Chrome 145 版本

谷歌发布了 Chrome 浏览器 145 版本。Chrome 的基础——开源 Chromium 项目的稳定版本也已发布。Chrome 与 Chromium 的区别在于:它使用了谷歌的徽标、拥有崩溃通知系统、支持播放受版权保护的视频内容(DRM)的模块、自动更新安装、始终开启的沙盒隔离、提供谷歌 API 密钥,以及在搜索过程中使用 RLZ 参数。对于需要更多时间更新的用户,谷歌提供了一个独立的“扩展稳定版”分支,有效期为八周。下一个版本 Chrome 146 计划于 8 月 10 日发布。

Chrome 145 的主要变化:

  • 新增对 JPEG XL 图像格式的支持,使用 jxl-rs 库和 Rust 实现的 JPEG-XL 进行解码。JPEG XL 支持目前默认禁用,需要启用“chrome://flags/#enable-jxl-image-format”设置。
  • 我们持续开发 AI 模式,该模式允许用户通过地址栏或新标签页与 AI 代理进行交互。AI 模式允许用户使用自然语言提出复杂问题,并根据特定主题下最相关页面的信息聚合结果获得答案。如有必要,用户可以通过引导性问题来澄清信息。该模式还允许用户直接从地址栏询问有关页面内容的问题。在 Chrome 145 版本中,AI 模式已在各个平台版本中实现。 Android 以及 iOS 系统。对于加拿大、印度和新西兰的用户,Gemini 聊天机器人已默认启用(使用英语时)。
  • 新增了 DBSC(设备绑定会话凭证)机制,允许您将网站身份验证会话绑定到特定设备,从而增加其他系统利用拦截的会话 cookie 发起攻击的难度。建议使用“Secure-Session-Registration”HTTP 标头来创建设备绑定会话。此保护方法涉及提供一对绑定到当前设备的加密密钥,这些密钥在连接时生成并存储在 TPM(可信平台模块)中。会话使用生命周期较短的 cookie,这些 cookie 会定期使用私钥更新,并可使用公钥进行验证。
    
Chrome 145 版本
  • 允许用户禁用对违反 Chrome 网上应用商店轻微政策的强制安装浏览器插件的拦截功能的设置已被移除。轻微违规行为包括潜在漏洞、未经用户许可推送插件、篡改元数据、违反用户数据政策以及误导性功能。
  • 在平台版本中 Android 激活高级保护模式(AAPM)时, Android (高级保护模式)会禁用 WebGPU JavaScript API。使用 WebGPU 渲染 3D 内容的网站(例如 Google 地图)可能会使用速度较慢的替代方案,例如 WebGL(测试显示速度降低 5.78%)。可以使用 navigator.gpu 属性来检测 WebGPU 是否已禁用。
  • 在版本中 Android 启用增强型安全浏览后,系统会对浏览器的显示内容进行本地分析,以检测是否存在欺诈迹象。如果本地检查发现可疑内容,系统会在 Google 服务器上进行额外检查;如果确认存在可疑内容,则会向用户显示警告。
  • 新增了 Origin API,它提供了一个实现了 Web Origin 概念的 Origin 对象,并提供用于比较、序列化和解析 Web Origin 的方法。术语“Web Origin”在 RFC 6454 中定义,用于区分内容隔离和信任边界。Web Origin 包含 URL 中协议名称、主机名和端口号的部分(例如,https://opennet.ru)。引入此新 API 的目的是统一 Web Origin 的操作,并消除在确定资源是否属于同一站点时,由于对 Web Origin 的序列化 ASCII 表示形式进行错误比较而导致的漏洞。
  • 与公共站点交互时,对本地系统的访问权限是分开的。站点向本地系统发出的请求是独立的。 IP地址 本地网络(内网或内部地址)和环回接口(127.0.0.0/8)现在使用不同的权限(本地网络和环回网络)进行处理,用户需要在特定的对话框中确认操作。下载资源、fetch() 请求和 iframe 插入等操作均受到保护。攻击者利用对内部资源的访问,对路由器、接入点、打印机、企业 Web 界面以及其他仅接受来自本地网络请求的设备和服务发起 CSRF 攻击。此外,扫描内部资源还可用于间接识别或收集有关本地网络的信息。
  • 已移除 UserAgentReduction 设置,该设置允许再次传输未经修剪的 User-Agent HTTP 标头和 JavaScript 参数 navigator.userAgent、navigator.appVersion 和 navigator.platform。现在,浏览器始终传输精简后的 User-Agent 标头,不包含详细的平台信息(例如,“Android 16;S”而不是“Android 16;SM-A205U)。
  • 内置的 PDF 查看器现在支持将文档保存到 Google 云端硬盘。在 Google 云端硬盘中,来自 Chrome 的文档会保存在“从 Chrome 保存”文件夹中。
  • 用于追踪屏幕上 DOM 元素位置变化的 LayoutShift API 已切换为以 CSS 像素而非屏幕像素显示信息。CSS 像素会考虑屏幕的 DPI,并在所有屏幕上(包括高像素密度显示器)保持视觉一致性。此项更改旨在使 Chrome 与其他浏览器保持一致。
  • WebRequest.SecurityInfo 方法已在受控帧 API 中实现,允许 Web 应用程序拦截发送到服务器的 HTTPS、WSS 或 WebTransport 请求并获取证书指纹。 伺服器 并使用它来手动验证通过 TCP/UDP 直接连接到同一服务器所使用的证书。
  • 新增了对 CSS 多列布局 2 规范中定义的 column-wrap 和 column-height 属性的支持。如果列的高度超过 column-height 属性指定的高度,column-wrap 属性允许列自动换行,而不是水平滚动。
  • 添加了 CSS 属性 text-justify,允许您在使用“text-align: justify”时指定文本对齐方式;
  • CSS 的 letter-spacing 和 word-spacing 属性允许您以百分比形式指定缩进大小。
  • JavaScript 的 Map 和 WeakMap 对象实现了“upsert”规范,简化了键值对集合的操作。新增了 getOrInsert 和 getOrInsertComputed 方法,分别返回集合中已存在的与指定键关联的值,或者在找不到该键时创建一个新条目。
  • IndexedDB API 的实现已重写,后端采用 SQLite 数据库(之前的实现依赖于单独文件中的 LevelDB)。新实现目前仅在内存环境中使用,例如在隐身模式下。
  • Web 开发工具已得到改进。现在,在网络检查界面的“请求条件”面板中,默认启用限制单个网络请求速度的功能。

除了新增功能和修复漏洞外,新版本还修复了 11 个漏洞。许多漏洞是通过使用 AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer 和 AFL 等工具进行自动化测试发现的。未发现任何可能绕过所有浏览器保护层并在沙箱环境之外执行代码的严重问题。作为此次版本漏洞赏金计划的一部分,谷歌设立了 11 项奖励,并已发放总额为 18,500 美元的奖金(其中 8000 美元、5000 美元、2000 美元和 500 美元各一项,另有三项 1000 美元)。其余四项奖励的金额尚未确定。

来源: opennet.ru

为具有 DDoS 保护、VPS VDS 服务器的站点购买可靠的主机 🔥 购买具备 DDoS 防护的可靠网站托管服务,包括 VPS 和 VDS 服务器 | ProHoster