Chrome 97 发布

谷歌发布了 Chrome 97 网络浏览器，同时发布了作为 Chrome 基础的免费 Chromium 项目的稳定版本。 Chrome 浏览器的特点是使用 Google 徽标、崩溃时发送通知的系统、播放受版权保护的视频内容 (DRM) 的模块、自动安装更新的系统以及在崩溃时传输 RLZ 参数。寻找。对于那些需要更多时间更新的人，有一个单独的 Extended Stable 分支，随后是 8 周，这形成了对上一个 Chrome 96 版本的更新。 Chrome 98 的下一个版本计划于 1 月 XNUMX 日发布。

Chrome 97 的主要变化：

• 对于某些用户来说，配置器使用新界面来管理浏览器端存储的数据（“chrome://settings/content/all”）。新界面的主要区别在于它侧重于设置权限并一次性清除网站的所有 Cookie，而无法查看单个 Cookie 的详细信息并有选择地删除 Cookie。根据 Google 的说法，不了解网络开发复杂性的普通用户访问单个 Cookie 的管理可能会由于不经意地更改单个参数以及意外禁用隐私而导致网站运行出现不可预测的中断。通过 Cookie 激活的保护机制。对于需要操作单个Cookie的人，建议使用Web开发人员工具中的存储管理部分（Applocation/Storage/Cookie）。
• 如果在设置中激活了搜索和导航优化模式（“使搜索和浏览更好”选项），则在有关网站的信息块中，会显示网站的简要描述（例如，维基百科的描述）。
• 改进了对自动填写 Web 表单中的字段的支持。带有自动填充选项的推荐现在显示时略有变化，并提供信息图标，以便更方便地预览和视觉识别与所填写字段的连接。例如，个人资料图标清楚地表明建议的自动完成功能会影响与地址和联系信息相关的字段。
• 关闭与用户配置文件处理程序关联的浏览器窗口后，可以从内存中删除用户配置文件处理程序。以前，配置文件保留在内存中，并继续执行与后台附加脚本的同步和执行相关的工作，这导致同时使用多个配置文件的系统上不必要的资源浪费（例如，访客配置文件和链接到 Google 帐户） ）。此外，还可以确保更彻底地清理使用配置文件时剩余的数据。
• 改进了搜索引擎设置页面（“设置>管理搜索引擎”）。自动激活引擎（通过 OpenSearch 脚本打开站点时提供的相关信息）已被禁用 - 用于处理地址栏搜索查询的新引擎现在需要在设置中手动激活（之前自动激活的引擎将继续无需更改即可工作）。
• 从 17 月 XNUMX 日开始，Chrome 网上应用店将不再接受使用 Chrome 清单版本 XNUMX 的加载项，但之前添加的加载项的开发人员仍可以发布更新。
• 新增了对 WebTransport 规范的实验性支持，该规范定义了一个协议和配套的 JavaScript API，用于在浏览器和客户端之间发送和接收数据。 服务器通信通道通过 HTTP/3 建立，并使用 QUIC 协议作为传输协议。WebTransport 可以替代 WebSocket，并提供更多功能，例如多流传输、单向流传输、乱序传输以及可靠和不可靠传输模式。此外，WebTransport 还可以替代 Google 在 Chrome 中已弃用的 Server Push。
• findLast 和 findLastIndex 方法已添加到 Array 和 TypedArrays JavaScript 对象中，允许您搜索结果输出相对于数组末尾的元素。 [1,2,3,4].findLast((el) => el % 2 === 0) // → 4（最后一个偶数元素）
• 封闭（无“开放”属性）HTML 元素，现在可搜索和可链接，并且在使用页面搜索和片段导航 (ScrollToTextFragment) 时自动展开。
• 响应头中的内容安全策略 (CSP) 限制 伺服器 现在适用于专职人员，以前这些文件是单独处理的。
• 已提供对从内部网络下载任何子资源的权限的显式请求 - 在访问内部网络或本地主机之前，一个带有“Access-Control-Request-Private-”标头的 CORS（跨源资源共享）请求Network: true”现在被发送到主站点服务器，需要通过返回“Access-Control-Allow-Private-Network: true”标头来确认操作。
• 添加了 font-synthesis CSS 属性，该属性允许您控制浏览器是否可以合成不属于所选字体系列的缺失字体样式（倾斜、粗体和小型大写字母）。
• 对于 CSS 转换，perspective() 函数实现一个“none”参数，该参数在组织动画时被视为无限值。
• 用于委派权限和启用高级功能的 Permissions-Policy（功能策略）HTTP 标头现在支持键盘映射值，该值允许使用键盘 API。已实现 Keyboard.getLayoutMap() 方法，该方法允许您确定按下哪个键，同时考虑到不同的键盘布局（例如，在俄语或英语布局上按下某个键）。
• 添加了 HTMLScriptElement.supports() 方法，该方法统一了“script”元素中可用的新功能的定义，例如，您可以找到“type”属性支持的值列表。
• 提交 Web 表单时规范化换行符的过程已与 Gecko 和 WebKit 浏览器引擎保持一致。 Chrome 中的换行符和回车符标准化（用 \r\n 替换 /r 和 /n）现在是在最后阶段完成的，而不是在表单提交处理开始时完成（即使用 FormData 对象的中间处理器将数据视为由用户添加，并且不是以标准化形式）。
• 属性名称的命名已针对客户端提示 API 进行了标准化，该 API 正在开发作为 User-Agent 标头的替代品，并允许您仅在之后有选择地提供有关特定浏览器和系统参数（版本、平台等）的数据。服务器的请求。现在使用前缀“sec-ch-”指定属性，例如 sec-ch-dpr、sec-ch-width、sec-ch-viewport-width、sec-ch-device-memory、sec-ch-rtt 、sec-ch-下行链路和sec-ch-ect。
• 对 WebSQL API 的弃用支持的第二阶段已经实施，现在将阻止来自第三方脚本的访问。将来，我们计划逐步完全淘汰对 WebSQL 的支持，无论使用上下文如何。 WebSQL 引擎基于 SQLite 代码，攻击者可以利用该引擎来利用 SQLite 中的漏洞。
• 对于平台 Windows 已启用带有控制流保护 (CFG) 完整性检查的构建版本，可阻止向 Chrome 进程注入代码的尝试。此外，现在对运行在独立进程中的网络服务应用了沙箱机制，从而限制了这些进程中代码的功能。
• 在 Chrome 浏览器中 Android 之前在桌面版本中激活的动态更新已颁发和已吊销证书日志（证书透明度）机制已启用。
• Web 开发人员的工具已得到改进。已实现对不同设备之间同步 DevTools 设置的实验性支持。添加了新的记录器面板，您可以通过该面板记录、回放和分析用户在页面上的操作。

  在 Web 控制台中显示错误时，会显示与问题相关的列号，这有助于调试精简 JavaScript 代码中的问题。更新了可模拟评估移动设备上页面显示的设备列表。在编辑 HTML 块（编辑为 HTML）的界面中，添加了语法突出显示和自动完成输入的功能。

  

除了创新和错误修复之外，新版本还消除了 37 个漏洞。许多漏洞是通过使用 AddressSanitizer、MemorySanitizer、控制流完整性、LibFuzzer 和 AFL 工具进行自动化测试而发现的。其中一个漏洞已被指定为严重问题，允许绕过所有级别的浏览器保护并在沙箱环境之外的系统上执行代码。有关严重漏洞 (CVE-2022-0096) 的详细信息尚未披露；只知道它与访问用于使用内部存储（存储 API）的代码中已释放的内存区域有关。

作为为当前版本的漏洞提供现金奖励计划的一部分，Google 支付了 24 个价值 54 万美元的奖励（三个 10000 美元奖励、两个 5000 美元奖励、一个 4000 美元奖励、三个 3000 美元奖励和一个 1000 美元奖励）。 14项奖励的金额尚未确定。

来源： opennet.ru