Chrome 版本 98

谷歌發布了Chrome 98網路瀏覽器，同時作為Chrome基礎的免費Chromium專案也發布了穩定版本。 Chrome 瀏覽器的特點是使用 Google 標誌、崩潰時發送通知的系統、播放受版權保護的視訊內容 (DRM) 的模組、自動安裝更新的系統以及在崩潰時傳輸 RLZ 參數。尋找。 Chrome 99 的下一個版本計劃於 1 月 XNUMX 日發布。

Chrome 98 的主要變化：

• 瀏覽器有自己的憑證授權單位根憑證儲存（Chrome 根儲存），將使用該儲存體來取代特定於每個作業系統的外部儲存。 此儲存的實作方式與 Firefox 中根憑證的獨立儲存類似，用作透過 HTTPS 開啟網站時檢查憑證信任鏈的第一個連結。 預設尚未使用新儲存。 為了簡化系統儲存配置的過渡並確保可移植性，將有一個過渡期，在此期間，Chrome 根儲存區將包含大多數受支援平台上批准的完整憑證選擇。
• 繼續實施加強防護的計劃，以防止與透過開啟網站時載入的腳本存取本機網路或使用者電腦（本機主機）上的資源相關的攻擊。 攻擊者利用此類請求對路由器、存取點、印表機、企業 Web 介面以及僅接受來自本機網路的請求的其他裝置和服務進行 CSRF 攻擊。

  為了防止此類攻擊，如果在內網存取任何子資源，瀏覽器將開始發送明確的請求，以取得下載此類子資源的權限。 權限請求是透過在存取內部網路或本機主機之前向主站點伺服器發送帶有「Access-Control-Request-Private-Network: true」標頭的 CORS（跨來源資源共用）請求來進行的。 當確認回應該要求的操作時，伺服器必須傳回「Access-Control-Allow-Private-Network: true」標頭。 在Chrome 98中，檢查是在測試模式下實現的，如果沒有確認，則會在Web控制台中顯示警告，但子資源請求本身不會被阻止。 在 Chrome 101 發布之前，不會啟用封鎖功能。

• 帳戶設定整合了用於管理增強安全瀏覽功能的工具，可啟動額外的檢查以防範網路釣魚、惡意活動和其他威脅。 當您在 Google 帳戶中啟動某個模式時，系統會提示您在 Chrome 中啟動該模式。
• 新增了用於在客戶端檢測網路釣魚嘗試的模型，使用TFLite 機器學習平台（TensorFlow Lite）實現，不需要發送資料在Google 端進行驗證（在這種情況下，遙測資料會發送有關模型版本的信息）並計算出每個類別的權重）。 如果偵測到網路釣魚嘗試，使用者將在開啟可疑網站之前看到警告頁面。
• 在客戶端提示API 中，該API 正在開發作為User-Agent 標頭的替代品，並且允許您僅在伺服器發出請求後有選擇地發送有關特定瀏覽器和系統參數（版本、平台等）的數據，它是根據與 TLS 中使用的 GREASE（產生隨機擴展並維持可擴展性）機制的類比，可以將虛構名稱替換到瀏覽器標識符列表中。 例如，除了“Chrome”之外； v="98"' 和 '"鉻"; v="98"' 不存在的瀏覽器的隨機標識符'"(Not; Browser"; v="12"' 可以添加到列表中。這樣的替換將有助於識別處理未知瀏覽器標識符的問題，這導致替代瀏覽器被迫冒充其他流行瀏覽器來繞過對可接受瀏覽器清單的檢查。
• 從 17 月 2023 日開始，Chrome 網路應用程式商店不再接受使用 Chrome 清單版本 XNUMX 的加載項。 現在只接受第三版清單的新新增內容。 先前新增的附加元件的開發人員仍然可以使用第二個版本的清單發布更新。 計劃於 XNUMX 年 XNUMX 月完全棄用第二版宣言。
• 新增了對 COLRv1 格式的顏色向量字體（OpenType 字體的子集，除了向量字形之外，還包含帶有顏色資訊的圖層）的支持，例如，可用於建立多色表情符號。 與先前支援的 COLRv0 格式不同，COLRv1 現在能夠使用漸層、疊加和轉換。 該格式還提供緊湊的儲存形式，提供高效的壓縮，並允許重複使用輪廓，從而顯著減小字體大小。 例如，Noto Color Emoji 字型在光柵格式下佔用 9MB，在 COLRv1 向量格式下佔用 1.85MB。
• Origin Trials 模式（需要單獨啟動的實驗功能）實作了 Region Capture API，它允許您裁剪捕獲的影片。 例如，在捕獲帶有選項卡內容的影片的 Web 應用程式中可能需要進行裁剪，以便在發送之前剪掉某些內容。 Origin Trial 表示能夠使用從 localhost 或 127.0.0.1 下載的應用程式中的指定 API，或者在註冊並接收在特定網站的有限時間內有效的特殊令牌之後。
• CSS 屬性“contain-intrinsic-size”現在支援值“auto”，它將使用元素最後記住的大小（當與“content-visibility: auto”一起使用時，開發人員不必猜測元素的渲染大小） 。
• 新增 AudioContext.outputLatency 屬性，透過此屬性可以了解音訊輸出前的預測延遲（音訊要求到音訊輸出裝置開始處理接收的資料之間的延遲）資訊。
• CSS屬性color-scheme，可以確定元素可以正確顯示的配色方案（“淺色”，“深色”，“白天模式”和“夜間模式”），添加了“only”參數以防止強制更改單個HTML 元素的顏色架構。 例如，如果您指定“div { color-scheme: only light }”，則即使瀏覽器強制啟用深色主題，div 元素也只會使用淺色主題。
• 為 CSS 新增了對「動態範圍」和「視訊動態範圍」媒體查詢的支持，以確定螢幕是否支援 HDR（高動態範圍）。
• 在 window.open() 函數中新增了選擇是否在新分頁、新視窗或彈出視窗中開啟連結的功能。 此外，window.statusbar.visible 屬性現在對於彈出視窗返回“false”，對於選項卡和視窗返回“true”。 const popup = window.open('_blank',",'popup=1′); // 在彈出視窗中開啟 const tab = window.open('_blank',,"'popup=0′); // 在選項卡中開啟
• StructuredClone() 方法已針對 Windows 和 Workers 實現，它允許您建立物件的遞歸副本，其中不僅包括指定物件的屬性，還包括目前物件參考的所有其他物件的屬性。
• Web 驗證 API 新增了對 FIDO CTAP2 規範擴充的支持，可讓您設定允許的最小 PIN 碼大小 (minPinLength)。
• 對於已安裝的獨立 Web 應用程序，添加了 Window Controls Overlay 組件，該組件將應用程式的屏幕區域擴展到整個窗口，包括標題區域，其上有標準窗口控制按鈕（關閉、最小化、最大化） )疊加。 Web應用程式可以控制整個視窗的渲染和輸入處理，除了具有視窗控制按鈕的覆蓋區塊。
• 向 WritableStreamDefaultController 新增了訊號處理屬性，該屬性傳回一個 AbortSignal 對象，該物件可用於立即停止對 WritableStream 的寫入，而無需等待它們完成。
• WebRTC 取消了對 SDES 金鑰協商機制的支持，出於安全考慮，該機制已於 2013 年被 IETF 棄用。
• 預設情況下，U2F (Cryptotoken) API 處於停用狀態，該 API 先前已被棄用並由 Web 驗證 API 取代。 U2F API 將在 Chrome 104 中完全刪除。
• 在API目錄中，installed_browser_version字段已被棄用，取而代之的是新的pending_browser_version字段，其不同之處在於它包含有關瀏覽器版本的信息，考慮到已下載但未應用的更新（即，在瀏覽器重新啟動）。
• 刪除了允許傳回 TLS 1.0 和 1.1 支援的選項。
• Web 開發人員的工具已改進。 新增了一個選項卡來評估後退快取的操作，該選項卡在使用「後退」和「前進」按鈕時提供即時導航。 新增了模擬強制顏色媒體查詢的功能。 在 Flexbox 編輯器中新增了按鈕以支援行反轉和列反轉屬性。 「更改」標籤可確保在格式化程式碼後顯示更改，從而簡化了縮小頁面的解析。

  程式碼審查面板的實作已更新為 CodeMirror 6 程式碼編輯器的發布，顯著提高了處理超大檔案（WASM、JavaScript）的效能，解決了導航過程中隨機偏移的問題，並改進了建議編輯程式碼時的自動完成系統。 CSS 屬性面板中新增了以屬性名稱或值過濾輸出的功能。

  

除了創新和錯誤修復之外，新版本還消除了 27 個漏洞。 許多漏洞是透過使用 AddressSanitizer、MemorySanitizer、控制流程完整性、LibFuzzer 和 AFL 工具進行自動化測試而發現的。 目前還沒有發現任何嚴重問題可以讓人們繞過所有層級的瀏覽器保護並在沙箱環境之外的系統上執行程式碼。 作為發現當前版本漏洞的現金獎勵計劃的一部分，Google 支付了19 項價值88 萬美元的獎勵（兩項20000 美元獎勵，一項12000 美元獎勵，兩項7500 美元獎勵，四項1000 美元獎勵，以及7000美元、5000 美元、3000 美元和2000 美元各一項。

來源： opennet.ru