ProHoster > Блог > Новини інтернету > Реліз Chrome 103

Реліз Chrome 103

Компанія Google представила реліз web-браузера Chrome 103. Одночасно доступний стабільний випуск вільного проекту Chromium, який є основою Chrome. Браузер Chrome відрізняється від Chromium використанням логотипів Google, наявністю системи відправлення повідомлень у разі краху, модулями для відтворення захищеного від копіювання відеоконтенту (DRM), системою автоматичної установки оновлень, постійним включенням Sandbox-ізоляції, постачанням ключів до Google API та передачею при пошуку RL параметрів. Для тих, кому потрібно більше часу на оновлення, окремо підтримується гілка Extended Stable, що супроводжується 8 тижнів. Наступний випуск Chrome 104 заплановано на 2 серпня.

Основні зміни в Chrome 103:

  • Додано експериментальний редактор зображень, що викликається для редагування скріншотів сторінок. У редакторі доступні такі функції, як кадрування, виділення області, малювання пензлем, вибір кольору, додавання текстових міток та виведення типових фігур і примітивів, таких як лінії, прямокутники, кола та стрілки. Для включення редактора необхідно активувати налаштування chrome://flags/#sharing-desktop-screenshots та chrome://flags/#sharing-desktop-screenshots-edit. Після створення скріншота через меню Share в адресному рядку, до редактора можна перейти, натиснувши кнопку «Змінити» («Edit») на сторінці із переглядом скріншота.
    Реліз Chrome 103
  • Розширено можливості доданого в Chrome 101 механізму запобіжного малювання (prerender) вмісту рекомендацій в адресному рядку Omnibox. Попереджувальне відображення доповнює раніше доступну можливість завантаження найбільш вірогідних для переходу рекомендацій, не чекаючи кліка користувача. . Для керування попереджувальним відтворенням запропоновані налаштування «chrome://flags/#enable-prerender2», «chrome://flags/#omnibox-trigger-for-prerender2» та «chrome://flags/#search-suggestion-for- prerender2».

    У Chrome 103 для Android доданий API Speculations Rules, що дозволяє авторам сайтів передавати браузеру відомості про найбільш ймовірні сторінки, на які користувач може перейти. Браузер використовує цю інформацію для запобігання завантаженню та відтворенню вмісту сторінок.

  • У версії для Android задіяний новий менеджер паролів, що пропонує той самий уніфікований інтерфейс керування паролями, що застосовується для додатків Android.
  • У версію для Android додана підтримка сервісу "With Google", що дозволяє користувачеві висловлювати подяку улюбленим сайтам, що зареєструвалися в сервісі, передаючи платні або безкоштовні цифрові наклейки. Сервіс поки доступний лише для користувачів із США.
    Реліз Chrome 103
  • Покращено автозаповнення полів з номерами кредитних та дебетових платіжних карток, в якому тепер підтримуються картки, збережені через Google Pay.
  • У версії для Windows за замовчуванням задіяний вбудований DNS-клієнт, який також використовується для macOS, Android і Chrome OS.
  • Стабілізовано та запропоновано всім бажаючим API Local Font Access, за допомогою якого можна визначити та використовувати встановлені в системі шрифти, а також маніпулювати шрифтами на низькому рівні (наприклад, фільтрувати та трансформувати гліфи).
  • Додано підтримку коду HTTP-відповіді 103, який дозволяє інформувати клієнта про зміст деяких HTTP-заголовків відразу після запиту, не чекаючи поки сервер виконає всі пов'язані із запитом операції та почне віддачу контенту. Подібним чином можна повідомляти підказки про пов'язані з сторінкою, що віддається, елементах, які можуть бути попередньо завантажені (наприклад, можуть бути наведені посилання на використовувані на сторінці css і javascript). Отримавши інформацію про подібні ресурси, браузер може розпочати їх завантаження, не чекаючи закінчення віддачі основної сторінки, що дозволяє скоротити загальний час обробки запиту.
  • У режимі Origin Trials (експериментальні можливості, що вимагають окремої активації) поки тільки в збірках для платформи Android почалося тестування API Federated Credential Management (FedCM), що дозволяє створювати об'єднані сервіси ідентифікації, що забезпечують збереження конфіденційності та працюють без механізмів міжсайтового відстеження, таких . Origin Trial має на увазі можливість роботи із зазначеним API з додатків, завантажених з localhost або 127.0.0.1, або після проходження реєстрації та отримання спеціального токена, який діє обмежений час для конкретного сайту.
  • В API Client Hints, що розвивається як заміна заголовка User-Agent і дозволяє вибірково віддавати дані про конкретні параметри браузера і системи (версія, платформа і т.д.) тільки після запиту сервером, додана можливість підстановки до списку ідентифікаторів браузера фіктивних назв аналогії з використовуваним у TLS механізмом GREASE (Generate Random Extensions And Sustain Extensibility). Наприклад, крім 'Chrome'; v="103"' і '"Chromium"; v="103"' до списку може бути доданий випадковий ідентифікатор неіснуючого браузера '"(Not;Browser"; v="12"'. Подібна підстановка дозволить виявляти проблеми з обробкою ідентифікаторів невідомих браузерів, які призводять до того, що альтернативні браузери змушені прикидатись іншими популярними браузерами, щоб обійти перевірку за списками допустимих браузерів.
  • Файли у форматі AVIF додані до списку дозволених для обміну через API iWeb Share.
  • Додано підтримку формату стиснення «deflate-raw», що дозволяє отримати доступ до голого стиснутого потоку без заголовків і службових фінальних блоків, що можна використовувати, наприклад, для читання та запису zip-файлів.
  • Для елементів web-форм надано можливість використання атрибуту "rel", що дозволяє застосовувати до навігації через web-форми параметр "rel=noreferrer" для відключення передачі заголовка Referer або "rel=noopener" для відключення виставлення властивості Window.opener та заборони доступу до контексту з якого було виконано перехід.
  • Реалізація події popstate приведена у відповідність до поведінки Firefox. Подія popstate тепер генерується відразу після зміни URL без очікування настання події load.
  • Для сторінок, відкритих без HTTPS та із блоків iframe заборонено звернення до API Gampepad та API Battery Status.
  • До об'єкта SerialPort додано метод forget() для відмови від раніше отриманих від користувача повноважень для доступу до послідовного порту.
  • У CSS-властивість overflow-clip-margin доданий атрибут visual-box, що визначає з якого місця слід починати обрізання контенту, що вийшов за кордон області (може приймати значення content-box, padding-box та border-box).
  • У блоках iframe з атрибутом sandbox заборонено виклик зовнішніх протоколів та запуск зовнішніх програм-обробників. Для скасування обмеження слід використовувати властивості allow-popups, allow-top-navigation та allow-top-navigation-with-user-activation.
  • Припинено підтримку елемента , який втратив сенс після припинення підтримки плагінів
  • Внесено покращення до інструментів для web-розробників. Наприклад, у панелі Styles з'явилася можливість визначення кольору точки поза вікном браузера. Покращено перегляд значень параметрів у налагоджувачі. Додано можливість зміни порядку проходження панелей в інтерфейсі Elements.

Окрім нововведень та виправлення помилок у новій версії усунуто 14 вразливостей. Багато вразливостей виявлено в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer та AFL. Однією з проблем (CVE-2022-2156) надано критичний рівень небезпеки, який передбачає можливість обійти всі рівні захисту браузера та виконати код у системі за межами sandbox-оточення. Деталі з цієї вразливості поки що не розголошуються, відомо лише, що викликана зверненням до звільненому блоку пам'яті (use-after-free).

У рамках програми з виплати грошової винагороди за виявлення вразливостей для поточного релізу компанія Google виплатила 9 премій на суму 44 тисяч доларів США (одна премія $20000, одна премія $7500, одна премія $7000, дві премії $3000 і по одній премії в $2000, $1000 ). Розмір винагороди за критичну вразливість поки що не визначено.

Джерело: opennet.ru

Додати коментар або відгук