Chrome 142 veb-brauzerining chiqarilishi

Google Chrome veb-brauzerining 142-versiyasini chiqardi. Chrome asosi bo'lgan ochiq manbali Chromium loyihasining barqaror versiyasi ham mavjud. Chrome Chromium’dan Google logotiplaridan foydalanish, ishdan chiqish haqida bildirishnoma tizimi, nusxa ko‘chirishdan himoyalangan video kontentini (DRM) o‘ynatish uchun modullar, avtomatik yangilanishlarni o‘rnatish, har doim yoqilgan sinov muhitini izolyatsiya qilish, Google API kalitlarini tayyorlash va qidiruv vaqtida RLZ parametrlarini o‘tkazish bilan farq qiladi. Yangilash uchun ko'proq vaqt kerak bo'lganlar uchun sakkiz hafta davomida alohida Kengaytirilgan Stabil filiali saqlanadi. Navbatdagi Chrome 143 versiyasi 2 dekabrga rejalashtirilgan.

Chrome 142-dagi asosiy o'zgarishlar:

• Ommaviy veb-saytlar bilan ishlashda mahalliy tizimga kirishdan himoya yoqilgan. Ommaviy yoki ichki tarmoq (intranet) orqali veb-saytga kirishda, IP manzillari Mahalliy tizim yoki loopback interfeysiga (127.0.0.0/8) kirishda brauzer foydalanuvchiga tasdiqlashni so'ragan dialog oynasini ko'rsatadi. Resurslarni yuklab olishga urinishlar, fetch() so'rovlari va iframe qo'shimchalari qamrab olinadi. Himoya hozirda WebSockets, WebTransport va WebRTC orqali ulanishlarga qo'llanilmaydi, lekin keyinchalik ushbu texnologiyalar uchun qo'shiladi.

  Buzg'unchilar ichki resurslarga kirishdan foydalanib, marshrutizatorlar, kirish nuqtalari, printerlar, korporativ veb-interfeyslar va faqat mahalliy tarmoqdan so'rovlarni qabul qiladigan boshqa qurilmalar va xizmatlarga CSRF hujumlarini amalga oshiradilar. Bundan tashqari, ichki resurslarni skanerlash bilvosita identifikatsiya qilish yoki mahalliy tarmoq haqida ma'lumot to'plash uchun ishlatilishi mumkin.
• Google hisobiga ulanish va saqlangan parollar va xatcho‘plar kabi ma’lumotlarni sinxronlashtirish uchun yagona, soddalashtirilgan interfeys joriy etildi. Sinxronizatsiya hisobga kirish bilan birlashtirilgan va sozlamalarda alohida variant sifatida taqdim etilmaydi. Foydalanuvchilar Chrome brauzerini o'zlarining Google hisoblariga ulashlari va undan parollar, xatcho'plar, ko'rish tarixi va yorliqlarni saqlash uchun foydalanishlari mumkin. Bu xususiyat hozirda ayrim foydalanuvchilar uchun faol va asta-sekin kengaytiriladi.
• Yangi jarayon izolyatsiyasi modeli qo'llaniladi - "Kelib chiqish izolyatsiyasi", unda har bir kontent manbai (kelib chiqish - protokol bilan bog'lanish, domen va port, masalan, "https://foo.example.com") alohida renderlash jarayonida ajratiladi. Izolyatsiya granularligini oshirish xotira sarfini va protsessor yukini oshirishi mumkinligi sababli, yangi izolyatsiya rejimi faqat 4 Gb dan ortiq operativ xotiraga ega tizimlarda yoqiladi. Kam quvvatli apparatda eski izolyatsiya yondashuvi qo'llanilishda davom etadi, bu esa bitta sayt bilan bog'liq barcha turli kontent manbalarini (masalan, foo.example.com va bar.example.com) alohida jarayonda ajratadi.
• Tizimlarda Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
• uchun versiyada Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
• WebRTC ulanishlari uchun ishlatiladigan DTLS (Datagram Transport Layer Security, UDP uchun TLS analogi) protokolini amalga oshirish kvantdan keyingi shifrlash algoritmlaridan foydalanishni o'z ichiga oladi.
• Sahifadagi foydalanuvchi faoliyati davomida oʻrnatilgan faollashtirish holati endi xuddi shu domendagi boshqa sahifaga oʻtgandan keyin ham saqlanib qoladi. Faollashtirishni saqlab qolish ko'p sahifali veb-ilovalarni ishlab chiqishni soddalashtiradi va sayt virtual klaviaturasini ko'rsatganda kiritish fokusini o'rnatish kabi muammolarni hal qiladi.
• CSS psevdo-sinflari ":target-before" va ":target-after" joriy aylantirish pozitsiyasiga (":target-current") nisbatan oldingi va keyingi markerlarni aniqlash uchun qo'shilgan.
• Uslub konteynerlari (@container) va if() funksiyasi endi Media so‘rovlari darajasi 4 spetsifikatsiyasida belgilangan diapazon sintaksisini qo‘llab-quvvatlaydi, bu qiymatlar diapazonini aniqlash uchun standart matematik taqqoslash operatorlari va mantiqiy operatorlardan foydalanish imkonini beradi. Masalan, endi siz "@container style(—inner-padding > 1em)" va "background-color: if(style(attr(data-columns, type)) belgilashingiz mumkin. ) > 2): ochiq ko'k; boshqa: oq);"
• " " va " " elementlari endi "interestfor" atributini qo'llab-quvvatlaydi. Ushbu atribut foydalanuvchi elementga qiziqish bildirganda qalqib chiquvchi oynani ko'rsatish kabi harakatlarni boshlash uchun ishlatilishi mumkin. Brauzer kursorni element ustiga olib borish va ushlab turish, tezkor tugmalarni bosish yoki sensorli ekranga teginishni ushlab turish kabi hodisalarni qiziqish ko'rsatkichlari sifatida tan oladi. "interestfor" atributiga ega element aniqlanganda, brauzer InterestEvent hosil qiladi.
• Veb-ishlab chiquvchi vositalariga yaxshilanishlar kiritildi. Yuqori o'ng burchakda AI yordamchisi uchun tezkor ishga tushirish tugmasi qo'shildi. “AIdan so‘rash” kontekst menyusi bandi “AI bilan disk raskadrovka” deb o‘zgartirildi va kontekstga qarab darhol amallarni bajarish imkoniyatini o‘z ichiga olgan holda kengaytirildi. Veb-konsol va kod panelida Gemini AI yordamchisi endi kod bilan tavsiyalar yaratishi mumkin.

  Veb-ishlab chiquvchi vositalari endi Google Developer Program (GDP) bilan integratsiyalashgan. Ishlab chiquvchilar endi Chrome DevTools’dan o‘zlarining YaIM profiliga bevosita kirishlari va ushbu interfeysdagi muayyan vazifalarni bajarganliklari uchun mukofot olishlari mumkin.

  

Yangi xususiyatlar va xatolarni tuzatishdan tashqari, yangi versiya 20 ta zaiflikni ko'rib chiqadi. Ko'pgina zaifliklar AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer va AFL yordamida avtomatlashtirilgan testlar orqali aniqlangan. Brauzer himoyasining barcha qatlamlarini chetlab o'tish va kodni sinov muhitidan tashqarida bajarish imkonini beradigan muhim muammolar aniqlanmagan. Joriy versiya uchun zaiflik uchun mukofot dasturining bir qismi sifatida Google jami 130 000 dollarlik 20 ta mukofot (ikkitasi 50 000 dollar, bitta 10 000 dollar, uchta 3 000 dollar, ikkita 2 000 dollar va uchta 1 000 dollarlik mukofot) yaratdi. Ne'matlarning sakkiztasi miqdori hali aniqlanmagan.

Bundan tashqari, Blink dvigatelida tuzatilmagan zaiflik aniqlandi, bu esa ma'lum JavaScript kodini bajarishda brauzerning ishlamay qolishiga va qotib qolishiga olib keladi. Zaiflik "document.title" xususiyatini yangilash tezligi chegarasi yo'qligi bilan bog'liq renderlash mexanizmidagi arxitektura muammolari tufayli yuzaga keladi. Ushbu cheklovning yo'qligi "document.title" dan DOMga soniyada o'n millionlab o'zgartirishlar kiritish uchun foydalanish imkonini beradi. Bu asosiy tarmoq bloklanganligi va sezilarli xotira sarfi tufayli interfeysning bir necha soniya ichida muzlashiga olib keladi. 15-60 soniyadan so'ng brauzer ishdan chiqadi.

Manba: opennet.ru