ProHoster > Блог > Новини інтернету > Випуск web-браузера Chrome 137

Випуск web-браузера Chrome 137

Компанія Google опублікувала реліз web-браузера Chrome 137. Одночасно доступний стабільний випуск вільного проекту Chromium, який є основою Chrome. Браузер Chrome відрізняється від Chromium використанням логотипів Google, наявністю системи відправлення повідомлень у разі краху, модулями для відтворення захищеного від копіювання відеоконтенту (DRM), системою автоматичної установки оновлень, постійним включенням Sandbox-ізоляції, постачанням ключів до Google API та передачею RLZ-парарів. Для тих, кому потрібно більше часу на оновлення, окремо підтримується гілка Extended Stable, що супроводжується 8 тижнів. Наступний випуск Chrome 138 заплановано на 24 червня.

Основні зміни в Chrome 137:

  • У збірки для Windows и macOS інтегрований чатбот Gemini, який може пояснювати вміст сторінки, що переглядається і відповідати на пов'язані зі сторінкою питання не перемикаючись з поточної вкладки. Підтримується текстова та голосова взаємодія з Gemini. Робота з чатботом поки доступна лише частини користувачів зі США, які мають підписки Google AI Pro та Ultra.
  • За аналогією з раніше реалізованим сегментуванням сховища, забезпечено ізоляцію обробки URL-схеми «blob:», призначеної для доступу до локально згенерованих даних через API Blob або File. При сегментуванні до ключа, що застосовується для вилучення об'єктів, прикріплюється окрема ознака, що визначає прив'язку до первинного домену, з якого відкрито основну сторінку, що дозволяє блокувати методи відстеження переміщень користувача між сайтами через маніпуляцію з URL «blob:.
  • У режимі розширеного захисту браузера (Safe Browsing > Enhanced protection) активовано можливість використання великої мовної моделі для визначення шахрайських сторінок за вмістом. AI-модель виконується на стороні клієнта, але у разі виявлення підозр на сумнівний контент виконується додаткова перевірка на серверах Google. У поточній версії поки що проводиться тільки збір інформації про проблемні сторінки. У наступному випуску планується розпочати виводити попередження користувачеві.
  • Увімкнено захист від прихованої ідентифікації користувачів за допомогою кешу HSTS (HTTP Strict Transport Security). HSTS дозволяє сайтам під час входу HTTP перенаправити користувача на HTTPS. У процесі роботи ім'я хоста, виставленого через HSTS, зберігається у внутрішньому кеші, що дозволяє використовувати факт присутності або відсутності хоста в кеші для зберігання біта інформації. Для прихованого зберігання 32-розрядного ідентифікатора користувача можна використовувати масив із 32 зображень, що віддаються з різних хостів по HTTP (http://bit0.example.com/image.jpg, http://bit1.example.com/image.jpg тощо). Визначення ідентифікатора здійснюється шляхом перевірки з яких хостів зображення завантажилися по HTTPS, а з яких по HTTP (якщо зображення були віддані раніше за HTTP і через HSTS перенаправлені на HTTPS, то при наступних запитах вони будуть завантажені з HTTPS, минаючи звернення по HTTP). Захист зводиться до дозволу оновлення HSTS тільки для ресурсів верхнього рівня та блокування оновлення HSTS у запитах субресурсів.
  • Для з'єднань WebRTC реалізовано підтримку протоколу DTLS 1.3 (Datagram Transport Layer Security, аналог TLS для UDP). Підтримка DTLS 1.3 необхідна використання алгоритмів постквантового шифрування в WebRTC.
  • Видалено опцію командного рядка «—load-extension», що дозволяє завантажувати доповнення. Опція прибрана з метою зниження ризику її використання для встановлення шкідливих доповнень. Для примусового завантаження розпакованих додатків рекомендується використовувати кнопку Load Unpacked на сторінці керування додатками (chrome://extensions/) після ввімкнення режиму для розробника. У Chromium та тестових збірках Chrome For Testing підтримка опції «load-extension» збережена.
  • Вирішено відмовитись від автоматичного відкату на використання для WebGL системи програмного відтворення SwiftShader, що реалізує API Vulkan. У разі відсутності належного бекенду на базі GPU створення контексту WebGL тепер повертатиме помилку, а не перемикатиметься на SwiftShader. Припинення використання SwiftShader дозволить підвищити безпеку завдяки виключенню виконання згенерованого JIT-компілятором коду в процесі, що відповідає за взаємодію з GPU. Для повернення використання SwiftShader передбачено окрему опцію командного рядка «—enable-unsafe-swiftshader». У версії Chrome 137 для користувачів платформ Linux и macOS при використанні SwiftShader у web-консоль буде виводитися попередження, а в Chrome 138 відкат на Swiftshader буде вимкнено. Для користувачів Windows система SwiftShader замінена на вбудовану в Windows систему програмного відтворення WARP (Windows Advanced Rasterization Platform).
  • У налаштуваннях додано можливість включення функції «Autofill with AI», що спрощує заповнення web-форм. При включенні браузер використовує AI-модель для розуміння web-форми та автоматичного заповнення полів, відштовхуючись від того, як раніше користувач заповнював схожі форми.
  • В API Web Cryptography додано підтримку криптоалгоритмів на базі еліптичної кривої Curve25519, таких як алгоритм формування цифрових підписів Ed25519.
  • Реалізовано CSS-властивість «reading-flow», що дозволяє управляти порядком обробки елементів у flex, grid та блокових контейнерах при використанні екранних рідерів та при послідовній навігації. Також додано властивість "reading-order", що дає можливість вручну перевизначати порядок елементів.
  • У CSS запропоновано функцію «if()», призначену для вибору значень в залежності від результату виконання умовних виразів. else: white);».
  • У CSS-властивості offset-path реалізована функція shape() для формування фігур за допомогою команд, еквівалентних функції path(), але дозволяють використовувати для них стандартний синтаксис CSS.
  • Доданий API JSPI (JavaScript Promise Integration), що забезпечує інтеграцію WebAssembly-додатків з JavaScript-об'єктом Promise і дозволяє WebAssembly-програм виступати в ролі генератора Promise і взаємодіяти з API на базі Promise.
  • У API CanvasRenderingContext2D, OffscreenCanvasRenderingContext2D та ImageData додано підтримку піксельних форматів, що використовують значення з плаваючою комою для представлення складових кольору.
  • У режимі Origin trials запропоновані експериментальні API Rewriter і Writer, що дозволяють переробляти (наприклад, коротше викладати суть або змінювати стиль оповідання) або генерувати текст за допомогою великих мовних моделей.
  • До інструментів для веб-розробників додано можливість прив'язки до робочих просторів, що дозволяє зберігати в локальних файлах зміни, додані в JavaScript, HTML і CSS під час роботи з вбудованими в браузер інструментами. Розширено можливості AI-асистента, який може змінювати CSS та аналізувати продуктивність.

Крім нововведень та виправлення помилок у новій версії усунено 1 уразливість. Багато вразливостей виявлено в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer та AFL. Критичних проблем, які дозволяють обійти всі рівні захисту браузера та виконати код у системі за межами sandbox-оточення, не виявлено. У рамках програми з виплати грошової винагороди за виявлення вразливостей для поточного релізу компанія Google виплатила 8 премій на суму 7500 доларів США (по одній премії $4000, $2000, $1000 і $500). Розмір чотирьох винагород поки не визначений.

Джерело: opennet.ru

Купити надійний хостинг для сайтів із захистом від DDoS, VPS VDS сервери 🔥 Купити надійний хостинг для сайтів із захистом від DDoS, VPS VDS сервери | ProHoster