Chrome 98 发布

谷歌发布了Chrome 98网络浏览器，同时作为Chrome基础的免费Chromium项目也发布了稳定版本。 Chrome 浏览器的特点是使用 Google 徽标、崩溃时发送通知的系统、播放受版权保护的视频内容 (DRM) 的模块、自动安装更新的系统以及在崩溃时传输 RLZ 参数。寻找。 Chrome 99 的下一个版本计划于 1 月 XNUMX 日发布。

Chrome 98 的主要变化：

• 浏览器有自己的证书颁发机构根证书存储（Chrome 根存储），将使用该存储来代替特定于每个操作系统的外部存储。 该存储的实现方式与 Firefox 中根证书的独立存储类似，用作通过 HTTPS 打开站点时检查证书信任链的第一个链接。 默认情况下尚未使用新存储。 为了简化系统存储配置的过渡并确保可移植性，将有一个过渡期，在此期间，Chrome 根存储区将包含大多数受支持平台上批准的完整证书选择。
• 继续实施加强防护的计划，以防止与通过打开站点时加载的脚本访问本地网络或用户计算机（本地主机）上的资源相关的攻击。 攻击者利用此类请求对路由器、接入点、打印机、企业 Web 界面以及仅接受来自本地网络的请求的其他设备和服务进行 CSRF 攻击。

  为了防止此类攻击，如果在内网访问任何子资源，浏览器将开始发送明确的请求，以获取下载此类子资源的权限。 权限请求是通过在访问内部网络或本地主机之前向主站点服务器发送带有“Access-Control-Request-Private-Network: true”标头的 CORS（跨域资源共享）请求来进行的。 当确认响应该请求的操作时，服务器必须返回“Access-Control-Allow-Private-Network: true”标头。 在Chrome 98中，检查是在测试模式下实现的，如果没有确认，则会在Web控制台中显示警告，但子资源请求本身不会被阻止。 在 Chrome 101 发布之前，不会启用阻止功能。

• 帐户设置集成了用于管理增强安全浏览功能的工具，该功能可激活额外的检查以防范网络钓鱼、恶意活动和其他威胁。 当您在 Google 帐户中激活某个模式时，系统会提示您在 Chrome 中激活该模式。
• 添加了用于在客户端检测网络钓鱼尝试的模型，使用 TFLite 机器学习平台（TensorFlow Lite）实现，不需要发送数据在 Google 端进行验证（在这种情况下，遥测数据会发送有关模型版本的信息）并计算出每个类别的权重）。 如果检测到网络钓鱼尝试，用户将在打开可疑网站之前看到警告页面。
• 在客户端提示 API 中，该 API 正在开发作为 User-Agent 标头的替代品，并允许您仅在服务器发出请求后有选择地发送有关特定浏览器和系统参数（版本、平台等）的数据，它是根据与 TLS 中使用的 GREASE（生成随机扩展并维持可扩展性）机制的类比，可以将虚构名称替换到浏览器标识符列表中。 例如，除了“Chrome”之外； v="98"' 和 '"铬"; v="98"' 不存在的浏览器的随机标识符 '"(Not; Browser"; v="12"' 可以添加到列表中。这样的替换将有助于识别处理未知浏览器标识符的问题，这导致替代浏览器被迫冒充其他流行浏览器来绕过对可接受浏览器列表的检查。
• 从 17 月 2023 日开始，Chrome 网上应用店不再接受使用 Chrome 清单版本 XNUMX 的加载项。 现在仅接受第三版清单的新添加内容。 以前添加的附加组件的开发人员仍然可以使用第二个版本的清单发布更新。 计划于 XNUMX 年 XNUMX 月完全弃用第二版宣言。
• 添加了对 COLRv1 格式的颜色矢量字体（OpenType 字体的子集，除了矢量字形之外，还包含带有颜色信息的图层）的支持，例如，可用于创建多色表情符号。 与之前支持的 COLRv0 格式不同，COLRv1 现在能够使用渐变、叠加和转换。 该格式还提供紧凑的存储形式，提供高效的压缩，并允许重用轮廓，从而显着减小字体大小。 例如，Noto Color Emoji 字体在光栅格式下占用 9MB，在 COLRv1 矢量格式下占用 1.85MB。
• Origin Trials 模式（需要单独激活的实验功能）实现了 Region Capture API，它允许您裁剪捕获的视频。 例如，在捕获带有选项卡内容的视频的 Web 应用程序中可能需要进行裁剪，以便在发送之前剪掉某些内容。 Origin Trial 意味着能够使用从 localhost 或 127.0.0.1 下载的应用程序中的指定 API，或者在注册并接收在特定站点的有限时间内有效的特殊令牌之后。
• CSS 属性“contain-intrinsic-size”现在支持值“auto”，它将使用元素最后记住的大小（当与“content-visibility: auto”一起使用时，开发人员不必猜测元素的渲染大小） 。
• 新增 AudioContext.outputLatency 属性，通过该属性可以了解音频输出前的预测延迟（音频请求到音频输出设备开始处理接收到的数据之间的延迟）信息。
• CSS属性color-scheme，可以确定元素可以正确显示的配色方案（“浅色”，“深色”，“白天模式”和“夜间模式”），添加了“only”参数以防止强制更改单个 HTML 元素的颜色架构。 例如，如果您指定“div { color-scheme: only light }”，则即使浏览器强制启用深色主题，div 元素也只会使用浅色主题。
• 向 CSS 添加了对“动态范围”和“视频动态范围”媒体查询的支持，以确定屏幕是否支持 HDR（高动态范围）。
• 在 window.open() 函数中添加了选择是否在新选项卡、新窗口或弹出窗口中打开链接的功能。 此外，window.statusbar.visible 属性现在对于弹出窗口返回“false”，对于选项卡和窗口返回“true”。 const popup = window.open('_blank',",'popup=1′); // 在弹出窗口中打开 const tab = window.open('_blank',,"'popup=0′); // 在选项卡中打开
• StructuredClone() 方法已针对 Windows 和 Workers 实现，它允许您创建对象的递归副本，其中不仅包括指定对象的属性，还包括当前对象引用的所有其他对象的属性。
• Web 身份验证 API 添加了对 FIDO CTAP2 规范扩展的支持，允许您设置允许的最小 PIN 码大小 (minPinLength)。
• 对于已安装的独立 Web 应用程序，添加了 Window Controls Overlay 组件，该组件将应用程序的屏幕区域扩展到整个窗口，包括标题区域，其上有标准窗口控制按钮（关闭、最小化、最大化） ) 叠加。 Web应用程序可以控制整个窗口的渲染和输入处理，除了具有窗口控制按钮的覆盖块。
• 向 WritableStreamDefaultController 添加了一个信号处理属性，该属性返回一个 AbortSignal 对象，该对象可用于立即停止对 WritableStream 的写入，而无需等待它们完成。
• WebRTC 取消了对 SDES 密钥协商机制的支持，出于安全考虑，该机制已于 2013 年被 IETF 弃用。
• 默认情况下，U2F (Cryptotoken) API 处于禁用状态，该 API 之前已被弃用并由 Web 身份验证 API 取代。 U2F API 将在 Chrome 104 中完全删除。
• 在API目录中，installed_browser_version字段已被弃用，取而代之的是新的pending_browser_version字段，其不同之处在于它包含有关浏览器版本的信息，考虑到已下载但未应用的更新（即，在浏览器重新启动）。
• 删除了允许返回 TLS 1.0 和 1.1 支持的选项。
• Web 开发人员的工具已得到改进。 添加了一个选项卡来评估后退缓存的操作，该选项卡在使用“后退”和“前进”按钮时提供即时导航。 添加了模拟强制颜色媒体请求的功能。 向 Flexbox 编辑器添加了按钮以支持行反转和列反转属性。 “更改”选项卡确保在格式化代码后显示更改，从而简化了缩小页面的解析。

  代码审查面板的实现已更新为 CodeMirror 6 代码编辑器的发布，显着提高了处理超大文件（WASM、JavaScript）的性能，解决了导航过程中随机偏移的问题，并改进了建议编辑代码时的自动完成系统。 CSS 属性面板中添加了按属性名称或值过滤输出的功能。

  

除了创新和错误修复之外，新版本还消除了 27 个漏洞。 许多漏洞是通过使用 AddressSanitizer、MemorySanitizer、控制流完整性、LibFuzzer 和 AFL 工具进行自动化测试而发现的。 目前还没有发现任何严重问题可以让人们绕过所有级别的浏览器保护并在沙箱环境之外的系统上执行代码。 作为发现当前版本漏洞的现金奖励计划的一部分，Google 支付了 19 项价值 88 万美元的奖励（两项 20000 美元奖励，一项 12000 美元奖励，两项 7500 美元奖励，四项 1000 美元奖励，以及 7000 美元、5000 美元、3000 美元和 2000 美元各一项。

来源： opennet.ru