Chrome 135 网络浏览器发布

谷歌发布了 Chrome 135 网络浏览器。与此同时，作为 Chrome 基础的免费 Chromium 项目也发布了稳定版本。 Chrome 浏览器与 Chromium 的不同之处在于，它使用 Google 徽标，具有在崩溃时发送通知的系统，具有播放受版权保护的视频内容（DRM）的模块，具有自动更新安装系统，始终启用沙盒隔离，向 Google API 提供密钥，并在搜索时传输 RLZ 参数。对于那些需要更多时间更新的用户，有一个单独的扩展稳定分支，支持 8 周。下一个版本 Chrome 136 计划于 29 月 XNUMX 日发布。

Chrome 135 的主要变化：

• 增加了使用 HSTS（HTTP 严格传输安全）缓存来防止隐藏用户身份的保护。当用户通过 HTTP 访问网站时，HSTS 允许网站将用户重定向到 HTTPS。在运行过程中，通过 HSTS 公开的主机名存储在内部缓存中，这允许使用缓存中主机的存在或不存在来存储一位信息。

  要隐藏 32 位用户 ID，您可以使用通过 HTTP 从不同主机提供的 32 幅图像数组（http://bit0.example.com/image.jpg、http://bit1.example.com/image.jpg 等）。通过检查图像从哪个主机通过 HTTPS 加载以及从哪个主机通过 HTTP 加载来确定标识符（如果图像之前通过 HTTP 发送并通过 HSTS 重定向到 HTTPS，那么在后续请求中它们将立即从 HTTPS 加载，绕过 HTTP 请求）。保护范围降低到仅允许顶级资源的 HSTS 更新，并阻止子资源请求中的 HSTS 更新。
• 添加了本地运行的机器学习模型，以改进对密码输入表单的存在和页面上的自动密码更改的检测。如果发现密码被泄露，那么当您尝试使用此密码登录网站时，Chrome 将显示一条警告，要求您更改密码。如果您同意，浏览器将生成一个难以猜测的密码，在网站上更改密码并将新密码保存在密码管理器中 - AI 将在所需的网站上填写并发送必要的网络表单并更新已保存的密码。
• 浏览器的增强保护模式（安全浏览 > 增强保护）现在可以使用大型语言模型，根据网页内容识别欺诈网页。该人工智能模型在客户端运行，但如果检测到可疑内容，则会执行额外的检查。 服务器 谷歌。如果确认通过了这项额外检查，将会向用户显示警告。目前，这项检查仅针对使用键盘锁定 API 的网页执行。
• 对于已将 Chrome 连接到其 Google 帐户的用户，现在可以将已安装的附加组件保存到其 Google 帐户，以便随后在用户使用的所有计算机上自动使用这些附加组件。
• 最近登录 Google 帐户或使用 Chrome 同步的用户的同步设置、网站快捷方式和主题将与本地设置分开存储。这样，在您关闭 Chrome 同步后，您的设备将保留其原始设置，并且当您连接到 Google 时，不会加载您的本地设置。
• 在版本中 Android 内置密码管理器已停止支持，取而代之的是可通过 Google Play 下载的统一版 Google 密码管理器。用户可以将旧密码管理器的内容保存为 CSV 格式，以便导入到其他密码管理器中。
• 隐身模式具有浏览器端阻止功能，但无法禁用访问其他网站时设置的第三方 Cookie。 领域 当前页面（此类 Cookie 用于在广告网络、社交媒体插件和网络分析系统的代码中跟踪用户在网站之间的活动）。网站端管理第三方 Cookie 拦截的功能保持不变，但浏览器在隐身模式下无法再将 BlockThirdPartyCookies 设置设为 false。
• CSS 已更新伪元素“::column”、“::scroll-button”、“::scroll-marker”和“::scroll-marker-group”，可用于实现轮播式滚动。
• 实现了 HTML 属性“command”和“commandfor”，可以在按钮上使用，而不是“popovertargetaction”和“popovertarget”属性，以声明方式定制与单击按钮时调用的菜单的交互。当使用新属性时，浏览器会接管与菜单交互的所有逻辑，而无需连接您自己的 JavaScript 处理程序。例如，要创建下拉菜单，只需指定：打开菜单…
• CSS 中添加了 shape() 函数，允许您使用 clip-path 和 offset-path CSS 属性形成形状。 shape() 函数支持与 path() 函数等效的形状形成命令，但允许您对它们使用标准 CSS 语法。
• 提供语音合成和识别功能的 Web Speech API 增加了对 MediaStreamTrack 接口的支持，用于处理来自各种来源的音频，包括外部音轨。以前，Web Speech API 只能处理通过默认麦克风传来的音频。
• JavaScript 现在支持类型化的 Float16Array 数组，用于存储 Float16 类型的值。
• 添加了用于异步处理事件流的 Observable API。该 API 允许您订阅一个对象以接收到达的事件，并以声明方式描述将应用于传入事件的转换流程。
• 先前弃用的 navigator.xr.supportsSession 方法已被删除。相反，应该使用 WebXR 规范中声明的 navigator.xr.isSessionSupported 方法。
• 删除了用于启用 PNA 1.0（私有网络访问）机制的 InsecurePrivateNetworkRequestsAllowedForUrls 和 InsecurePrivateNetworkRequestsAllowed 设置，该机制限制从引用内部网络主机（127.0.0.0/8、192.168.0.0/16、10.0.0.0/8 等）的可公开访问站点下载资源。攻击者利用此类活动对路由器、接入点、打印机、企业网络界面以及其他仅接受本地网络请求的设备和服务进行 CSRF 攻击。

  由于与某些设备不兼容，PNA 1.0 只能选择性启用。 PNA 1.0已经被PNA 2.0规范取代，该规范不需要在设备端进行任何更改，只需要在需要访问内网资源的站点端进行更改。 PNA 1.0 和 PNA 2.0 彼此不兼容，因此在实施 PNA 2.0 之前，Google 打算首先删除对 PNA 1.0 的支持。

• 删除了重新启用对已弃用的 MutationEvent API 及其相关同步处理事件 DOMSubtreeModified、DOMNodeInserted、DOMNodeRemoved、DOMNodeRemovedFromDocument、DOMNodeInsertedIntoDocument 和 DOMCharacterDataModified 的支持的选项。该接口用于跟踪 DOM 树的变化，但它对页面性能产生了负面影响，并阻碍了一些新功能的实现。去年夏天，该 API 默认被禁用，但 Chrome 保留了 MutationEventsEnabled 选项以重新提供支持。作为替代方案，建议使用 Mutation Observer API。
• Web 开发人员工具扩展了其性能分析功能。

除了创新和错误修复之外，新版本还消除了 14 个漏洞。许多漏洞是通过使用 AddressSanitizer、MemorySanitizer、Control Flow Integrity、LibFuzzer 和 AFL 工具进行自动化测试发现的。尚未发现任何可以绕过所有级别的浏览器保护并在沙盒环境之外的系统中执行代码的严重问题。作为当前版本的漏洞赏金计划的一部分，谷歌已经颁发了八项赏金，总额为 8 美元（一项 17 美元的赏金，以及两项分别为 10000 美元、2000 美元和 1000 美元的赏金）。

来源： opennet.ru