ProHoster > Блог > Новини інтернету > Реліз Chrome 107

Реліз Chrome 107

Компанія Google представила реліз web-браузера Chrome 107. Одночасно доступний стабільний випуск вільного проекту Chromium, який є основою Chrome. Браузер Chrome відрізняється від Chromium використанням логотипів Google, наявністю системи відправлення повідомлень у разі краху, модулями для відтворення захищеного від копіювання відеоконтенту (DRM), системою автоматичної установки оновлень, постійним включенням Sandbox-ізоляції, постачанням ключів до Google API та передачею при пошуку RL параметрів. Для тих, кому потрібно більше часу на оновлення, окремо підтримується гілка Extended Stable, що супроводжується 8 тижнів. Наступний випуск Chrome 108 заплановано на 29 листопада.

Основні зміни в Chrome 107:

  • Додана підтримка механізму ECH (Encrypted Client Hello), який продовжує розвиток ESNI (Encrypted Server Name Indication) та використовується для шифрування інформації про параметри TLS-сеансів, таких як запитане доменне ім'я. Ключова відмінність ECH від ESNI в тому, що в ECH замість шифрування на рівні окремих полів повністю шифрується все TLS-повідомлення ClientHello, що дозволяє блокувати витоку через поля, які не охоплює ESNI, наприклад, поле PSK (Pre-Shared Key). ECH також використовує DNS-запис HTTPSSVC замість запису з типом TXT для передачі інформації про відкритий ключ і застосовує для отримання та шифрування ключа автентифіковане наскрізне шифрування на основі механізму HPKE (Hybrid Public Key Encryption). Для керування включенням ECH запропоновано налаштування "chrome://flags#encrypted-client-hello".
  • Увімкнена підтримка апаратного прискорення декодування відео у форматі H.265 (HEVC).
  • Активовано п'яту стадію урізання інформації в HTTP-заголовку User-Agent та JavaScript параметрах navigator.userAgent, navigator.appVersion та navigator.platform, що реалізується з метою скорочення інформації, яка може використовуватися для пасивної ідентифікації користувача. У Chrome 107 у рядку User-Agent скорочено інформацію про платформу та процесор для користувачів настільних систем, а також заморожено вміст JavaScript-параметру navigator.platform. Зміна помітна лише у версіях для платформи Windows, для якої конкретна версія платформи замінена на Windows NT 10.0. У Linux вміст платформи у User-Agent не змінився.

    Раніше версію браузера цифри MINOR.BUILD.PATCH були замінені на 0.0.0. Надалі в заголовку планується залишити лише відомості про назву браузера, значну версію браузера, платформу та тип пристрою (мобільний телефон, ПК, планшет). Для отримання додаткових даних, таких як точна версія та розширені дані про платформу, необхідно використовувати API User Agent Client Hints. Для сайтів, яким нової інформації недостатньо і які ще не готові перейти на User Agent Client Hints, до травня 2023 надано можливість повернення повного User-Agent.

  • У версії для Android припинено підтримку платформи Android 6.0, для роботи браузера тепер потрібно як мінімум версія Android 7.0.
  • Змінено оформлення інтерфейсу для відстеження стану завантаження. Замість нижнього рядка з даними про хід завантаження в панель з адресним рядком додано новий індикатор, при натисканні на який відображається прогрес завантаження файлів та історія зі списком вже завантажених файлів. На відміну від нижньої панелі, кнопка постійно з'являється на панелі і дозволяє швидко звернутися до історії завантажень. Новий інтерфейс поки що запропонований за промовчанням лише частини користувачів і буде розповсюджений на всіх у разі відсутності проблем.
    Реліз Chrome 107
  • Для користувачів настільних систем можна імпортувати паролі, збережені у файлі у форматі CSV. Раніше паролі з файлу в браузер можна було перенести лише через сервіс passwords.google.com, а тепер це можна зробити через вбудований в браузер менеджер паролів (Google Password Manager).
  • Після створення користувачем нового профілю забезпечено виведення запрошення, що пропонує увімкнути синхронізацію та перейти до налаштувань, через які можна змінити ім'я профілю та вибрати колірну тему.
  • У версії для платформи Android запропонований новий інтерфейс для вибору мультимедійних файлів для завантаження фотографій та відео (замість власної реалізації задіяний штатний інтерфейс Android Media Picker).
    Реліз Chrome 107
  • Забезпечено автоматичне відкликання дозволу на виведення повідомлень для сайтів, викритих у відправленні сповіщень та повідомлень, що заважають користувачеві. Більше того, для таких сайтів призупинено виведення запитів на отримання повноважень для надсилання повідомлень.
  • В API Screen Capture додані нові властивості, пов'язані із спільним доступом до екрану - selfBrowserSurface (дозволяє виключити поточну вкладку при виклику getDisplayMedia()), surfaceSwitching (дозволяє приховати кнопку для перемикання вкладок) і displaySurface (дає можливість обмежити надання екраном).
  • В API Performance додано властивість renderBlockingStatus для визначення ресурсів, через які малювання сторінки призупинено до завершення їх завантаження.
  • У режимі Origin Trials (експериментальні можливості, що потребують окремої активації), додано кілька нових API. Origin Trial має на увазі можливість роботи із зазначеним API з додатків, завантажених з localhost або 127.0.0.1, або після проходження реєстрації та отримання спеціального токена, який діє обмежений час для конкретного сайту.
    • Декларативний API PendingBeacon, що дозволяє керувати відправкою на сервер даних, що не потребують відповіді (beacon). Новий API дозволяє делегувати надсилання подібних даних браузеру, без необхідності виклику операцій відправки в певний час, наприклад, для організації телеметрії після закриття користувачем сторінки.
    • У HTTP-заголовок Permissions-Policy (Feature Policy), застосовуваний для делегування повноважень та включення розширених можливостей, додано підтримку значення «unload», за допомогою якого можна вимкнути обробники події «unload» на сторінці.
  • У тег додано підтримку атрибуту «rel», який дозволяє застосовувати до навігації через web-форми параметр «rel=noreferrer» для відключення передачі заголовка Referer або «rel=noopener» для відключення виставлення властивості Window.opener та заборони доступу до контексту з якого було виконано перехід .
  • У CSS Grid додано підтримку інтерполяції властивостей grid-template-columns і grid-template-rows для організації плавного переходу між різними станами сітки.
  • Внесено покращення до інструментів для web-розробників. Додано можливість настроювання гарячих клавіш. Покращено інспекцію пам'яті об'єктів додатків C/C++, перетворених у формат WebAssembly.

Окрім нововведень та виправлення помилок у новій версії усунуто 14 вразливостей. Багато вразливостей виявлено в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer та AFL. Критичних проблем, які дозволяють обійти всі рівні захисту браузера та виконати код у системі за межами sandbox-оточення, не виявлено. У рамках програми з виплати грошової винагороди за виявлення вразливостей для поточного релізу компанія Google виплатила 10 премій на суму 57 тисяч доларів США (по одній премії $20000, $17000 і $7000, дві премії $3000, три премії $2000 і одна премія $1000). Розмір однієї винагороди поки що не визначений.

Джерело: opennet.ru

Додати коментар або відгук