaması durumunda tüm kullanıcılara genişletilecek. Eski arayüzü döndürmek veya yenisini etkinleştirmek için “chrome://flags#download-bubble” ayarı sağlanmıştır.
• Bağlam menüsü aracılığıyla görsel ararken (“Google Lens ile görsel arayın” veya “Google Lens ile Bul”), sonuçlar artık ayrı bir sayfada değil, orijinal sayfa içeriğinin yanındaki kenar çubuğunda (içinde) gösteriliyor. tek bir pencerede hem sayfa içeriğini hem de arama motoruna erişimin sonucunu aynı anda görebilirsiniz).
• Ayarların "Gizlilik ve Güvenlik" bölümüne, her ayarın etkisine ilişkin ayrıntılı açıklamalarla gizliliği etkileyen ana ayarlara genel bir bakış sunan bir "Gizlilik Kılavuzu" bölümü eklendi. Örneğin, bölümde Google hizmetlerine veri gönderme, senkronizasyonu yönetme, Çerez işleme ve geçmiş kaydetme politikasını tanımlayabilirsiniz. İşlev bazı kullanıcılara sunuluyor; etkinleştirmek için “chrome://flags#privacy-guide” ayarını kullanabilirsiniz.
• Arama geçmişinin ve görüntülenen sayfaların yapılandırılması sağlanır. Tekrar aramayı denediğinizde, adres çubuğunda “Yolculuğunuza devam edin” ipucu görüntülenerek aramaya son kez kesintiye uğradığı yerden devam etmenize olanak tanır.
• Chrome Web Mağazası, önerilen eklentilerin başlangıç ​​seçimini içeren bir "Uzantı Başlangıç ​​Seti" sayfası sunar.
• Test modunda, sayfa dahili ağdaki bir kaynağa eriştiğinde ana site sunucusuna “Erişim-Kontrol-İstek-Özel-Ağ: doğru” başlığıyla CORS (Çapraz Kaynak Paylaşımı) yetkilendirme isteği gönderilmesi etkinleştirilir ( 192.168.xx , 10.xxx, 172.16.xx) veya localhost'a (128.xxx). Bu isteğe yanıt olarak işlemi onaylarken sunucunun “Erişim-Kontrol-İzin Ver-Özel-Ağ: doğru” başlığını döndürmesi gerekir. Chrome sürüm 102'de, onay sonucu henüz isteğin işlenmesini etkilemez; onay yoksa web konsolunda bir uyarı görüntülenir, ancak alt kaynak isteğinin kendisi engellenmez. Sunucudan onay alınmadan engellemenin etkinleştirilmesi Chrome 105 çıkana kadar beklenmemektedir. Daha önceki sürümlerde engellemeyi etkinleştirmek için "chrome://flags/#private-network-access-respect-preflight-" ayarını etkinleştirebilirsiniz. sonuçlar".

  Yetkinin sunucu tarafından doğrulanması, bir siteyi açarken yüklenen komut dosyalarından yerel ağdaki veya kullanıcının bilgisayarındaki (localhost) kaynaklara erişimle ilgili saldırılara karşı korumayı güçlendirmek için tanıtıldı. Bu tür istekler, saldırganlar tarafından yönlendiricilere, erişim noktalarına, yazıcılara, kurumsal web arayüzlerine ve yalnızca yerel ağdan gelen istekleri kabul eden diğer cihaz ve hizmetlere CSRF saldırıları gerçekleştirmek için kullanılır. Bu tür saldırılara karşı korunmak için, iç ağda herhangi bir alt kaynağa erişilmesi durumunda, tarayıcı bu alt kaynakların yüklenmesi için açık bir izin isteği gönderecektir.

• Bağlantıları içerik menüsünden gizli modda açarken, gizliliği etkileyen bazı parametreler URL'den otomatik olarak kaldırılır.
• Windows ve Android için güncelleme dağıtım stratejisi değiştirildi. Yeni ve eski sürümlerin davranışını daha kapsamlı bir şekilde karşılaştırmak için artık indirilmek üzere yeni sürümün birden çok yapısı oluşturuldu.
• Ağ bölümleme teknolojisi, bilgilerin kalıcı olarak saklanması amaçlanmayan alanlarda tanımlayıcıların saklanmasına dayalı olarak siteler arasındaki kullanıcı hareketlerini takip etme yöntemlerine ("Süper Çerezler") karşı koruma sağlamak üzere stabilize edilmiştir. Önbelleğe alınan kaynaklar, kaynak etki alanından bağımsız olarak ortak bir ad alanında depolandığından, bir site, kaynağın önbellekte olup olmadığını kontrol ederek başka bir sitenin kaynakları yüklediğini belirleyebilir. Koruma, özü paylaşılan önbelleklere, kayıtların ana sayfanın açıldığı alana ek olarak bağlanmasını eklemek olan ve yalnızca hareket izleme komut dosyaları için önbellek kapsamını sınırlayan ağ bölümlemesinin (Ağ Bölümleme) kullanımına dayanmaktadır. geçerli siteye (iframe'den gelen bir komut dosyası, kaynağın başka bir siteden indirilip indirilmediğini kontrol edemez). Durum paylaşımı, ağ bağlantılarını (HTTP/1, HTTP/2, HTTP/3, websocket), DNS önbelleğini, ALPN/HTTP2, TLS/HTTP3 verilerini, yapılandırmayı, indirmeleri ve Expect-CT başlık bilgilerini kapsar.
• Yüklü bağımsız web uygulamaları için (PWA, Progressive Web App), web uygulamasının ekran alanını tüm pencereye genişleten Pencere Kontrolleri Yerleşimi bileşenlerini kullanarak pencere başlık alanının tasarımını değiştirmek mümkündür. Bir web uygulaması, web uygulamasına normal bir masaüstü uygulamasının görünümünü vermek için standart pencere kontrol düğmelerine (kapat, simge durumuna küçült, büyüt) sahip kaplama bloğu hariç tüm pencerenin oluşturulmasını ve giriş işlemesini kontrol edebilir.
• Otomatik form doldurma sistemine, çevrimiçi mağazalardaki ürünler için ödeme ayrıntılarının bulunduğu alanlarda sanal kredi kartı numaraları oluşturma desteği eklendi. Her ödeme için numarası oluşturulan sanal kartın kullanılması, gerçek bir kredi kartına ilişkin verileri aktarmanıza izin vermez, ancak banka tarafından gerekli hizmetin sağlanmasını gerektirir. Bu özellik şu anda yalnızca ABD'deki banka müşterilerinin kullanımına açıktır. İşlevin dahil edilmesini kontrol etmek için “chrome://flags/#autofill-enable-virtual-card” ayarı önerilmektedir.
• “Yakalama Kolu” mekanizması varsayılan olarak etkindir ve bilgileri video yakalayan uygulamalara aktarmanıza olanak tanır. API, içeriği kaydedilen uygulamalar ile kaydı gerçekleştiren uygulamalar arasındaki etkileşimi düzenlemeyi mümkün kılar. Örneğin, bir sunumu yayınlamak için video yakalayan bir video konferans uygulaması, sunum kontrolleri hakkındaki bilgileri alabilir ve bunları video penceresinde görüntüleyebilir.
• Spekülatif kurallar desteği varsayılan olarak etkindir ve kullanıcı bağlantıyı tıklamadan önce bağlantıyla ilgili verilerin proaktif olarak yüklenip yüklenemeyeceğini belirlemek için esnek sözdizimi sağlar.
• Kaynakları Web Paketi formatında paketler halinde paketleme mekanizması stabilize edilerek çok sayıda eşlik eden dosyanın (CSS stilleri, JavaScript, resimler, iframe'ler) yüklenmesinin verimliliği artırıldı. Webpack biçimindeki paketlerden farklı olarak Web Bundle biçimi şu avantajlara sahiptir: HTTP önbelleğinde depolanan paketin kendisi değil, bileşen parçalarıdır; JavaScript'in derlenmesi ve yürütülmesi, paketin tamamen indirilmesini beklemeden başlar; Web paketinde JavaScript dizeleri biçiminde kodlanması gereken CSS ve resimler gibi ek kaynakların eklenmesine izin verilir.
• Bir PWA uygulamasını belirli MIME türlerinin ve dosya uzantılarının işleyicisi olarak tanımlamak mümkündür. Bildiride file_handlers alanı aracılığıyla bir bağlama tanımlandıktan sonra, kullanıcı uygulamayla ilişkili bir dosyayı açmaya çalıştığında uygulama özel bir olay alacaktır.
• DOM ağacının bir bölümünü "etkin değil" olarak işaretlemenize olanak tanıyan yeni bir eylemsiz özellik eklendi. Bu durumdaki DOM düğümleri için metin seçimi ve işaretçinin üzerine gelme işleyicileri devre dışı bırakılır; İşaretçi olayları ve kullanıcı tarafından seçilen CSS özellikleri her zaman 'yok' olarak ayarlanır. Bir düğüm düzenlenebiliyorsa eylemsiz modda düzenlenemez hale gelir.
• Web uygulamalarının pencerede gezinme işlemlerini engellemesine, gezinmeyi başlatmasına ve uygulamadaki eylemlerin geçmişini analiz etmesine olanak tanıyan Gezinme API'si eklendi. API, tek sayfalı web uygulamaları için optimize edilmiş window.history ve window.location özelliklerine bir alternatif sağlar.
• Öğenin sayfada aranabilir ve metin maskesiyle kaydırılabilir olmasını sağlayan "gizli" özelliği için "bulunana kadar" şeklinde yeni bir bayrak önerildi. Örneğin, içeriği yerel aramalarda bulunacak bir sayfaya gizli metin ekleyebilirsiniz.
• HID cihazlarına (İnsan arayüz cihazları, klavyeler, fareler, oyun kumandaları, dokunmatik yüzeyler) düşük seviyeli erişim için tasarlanan WebHID API'sinde, sistemde belirli sürücüler bulunmadan işlerin organize edilmesi için requestDevice( dosyasına exclusionFilters özelliği eklenmiştir. ) nesnesi, tarayıcı kullanılabilir cihazların bir listesini görüntülerken belirli cihazları hariç tutmanıza olanak tanır. Örneğin, bilinen sorunları olan cihaz kimliklerini hariç tutabilirsiniz.
• İşleyiciyle ilişkili bir öğeye tıklamak gibi açık bir kullanıcı eylemi olmadan PaymentRequest.show() çağrısı yoluyla bir ödeme formunun görüntülenmesi yasaktır.
• WebRTC'de oturum oluşturmak için kullanılan SDP (Oturum Açıklama Protokolü) protokolünün alternatif uygulamasına yönelik destek durduruldu. Chrome, diğer tarayıcılarla birleştirilmiş ve Chrome'a ​​özel olmak üzere iki SDP seçeneği sundu. Artık yalnızca taşınabilir seçeneği kaldı.
• Web geliştiricilerine yönelik araçlarda iyileştirmeler yapıldı. Koyu ve açık temanın kullanımını simüle etmek için Stiller paneline düğmeler eklendi. Ağ inceleme modunda Önizleme sekmesinin koruması güçlendirildi (İçerik Güvenliği Politikasının uygulanması etkinleştirildi). Hata ayıklayıcı, kesme noktalarını yeniden yüklemek için komut dosyası sonlandırmasını uygular. Sayfadaki belirli işlemlerin performansını analiz etmenize olanak tanıyan yeni "Performans öngörüleri" panelinin ön uygulaması önerildi.

Yeni sürüm, yenilikler ve hata düzeltmelerinin yanı sıra 32 güvenlik açığını da ortadan kaldırıyor. Güvenlik açıklarının çoğu, AdresSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer ve AFL araçları kullanılarak yapılan otomatik testler sonucunda belirlendi. Sorunlardan birine (CVE-2022-1853) kritik bir tehlike düzeyi atandı; bu, tüm tarayıcı koruma düzeylerini atlama ve sanal alan ortamı dışındaki sistemde kod yürütme yeteneğini ima ediyor. Bu güvenlik açığıyla ilgili ayrıntılar henüz açıklanmadı; yalnızca Indexed DB API uygulamasında serbest bırakılan bir bellek bloğuna (sonradan kullanım) erişimden kaynaklandığı biliniyor.

Mevcut sürümdeki güvenlik açıklarını keşfetmeye yönelik nakit ödül programının bir parçası olarak Google, 24 ABD Doları değerinde 65600 ödül ödedi (bir 10000 ABD Doları ödül, bir 7500 ABD Doları ödül, iki 7000 ABD Doları ödül, üç 5000 ABD Doları ödül, dört 3000 ABD Doları ödül, iki 2000 ABD Doları ödül, iki 1000 ABD Doları ve iki) 500$ bonus). 7 ödülün büyüklüğü ise henüz belirlenmedi.

Kaynak: opennet.ru