گوگل نے کروم 102 ویب براؤزر کی ریلیز کی نقاب کشائی کی ہے۔ ساتھ ہی، مفت کرومیم پروجیکٹ کی ایک مستحکم ریلیز، جو کروم کی بنیاد کے طور پر کام کرتی ہے، دستیاب ہے۔ کروم براؤزر گوگل لوگو کے استعمال میں کرومیم سے مختلف ہے، کریش ہونے کی صورت میں اطلاعات بھیجنے کے لیے ایک سسٹم کی موجودگی، کاپی سے محفوظ ویڈیو مواد (DRM) چلانے کے لیے ماڈیول، اپ ڈیٹس کو خود بخود انسٹال کرنے کا نظام، مستقل طور پر سینڈ باکس آئسولیشن کو فعال کرنا۔ ، گوگل API کو چابیاں فراہم کرنا اور RLZ- کو تلاش کرتے وقت منتقل کرنا۔ پیرامیٹرز۔ ان لوگوں کے لیے جنہیں اپ ڈیٹ کرنے کے لیے مزید وقت درکار ہے، توسیعی مستحکم برانچ کو الگ سے سپورٹ کیا جاتا ہے، جس کے بعد 8 ہفتے ہوتے ہیں۔ کروم 103 کی اگلی ریلیز 21 جون کو شیڈول ہے۔
کروم 102 میں اہم تبدیلیاں:
- پہلے سے آزاد شدہ میموری بلاکس تک رسائی کی وجہ سے پیدا ہونے والی کمزوریوں کے استحصال کو روکنے کے لیے، عام پوائنٹرز کی بجائے، MiraclePtr (raw_ptr) قسم کا استعمال کیا جانے لگا۔ MiraclePtr پوائنٹرز پر ایک بائنڈنگ فراہم کرتا ہے جو آزاد میموری والے علاقوں تک رسائی پر اضافی چیک کرتا ہے اور اگر اس طرح کی رسائی کا پتہ چلا تو کریش ہو جاتا ہے۔ کارکردگی اور میموری کی کھپت پر تحفظ کے نئے طریقے کے اثرات کو نہ ہونے کے برابر سمجھا جاتا ہے۔ MiraclePtr میکانزم تمام عملوں میں لاگو نہیں ہوتا ہے، خاص طور پر یہ رینڈرنگ کے عمل میں استعمال نہیں ہوتا ہے، لیکن یہ سیکورٹی کو نمایاں طور پر بہتر بنا سکتا ہے۔ مثال کے طور پر، موجودہ ریلیز میں، طے شدہ 32 خطرات میں سے، 12 استعمال کے بعد مفت مسائل کی وجہ سے ہوئیں۔
- ڈاؤن لوڈ کے بارے میں معلومات کے ساتھ انٹرفیس کا ڈیزائن تبدیل کر دیا گیا ہے۔ ڈاؤن لوڈ کی پیشرفت پر ڈیٹا کے ساتھ نیچے کی لکیر کے بجائے، ایڈریس بار کے ساتھ پینل میں ایک نیا اشارے شامل کیا گیا ہے؛ جب آپ اس پر کلک کرتے ہیں، فائلوں کو ڈاؤن لوڈ کرنے کی پیشرفت اور پہلے سے ڈاؤن لوڈ فائلوں کی فہرست کے ساتھ ایک تاریخ دکھائی دیتی ہے۔ نیچے والے پینل کے برعکس، بٹن پینل پر مسلسل دکھایا جاتا ہے اور آپ کو اپنی ڈاؤن لوڈ کی تاریخ تک تیزی سے رسائی حاصل کرنے کی اجازت دیتا ہے۔ نیا انٹرفیس فی الحال صرف کچھ صارفین کے لیے بطور ڈیفالٹ پیش کیا جاتا ہے اور اگر کوئی مسئلہ نہ ہو تو اسے سب تک بڑھا دیا جائے گا۔ پرانے انٹرفیس کو واپس کرنے یا نئے کو فعال کرنے کے لیے، "chrome://flags#download-bubble" ترتیب فراہم کی گئی ہے۔
- سیاق و سباق کے مینو کے ذریعے تصاویر تلاش کرتے وقت ("Google Lens کے ساتھ تصویر تلاش کریں" یا "Google Lens کے ذریعے تلاش کریں")، نتائج اب کسی علیحدہ صفحہ پر نہیں، بلکہ اصل صفحہ کے مواد کے آگے سائڈبار میں دکھائے جاتے ہیں (ان میں ایک ونڈو میں آپ بیک وقت صفحہ کا مواد اور سرچ انجن تک رسائی کا نتیجہ دونوں دیکھ سکتے ہیں)۔
- سیٹنگز کے "پرائیویسی اینڈ سیکیورٹی" سیکشن میں، ایک "پرائیویسی گائیڈ" سیکشن شامل کیا گیا ہے، جو ہر سیٹنگ کے اثرات کی تفصیلی وضاحت کے ساتھ رازداری کو متاثر کرنے والی اہم سیٹنگز کا عمومی جائزہ پیش کرتا ہے۔ مثال کے طور پر، سیکشن میں آپ گوگل سروسز کو ڈیٹا بھیجنے، سنکرونائزیشن کا انتظام، کوکی پروسیسنگ اور ہسٹری سیونگ کے لیے پالیسی کی وضاحت کر سکتے ہیں۔ فنکشن کچھ صارفین کو پیش کیا جاتا ہے؛ اسے فعال کرنے کے لیے، آپ "chrome://flags#privacy-guide" کی ترتیب استعمال کر سکتے ہیں۔
- تلاش کی تاریخ اور دیکھے گئے صفحات کی ساخت فراہم کی گئی ہے۔ جب آپ دوبارہ تلاش کرنے کی کوشش کرتے ہیں، تو ایڈریس بار میں "اپنا سفر دوبارہ شروع کریں" کا اشارہ ظاہر ہوتا ہے، جس سے آپ اس جگہ سے تلاش جاری رکھ سکتے ہیں جہاں پچھلی بار اس میں خلل پڑا تھا۔
- کروم ویب اسٹور تجویز کردہ ایڈ آنز کے ابتدائی انتخاب کے ساتھ ایک "ایکسٹینشن سٹارٹر کٹ" صفحہ پیش کرتا ہے۔
- ٹیسٹ موڈ میں، مرکزی سائٹ سرور کو ایک CORS (Cross-Origin Resource Sharing) کی اجازت کی درخواست بھیجنا ہیڈر "Access-Control-Request-Private-Network: true" کے ساتھ فعال ہو جاتا ہے جب صفحہ اندرونی نیٹ ورک پر کسی وسائل تک رسائی حاصل کرتا ہے ( 192.168.xx، 10.xxx، 172.16.xx) یا لوکل ہوسٹ (128.xxx) پر۔ اس درخواست کے جواب میں آپریشن کی تصدیق کرتے وقت، سرور کو "Access-Control-Allow-Private-Network: true" ہیڈر واپس کرنا چاہیے۔ کروم ورژن 102 میں، تصدیقی نتیجہ ابھی تک درخواست کی پروسیسنگ پر اثر انداز نہیں ہوتا ہے - اگر کوئی تصدیق نہیں ہوتی ہے، تو ویب کنسول میں ایک انتباہ ظاہر ہوتا ہے، لیکن ذیلی وسائل کی درخواست خود بلاک نہیں ہوتی ہے۔ کروم 105 کے ریلیز ہونے تک سرور سے تصدیق نہ ہونے کی صورت میں بلاکنگ کو فعال کرنے کی توقع نہیں ہے۔ پہلے کی ریلیز میں بلاکنگ کو فعال کرنے کے لیے، آپ "chrome://flags/#private-network-access-respect-preflight-" کی ترتیب کو فعال کر سکتے ہیں۔ نتائج"۔
سرور کی طرف سے اتھارٹی کی توثیق مقامی نیٹ ورک یا صارف کے کمپیوٹر (لوکل ہوسٹ) پر کسی سائٹ کو کھولتے وقت لوڈ کردہ اسکرپٹس سے وسائل تک رسائی سے متعلق حملوں کے خلاف تحفظ کو مضبوط بنانے کے لیے متعارف کرائی گئی تھی۔ ایسی درخواستوں کو حملہ آور راؤٹرز، رسائی پوائنٹس، پرنٹرز، کارپوریٹ ویب انٹرفیس اور دیگر آلات اور خدمات پر CSRF حملے کرنے کے لیے استعمال کرتے ہیں جو صرف مقامی نیٹ ورک سے درخواستیں قبول کرتے ہیں۔ ایسے حملوں سے بچانے کے لیے، اگر اندرونی نیٹ ورک پر کسی ذیلی وسائل تک رسائی حاصل کی جاتی ہے، تو براؤزر ان ذیلی وسائل کو لوڈ کرنے کی اجازت کے لیے ایک واضح درخواست بھیجے گا۔
- سیاق و سباق کے مینو کے ذریعے پوشیدگی موڈ میں لنکس کھولتے وقت، کچھ پیرامیٹرز جو رازداری کو متاثر کرتے ہیں خود بخود URL سے ہٹا دیے جاتے ہیں۔
- ونڈوز اور اینڈرائیڈ کے لیے اپ ڈیٹ کی ترسیل کی حکمت عملی کو تبدیل کر دیا گیا ہے۔ نئے اور پرانے ریلیز کے رویے کا مکمل موازنہ کرنے کے لیے، نئے ورژن کے متعدد بلڈز اب ڈاؤن لوڈ کے لیے تیار کیے گئے ہیں۔
- نیٹ ورک سیگمنٹیشن ٹیکنالوجی کو ان علاقوں میں شناخت کنندگان کو ذخیرہ کرنے کی بنیاد پر سائٹس کے درمیان صارف کی نقل و حرکت سے باخبر رہنے کے طریقوں سے بچانے کے لیے مستحکم کیا گیا ہے جو معلومات کے مستقل ذخیرہ کے لیے نہیں ہیں ("Supercookies")۔ چونکہ کیش شدہ وسائل ایک عام نام کی جگہ میں ذخیرہ کیے جاتے ہیں، قطع نظر کہ ابتدائی ڈومین سے، ایک سائٹ اس بات کا تعین کر سکتی ہے کہ دوسری سائٹ وسائل لوڈ کر رہی ہے یہ چیک کر کے کہ آیا وہ وسیلہ کیشے میں ہے۔ تحفظ نیٹ ورک سیگمنٹیشن (نیٹ ورک پارٹیشننگ) کے استعمال پر مبنی ہے، جس کا خلاصہ یہ ہے کہ مشترکہ کیشز میں ریکارڈز کی اضافی پابندی کو اس ڈومین میں شامل کرنا ہے جہاں سے مرکزی صفحہ کھولا جاتا ہے، جو صرف نقل و حرکت سے باخبر رہنے کے اسکرپٹس کے لیے کیش کوریج کو محدود کرتا ہے۔ موجودہ سائٹ پر (ایک iframe سے ایک اسکرپٹ یہ جانچنے کے قابل نہیں ہوگا کہ آیا وسیلہ کسی اور سائٹ سے ڈاؤن لوڈ کیا گیا تھا)۔ اسٹیٹ شیئرنگ نیٹ ورک کنکشنز (HTTP/1، HTTP/2، HTTP/3، ویب ساکٹ)، DNS کیش، ALPN/HTTP2، TLS/HTTP3 ڈیٹا، کنفیگریشن، ڈاؤن لوڈز، اور Expect-CT ہیڈر کی معلومات کا احاطہ کرتا ہے۔
- انسٹال شدہ اسٹینڈ اکیلے ویب ایپلیکیشنز (PWA، Progressive Web App) کے لیے ونڈو کنٹرولز اوورلے اجزاء کا استعمال کرتے ہوئے ونڈو ٹائٹل ایریا کے ڈیزائن کو تبدیل کرنا ممکن ہے، جو ویب ایپلیکیشن کے اسکرین ایریا کو پوری ونڈو تک پھیلا دیتے ہیں۔ ایک ویب ایپلیکیشن پوری ونڈو کی رینڈرنگ اور ان پٹ پروسیسنگ کو کنٹرول کر سکتی ہے، معیاری ونڈو کنٹرول بٹن (بند، کم سے کم، زیادہ سے زیادہ) کے ساتھ اوورلے بلاک کو چھوڑ کر، ویب ایپلیکیشن کو باقاعدہ ڈیسک ٹاپ ایپلیکیشن کی شکل دینے کے لیے۔
- فارم آٹو فل سسٹم میں، آن لائن اسٹورز میں سامان کی ادائیگی کی تفصیلات کے ساتھ فیلڈز میں ورچوئل کریڈٹ کارڈ نمبر بنانے کے لیے سپورٹ شامل کی گئی ہے۔ ورچوئل کارڈ کا استعمال کرتے ہوئے، جس کا نمبر ہر ادائیگی کے لیے تیار کیا جاتا ہے، آپ کو حقیقی کریڈٹ کارڈ کے بارے میں ڈیٹا منتقل کرنے کی اجازت نہیں دیتا ہے، لیکن اس کے لیے بینک کی طرف سے ضروری خدمات کی فراہمی کی ضرورت ہوتی ہے۔ یہ فیچر فی الحال صرف امریکی بینک صارفین کے لیے دستیاب ہے۔ فنکشن کی شمولیت کو کنٹرول کرنے کے لیے، "chrome://flags/#autofil-enable-virtual-card" ترتیب تجویز کی گئی ہے۔
- "کیپچر ہینڈل" میکانزم بطور ڈیفالٹ چالو ہوتا ہے، جس سے آپ معلومات کو ان ایپلی کیشنز میں منتقل کر سکتے ہیں جو ویڈیو کیپچر کرتی ہیں۔ API ان ایپلی کیشنز کے درمیان تعامل کو منظم کرنا ممکن بناتا ہے جن کا مواد ریکارڈ کیا جاتا ہے اور وہ ایپلیکیشنز جو ریکارڈنگ کرتی ہیں۔ مثال کے طور پر، ایک ویڈیو کانفرنسنگ ایپلیکیشن جو پریزنٹیشن کو نشر کرنے کے لیے ویڈیو کیپچر کر رہی ہے، پریزنٹیشن کنٹرولز کے بارے میں معلومات حاصل کر سکتی ہے اور انہیں ویڈیو ونڈو میں ڈسپلے کر سکتی ہے۔
- قیاس آرائی کے اصولوں کے لیے سپورٹ بذریعہ ڈیفالٹ فعال ہوتا ہے، یہ تعین کرنے کے لیے لچکدار نحو فراہم کرتا ہے کہ آیا صارف کے لنک پر کلک کرنے سے پہلے لنک سے متعلقہ ڈیٹا کو فعال طور پر لوڈ کیا جا سکتا ہے۔
- ویب بنڈل کی شکل میں پیکجوں میں وسائل کی پیکیجنگ کے طریقہ کار کو مستحکم کیا گیا ہے، جس سے بڑی تعداد میں ساتھ والی فائلوں (CSS اسٹائلز، جاوا اسکرپٹ، امیجز، iframes) کو لوڈ کرنے کی کارکردگی کو بڑھایا جا سکتا ہے۔ Webpack فارمیٹ میں پیکجوں کے برعکس، ویب بنڈل فارمیٹ کے درج ذیل فوائد ہیں: یہ وہ پیکج نہیں ہے جو HTTP کیشے میں محفوظ ہے، بلکہ اس کے اجزاء کے حصے ہیں۔ جاوا اسکرپٹ کی تالیف اور عمل درآمد پیکج کے مکمل ڈاؤن لوڈ ہونے کا انتظار کیے بغیر شروع ہوتا ہے۔ اسے اضافی وسائل جیسے سی ایس ایس اور امیجز شامل کرنے کی اجازت ہے، جنہیں ویب پیک میں جاوا اسکرپٹ سٹرنگز کی شکل میں انکوڈ کرنا ہوگا۔
- PWA ایپلیکیشن کو مخصوص MIME اقسام اور فائل ایکسٹینشنز کے ہینڈلر کے طور پر بیان کرنا ممکن ہے۔ مینی فیسٹ میں file_handlers فیلڈ کے ذریعے بائنڈنگ کی وضاحت کرنے کے بعد، ایپلیکیشن کو ایک خاص واقعہ موصول ہوگا جب صارف ایپلیکیشن سے وابستہ فائل کو کھولنے کی کوشش کرے گا۔
- ایک نیا غیر فعال وصف شامل کیا گیا جو آپ کو DOM درخت کے کچھ حصے کو "غیر فعال" کے بطور نشان زد کرنے کی اجازت دیتا ہے۔ اس حالت میں DOM نوڈس کے لیے، متن کا انتخاب اور پوائنٹر ہوور ہینڈلرز غیر فعال ہیں، یعنی پوائنٹر ایونٹس اور یوزر سلیکٹ سی ایس ایس پراپرٹیز ہمیشہ 'کوئی نہیں' پر سیٹ ہوتی ہیں۔ اگر کسی نوڈ میں ترمیم کی جا سکتی ہے، تو پھر inert موڈ میں یہ ناقابل ترمیم ہو جاتا ہے۔
- نیویگیشن API کو شامل کیا گیا، جو ویب ایپلیکیشنز کو ونڈو نیویگیشن آپریشنز کو روکنے، نیویگیشن شروع کرنے، اور ایپلیکیشن کے ساتھ کارروائیوں کی تاریخ کا تجزیہ کرنے کی اجازت دیتا ہے۔ API window.history اور window.location کی خصوصیات کا متبادل فراہم کرتا ہے، جو سنگل پیج ویب ایپلیکیشنز کے لیے موزوں ہے۔
- "پوشیدہ" وصف کے لیے ایک نیا جھنڈا، "جب تک نہیں ملا" تجویز کیا گیا ہے، جو صفحہ پر عنصر کو تلاش کرنے کے قابل بناتا ہے اور ٹیکسٹ ماسک کے ذریعے اسکرول کیا جا سکتا ہے۔ مثال کے طور پر، آپ کسی صفحہ پر چھپا ہوا متن شامل کر سکتے ہیں، جس کا مواد مقامی تلاشوں میں مل جائے گا۔
- WebHID API میں، HID ڈیوائسز (انسانی انٹرفیس ڈیوائسز، کی بورڈز، چوہوں، گیم پیڈز، ٹچ پیڈز) تک نچلی سطح تک رسائی اور سسٹم میں مخصوص ڈرائیوروں کی موجودگی کے بغیر کام کو منظم کرنے کے لیے ڈیزائن کیا گیا ہے، exclusionFilters پراپرٹی کو requestDevice میں شامل کیا گیا ہے۔ ) آبجیکٹ، جو آپ کو بعض آلات کو خارج کرنے کی اجازت دیتا ہے جب براؤزر دستیاب آلات کی فہرست دکھاتا ہے۔ مثال کے طور پر، آپ ان ڈیوائس آئی ڈیز کو خارج کر سکتے ہیں جن میں معلوم مسائل ہیں۔
- PaymentRequest.show() پر کال کے ذریعے کسی واضح صارف کی کارروائی کے بغیر ادائیگی کا فارم ظاہر کرنا ممنوع ہے، مثال کے طور پر، ہینڈلر سے وابستہ کسی عنصر پر کلک کرنا۔
- WebRTC میں سیشن قائم کرنے کے لیے استعمال ہونے والے SDP (سیشن تفصیل پروٹوکول) پروٹوکول کے متبادل نفاذ کے لیے سپورٹ کو بند کر دیا گیا ہے۔ کروم نے دو SDP اختیارات پیش کیے - دوسرے براؤزرز کے ساتھ متحد اور کروم مخصوص۔ اب سے، صرف پورٹیبل آپشن رہ گیا ہے۔
- ویب ڈویلپرز کے لیے ٹولز میں بہتری لائی گئی ہے۔ گہرے اور ہلکے تھیم کے استعمال کی تقلید کے لیے اسٹائلز پینل میں بٹن شامل کیے گئے۔ نیٹ ورک انسپکشن موڈ میں پیش نظارہ ٹیب کے تحفظ کو مضبوط کیا گیا ہے (مواد کی حفاظت کی پالیسی کا اطلاق فعال ہے)۔ ڈیبگر بریک پوائنٹس کو دوبارہ لوڈ کرنے کے لیے اسکرپٹ کے خاتمے کو لاگو کرتا ہے۔ نئے "کارکردگی کی بصیرت" پینل کا ابتدائی نفاذ تجویز کیا گیا ہے، جو آپ کو صفحہ پر بعض کارروائیوں کی کارکردگی کا تجزیہ کرنے کی اجازت دیتا ہے۔
اختراعات اور بگ فکسز کے علاوہ، نیا ورژن 32 کمزوریوں کو ختم کرتا ہے۔ Address Sanitizer، Memory Sanitizer، Control Flow Integrity، LibFuzzer اور AFL ٹولز کا استعمال کرتے ہوئے خودکار جانچ کے نتیجے میں بہت سی کمزوریوں کی نشاندہی کی گئی۔ مسائل میں سے ایک (CVE-2022-1853) کو خطرے کی ایک اہم سطح تفویض کی گئی ہے، جس کا مطلب براؤزر کے تحفظ کی تمام سطحوں کو نظرانداز کرنے اور سینڈ باکس کے ماحول سے باہر سسٹم پر کوڈ پر عمل درآمد کرنے کی صلاحیت ہے۔ اس خطرے کی تفصیلات ابھی تک ظاہر نہیں کی گئی ہیں؛ یہ صرف اتنا معلوم ہے کہ یہ انڈیکسڈ DB API کے نفاذ میں فری میموری بلاک (استعمال کے بعد مفت) تک رسائی کی وجہ سے ہوا ہے۔
موجودہ ریلیز کے لیے کمزوریوں کو دریافت کرنے کے لیے نقد انعام کے پروگرام کے حصے کے طور پر، Google نے $24 کے 65600 ایوارڈز ادا کیے (ایک $10000 ایوارڈ، ایک $7500 ایوارڈ، دو $7000 ایوارڈز، تین $5000 ایوارڈز، چار $3000 ایوارڈز، دو $2000 اور دو $1000 ایوارڈز۔ $500 بونس)۔ ابھی تک 7 انعامات کے سائز کا تعین نہیں کیا گیا ہے۔
ماخذ: opennet.ru