Ukukhutshwa kwesikhangeli sewebhu seChrome 142

UGoogle ukhuphe inguqulo ye-142 yesikhangeli sewebhu seChrome. Ukukhutshwa okuzinzileyo kweprojekthi yeChromium yomthombo ovulekileyo, isiseko seChrome, sikwakhona. I-Chrome ihluke kwi-Chromium ekusebenziseni iimpawu zeGoogle, inkqubo yesaziso sokuphahlazeka, iimodyuli zokudlala umxholo wevidiyo okhuselweyo (i-DRM), ukufakwa kohlaziyo oluzenzekelayo, ukugcinwa kwe-sandbox rhoqo, ukunikezelwa kwezitshixo ze-Google API, kunye nokugqithiswa kweeparamitha ze-RLZ ngexesha lokukhangela. Kwabo bafuna ixesha elingakumbi lokuhlaziya, isebe elahlukileyo leSizinzi eSizinzisekileyo sigcinwa iiveki ezisibhozo. Ukukhutshwa okulandelayo, iChrome 143, icwangciselwe umhla we-2 kaDisemba.

Utshintsho oluphambili kwiChrome 142:

• Ukhuseleko ekufikeleleni kwinkqubo yasekuhlaleni xa usebenzisana neewebhusayithi zikawonke-wonke luyasebenza. Xa ufikelela kwiwebhusayithi kwinethiwekhi kawonke-wonke okanye yangaphakathi (i-intranet), Idilesi yam ye-IP Xa ufikelela kwinkqubo yasekuhlaleni okanye kwi-interface ye-loopback (127.0.0.0/8), isikhangeli siza kubonisa ibhokisi yencoko yomsebenzisi ecela ukuqinisekiswa. Iinzame zokukhuphela izixhobo, izicelo ze-fetch(), kunye nokufakwa kwe-iframe ziyagutyungelwa. Ukhuseleko alusetyenziswa okwangoku kunxibelelwano ngeWebSockets, WebTransport, kunye neWebRTC, kodwa luya kongezwa kwezi teknoloji kamva.

  Abahlaseli basebenzisa ufikelelo lwesixhobo sangaphakathi ukwenza uhlaselo lwe-CSRF kwiirutha, iindawo zofikelelo, abashicileli, ujongano lwewebhu lweshishini, kunye nezinye izixhobo kunye neenkonzo ezamkela kuphela izicelo ezisuka kuthungelwano lwasekhaya. Ngaphaya koko, ukuskena izixhobo zangaphakathi kunokusetyenziselwa ukuchongwa okungathanga ngqo okanye ukuqokelela ulwazi malunga nenethiwekhi yendawo.
• Ujongano olulodwa, olwenziwe lula luye lwaziswa ukuze ludityaniswe neakhawunti kaGoogle kunye nedatha yongqamaniso, efana namagama ayimfihlo agciniweyo kunye neebhukhimakhi. Ungqamaniso ludityaniswe nokungena kwi-akhawunti kwaye akunikezelwa njengokhetho olwahlukileyo kwisethingi. Abasebenzisi banokuqhagamshela iChrome kwiakhawunti yabo kaGoogle kwaye bayisebenzise ukugcina amagama agqithisiweyo, iibhukumaka, imbali yokukhangela, kunye neethebhu. Eli nqaku liyasebenza kubasebenzisi abathile, kwaye liya kwandiswa kancinci kancinci.
• Kusetyenziswa imodeli entsha yokwahlulwa kwenkqubo - "Ukwahlulwa kwemvelaphi", apho umthombo ngamnye womxholo (imvelaphi - iprotokholi ebophayo, thambeka kwaye i-port, umzekelo, "https://foo.example.com"), ihlukaniswe kwinkqubo eyahlukileyo yokwenziwa. Ekubeni ukwandisa i-granularity yokwahlulwa kunokukhokelela ekusetyenzisweni kwememori okwandisiweyo kunye nomthwalo we-CPU, imo entsha yokwahlulwa ivuliwe kuphela kwiinkqubo ezine-RAM engaphezulu kwe-4 GB. Kwi-hardware enamandla aphantsi, indlela endala yokwahlulwa iya kuqhubeka isetyenziswa, ehlukanisa yonke imithombo eyahlukeneyo yomxholo enxulumene nesiza esinye (umzekelo, foo.example.com kunye ne-bar.example.com) kwinkqubo eyahlukileyo.
• Kwiinkqubo ezine Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
• Kwinguqulelo ye Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
• Ukuphunyezwa kwe-DTLS (i-Datagram Transport Layer Security, i-analog ye-TLS ye-UDP) iprotocol esetyenziselwa ukudibanisa i-WebRTC iquka ukusetyenziswa kwe-post-quantum encryption algorithms.
• Isimo sokuvula, esisetwe ngexesha lomsebenzi womsebenzisi kwiphepha, ngoku sigcinwe emva kokuzulazula kwelinye iphepha kwisizinda esifanayo. Ukugcina ukusebenza kuya kwenza lula uphuhliso lwezicelo zewebhu ezinamaphepha amaninzi kunye nokusombulula iingxaki ezifana nokuseta ugxininiso lwegalelo xa isiza sibonisa ikhibhodi yayo ebonakalayo.
• Iiklasi ze-CSS pseudo ":tharget-before" kunye ":target-after" ziye zongezwa ukucacisa abamakishi bangaphambili nabalandelayo ngokunxulumene nendawo yokuskrola yangoku (":thagethi-yangoku").
• Izikhongozeli zesimbo (@container) kunye ne-if() umsebenzi ngoku uxhasa uHlelo lweSintaksi echazwe kwiMibuzo yeMedia iNqanaba lesi-4 lokukhankanywa, elivumela ukusetyenziswa kothelekiso lwezibalo ezisemgangathweni nabaqhubi abaqiqileyo ukuchaza uluhlu lwamaxabiso. Umzekelo, ngoku ungacacisa "@container style(-inner-padding > 1em)" kunye "nombala ongasemva: ukuba(style(attr(data-columns, type) ) > 2): blueblue; enye: mhlophe);"
• Iziqalelo " " kunye " " ngoku zixhasa uphawu lwe "interestfor". Olu phawu lunokusetyenziswa ukuqalisa iintshukumo, njengokubonisa i popup, xa umsebenzisi ebonisa umdla kwinto. Isikhangeli siqaphela iziganeko ezinje ngokuzulazula kunye nokubamba isalathisi phezu kwento, ukucofa izitshixo ezishushu, okanye ukubamba isikrini sokuchukumisa njengezalathi zomdla. Xa into enophawu "interestfor" ichongiwe, isikhangeli sivelisa i-InterestEvent.
• Uphuculo lwenziwe kwizixhobo zomphuhlisi wewebhu. Iqhosha lokuqalisa elikhawulezayo lomncedisi we-AI longezwe kwikona ephezulu ngasekunene. Into yemenyu yemeko ethi "Buza i-AI" iye yanikwa elinye igama kwathiwa "Debug nge-AI" yaza yandiswa ukuze ibandakanye ukukwazi ukwenza iintshukumo zangoko nangoko ngokuxhomekeke kwimeko. Kwikhonsoli yewebhu kunye nepaneli yekhowudi, umncedisi we-Gemini AI ngoku unokuvelisa iingcebiso ngekhowudi.

  Izixhobo zokuphuhlisa iwebhu ngoku zidibanisa neNkqubo yoPhuhlisi kaGoogle (GDP). Abaphuhlisi ngoku banokufikelela kwiprofayili yabo ye-GDP ngokuthe ngqo kwi-Chrome DevTools kwaye bafumane umvuzo wokugqiba imisebenzi ethile ngaphakathi kolu jongano.

  

Ukongeza kwizinto ezintsha kunye nokulungiswa kwe-bug, inguqulelo entsha ijongana nobuthathaka obungama-20. Uninzi lwezinto ezibuthathaka zachongwa ngovavanyo oluzenzekelayo kusetyenziswa idilesi yeSanitizer, iMemorySanitizer, iControl Flow Integrity, LibFuzzer, kunye ne-AFL. Akukho miba ibalulekileyo enokuvumela ukugqitha kuzo zonke iileya zokhuseleko lwebhrawuza kunye nekhowudi yokuphumeza ngaphandle kwendawo yebhokisi yesanti ichongiwe. Njengenxalenye yenkqubo ye-bounty yomngcipheko wokukhutshwa kwangoku, uGoogle useke ii-bounty ezingama-20 zizonke ezixabisa i-130,000 yeedola (iibhowunti ezimbini zee-$50,000, ibhonasi eyi-$10000 enye, iibhounti ezintathu zee-$3000, iibhonasi ezimbini zee-$2000, kunye nezipho ezintathu zee-$1000). Izixa-mali ezisibhozo kwiibhowunti azikamiselwa.

Ukongezelela, ubuthathaka obungabhalwanga buchongiwe kwi-injini ye-Blink, ebangela ukuba isikhangeli siphahlazeke kwaye sikhenkce xa sisenza ikhowudi ethile yeJavaScript. Ukuba sesichengeni kubangelwa yimiba yoyilo kwi-injini yonikezelo enxulumene nokunqongophala komyinge wezinga lokuhlaziya ipropati "document.title". Oku kunqongophala komda kuvumela "i-document.title" ukuba isetyenziswe ukwenza amashumi ezigidi zotshintsho kwi-DOM ngomzuzwana. Oku kubangela ukuba ujongano lube ngumkhenkce phakathi kwemizuzwana embalwa ngenxa yomsonto oyintloko ovaliweyo kunye nokusetyenziswa kwememori ebalulekileyo. Emva kwemizuzwana eyi-15-60, isikhangeli siyawa.

umthombo: opennet.ru